Skip to main content
search
0

AVV

AUFTRAGSVERARBEITUNGSVERTRAG (STANDARD)

nach Art 28 DSGVO

 

zwischen

AVsolutions GmbH (FN 497546k)

Eduard‑Bodem‑Gasse 6, 6020 Innsbruck, Österreich

(nachfolgend „AVS“ oder „Auftragsverarbeiter“)

und

[Name/Firma des Kunden], [Adresse]

(nachfolgend „Kunde“ oder „Verantwortlicher“)

gemeinsam: „Parteien

Präambel

(1) AVS erbringt für den Kunden Leistungen im Bereich Medientechnik, Software, KI‑Systeme und Fernwartung auf Grundlage eines oder mehrerer Hauptverträge (z.B. Kauf‑, Werk‑, Dienstleistungs‑ oder Lizenzvertrag) einschließlich der Allgemeinen Geschäftsbedingungen (AGB) der AVS in der jeweils gültigen Fassung. Die AGB sind diesem Vertrag als Grundlage zugrunde zu legen.

(2) Soweit AVS bei der Erbringung dieser Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet, handelt AVS als Auftragsverarbeiter im Sinne von Art 4 Z 8, Art 28 DSGVO. Dieser Auftragsverarbeitungsvertrag („AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien für diese Verarbeitung.

(3) Soweit in diesem AVV nichts Abweichendes geregelt ist, gelten ergänzend die AGB von AVS; die dortigen Regelungen zu Haftung, Gerichtsstand und Rechtswahl (insb. Punkte 6 und 7 der AGB) gelten sinngemäß. Zwingende Bestimmungen der DSGVO und des DSG gehen AGB und AVV vor.

