Fassung: 23.03.2026
Dieser AVV ist auf ein B2B-Online-Abschlussmodell von ONLINERY zugeschnitten und ergänzt den jeweiligen Hauptvertrag, soweit ONLINERY personenbezogene Daten als Auftragsverarbeiterin im Sinne des Art. 28 DSGVO verarbeitet.
1. Gegenstand, Geltung, Zustandekommen, Rang
1.1 Gegenstand: Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierten Weisungen des Kunden zur Erbringung der jeweils gebuchten Leistungen gemäß Hauptvertrag und Anlage 1.
1.2 Rahmencharakter: Dieser AVV gilt als Rahmenvertrag für sämtliche vom Kunden online oder offline gebuchten Leistungen der Auftragsverarbeiterin, soweit dabei eine Auftragsverarbeitung vorliegt.
1.3 Zustandekommen / Online-Einbeziehung: Der AVV kann ohne eigenhändige Unterschrift wirksam abgeschlossen werden. Er wird dem Kunden vor Abgabe der Bestellung in zumutbarer Weise bereitgestellt und durch aktives Anklicken einer gesonderten Zustimmungs-Checkbox oder eine vergleichbare eindeutige Zustimmung rechtsverbindlich einbezogen. Die Auftragsverarbeiterin dokumentiert Einbeziehung und Annahme, insbesondere Version, Zeitstempel sowie technische Nachweisdaten des Bestellvorgangs.
1.4 Vorrang: Soweit datenschutzrechtliche Fragen betroffen sind, gehen die Regelungen dieses AVV abweichenden Bestimmungen des Hauptvertrags vor.
2. Dauer, Art und Zweck der Verarbeitung
2.1 Dauer: Der AVV gilt ab seinem Abschluss für die Dauer der jeweiligen Leistungserbringung und endet erst mit vollständiger Beendigung der Leistungen sowie ordnungsgemäßer Rückgabe oder Löschung der personenbezogenen Daten nach Ziffer 11.
2.2 Art und Zweck: Art, Zweck, Gegenstand der Verarbeitung sowie Kategorien betroffener Personen und Daten ergeben sich aus dem Hauptvertrag und aus Anlage 1. Eine Verarbeitung zu eigenen Zwecken der Auftragsverarbeiterin ist ausgeschlossen, sofern nicht eine eigenständige datenschutzrechtliche Verantwortlichkeit besteht.
2.3 Umfang: Die Auftragsverarbeiterin verarbeitet personenbezogene Daten nur insoweit, als dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
3. Weisungen
3.1 Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisungen des Kunden im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
3.2 Hält die Auftragsverarbeiterin eine Weisung des Kunden für rechtswidrig oder datenschutzrechtlich unzulässig, wird sie den Kunden unverzüglich darauf hinweisen. Bis zur Bestätigung oder Anpassung der Weisung ist die Auftragsverarbeiterin berechtigt, die betreffende Verarbeitung auszusetzen, soweit dies zur Vermeidung eines Rechtsverstoßes erforderlich ist.
3.3 Ist die Auftragsverarbeiterin nach dem Recht der Union oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet, teilt sie dem Kunden diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigem öffentlichen Interesse verbietet.
4. Vertraulichkeit und Personal
4.1 Die Auftragsverarbeiterin stellt sicher, dass alle mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
4.2 Der Zugang zu personenbezogenen Daten erfolgt nur nach dem Need-to-know-Prinzip und auf Basis eines dokumentierten Rollen- und Berechtigungskonzepts.
5. Technische und organisatorische Maßnahmen
5.1 Die Auftragsverarbeiterin trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die zum Zeitpunkt des Vertragsschlusses maßgeblichen TOMs ergeben sich aus Anlage 2.
5.2 Die Auftragsverarbeiterin darf TOMs fortentwickeln und verbessern. Wesentliche Änderungen, die das Schutzniveau nicht nur unerheblich absenken würden, bedürfen vor ihrer Umsetzung einer Abstimmung mit dem Kunden.
5.3 Der Kunde bleibt dafür verantwortlich, dass die von ihm veranlasste Verarbeitung insgesamt rechtmäßig ist und dass die von ihm festgelegten Zwecke, Kategorien und Speicherfristen datenschutzrechtlich zulässig sind.
6. Unterstützungspflichten
6.1 Die Auftragsverarbeiterin unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen in angemessenem Umfang bei der Erfüllung der Pflichten nach Art. 12 bis 23 sowie Art. 32 bis 36 DSGVO.
6.2 Dies umfasst insbesondere die Unterstützung bei Betroffenenanfragen, Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und der Beantwortung behördlicher Anfragen, soweit die vom Auftrag umfassten Verarbeitungen betroffen sind.
6.3 Soweit eine Unterstützung über die vertraglich geschuldete Standardleistung hinausgeht, kann die Auftragsverarbeiterin hierfür eine angemessene Vergütung nach tatsächlichem Aufwand verlangen, sofern der Mehraufwand nicht auf einer von ihr zu vertretenden Pflichtverletzung beruht.
