Hilfe - Alle Produkte & Anleitungen
Hilfe - Alle Produkte & Anleitungen
Breadcrumbs

Auftragsverarbeitungsvertrag für Händler und Partner

AUFTRAGSVERARBEITUNGSVERTRAG (AVV) - HÄNDLERVEREINBARUNG

gemäß Art. 28 DSGVO

zwischen

meisterwork GmbH
Rosentaler Straße 1
9020 Klagenfurt am Wörthersee
Österreich
(nachfolgend „Hauptauftragsverarbeiter" genannt)

und

[Händlername]
[Adresse]
[PLZ Ort]
[Land]
(nachfolgend „Unterauftragsverarbeiter/Händler" genannt)

Präambel

Der Händler vertreibt die Software bessa des Hauptauftragsverarbeiters an Endkunden (Betreiber). Im Rahmen dieser Tätigkeit erhält der Händler Zugriff auf personenbezogene Daten, die in den Systemen des Hauptauftragsverarbeiters gespeichert sind, um Support-Dienstleistungen erbringen zu können. Diese Vereinbarung regelt die datenschutzrechtlichen Pflichten des Händlers als Unterauftragsverarbeiter.

1. Gegenstand und Dauer

1.1 Gegenstand

Der Händler verarbeitet als Unterauftragsverarbeiter personenbezogene Daten im Auftrag der Betreiber (Verantwortliche), wobei der Zugriff über die Systeme des Hauptauftragsverarbeiters erfolgt. Die Verarbeitung erfolgt ausschließlich zum Zweck der:

  • Erbringung von First-Level-Support für Betreiber

  • Unterstützung bei der Systemeinrichtung und -konfiguration

  • Durchführung von Schulungen

  • Fehlerbehebung und technische Unterstützung

1.2 Dauer

Diese Vereinbarung gilt für die Dauer der Händlervereinbarung zwischen den Parteien.

2. Art der Datenverarbeitung und betroffene Personen

2.1 Art der Verarbeitung

  • Einsichtnahme in Kundendaten zur Supportleistung

  • Konfiguration von Systemeinstellungen

  • Unterstützung bei der Dateneingabe

  • Fehleranalyse und -behebung

  • Durchführung von Systemtests

2.2 Datenkategorien

Der Händler kann im Rahmen der Supporttätigkeit Einsicht in folgende Datenkategorien erhalten:

  • Stammdaten von Endkunden

  • Transaktionsdaten (Bestellungen, Rechnungen)

  • Systemkonfigurationsdaten

  • Kundenbindungsdaten

  • Hotellerie/Beherbergung:

    • Abrechnungsdaten für Zusatzleistungen

    • Zimmernummern für interne Verrechnung

Hinweis: Ausweis- und Meldedaten werden NICHT in bessa verarbeitet.

2.3 Betroffene Personen

  • Endkunden der Betreiber

  • Hotelgäste (nur bzgl. Zusatzleistungen)

  • Mitarbeiter der Betreiber

  • Geschäftspartner der Betreiber

3. Pflichten des Händlers

3.1 Zweckbindung und Weisungsgebundenheit

Der Händler:

  • Verarbeitet Daten ausschließlich für die vereinbarten Support-Zwecke

  • Befolgt die Weisungen des Hauptauftragsverarbeiters und der jeweiligen Betreiber

  • Verwendet die Daten nicht für eigene Zwecke oder die Zwecke Dritter

  • Speichert keine lokalen Kopien der Kundendaten

3.2 Vertraulichkeit

Der Händler verpflichtet sich:

  • Alle Mitarbeiter zur Vertraulichkeit zu verpflichten

  • Sicherzustellen, dass nur autorisierte Mitarbeiter Zugriff erhalten

  • Eine Vertraulichkeitsvereinbarung mit allen zugriffsberechtigten Personen abzuschließen

3.3 Datensicherheit

Der Händler implementiert angemessene technische und organisatorische Maßnahmen:

  • Sichere Authentifizierung für Systemzugriffe

  • Verwendung sicherer Verbindungen

  • Schutz der Zugangsdaten

  • Clean-Desk-Policy

  • Sichere Löschung/Vernichtung von Ausdrucken oder temporären Dateien

3.4 Keine weitere Unterbeauftragung

Der Händler darf ohne vorherige schriftliche Genehmigung keine weiteren Unterauftragsverarbeiter einsetzen.

