Datenschutz · DSGVO Art. 28

Auftragsverarbeitungsvereinbarung

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · zum SaaS-Nutzungsvertrag „Zimmerplan" · Stand: Mai 2025

Verantwortlicher (Auftraggeber)

Ihr Unternehmen

Wie bei Abschluss des Abonnements angegeben.

Auftragsverarbeiter

WebMystiq Technologies GmbH

Ossiacher Straße 22/7, 9523 Villach-Landskron, Österreich
FN 669569k · UID ATU82856615
datenschutz@zimmerplan.at

Präambel

Der Auftragsverarbeiter betreibt unter der Marke „Zimmerplan" eine Software-as-a-Service-Lösung für Privatzimmervermieter, Pensionen und Ferienwohnungen in Österreich. Die Software dient der Verwaltung von Häusern, Zimmern, Gästen, Reservierungen, Belegungsplänen, Rechnungen sowie der Erfüllung des österreichischen Meldewesens (Gästeblatt gemäß Meldegesetz).

Im Rahmen der Erbringung der vertraglich vereinbarten Leistungen verarbeitet der Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO und ergänzt den Hauptvertrag. Sie ist Voraussetzung für die rechtmäßige Inanspruchnahme der vertraglich geschuldeten Leistung und bildet einen integralen Bestandteil des Hauptvertrags.

§ 1

Gegenstand und Dauer der Verarbeitung

(1) Gegenstand

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen im Rahmen der Bereitstellung und Nutzung der SaaS-Lösung „Zimmerplan".

(2) Art und Zweck der Verarbeitung

Die konkreten Verarbeitungstätigkeiten, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Zwecke der Verarbeitung sind in Anlage 1 dieser AVV näher beschrieben.

(3) Dauer

Die Laufzeit dieser AVV entspricht der Laufzeit des Hauptvertrags. Sie beginnt mit dessen Wirksamwerden und endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf. Pflichten, die nach Beendigung fortbestehen sollen (insbesondere Verschwiegenheitspflichten gemäß § 5 sowie Rückgabe- und Löschpflichten gemäß § 9), bleiben unberührt.

§ 2

Weisungsrecht des Verantwortlichen

(1) Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit er nicht durch das Recht der EU oder eines Mitgliedstaats hierzu verpflichtet ist.

(2) Form der Weisungen

Weisungen werden grundsätzlich in Textform (z. B. per E-Mail an datenschutz@zimmerplan.at) erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Als dokumentierte Weisung gelten auch die im Hauptvertrag, in dieser AVV und in der bestimmungsgemäßen Nutzung der Software zum Ausdruck gebrachten Weisungen.

(3) Hinweis bei rechtswidrigen Weisungen

Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und ist berechtigt, die Durchführung bis zur Bestätigung oder Änderung auszusetzen.

(4) Weisungsbefugte Personen

Weisungsbefugt auf Seiten des Verantwortlichen ist die im SaaS-Konto als Kontoinhaber:in bzw. Administrator:in eingetragene Person sowie deren ausdrücklich bevollmächtigte Vertreter:innen.

§ 3

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:

  • Verarbeitung personenbezogener Daten ausschließlich im Rahmen des Hauptvertrags und der Weisungen des Verantwortlichen, sofern keine gesetzliche Pflicht zur Verarbeitung besteht.
  • Einsatz nur solcher Personen zur Verarbeitung, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b und Art. 29 DSGVO).
  • Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, wie in Anlage 2 dieser AVV beschrieben.
  • Beauftragung weiterer Auftragsverarbeiter (Sub-Auftragsverarbeiter) nur unter den in § 6 geregelten Voraussetzungen.
  • Unterstützung des Verantwortlichen bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12 bis 23 DSGVO.
  • Unterstützung des Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32 bis 36 DSGVO.
  • Rückgabe oder Löschung sämtlicher personenbezogener Daten nach Abschluss der Verarbeitungsleistungen gemäß § 9.
  • Bereitstellung aller Informationen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.
  • Unverzügliche Information des Verantwortlichen, falls eine Aufsichtsbehörde Maßnahmen gemäß Art. 58 DSGVO ergreift, die die Verarbeitung der Daten des Verantwortlichen betreffen.
§ 4

Pflichten des Verantwortlichen

(1) Datenschutzrechtliche Verantwortung

Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich, insbesondere für die Sicherstellung einer Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO) und die Erfüllung der Informationspflichten gegenüber betroffenen Personen (Art. 13, 14 DSGVO).

(2) Mitwirkungspflichten und eingegebene Daten

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Auftragsdurchführung. Er stellt sicher, dass er nur solche personenbezogenen Daten in „Zimmerplan" eingibt, deren Verarbeitung rechtmäßig ist. Die Eingabe besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht vorgesehen.

