Auftragsverarbeitungsvertrag (AVV)

Stand: 22. Juli 2025

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

zwischen

dem Kunden, wie im Hauptvertrag definiert,
(nachfolgend „Verantwortlicher“)

– und –

der Brink FlexCo, Messingstraße 32, 5323 Ebenau, Österreich,
(nachfolgend „Auftragsverarbeiter“)

(gemeinsam „Parteien“)

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Erbringung des SaaS-Dienstes „Brink“ gemäß dem zwischen den Parteien geschlossenen Hauptvertrag (bestehend aus der Bestellung und den Allgemeinen Geschäftsbedingungen, nachfolgend „Hauptvertrag“). Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten im Auftrag des Verantwortlichen.

Dieser AVV wird nicht gesondert unterzeichnet. Gemäß § 12.3 der AGB des Auftragsverarbeiters wird dieser AVV durch den Abschluss des Hauptvertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter integraler und verbindlicher Vertragsbestandteil. Er tritt mit Abschluss des Hauptvertrages in Kraft und ersetzt vollumfänglich alle etwaigen früheren Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien.

Gegenstand, Dauer und Spezifikation der Auftragsverarbeitung

  1. Gegenstand: Gegenstand der Auftragsverarbeitung ist die Durchführung der im Hauptvertrag vereinbarten Leistungen, insbesondere die Zurverfügungstellung des SaaS-Dienstes „Brink“ zur KI-gestützten Erstellung, Verwaltung und zum Teilen von Brand Guides. Dies umfasst die Verarbeitung von personenbezogenen Daten, die der Verantwortliche oder dessen Nutzer in den Dienst eingeben, hochladen oder dort erstellen (nachfolgend „Nutzerinhalte“).
  2. Dauer: Die Dauer dieser Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages.
  3. Spezifikation: Art und Zweck der Verarbeitung, die Kategorien der betroffenen Personen sowie die Arten der verarbeiteten personenbezogenen Daten sind in Anhang 1 zu diesem AVV detailliert beschrieben.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter ist verpflichtet:

  1. Weisungsgebundenheit: Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, wie sie in diesem AVV und im Hauptvertrag festgelegt ist, es sei denn, er ist nach dem Recht der Union oder des Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
  2. Vertraulichkeit: Sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Datensicherheit: Alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten. Diese Maßnahmen umfassen insbesondere die in Anhang 2 zu diesem AVV beschriebenen technischen und organisatorischen Maßnahmen (TOMs).
  4. Meldung von Datenschutzverletzungen: Stellt der Auftragsverarbeiter eine Verletzung des Schutzes der vom Verantwortlichen verarbeiteten personenbezogenen Daten fest, meldet er diese dem Verantwortlichen unverzüglich nach Bekanntwerden. Diese Erstmeldung wird die zum Zeitpunkt der Meldung verfügbaren Informationen enthalten. Weitere Details wird der Auftragsverarbeiter nachliefern, sobald diese im Zuge der internen Untersuchung bekannt werden.
  5. Unterstützung des Verantwortlichen: Den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen. Ferner unterstützt der Auftragsverarbeiter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
  6. Rückgabe und Löschung: Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten gemäß den Regelungen im Hauptvertrag (§ 9.4 der AGB) zu löschen, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
  7. Information und Audit: Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem AVV zur Verfügung zu stellen. Auf schriftliche Anfrage des Verantwortlichen ermöglicht der Auftragsverarbeiter die Überprüfung durch Vorlage geeigneter Nachweise (z.B. aktuelle Testate, Berichte oder Zertifizierungen unabhängiger Dritter). Eine Inspektion vor Ort ist nur bei Vorliegen eines begründeten, sachlichen Anlasses erforderlich, der durch die vorgelegten Nachweise nicht ausgeräumt werden kann.

Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für die Beurteilung der Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
  2. Der Verantwortliche ist dafür verantwortlich, potenziell betroffene Personen gemäß den anwendbaren Datenschutzgesetzen (insbesondere Art. 13 und 14 DSGVO) über die Verarbeitung ihrer Daten zu informieren.