  1. Gegenstand, Dauer und Art der Verarbeitung
    • Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch AVS im Auftrag des Kunden im Rahmen der vereinbarten Leistungen, insbesondere:
      • Lieferung, Konfiguration, Betrieb und Wartung von Medien‑ und IT‑Systemen,
      • Bereitstellung, Anpassung und Support von Software und Mediensteuerungen,
      • Einsatz von KI‑Systemen und KI‑Modellen gem. Punkt 9.4 der AGB,
      • Betrieb von autonomen KI-Agenten und Anbindung von Drittdiensten über Konnektoren (Agentic AI),
      • Fernwartungsleistungen und Remote‑Zugriffe gem. Punkt 9.5 der AGB.
    • Die Dauer dieses AVV entspricht der Dauer des/der zugrunde liegenden Hauptvertrags/Hauptverträge zwischen den Parteien. Mit Beendigung sämtlicher Hauptverträge endet auch dieser AVV, vorbehaltlich der Regelungen in Ziffer 9.
    • Art und Zweck der Verarbeitung ergeben sich aus den jeweiligen Hauptverträgen, den AGB und diesem AVV. Eine Verarbeitung zu eigenen Zwecken von AVS erfolgt nicht.
  1. Kategorien von Daten und betroffenen Personen
    • Typische Kategorien personenbezogener Daten sind insbesondere:
      • Stammdaten (z.B. Name, Kontaktdaten von Mitarbeitern des Kunden und dessen Kunden),
      • Nutzungs‑ und Protokolldaten aus den eingesetzten Systemen,
      • Kommunikations‑ und Supportdaten,
      • im Gesundheitsbereich: Gesundheitsdaten im Sinn von Art 9 DSGVO, soweit diese in Systemen des Kunden verarbeitet werden und AVS im Zuge von Support/Fernwartung oder KI‑Einsatz Einsicht nehmen kann.
    • Typische Kategorien betroffener Personen sind insbesondere:
      • Mitarbeiter und Organe des Kunden,
      • Kunden, Patienten oder sonstige Nutzer der Systeme des Kunden,
      • weitere natürliche Personen, deren Daten in den Systemen des Kunden verarbeitet werden.
  1. Weisungen des Kunden
    • AVS verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit AVS nicht gesetzlich zu einer abweichenden Verarbeitung verpflichtet ist (Art 28 Abs 3 lit a DSGVO). In letzterem Fall informiert AVS den Kunden – soweit zulässig – vor dieser Verarbeitung über die gesetzlichen Anforderungen. Der Verantwortliche (Kunde) nimmt zur Kenntnis, dass bei Einsatz von Agentic AI (Produkt ‚Brainy‘) die vom Kunden vorgenommenen Systemeinstellungen, die Auswahl von KI-Modellen sowie die Definition von Berechtigungen für KI-Agenten als abschließende, dokumentierte Weisungen im Sinne des Art 28 Abs 3 lit a DSGVO gelten. AVS haftet nicht für Verarbeitungsschritte, die aus der autonomen Umsetzung dieser kundenseitigen Konfigurationen durch die KI-Agenten resultieren.
    • Weisungen sind grundsätzlich schriftlich (insb. per E‑Mail) zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
    • Ändert der Kunde Weisungen oder verlangt zusätzliche Leistungen, die über den bestehenden Leistungs‑ und Konfigurationsumfang hinausgehen, so können diese Änderungen von AVS abgelehnt oder nur gegen gesonderte Vergütung und ggf. Anpassung der technischen und organisatorischen Maßnahmen umgesetzt werden.
    • Hält AVS eine Weisung für offensichtlich rechtswidrig, informiert AVS den Kunden unverzüglich und ist berechtigt, die Ausführung der Weisung bis zur schriftlichen Bestätigung oder Anpassung auszusetzen. Die Verantwortung für die Rechtmäßigkeit der Weisung liegt ausschließlich beim Kunden.
  1. Pflichten von AVS als Auftragsverarbeiter
    • AVS verarbeitet personenbezogene Daten ausschließlich im Rahmen dieses AVV, der AGB und der Hauptverträge. Eine Verarbeitung zu eigenen Zwecken erfolgt nicht.
    • AVS gewährleistet, dass die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind und/oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (vgl. Punkt 8.1 und 8.5 der AGB).
    • AVS trifft geeignete technische und organisatorische Maßnahmen (TOM) iSd Art 32 DSGVO zum Schutz der verarbeiteten personenbezogenen Daten. Dabei werden Art, Umfang, Umstände und Zwecke der Verarbeitung, der Stand der Technik und die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten betroffener Personen berücksichtigt. AVS ist berechtigt, TOM anzupassen, sofern das vereinbarte Sicherheitsniveau nicht unterschritten wird.
    • AVS unterstützt den Kunden – im Rahmen der jeweiligen vertraglichen Vereinbarungen, der Zumutbarkeit und gegen angemessene, vereinbarungsgemäße Vergütung – bei der Erfüllung von:
      • Betroffenenrechten nach Art 12–23 DSGVO,
      • Melde‑ und Benachrichtigungspflichten bei Datenschutzverletzungen (Art 33, 34 DSGVO),
      • Datenschutz‑Folgenabschätzungen und gegebenenfalls Konsultationen (Art 35, 36 DSGVO),
      • soweit die von AVS durchgeführten Verarbeitungen betroffen sind.