§ 5

Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen der Auftragsverarbeitung zur Kenntnis gelangten personenbezogenen Daten und sonstigen vertraulichen Informationen streng vertraulich zu behandeln und sicherzustellen, dass die mit der Verarbeitung befassten Personen entsprechend belehrt worden sind. Die Verschwiegenheitsverpflichtung besteht auch nach Beendigung dieser AVV fort.

§ 6

Sub-Auftragsverarbeiter

(1) Allgemeine Genehmigung und Information über Änderungen

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 Satz 1 DSGVO zur Heranziehung weiterer Auftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 dieser AVV aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über Änderungen mit einer Frist von mindestens 30 Kalendertagen.

(2) Widerspruchsrecht

Der Verantwortliche kann der Beauftragung des neuen Sub-Auftragsverarbeiters innerhalb von 14 Kalendertagen aus wichtigem datenschutzrechtlichen Grund schriftlich widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs ist der Auftragsverarbeiter berechtigt, eine alternative Lösung anzubieten oder den Vertrag mit 30 Tagen Frist zu kündigen; bereits vorausbezahlte Beträge werden anteilig zurückerstattet.

(3) Drittlandtransfers und Nicht-Auftragsverarbeitung

Soweit Sub-Auftragsverarbeiter personenbezogene Daten in einem Drittland verarbeiten, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen (insbesondere Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 oder Angemessenheitsbeschluss).

Nicht als Sub-Auftragsverarbeiter gelten Dienstleistungen, bei denen Dritte keine personenbezogenen Daten des Verantwortlichen verarbeiten, sowie Anbieter, die als eigenständig Verantwortliche tätig werden. Insbesondere gilt Stripe Payments Europe Ltd. im Rahmen der Zahlungsabwicklung für Abonnements als eigenständig Verantwortliche.

§ 7

Kontroll- und Auditrechte

(1) Nachweispflicht und Form der Überprüfung

Überprüfungen erfolgen primär durch: Vorlage schriftlicher Erklärungen zu den getroffenen TOM; Vorlage relevanter Zertifikate oder Prüfberichte der Sub-Auftragsverarbeiter; Vorlage von Auszügen aus dem Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO; schriftliche Beantwortung eines Fragenkatalogs innerhalb von 30 Kalendertagen. Eine Überprüfung pro Kalenderjahr ist kostenfrei.

(2) Inspektionen vor Ort

Vor-Ort-Inspektionen sind aufgrund der ausschließlichen Home-Office-Tätigkeit des Auftragsverarbeiters ausgeschlossen. Die genannten Mittel gelten als angemessener Ersatz im Sinne von Art. 28 Abs. 3 lit. h DSGVO.

§ 8

Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, und unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 9

Rückgabe und Löschung der Daten

(1) Datenexport und Löschung

Während der Vertragslaufzeit und für 30 Kalendertage nach Vertragsende kann der Verantwortliche seine Daten über die bereitgestellten Exportfunktionen selbständig sichern. Sofern nicht ausdrücklich die Rückgabe verlangt wird, werden sämtliche personenbezogene Daten aus den produktiven Systemen gelöscht; Backups werden spätestens innerhalb von 90 Kalendertagen überschrieben.

(2) Gesetzliche Aufbewahrungspflichten

Soweit der Auftragsverarbeiter aufgrund gesetzlicher Aufbewahrungspflichten zur weiteren Speicherung verpflichtet ist (insbesondere § 132 BAO, § 212 UGB), bleiben diese von der Löschpflicht ausgenommen.

§ 10

Drittlandtransfer

Die Verarbeitung findet grundsätzlich innerhalb der EU/EWR statt (Server bei netcup in Wien sowie Datenbank-Hosting bei Supabase in Frankfurt am Main). Eine Verarbeitung in einem Drittland findet nur statt, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO vorliegen (Angemessenheitsbeschluss oder Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, ggf. ergänzt durch EU-US Data Privacy Framework).

§ 11

Haftung

(1) Haftung im Außenverhältnis

Im Außenverhältnis gegenüber betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter nach den Maßgaben des Art. 82 DSGVO.

(2) Haftungsbegrenzung im Innenverhältnis

Die Haftung des Auftragsverarbeiters für Schäden, die nicht aus Vorsatz oder grober Fahrlässigkeit resultieren, wird der Höhe nach begrenzt auf den Betrag, den der Verantwortliche im jeweils betroffenen Vertragsjahr für die SaaS-Leistungen tatsächlich gezahlt hat. Ausgenommen sind Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie Schäden, soweit eine Haftung gesetzlich nicht abdingbar ist.