Unterauftragsverhältnisse

  1. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (nachfolgend „Unterauftragsverarbeiter“) heranzuziehen.
  2. Eine zum Zeitpunkt des Vertragsschlusses aktuelle Liste der vom Auftragsverarbeiter eingesetzten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter findet sich in Anhang 3.
  3. Beabsichtigt der Auftragsverarbeiter, einen Unterauftragsverarbeiter zu ersetzen oder einen neuen hinzuzuziehen, wird er diese Änderung in Anhang 3 mindestens 14 Tage vor dem geplanten Einsatz veröffentlichen und den Verantwortlichen hierüber in geeigneter Weise (z.B. durch einen Hinweis im Kunden-Account oder per E-Mail) informieren.
  4. Dem Verantwortlichen steht das Recht zu, gegen die Änderung aus wichtigem, datenschutzrechtlichem Grund innerhalb von 14 Tagen ab der Veröffentlichung schriftlich Widerspruch zu erheben. Erfolgt kein fristgerechter Widerspruch, gilt die Zustimmung zur Änderung als erteilt.
  5. Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der im Wesentlichen die gleichen Datenschutzpflichten enthält, die in diesem AVV festgelegt sind.

Rechte der betroffenen Personen

  1. Macht eine betroffene Person ihre Rechte direkt gegenüber dem Auftragsverarbeiter geltend, wird dieser das Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
  2. Die Beantwortung des Antrags obliegt ausschließlich dem Verantwortlichen. Der Auftragsverarbeiter unterstützt ihn dabei im technisch möglichen und zumutbaren Rahmen.

Internationale Datenübermittlungen

  1. Für die in Anhang 3 gelisteten Unterauftragsverarbeiter mit Sitz in einem Drittstaat (insbesondere den USA) stellt der Auftragsverarbeiter die Einhaltung der europäischen Datenschutzstandards primär durch den Abschluss der von der EU-Kommission genehmigten Standardvertragsklauseln (SCCs) sicher.
  2. Der Auftragsverarbeiter wird dem Verantwortlichen auf Anfrage die Informationen zur Verfügung zu stellen, die dieser für eine eigene Risikobewertung des Drittlandtransfers benötigt.

Haftung und Schlussbestimmungen

  1. Haftung: Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrages, insbesondere nach § 10 der AGB. Die Haftungsregelungen des Art. 82 DSGVO bleiben unberührt.
  2. Änderungen: Brink ist berechtigt, diesen AVV unter Einhaltung des in § 13 der AGB beschriebenen Verfahrens zu ändern. Dies gilt insbesondere dann, wenn Änderungen aufgrund einer veränderten Rechtslage, neuer Rechtsprechung oder technischer Weiterentwicklungen erforderlich werden.
  3. Anwendbares Recht und Gerichtsstand: Dieser AVV unterliegt ausschließlich österreichischem Recht. Ausschließlicher Gerichtsstand ist das für den Firmensitz von Brink sachlich zuständige Gericht.
  4. Textform: Änderungen und Ergänzungen dieses AVV bedürfen zu ihrer Wirksamkeit der Textform (z.B. E-Mail). Dies gilt auch für ein Abgehen von diesem Formerfordernis. Mündliche Nebenabreden bestehen nicht.
  5. Vertragssprache: Die Vertragssprache ist Deutsch.

Anhang 1: Beschreibung der Verarbeitung

  • Art und Zweck der Verarbeitung:
    • Bereitstellung des SaaS-Dienstes „Brink“ zur Erstellung, Verwaltung, Speicherung und zum Teilen von Brand Guides.
    • Nutzung von KI-Diensten zur inhaltlichen Unterstützung bei der Texterstellung innerhalb der Brand Guides auf Anweisung des Verantwortlichen.
    • Speicherung, Hosting, technische Bereitstellung und Sicherung (Backups) der vom Verantwortlichen eingegebenen Daten.
  • Kategorien betroffener Personen:
    • Mitarbeiter, Kunden, Geschäftspartner und andere natürliche Personen, deren Daten vom Verantwortlichen in den Dienst hochgeladen oder dort erstellt werden.
  • Kategorien personenbezogener Daten:
    • Kontaktdaten (z.B. Name, E-Mail, Telefonnummer)
    • Inhaltsdaten (z.B. Texte, Bilder, Logos, Schriftarten, die personenbezogene Daten enthalten können)
    • Der Verantwortliche verpflichtet sich, über den Dienst keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO zu verarbeiten.