3.5 Unterstützungspflichten

Der Händler unterstützt:

  • Bei der Beantwortung von Betroffenenanfragen

  • Bei der Meldung von Datenschutzverletzungen

  • Bei Kontrollen durch Aufsichtsbehörden

3.6 Dokumentation

Der Händler führt ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

4. Kontrollrechte

4.1 Kontrollen

Der Hauptauftragsverarbeiter und die jeweiligen Betreiber haben das Recht:

  • Die Einhaltung dieser Vereinbarung zu überprüfen

  • Einsicht in relevante Dokumentationen zu nehmen

  • Audits durchzuführen (nach angemessener Vorankündigung)

4.2 Auskunftspflicht

Der Händler erteilt auf Anfrage Auskunft über:

  • Zugriffsberechtigte Mitarbeiter

  • Durchgeführte Supporttätigkeiten

  • Implementierte Sicherheitsmaßnahmen

5. Mitteilungspflichten

Der Händler informiert den Hauptauftragsverarbeiter unverzüglich über:

  • Datenschutzverletzungen oder Verdachtsfälle

  • Anfragen von betroffenen Personen

  • Kontrollen durch Aufsichtsbehörden

  • Weisungen, die nach Ansicht des Händlers rechtswidrig sind

Die Meldung von Datenschutzverletzungen muss innerhalb von 24 Stunden nach Kenntnisnahme erfolgen.

6. Zugriffsprotokollierung

Der Händler dokumentiert alle Zugriffe auf Kundendaten:

  • Datum und Uhrzeit des Zugriffs

  • Betroffener Betreiber/Kunde

  • Grund des Zugriffs (Ticket-Nummer, Supportanfrage)

  • Durchgeführte Tätigkeiten

  • Name des zugreifenden Mitarbeiters

7. Schulung und Sensibilisierung

Der Händler verpflichtet sich:

  • Alle Mitarbeiter im Datenschutz zu schulen

  • Regelmäßige Auffrischungsschulungen durchzuführen

  • Die Schulungen zu dokumentieren

8. Beendigung

Bei Beendigung der Vereinbarung:

  • Werden alle Zugriffsrechte unverzüglich entzogen

  • Müssen alle lokalen Daten gelöscht werden

  • Ist die Löschung schriftlich zu bestätigen

9. Haftung

9.1 Haftung des Händlers

Der Händler haftet für Verstöße gegen datenschutzrechtliche Vorschriften nach den gesetzlichen Bestimmungen der DSGVO.

9.2 Freistellung

Der Händler stellt den Hauptauftragsverarbeiter von allen Ansprüchen Dritter frei, die auf einer schuldhaften Verletzung dieser Vereinbarung durch den Händler beruhen.

10. Vergütung

Die Rechte und Pflichten aus dieser Vereinbarung sind durch die Händlervereinbarung abgegolten. Eine gesonderte Vergütung erfolgt nicht.

11. Schlussbestimmungen

11.1 Schriftform

Änderungen und Ergänzungen bedürfen der Schriftform.

11.2 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

11.3 Anwendbares Recht

Es gilt österreichisches Recht. Gerichtsstand ist Klagenfurt am Wörthersee.

Anlage: Technische und organisatorische Maßnahmen des Händlers

Mindestanforderungen an die Sicherheitsmaßnahmen

1. Zutrittskontrolle

  • Geschäftssräume sind gegen unbefugten Zutritt gesichert

  • Serverräume/IT-Räume sind besonders geschützt

2. Zugangskontrolle

  • Verwendung individueller, sicherer Passwörter

  • Aktivierung der Zwei-Faktor-Authentifizierung

  • Bildschirmsperre bei Abwesenheit

  • Keine Weitergabe von Zugangsdaten

3. Zugriffskontrolle

  • Zugriff nur auf notwendige Kundendaten

  • Prinzip der minimalen Rechtevergabe

  • Regelmäßige Überprüfung der Berechtigungen

4. Weitergabekontrolle

  • Keine Weitergabe von Kundendaten an Dritte

  • Verschlüsselte Kommunikation

  • Sichere Löschung von Datenträgern

5. Eingabekontrolle

  • Dokumentation aller Support-Tätigkeiten

  • Nachvollziehbarkeit von Änderungen

6. Verfügbarkeitskontrolle

  • Schutz vor Schadsoftware

  • Regelmäßige Sicherheitsupdates

  • Backup der eigenen Systeme

7. Trennungsgebot

  • Trennung von Kundendaten verschiedener Betreiber

  • Keine Vermischung mit eigenen Geschäftsdaten

Kontaktdaten für Datenschutzangelegenheiten:

Hauptauftragsverarbeiter:
meisterwork GmbH
E-Mail: support@bessa.app
Tel: +43 720 317 836

Händler:
[Name des Datenschutzverantwortlichen]
[E-Mail]
[Telefon]

Ort, Datum: _______________________

Für den Hauptauftragsverarbeiter (meisterwork GmbH):

Name, Funktion
Unterschrift

Für den Unterauftragsverarbeiter (Händler):

Name, Funktion
Unterschrift