§ 12

Schlussbestimmungen

Änderungen und Ergänzungen dieser AVV bedürfen der Textform. Im Falle eines Widerspruchs zwischen dieser AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Bestimmungen dieser AVV vor. Sollten einzelne Bestimmungen unwirksam sein, wird die Wirksamkeit der übrigen nicht berührt (Salvatorische Klausel). Diese AVV unterliegt dem Recht der Republik Österreich; ausschließlicher Gerichtsstand ist – soweit gesetzlich zulässig – das sachlich zuständige Gericht am Sitz des Auftragsverarbeiters (Villach, Österreich).

Anlage 1

Beschreibung der Verarbeitung

1. Gegenstand und Art der Verarbeitung

Bereitstellung der SaaS-Anwendung „Zimmerplan" zur digitalen Verwaltung von Beherbergungsbetrieben. Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Speichern, Verändern, Auslesen, Verwenden, Übermitteln, Einschränken, Löschen oder Vernichten personenbezogener Daten.

2. Zwecke der Verarbeitung

  • Verwaltung von Häusern, Unterkünften und Zimmern des Verantwortlichen
  • Verwaltung von Stammdaten der Gäste des Verantwortlichen
  • Erfassung und Verwaltung von Reservierungen und Belegungsplänen
  • Erstellung und Verwaltung von Rechnungen und Belegen
  • Unterstützung des österreichischen Meldewesens (Gästeblatt gemäß Meldegesetz)
  • Bereitstellung der Software-Funktionalitäten inkl. Login, Authentifizierung, Multi-Tenant-Trennung sowie Support

3.1 Daten der Nutzer:innen des Verantwortlichen

  • Stammdaten: Name, Vorname, Anrede
  • Kontaktdaten: E-Mail-Adresse, ggf. Telefonnummer
  • Authentifizierungsdaten: gehashtes Passwort, ggf. 2FA-Geheimnisse, Session-Tokens
  • Nutzungsdaten: IP-Adressen, Zeitstempel, Logdaten zu Anmeldungen und Aktionen im System
  • Unternehmensbezogene Daten: Firma, Adresse, UID-Nummer

3.2 Daten der Gäste des Verantwortlichen

  • Stammdaten: Name, Vorname, Geburtsdatum, ggf. Geburtsort, Staatsangehörigkeit
  • Kontaktdaten: ggf. Adresse, E-Mail, Telefon
  • Ausweisdaten (optional): Art und Nummer eines amtlichen Lichtbildausweises — ausdrücklich KEINE Speicherung von Lichtbildern oder Ausweis-Scans
  • Buchungsdaten: An- und Abreisedaten, gebuchtes Zimmer, mitreisende Personen
  • Abrechnungsdaten: Rechnungsbetrag, Leistungsbeschreibung, Zahlungseingang

Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht vorgesehen.

4. Kategorien betroffener Personen

  • Mitarbeiter:innen, Konto-Inhaber:innen sowie sonstige Nutzer:innen des Verantwortlichen
  • Gäste des Verantwortlichen sowie deren mitreisende Personen
  • Geschäftspartner:innen des Verantwortlichen, soweit deren Daten im System hinterlegt werden

5. Ort der Verarbeitung

Primärer Verarbeitungsort: Server bei netcup GmbH in Wien (Österreich) sowie Datenbank-Hosting bei Supabase in einem Rechenzentrum in Frankfurt am Main (Deutschland). Backups werden zusätzlich bei Hetzner Online GmbH in Falkenstein (Deutschland) gespeichert.

6. Speicherdauer und Löschkonzept

  • Steuerlich relevante Daten (Rechnungen, Belege): 7 Jahre gemäß § 132 Abs. 1 BAO
  • Meldewesen-Daten: gemäß den jeweiligen landesgesetzlichen Vorgaben (in der Regel 7 Jahre)
  • Sonstige Stamm- und Buchungsdaten: bis zur Löschung durch den Verantwortlichen oder bis 30 Tage nach Vertragsende
  • Login-/Logdaten: in der Regel 90 Tage
  • Backups: maximal 90 Tage rollierend

Anlage 2

Technische und organisatorische Maßnahmen (TOM)

gemäß Art. 32 DSGVO — Stand der Maßnahmen zum Zeitpunkt des Vertragsschlusses.

1. Vertraulichkeit

1.1 Zutrittskontrolle

  • Betrieb der produktiven Systeme bei zertifizierten Hosting-Anbietern mit 24/7-Bewachung, elektronischer Zutrittskontrolle und Videoüberwachung
  • Zertifizierungen der Sub-Auftragsverarbeiter nach ISO 27001 und/oder vergleichbaren Standards

1.2 Zugangskontrolle

  • Authentifizierung über E-Mail und Passwort mit branchenüblichen Anforderungen an die Passwortstärke
  • Speicherung der Passwörter ausschließlich als kryptografische Hashes (bcrypt/argon2)
  • Zwei-Faktor-Authentifizierung (2FA/TOTP) wird angeboten
  • Automatische Sperre von Sitzungen nach Inaktivität
  • Schutz administrativer Zugänge durch verpflichtende 2FA und Passwortmanager