7. Datenschutzverletzungen
7.1 Die Auftragsverarbeiterin informiert den Kunden unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die den Auftragsgegenstand betrifft. Die Erstinformation erfolgt ohne schuldhaftes Zögern und grundsätzlich binnen 24 Stunden nach Kenntniserlangung, soweit zu diesem Zeitpunkt bereits belastbare Informationen vorliegen.
7.2 Die Mitteilung enthält, soweit verfügbar, die Art des Vorfalls, die betroffenen Datenkategorien und Personengruppen, die wahrscheinlichen Folgen sowie die bereits ergriffenen oder vorgeschlagenen Abhilfemaßnahmen. Fehlende Informationen werden unverzüglich nachgereicht.
7.3 Die Auftragsverarbeiterin ergreift angemessene Sofortmaßnahmen zur Eindämmung und Behebung des Vorfalls und dokumentiert den Vorgang nachvollziehbar.
8. Unterauftragsverarbeiter
8.1 Der Kunde erteilt der Auftragsverarbeiterin die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen. Die zum Zeitpunkt des Vertragsschlusses vorgesehenen Unterauftragsverarbeiter ergeben sich aus Anlage 3, soweit sie im konkreten Leistungsumfang tatsächlich eingesetzt werden.
8.2 Die Auftragsverarbeiterin informiert den Kunden über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern in angemessener Frist in Textform. Der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichem Grund binnen 10 Arbeitstagen ab Zugang der Mitteilung widersprechen.
8.3 Im Fall eines berechtigten Widerspruchs werden die Parteien unverzüglich prüfen, ob eine zumutbare alternative Leistungserbringung ohne den betroffenen Unterauftragsverarbeiter möglich ist. Ist dies nicht möglich, steht beiden Parteien hinsichtlich der betroffenen Verarbeitung ein außerordentliches Kündigungsrecht zu.
8.4 Die Auftragsverarbeiterin verpflichtet jeden Unterauftragsverarbeiter schriftlich mindestens zu den datenschutzrechtlichen Pflichten dieses AVV. Die Auftragsverarbeiterin bleibt gegenüber dem Kunden für die ordnungsgemäße Erfüllung der Pflichten des Unterauftragsverarbeiters verantwortlich.
9. Internationale Datenübermittlungen
9.1 Drittlandübermittlungen erfolgen nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
9.2 Soweit kein Angemessenheitsbeschluss besteht, erfolgen Übermittlungen nur auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln, ergänzt um erforderliche zusätzliche Maßnahmen und eine risikoorientierte Transferbewertung.
9.3 Die für die jeweils eingesetzten Dienste maßgeblichen Transfermechanismen werden in Anlage 3 transparent dargestellt. Hinweise auf Zertifizierungen oder Angemessenheitsmechanismen beziehen sich stets auf den jeweiligen tatsächlichen Status des eingesetzten Dienstes zum Zeitpunkt der Nutzung.
10. Kontrollen, Audits, Nachweise, Behördenkontakte
10.1 Die Auftragsverarbeiterin stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachzuweisen.
10.2 Der Kunde ist berechtigt, nach angemessener Vorankündigung, grundsätzlich mit einer Frist von 14 Kalendertagen und höchstens einmal pro Kalenderjahr sowie anlassbezogen bei konkretem Verdacht eines erheblichen Datenschutzverstoßes, Audits oder Inspektionen durchzuführen oder durch einen zur Verschwiegenheit verpflichteten unabhängigen Prüfer durchführen zu lassen.
10.3 Die Audits sind so durchzuführen, dass Betriebs- und Geschäftsgeheimnisse, Rechte Dritter sowie der laufende Geschäftsbetrieb der Auftragsverarbeiterin möglichst wenig beeinträchtigt werden. Bereits vorhandene geeignete Nachweise, Zertifizierungen oder Prüfberichte können ein Vor-Ort-Audit ersetzen, soweit sie den Prüfzweck angemessen abdecken.
10.4 Bei Anfragen oder Maßnahmen von Aufsichtsbehörden, Gerichten oder sonstigen zuständigen Stellen im Zusammenhang mit der Auftragsverarbeitung informiert die Auftragsverarbeiterin den Kunden unverzüglich, soweit ihr dies rechtlich zulässig ist.
11. Rückgabe und Löschung
11.1 Nach Beendigung der vertragsgegenständlichen Leistungen wird die Auftragsverarbeiterin nach Wahl des Kunden die personenbezogenen Daten entweder zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
11.2 Soweit Sicherungskopien oder Archivsysteme technisch bedingt nicht sofort vollständig bereinigt werden können, werden die betreffenden Daten bis zu ihrer endgültigen Löschung gesperrt und nicht mehr produktiv verarbeitet.