    • AVS informiert den Kunden unverzüglich, wenn AVS Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die im Rahmen der Auftragsverarbeitung aufgetreten ist und die Pflichten des Kunden nach Art 33, 34 DSGVO berühren kann. AVS stellt dem Kunden die nach Art 33 Abs 3 DSGVO erforderlichen Informationen zur Verfügung, soweit sie AVS zumutbar und verfügbar sind.
  1. Pflichten des Kunden (Verantwortlichen)
    • Der Kunde ist allein verantwortlich für:
      • die Rechtmäßigkeit der Verarbeitung und der Weisungen,
      • die Einhaltung der Informationspflichten gegenüber betroffenen Personen,
      • die Wahl der Rechtsgrundlage(n) nach Art 6, 9 DSGVO,
      • die inhaltliche Ausgestaltung und Nutzung der Systeme (insbesondere KI‑Systeme gem. Punkt 9.4 AGB und Fernwartung gem. Punkt 9.5 AGB).
    • Der Kunde stellt sicher, dass alle datenschutzrechtlichen Voraussetzungen für die Verarbeitung durch AVS im Auftrag vorliegen (insbesondere Einwilligungen, gesetzliche Erlaubnistatbestände, Datenschutz‑Informationen). Dies gilt insbesondere für:
      • die Verarbeitung von Gesundheitsdaten und sonstigen besonderen Kategorien personenbezogener Daten,
      • die Nutzung der KI‑Systeme und ‑Modelle (inkl. „Brainy“),
      • jede Weitergabe personenbezogener Daten an AVS im Rahmen von Support und Fernwartung.
    • Der Kunde ist verpflichtet, personenbezogene Daten – insbesondere besondere Kategorien nach Art 9 DSGVO – auf das für den jeweiligen Verarbeitungszweck notwendige Maß zu beschränken (Datenminimierung) und soweit möglich zu pseudonymisieren oder zu anonymisieren. Verstößt der Kunde gegen seine Pflichten aus dieser Ziffer 5 oder aus der DSGVO/DSG, stellt er AVS von sämtlichen daraus entstehenden Nachteilen, Schäden, Kosten und Ansprüchen Dritter (einschließlich Verwaltungsstrafen) frei, soweit diese nicht auf vorsätzliches oder grob fahrlässiges Verhalten von AVS zurückzuführen sind.
  1. Unterauftragsverarbeiter
    • AVS ist berechtigt, zur Erfüllung der Auftragsverarbeitung Unterauftragsverarbeiter (weitere Auftragsverarbeiter) einzusetzen (z.B. Rechenzentren/Hosting‑Provider, IT‑Serviceunternehmen, KI‑Plattformen), sofern AVS mit diesen Vereinbarungen nach Art 28 DSGVO schließt, die ein mit diesem AVV vergleichbares Datenschutzniveau gewährleisten.
      • Einsatz von Nango Inc. (USA): Für den Betrieb der KI-Lösung „Brainy“ (insbesondere der autonomen KI-Agenten) setzt AVS die Nango Inc. (USA) als spezialisierten Unterauftragsverarbeiter ein. Nango verwaltet die technischen Schnittstellen (Konnektoren) zu den Drittsystemen des Kunden (z. B. CRM, E-Mail, Cloud). Der Einsatz von Nango ist für die Funktionalität der KI-Agenten technisch zwingend erforderlich. Die Datenübermittlung in die USA ist durch die aktuell gültigen EU-Standardvertragsklauseln (SCCs) und/oder das Data Privacy Framework (DPF) gemäß Art 44 ff DSGVO abgesichert. Haftungsausschluss: Der Kunde genehmigt hiermit den Einsatz von Nango Inc. AVS haftet nicht für Sicherheitsvorfälle oder Fehlfunktionen, die innerhalb der vom Kunden über Nango angebundenen Drittsysteme (Schnittstellen-Partner) auftreten.
    • Auf Anfrage stellt AVS dem Kunden eine aktuelle Übersicht über die wesentlichen Unterauftragsverarbeiter zur Verfügung. Der Kunde kann aus wichtigem datenschutzrechtlichem Grund der Einschaltung eines bestimmten Unterauftragsverarbeiters widersprechen. In diesem Fall bemühen sich die Parteien um eine Lösung; ist diese nicht möglich oder wirtschaftlich unzumutbar, ist AVS berechtigt, den betroffenen Leistungsteil aus wichtigem Grund zu kündigen.
    • AVS bleibt auch bei Einschaltung von Unterauftragsverarbeitern gegenüber dem Kunden für die Einhaltung der Pflichten aus diesem AVV verantwortlich.
    • AVS verpflichtet sich, den Verantwortlichen (Kunden) im Falle einer behördlichen Durchsuchung oder Beschlagnahme (z. B. Hausdurchsuchung) bei sich oder einem Unterauftragsverarbeiter unverzüglich zu informieren, sofern dem keine gesetzliche Verschwiegenheitspflicht entgegensteht. AVS wird gegenüber den Behörden darauf hinweisen, dass es sich um Daten handelt, die der beruflichen Verschwiegenheit des Verantwortlichen unterliegen können, und auf eine Trennung der Daten hinwirken.
  1. Datenübermittlung in Drittländer
    • Eine Verarbeitung personenbezogener Daten in Staaten außerhalb der EU/des EWR („Drittland“) erfolgt nur, soweit die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind (insb. Angemessenheitsbeschluss, Standardvertragsklauseln oder andere geeignete Garantien).
    • Für KI‑Systeme – insbesondere das Produkt „Brainy“ – gilt ergänzend Punkt 9.4 der AGB:
