Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO
Muster auf Basis der WKO-Mustervereinbarung (Stand Juni 2025), vorbefüllt für Bracharz Consulting als Auftragsverarbeiter. Diese Fassung dient zur Information und als Vertragsgrundlage — die projektbezogen befüllte und unterfertigte Fassung stellen wir auf Anfrage bereit: rainer@bracharz.com. Stand: Juli 2026.
Vertragsparteien
Verantwortlicher (Auftraggeber): [Firma, Anschrift des Kunden — wird projektbezogen ergänzt]
Auftragsverarbeiter (Auftragnehmer): Bracharz Consulting, Inhaber: Mag. Rainer Bracharz MSc, Rametzbergsiedlung III/5, 3150 Wilhelmsburg, Österreich, UID ATU68683622.
1. Gegenstand der Vereinbarung
1.1 Gegenstand ist die Verarbeitung personenbezogener Daten im Rahmen der beauftragten Beratungs-, Marketing- oder Datenschutz-Dienstleistungen; Art und Zweck der Verarbeitung ergeben sich aus dem jeweiligen Hauptvertrag (Angebot/Auftrag), zu dem diese Vereinbarung eine Ergänzung darstellt.
1.2 Verarbeitete Datenkategorien (je nach Auftrag): Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Kommunikationsdaten, Kunden- und Interessentendaten des Auftraggebers.
1.3 Kategorien betroffener Personen: Kunden, Interessenten, Lieferanten, Ansprechpartner und Beschäftigte des Auftraggebers.
2. Dauer der Vereinbarung
Die Vereinbarung gilt für die Dauer des Hauptvertrages und endet mit dessen Beendigung. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Pflichten des Auftragnehmers
3.1 Der Auftragnehmer verarbeitet Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, informiert er — sofern gesetzlich zulässig — den Auftraggeber unverzüglich und verweist die Behörde an diesen. Eine Verarbeitung für eigene Zwecke bedarf eines schriftlichen Auftrages.
3.2 Der Auftragnehmer erklärt rechtsverbindlich, dass alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen; diese bleibt auch nach Beendigung der Tätigkeit aufrecht.
3.3 Der Auftragnehmer hat alle erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen (Anlage 1).
3.4 Der Auftragnehmer unterstützt den Auftraggeber mit technischen und organisatorischen Maßnahmen dabei, die Rechte betroffener Personen nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) innerhalb der gesetzlichen Fristen zu erfüllen, und leitet irrtümlich an ihn gerichtete Anträge unverzüglich weiter.
3.5 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten der Art 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen, Benachrichtigung Betroffener, Datenschutz-Folgenabschätzung, vorherige Konsultation).
3.6 Der Auftragnehmer führt für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO.
3.7 Dem Auftraggeber wird hinsichtlich der überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle — auch durch beauftragte Dritte — eingeräumt; der Auftragnehmer stellt die zur Kontrolle notwendigen Informationen zur Verfügung.
3.8 Nach Beendigung der Vereinbarung übergibt der Auftragnehmer alle Verarbeitungsergebnisse und Unterlagen mit Daten dem Auftraggeber bzw. vernichtet sie in dessen Auftrag; Daten in speziellen technischen Formaten werden auf Wunsch in einem gängigen Format herausgegeben.
3.9 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, eine Weisung verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
4. Ort der Verarbeitung
Datenverarbeitungstätigkeiten werden grundsätzlich in Österreich durchgeführt. Soweit eingesetzte IT-Dienstleister Daten in Drittländern verarbeiten, erfolgt dies nur bei Vorliegen eines Angemessenheitsbeschlusses (Art 45 DSGVO) oder geeigneter Garantien (Art 46 DSGVO, insb. EU-Standardvertragsklauseln).
5. Sub-Auftragsverarbeiter
5.1 Der Auftragnehmer kann Sub-Auftragsverarbeiter für Hosting, E-Mail/Kommunikation, Cloud-Speicher und Buchhaltung heranziehen. Aktuelle Kategorien: Webhosting (easyname GmbH, Wien), E-Mail- und Kollaborationsdienste, Cloud-Speicher, Terminverwaltung.
5.2 Beabsichtigte Änderungen werden dem Auftraggeber so rechtzeitig bekannt gegeben, dass er diese allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO ab und stellt sicher, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung von dessen Pflichten.
Anlage 1 — Technisch-organisatorische Maßnahmen (Zusammenfassung)
- Vertraulichkeit: Zugangskontrolle über Kennwörter mit Policy und Zwei-Faktor-Authentifizierung; vollständige Verschlüsselung der Datenträger; automatische Sperrmechanismen; Berechtigungen auf Need-to-know-Basis; datenschutzgerechte Entsorgung von Datenträgern; Clear-Desk/Clear-Screen.
- Integrität: Verschlüsselte Übertragung (TLS), verschlüsselte Dateiweitergabe bei sensiblen Inhalten, Protokollierung wesentlicher Änderungen über Dokumentenmanagement.
- Verfügbarkeit: Mehrstufige Backup-Strategie (online/offline), Virenschutz und Firewall, definierte Meldewege und Notfallpläne, rasche Wiederherstellbarkeit.
- Überprüfung: Datenschutz-Management mit regelmäßiger Weiterbildung (geprüfter Datenschutzmanager), Incident-Response-Prozess, datenschutzfreundliche Voreinstellungen, Auftragskontrolle durch eindeutige Vertragsgestaltung.
Die detaillierte Fassung der Anlage 1 (Checklisten-Format nach WKO-Muster) sowie die unterfertigte Vereinbarung stellen wir im Zuge des Onboardings bereit.