1.3 Zugriffskontrolle

  • Mandantentrennung auf Datenbankebene durch Row Level Security (Supabase RLS)
  • Rollenbasiertes Berechtigungskonzept innerhalb der Anwendung (Admin, Manager, Staff, View Only)
  • Beschränkung des administrativen Zugriffs ausschließlich auf den Geschäftsführer der WebMystiq Technologies GmbH

1.4 Verschlüsselung

  • Transportverschlüsselung sämtlicher Datenübertragungen über TLS (mindestens TLS 1.2)
  • Verschlüsselung der Datenbank im Ruhezustand (AES-256, Supabase)
  • Verschlüsselung der Backups auf der Hetzner Storage Box

2. Integrität

  • Protokollierung relevanter Datenbankoperationen (Supabase Logging)
  • Nachvollziehbarkeit von Erstellung und Änderung wichtiger Datensätze auf Anwendungsebene
  • Verschlüsselte Übertragung sämtlicher Daten (TLS) zwischen Client und Server

3. Verfügbarkeit und Belastbarkeit

  • Tägliche Backups der Datenbank (Supabase) sowie der Anwendungsserver (netcup)
  • Externes Off-Site-Backup auf einer Storage-Box bei Hetzner Online GmbH in Falkenstein (Deutschland)
  • Schutzmaßnahmen der Hosting-Anbieter gegen Stromausfall, Brand und sonstige physische Bedrohungen
  • Aktuelle Patch- und Update-Politik für Betriebssystem, Webserver, Anwendung und Abhängigkeiten

4. Regelmäßige Überprüfung

  • Mindestens jährliche Überprüfung dieser TOM auf Aktualität und Wirksamkeit
  • Berücksichtigung des aktuellen Stands der Technik bei wesentlichen Änderungen der Software-Architektur
  • Beachtung einschlägiger Leitlinien des Europäischen Datenschutzausschusses sowie der Österreichischen Datenschutzbehörde

Anlage 3

Genehmigte Sub-Auftragsverarbeiter

Stand: zum Zeitpunkt des Vertragsschlusses. Änderungen werden gemäß § 6 dieser AVV mitgeteilt.

Anbieter / SitzZweckVerarbeitungsortDrittland / Garantie
netcup GmbH Daimlerstraße 25, 76185 Karlsruhe, DEHosting der Anwendungsserver (Next.js)Wien, Österreich (EU)Kein Drittlandtransfer; reines EU-Hosting
Supabase Inc. Singapur; EU-Verarbeitung über AWS eu-central-1Datenbank-Plattform (PostgreSQL), Authentifizierung, Logging, BackupFrankfurt am Main, DE (EU)EU-Verarbeitung; Mutterkonzern USA: SCC + ergänzende Maßnahmen
Hetzner Online GmbH Industriestraße 25, 91710 Gunzenhausen, DEOff-Site-Backup-Speicherung (Storage Box)Falkenstein, DE (EU)Kein Drittlandtransfer; reines EU-Hosting
Microsoft Ireland Operations Ltd. One Microsoft Place, Dublin 18, IEE-Mail-Versand und -Empfang, Postfächer (Microsoft 365)EU (Microsoft EU Data Boundary)Mutterkonzern USA: SCC + EU-US Data Privacy Framework (DPF)
Cloudflare, Inc. 101 Townsend St, San Francisco, CA, USADNS-Auflösung, Reverse-Proxy, DDoS-Schutz und CDN für zimmerplan.atGlobale Anycast-InfrastrukturSCC + EU-US DPF; IP-Adressen der Nutzer werden im Rahmen des Proxy-Betriebs verarbeitet
Sentry, Inc. 45 Fremont Street, San Francisco, CA 94105, USAFehlerprotokollierung und Performance-Monitoring der AnwendungFrankfurt am Main, DE (EU-Region)SCC + EU-US DPF; EU-Region wird genutzt

Stripe Payments Europe Ltd. (kein Sub-Auftragsverarbeiter)

Die Zahlungsabwicklung für SaaS-Abonnements erfolgt über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Stripe verarbeitet die Zahlungsdaten als eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und nicht als Auftragsverarbeiter des Auftragsverarbeiters.

Diese Auftragsverarbeitungsvereinbarung wird durch Abschluss eines kostenpflichtigen Abonnements für Zimmerplan verbindlich vereinbart. Mit dem Abschluss des Abonnements bestätigt der Verantwortliche, diese AVV gelesen, verstanden und akzeptiert zu haben. Die AVV gilt in ihrer zum Zeitpunkt des Vertragsschlusses auf dieser Seite veröffentlichten Fassung.

© 2026 WebMystiq Technologies GmbH · Vertraulich – nur für die Vertragsparteien bestimmtZurück zur Anmeldung