      Der Kunde ist verpflichtet, ausschließlich KI‑Modelle zu verwenden, die innerhalb der EU gehostet bzw. betrieben werden und die EU‑Datenschutz‑ und Datensicherheitsvorschriften einhalten. Der Einsatz von nicht zulässigen Drittländer‑Modellen ist unzulässig. Verstößt der Kunde hiergegen, stellt er AVS von sämtlichen daraus resultierenden Nachteilen, Schäden, behördlichen Maßnahmen und Ansprüchen Dritter frei; zwingende gesetzliche Haftung (insb. Produkthaftung, Personenschäden) bleibt unberührt. Sofern der Verantwortliche (Kunde) ein KI-Modell der Kategorie ‚Weltweit‘ wählt, bestätigt er damit ausdrücklich, dass er die gemäß Art 44 ff DSGVO erforderliche Prüfung des Datenschutzniveaus (Transfer Impact Assessment) eigenständig durchgeführt hat. AVS stellt lediglich die technische Schnittstelle bereit. Der Verantwortliche stellt AVS von sämtlichen Ansprüchen und Bußgeldern frei, die aus einer unzulässigen Drittlandübermittlung aufgrund dieser kundenseitigen Modellwahl resultieren.
  1. Kontrollrechte des Kunden, Nachweise
    • Der Kunde ist berechtigt, sich vor Beginn und während der Auftragsverarbeitung von der Einhaltung der datenschutzrechtlichen Pflichten durch AVS zu überzeugen. Die Kontrolle erfolgt in der Regel durch Einsichtnahme in von AVS bereitgestellte Unterlagen (z.B. TOM‑Beschreibung, Zertifikate, Auditberichte).
    • Vor‑Ort‑Kontrollen/Audits beim AVS‑Standort sind nur bei berechtigtem Anlass und nach rechtzeitiger schriftlicher Anmeldung (mindestens 14 Tage vorab) zu den üblichen Geschäftszeiten durchzuführen und dürfen den ordnungsgemäßen Betrieb von AVS nicht unverhältnismäßig beeinträchtigen. Der Kunde kann sich hierbei eines unabhängigen, zur Verschwiegenheit verpflichteten Prüfers bedienen. Beauftragt der Verantwortliche einen externen Prüfer mit einer Vor-Ort-Inspektion, so darf dieser kein Wettbewerber von AVS sein. Der Prüfer hat vor Beginn der Prüfung eine pönalisierte Verschwiegenheitserklärung zugunsten von AVS zu unterzeichnen. Beziehen sich Kontrollmaßnahmen des Verantwortlichen auf Unterauftragsverarbeiter (insb. Cloud-Infrastruktur-Anbieter oder Software-Hersteller wie Latoo.labs), so vereinbaren die Parteien, dass diese Kontrolle primär durch die Einsichtnahme in aktuelle Zertifikate, Prüfberichte Dritter (z. B. SOC 2, ISO 27001) oder Zusammenfassungen von Audit-Berichten des jeweiligen Unterauftragsverarbeiters erfolgt. Ein Recht auf physischen Zutritt zu den Rechenzentren der Unterauftragsverarbeiter durch den Verantwortlichen ist ausgeschlossen, sofern der jeweilige Unterauftragsverarbeiter dies in seinen Bedingungen nicht ausdrücklich vorsieht.
    • Der Kunde trägt die Kosten von Audits und Vor‑Ort‑Kontrollen, soweit AVS nicht eine erhebliche Pflichtverletzung zu vertreten hat.
  1. Löschung und Rückgabe von Daten
    • Nach Beendigung der Auftragsverarbeitung bzw. nach Beendigung sämtlicher Hauptverträge hat der Kunde AVS schriftlich mitzuteilen, ob die personenbezogenen Daten:
      • an den Kunden herauszugeben sind oder
      • von AVS zu löschen sind, soweit dem keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen von AVS entgegenstehen.
    • Soweit eine Löschung nicht möglich ist (z.B. wegen gesetzlicher Aufbewahrungspflichten nach BAO oder Unternehmensgesetzbuch), werden die betreffenden Daten gesperrt und nur noch für die Erfüllung dieser Pflichten verarbeitet. Ergänzend gelten die Lösch‑ und Aufbewahrungsregelungen in Punkt 8 der AGB.
    • AVS ist berechtigt, die Löschung bzw. Anonymisierung in angemessener Frist nach Vertragsende durchzuführen und darüber in geeigneter Form Nachweis zu erbringen (z.B. Bestätigung).
  1. Haftung und Freistellung
    • Die Haftung von AVS aus oder im Zusammenhang mit diesem AVV richtet sich – soweit nicht zwingende DSGVO‑Bestimmungen entgegenstehen – nach den Haftungsregelungen in Punkt 6 der AGB, insbesondere Punkt 6.4. Insbesondere gilt:
      • AVS haftet nur bei Vorsatz oder grober Fahrlässigkeit,
      • die Haftung für mittelbare Schäden, entgangenen Gewinn, Datenverlust (soweit der Kunde seine Sicherungspflicht verletzt hat), immaterielle Schäden (soweit gesetzlich zulässig), Betriebsunterbrechungen und sonstige reine Vermögensschäden ist ausgeschlossen, sofern kein Vorsatz vorliegt,
      • die Haftungshöchstgrenzen gemäß AGB gelten sinngemäß.
    • Soweit mehrere Verantwortliche und/oder Auftragsverarbeiter iSd Art 82 DSGVO an derselben Verarbeitung beteiligt sind, gilt im Innenverhältnis, dass der Kunde AVS im größtmöglichen, rechtlich zulässigen Umfang von Ansprüchen Dritter freistellt, soweit der Schaden nicht durch vorsätzliches oder grob fahrlässiges Verhalten von AVS verursacht wurde.
    • Verletzt der Kunde seine Pflichten aus diesem AVV, aus der DSGVO oder aus den AGB (insbesondere in Bezug auf:
      • Rechtsgrundlagen,
      • Informationspflichten,
      • Einsatz von KI‑Systemen,
      • Gestaltung des Fernzugriffs/Fernwartung,
      • Auswahl und Nutzung von KI‑Modellen, insb. „Brainy“),

