Datenschutz · DSGVO Art. 28
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) · zum SaaS-Nutzungsvertrag „Zimmerplan" · Stand: Mai 2025
Verantwortlicher (Auftraggeber)
Ihr Unternehmen
Wie bei Abschluss des Abonnements angegeben.
Auftragsverarbeiter
WebMystiq Technologies GmbH
Ossiacher Straße 22/7, 9523 Villach-Landskron, Österreich
FN 669569k · UID ATU82856615
datenschutz@zimmerplan.at
Präambel
Der Auftragsverarbeiter betreibt unter der Marke „Zimmerplan" eine Software-as-a-Service-Lösung für Privatzimmervermieter, Pensionen und Ferienwohnungen in Österreich. Die Software dient der Verwaltung von Häusern, Zimmern, Gästen, Reservierungen, Belegungsplänen, Rechnungen sowie der Erfüllung des österreichischen Meldewesens (Gästeblatt gemäß Meldegesetz).
Im Rahmen der Erbringung der vertraglich vereinbarten Leistungen verarbeitet der Auftragsverarbeiter im Auftrag und nach Weisung des Verantwortlichen personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.
Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien gemäß Art. 28 DSGVO und ergänzt den Hauptvertrag. Sie ist Voraussetzung für die rechtmäßige Inanspruchnahme der vertraglich geschuldeten Leistung und bildet einen integralen Bestandteil des Hauptvertrags.
Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen im Rahmen der Bereitstellung und Nutzung der SaaS-Lösung „Zimmerplan".
Die konkreten Verarbeitungstätigkeiten, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Zwecke der Verarbeitung sind in Anlage 1 dieser AVV näher beschrieben.
Die Laufzeit dieser AVV entspricht der Laufzeit des Hauptvertrags. Sie beginnt mit dessen Wirksamwerden und endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf. Pflichten, die nach Beendigung fortbestehen sollen (insbesondere Verschwiegenheitspflichten gemäß § 5 sowie Rückgabe- und Löschpflichten gemäß § 9), bleiben unberührt.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit er nicht durch das Recht der EU oder eines Mitgliedstaats hierzu verpflichtet ist.
Weisungen werden grundsätzlich in Textform (z. B. per E-Mail an datenschutz@zimmerplan.at) erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Als dokumentierte Weisung gelten auch die im Hauptvertrag, in dieser AVV und in der bestimmungsgemäßen Nutzung der Software zum Ausdruck gebrachten Weisungen.
Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich und ist berechtigt, die Durchführung bis zur Bestätigung oder Änderung auszusetzen.
Weisungsbefugt auf Seiten des Verantwortlichen ist die im SaaS-Konto als Kontoinhaber:in bzw. Administrator:in eingetragene Person sowie deren ausdrücklich bevollmächtigte Vertreter:innen.
Der Auftragsverarbeiter verpflichtet sich insbesondere zu Folgendem:
Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich, insbesondere für die Sicherstellung einer Rechtsgrundlage (Art. 6, ggf. Art. 9 DSGVO) und die Erfüllung der Informationspflichten gegenüber betroffenen Personen (Art. 13, 14 DSGVO).
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Auftragsdurchführung. Er stellt sicher, dass er nur solche personenbezogenen Daten in „Zimmerplan" eingibt, deren Verarbeitung rechtmäßig ist. Die Eingabe besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht vorgesehen.
Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen der Auftragsverarbeitung zur Kenntnis gelangten personenbezogenen Daten und sonstigen vertraulichen Informationen streng vertraulich zu behandeln und sicherzustellen, dass die mit der Verarbeitung befassten Personen entsprechend belehrt worden sind. Die Verschwiegenheitsverpflichtung besteht auch nach Beendigung dieser AVV fort.
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung gemäß Art. 28 Abs. 2 Satz 1 DSGVO zur Heranziehung weiterer Auftragsverarbeiter. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 dieser AVV aufgeführt. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über Änderungen mit einer Frist von mindestens 30 Kalendertagen.
Der Verantwortliche kann der Beauftragung des neuen Sub-Auftragsverarbeiters innerhalb von 14 Kalendertagen aus wichtigem datenschutzrechtlichen Grund schriftlich widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs ist der Auftragsverarbeiter berechtigt, eine alternative Lösung anzubieten oder den Vertrag mit 30 Tagen Frist zu kündigen; bereits vorausbezahlte Beträge werden anteilig zurückerstattet.