11.3 Die Durchführung der Rückgabe oder Löschung wird dem Kunden auf Verlangen in Textform bestätigt.
12. Haftung
12.1 Die Haftung der Parteien richtet sich nach der DSGVO sowie nach dem sonst anwendbaren Recht.
12.2 Eine pauschale verschuldensunabhängige Freistellung der Auftragsverarbeiterin wird nicht vereinbart. Soweit der Kunde wegen einer von der Auftragsverarbeiterin oder einem von ihr eingesetzten Unterauftragsverarbeiter schuldhaft verursachten Verletzung dieses AVV oder datenschutzrechtlicher Pflichten berechtigt von Dritten in Anspruch genommen wird, gelten gesetzliche Ersatz- und Rückgriffsansprüche.
12.3 Etwaige Haftungsbeschränkungen des Hauptvertrags finden auf Ansprüche aus diesem AVV nur Anwendung, soweit sie mit zwingendem Datenschutzrecht vereinbar sind.
13. Schlussbestimmungen
13.1 Textform: Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Das gilt auch für Änderungen der Anlagen, soweit nicht in diesem AVV ausdrücklich ein besonderes Änderungsverfahren vorgesehen ist.
13.2 Anwendbares Recht: Es gilt österreichisches Recht unter Ausschluss seiner Kollisionsnormen.
13.3 Gerichtsstand: Ist der Kunde Unternehmer, wird als Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem AVV das sachlich zuständige Gericht in Braunau am Inn vereinbart. Zwingende gesetzliche Zuständigkeitsregeln bleiben unberührt.
Anlage 1 – Beschreibung der Verarbeitung
Leistungen / Zwecke: Lead-Erfassung, CRM-Synchronisation, Marketing-Automationen, Kampagnen-Setup und -Optimierung, Tracking, Reporting und Support entsprechend dem konkret gebuchten Leistungsumfang.
Art der Verarbeitung: Erheben, Erfassen, Strukturieren, Speichern, Anpassen, Auslesen, Übermitteln, Auswerten, Löschen sowie sonstige nach dem Hauptvertrag erforderliche Verarbeitungsvorgänge.
Datenkategorien: Stamm- und Kontaktdaten, Kommunikationsdaten, Online-Kennungen, Nutzungs-, Event- und Conversion-Daten; gegebenenfalls weitere Datenkategorien, soweit sie der Kunde im konkreten Auftrag zulässigerweise bereitstellt.
Betroffene Personengruppen: Website-Nutzer, Interessenten, Kunden des Kunden, Ansprechpartner bei Geschäftskunden sowie sonstige Personen, deren Daten im Rahmen des konkreten Auftrags verarbeitet werden.
Speicherorte / Löschlogik: Primär EU/EWR; Drittlandbezüge nur nach Maßgabe der Anlage 3. Lösch- und Aufbewahrungsfristen richten sich nach den Weisungen des Kunden, dem Hauptvertrag und zwingenden gesetzlichen Pflichten.
Anlage 2 – Technische und organisatorische Maßnahmen (TOMs)
Organisation: Vertraulichkeitsverpflichtung, Schulungen, Rollen- und Berechtigungskonzept, dokumentierte Prozesse für Onboarding, Offboarding und Incident Management.
Zugriffsschutz: Mehr-Faktor-Authentifizierung, starke Passwörter, Berechtigungsbeschränkungen, Geräteverschlüsselung, Bildschirmsperren und physische Sicherungsmaßnahmen.
Daten- und Systemsicherheit: Verschlüsselte Übertragung, soweit verfügbar verschlüsselte Speicherung, Protokollierung sicherheitsrelevanter Vorgänge, Mandantentrennung und Backup-Konzepte.
Lieferantenmanagement: Datenschutzrechtliche Vorabprüfung wesentlicher Dienstleister, Abschluss erforderlicher Verträge und regelmäßige Überprüfung relevanter Transfermechanismen.
Anlage 3 – Unterauftragsverarbeiter / Drittlandtransfers
Grundsatz: Die nachfolgende Liste ist eine Baseline. Maßgeblich sind nur jene Dienstleister, die im konkreten Leistungsumfang tatsächlich eingesetzt werden.
Typische Dienstleister: Wix, HubSpot, Make, Google, Meta, LinkedIn, TikTok oder vergleichbare Plattformen/Dienstleister, soweit sie für die vertragsgegenständlichen Leistungen erforderlich sind.
Transfermechanismen: Soweit Daten außerhalb des EWR verarbeitet werden, stützt sich die Auftragsverarbeiterin auf den jeweils konkret verfügbaren Rechtsmechanismus, etwa Angemessenheitsbeschluss, Data Privacy Framework oder Standardvertragsklauseln mit ergänzenden Maßnahmen. Die konkrete Ausgestaltung ist laufend aktuell zu halten.
Anlage 4 – Incident-Runbook (Kurzfassung)
Meldeweg: Interne Eskalation über den definierten Sicherheits- und Datenschutzprozess der Auftragsverarbeiterin.
Erstreaktion: Identifikation, Eindämmung, Absicherung von Zugängen, technische Analyse und Dokumentation.
Kommunikation: Koordinierte Information des Kunden, laufende Nachlieferung neuer Erkenntnisse und Abstimmung über etwaige Meldungen an Behörden oder betroffene Personen.