trägt er das alleinige Risiko für daraus resultierende datenschutzrechtliche und sonstige Konsequenzen und stellt AVS – soweit gesetzlich zulässig – von sämtlichen daraus entstehenden Schäden, Kosten und Ansprüchen frei.

    • Haftung bei Agentic AI und Konnektoren: In Ergänzung zu Pkt. 10.1 haftet AVS nicht für Schäden, die entstehen durch: a) Fehlerhafte oder sicherheitswidrige Konfiguration von KI-Agenten oder Konnektoren durch den Kunden oder dessen Nutzer; b) Aktionen von KI-Agenten, die auf der Konfiguration des Kunden basieren und innerhalb des definierten Aktionsrahmens liegen (z.B. ungewollte Datenübermittlung an Drittdienste); c) Prompt Injection-Angriffe, sofern der Hersteller (Latoo.labs) die vereinbarten Schutzmaßnahmen implementiert hat; d) Ausfälle oder Sicherheitsvorfälle bei über Konnektoren angebundenen Drittdiensten (z.B. CRM- oder Cloud-Systeme des Kunden).
    • Da die Ergebnisse von KI-Modellen (u. a. Halluzinationen) und die Handlungen von KI-Agenten systemimmanente Risiken darstellen, haftet AVS nicht für die inhaltliche Richtigkeit der von der Software erzeugten Ergebnisse. Der Verantwortliche ist verpflichtet, sämtliche KI-generierten Ausgaben vor einer weiteren Verwendung zu prüfen. Der Verantwortliche stellt AVS im Innenverhältnis von allen Ansprüchen Dritter (einschließlich Betroffener) frei, die aus einer Fehlkonfiguration der Berechtigungen, aus der Nutzung unsicherer KI-Modelle (Kategorie ‚Weltweit‘) oder aus der unzureichenden Überwachung der KI-Agenten durch den Verantwortlichen entstehen.
  1. Sonstige Bestimmungen
    • Rechtswahl und Gerichtsstand richten sich nach Punkt 7 der AGB von AVS: Es gilt ausschließlich österreichisches materielles Recht unter Ausschluss der Kollisionsnormen und des UN‑Kaufrechts; Gerichtsstand ist – vorbehaltlich zwingender Bestimmungen – das sachlich zuständige Gericht am Sitz von AVS (derzeit Landesgericht Innsbruck). AVS ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu klagen.
    • Änderungen und Ergänzungen dieses AVV einschließlich eines Abgehens vom Schriftformerfordernis bedürfen der Schriftform.
    • Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine solche als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung und dem Willen der Parteien am nächsten kommt und den gesetzlichen Vorgaben (insb. DSGVO, DSG) entspricht.
    • Dieser AVV gilt als Standard‑Auftragsverarbeitungsvertrag für sämtliche Leistungen von AVS, bei denen AVS personenbezogene Daten im Auftrag des Kunden verarbeitet. Soweit mehrere Einzelverträge bestehen, gilt dieser AVV für alle diese Vertragsverhältnisse, sofern nicht ausdrücklich ein abweichender individueller AVV vereinbart wurde.

Ort, Datum: ___________________________

Für den Verantwortlichen (Kunde):

Name/Funktion: ___________________________

Unterschrift: _____________________________

Für AVsolutions GmbH (AVS):

Name/Funktion: ___________________________

Unterschrift: _____________________________

Stand: 01.05.2026

AVV_AVsolutionsGmbH_2026