Anhang 2: Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft die folgenden Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  1. Vertraulichkeit:
    • Zugriffskontrolle: Es wird sichergestellt, dass nur befugte Personen auf die ihrer Berechtigung unterliegenden Daten zugreifen können. Dies erfolgt durch ein Rollen- und Berechtigungskonzept, sichere Authentifizierungsverfahren (z.B. starke Passwörter, Multi-Faktor-Authentifizierung) und die Anwendung des Prinzips der geringsten Rechtevergabe (Least Privilege).
    • Verschlüsselung: Personenbezogene Daten werden während der Übertragung über öffentliche Netze (in-transit) und bei der Speicherung auf den Servern (at-rest) mittels starker, dem Stand der Technik entsprechender kryptografischer Verfahren verschlüsselt.
  2. Integrität:
    • Eingabekontrolle und Protokollierung: Wesentliche systemische Ereignisse werden protokolliert, um die Nachvollziehbarkeit von Verarbeitungsvorgängen zu unterstützen und die Integrität der Systeme zu überwachen.
  3. Verfügbarkeit und Belastbarkeit:
    • Verfügbarkeitskontrolle: Die Systeme werden durch den Einsatz von redundanter Infrastruktur bei etablierten Hosting-Anbietern und durch Monitoring-Systeme vor Ausfällen geschützt.
    • Wiederherstellbarkeit: Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten bei einem technischen Zwischenfall wiederherzustellen, wird durch regelmäßige Datensicherungen (Backups) unterstützt.
  4. Verfahren zur regelmäßigen Überprüfung:
    • Der Auftragsverarbeiter überprüft die Wirksamkeit der getroffenen Maßnahmen regelmäßig und passt diese bei Bedarf an neue technische Entwicklungen und Risikobewertungen an.

Anhang 3: Genehmigte Unterauftragsverarbeiter

Der Verantwortliche genehmigt mit Abschluss des Hauptvertrages den Einsatz der folgenden Unterauftragsverarbeiter. Die Übermittlung personenbezogener Daten in Drittstaaten erfolgt stets auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO.

Kategorie Unternehmen Sitz Zweck der Verarbeitung Rechtsgrundlage für Drittlandtransfer (falls zutreffend)
Kundensupport & Ticketing Zammad GmbH Deutschland Bereitstellung der Support- und Ticket-Management-Plattform N/A (Verarbeitung innerhalb EWR)
Kundensupport & Ticketing Asayer SAS Frankreich Bereitstellung der Software-Plattform für In-App-Support N/A (Verarbeitung innerhalb EWR)
Infrastruktur & Hosting Amazon Web Services, Inc. USA Bereitstellung der Server-Infrastruktur und Speicherung von Anwendungs- und Kundendaten EU-U.S. Data Privacy Framework (DPF) (Art. 45 DSGVO)
Infrastruktur & Hosting Platform.sh SAS Frankreich Bereitstellung der PaaS-Infrastruktur für Hosting und Deployment N/A (Verarbeitung innerhalb EWR)
Infrastruktur & Hosting Jonas Pasche (Uberspace) Deutschland Bereitstellung von Webspace und Server-Infrastruktur N/A (Verarbeitung innerhalb EWR)
KI-Dienste Anthropic, PBC USA Verarbeitung von Nutzereingaben (Prompts, Inhalte) zur Erstellung KI-generierter Texte EU-Standardvertragsklauseln (SCCs) (Art. 46 DSGVO)
KI-Dienste Google Ireland Limited / Google LLC Irland / USA Verarbeitung von Nutzereingaben (Prompts, Inhalte) zur Erstellung KI-generierter Texte EU-U.S. Data Privacy Framework (DPF) (Art. 45 DSGVO) sowie EU-Standardvertragsklauseln (SCCs) (Art. 46 DSGVO)
KI-Dienste OpenAI, L.L.C. USA Verarbeitung von Nutzereingaben (Prompts, Inhalte) zur Erstellung KI-generierter Texte EU-Standardvertragsklauseln (SCCs) (Art. 46 DSGVO)
E-Mail-Kommunikation MailerLite Limited Irland Versand von transaktionalen E-Mails und Newslettern an den Verantwortlichen N/A (Verarbeitung innerhalb EWR)
E-Mail-Kommunikation Gandi SAS Frankreich Hosting der internen E-Mail-Kommunikation des Auftragsverarbeiters N/A (Verarbeitung innerhalb EWR)
Marketing-Website Webflow, Inc. USA Hosting der öffentlichen Unternehmenswebsite EU-U.S. Data Privacy Framework (DPF) (Art. 45 DSGVO)