Soweit Sub-Auftragsverarbeiter personenbezogene Daten in einem Drittland verarbeiten, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen (insbesondere Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 oder Angemessenheitsbeschluss).
Nicht als Sub-Auftragsverarbeiter gelten Dienstleistungen, bei denen Dritte keine personenbezogenen Daten des Verantwortlichen verarbeiten, sowie Anbieter, die als eigenständig Verantwortliche tätig werden. Insbesondere gilt Stripe Payments Europe Ltd. im Rahmen der Zahlungsabwicklung für Abonnements als eigenständig Verantwortliche.
Überprüfungen erfolgen primär durch: Vorlage schriftlicher Erklärungen zu den getroffenen TOM; Vorlage relevanter Zertifikate oder Prüfberichte der Sub-Auftragsverarbeiter; Vorlage von Auszügen aus dem Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO; schriftliche Beantwortung eines Fragenkatalogs innerhalb von 30 Kalendertagen. Eine Überprüfung pro Kalenderjahr ist kostenfrei.
Vor-Ort-Inspektionen sind aufgrund der ausschließlichen Home-Office-Tätigkeit des Auftragsverarbeiters ausgeschlossen. Die genannten Mittel gelten als angemessener Ersatz im Sinne von Art. 28 Abs. 3 lit. h DSGVO.
Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung, und unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.
Während der Vertragslaufzeit und für 30 Kalendertage nach Vertragsende kann der Verantwortliche seine Daten über die bereitgestellten Exportfunktionen selbständig sichern. Sofern nicht ausdrücklich die Rückgabe verlangt wird, werden sämtliche personenbezogene Daten aus den produktiven Systemen gelöscht; Backups werden spätestens innerhalb von 90 Kalendertagen überschrieben.
Soweit der Auftragsverarbeiter aufgrund gesetzlicher Aufbewahrungspflichten zur weiteren Speicherung verpflichtet ist (insbesondere § 132 BAO, § 212 UGB), bleiben diese von der Löschpflicht ausgenommen.
Die Verarbeitung findet grundsätzlich innerhalb der EU/EWR statt (Server bei netcup in Wien sowie Datenbank-Hosting bei Supabase in Frankfurt am Main). Eine Verarbeitung in einem Drittland findet nur statt, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO vorliegen (Angemessenheitsbeschluss oder Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914, ggf. ergänzt durch EU-US Data Privacy Framework).
Im Außenverhältnis gegenüber betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter nach den Maßgaben des Art. 82 DSGVO.
Die Haftung des Auftragsverarbeiters für Schäden, die nicht aus Vorsatz oder grober Fahrlässigkeit resultieren, wird der Höhe nach begrenzt auf den Betrag, den der Verantwortliche im jeweils betroffenen Vertragsjahr für die SaaS-Leistungen tatsächlich gezahlt hat. Ausgenommen sind Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie Schäden, soweit eine Haftung gesetzlich nicht abdingbar ist.
Änderungen und Ergänzungen dieser AVV bedürfen der Textform. Im Falle eines Widerspruchs zwischen dieser AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Bestimmungen dieser AVV vor. Sollten einzelne Bestimmungen unwirksam sein, wird die Wirksamkeit der übrigen nicht berührt (Salvatorische Klausel). Diese AVV unterliegt dem Recht der Republik Österreich; ausschließlicher Gerichtsstand ist – soweit gesetzlich zulässig – das sachlich zuständige Gericht am Sitz des Auftragsverarbeiters (Villach, Österreich).
Anlage 1
Bereitstellung der SaaS-Anwendung „Zimmerplan" zur digitalen Verwaltung von Beherbergungsbetrieben. Die Verarbeitung umfasst insbesondere das Erheben, Erfassen, Speichern, Verändern, Auslesen, Verwenden, Übermitteln, Einschränken, Löschen oder Vernichten personenbezogener Daten.
Eine Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht vorgesehen.
Primärer Verarbeitungsort: Server bei netcup GmbH in Wien (Österreich) sowie Datenbank-Hosting bei Supabase in einem Rechenzentrum in Frankfurt am Main (Deutschland). Backups werden zusätzlich bei Hetzner Online GmbH in Falkenstein (Deutschland) gespeichert.
Anlage 2
gemäß Art. 32 DSGVO — Stand der Maßnahmen zum Zeitpunkt des Vertragsschlusses.
1.1 Zutrittskontrolle
1.2 Zugangskontrolle
1.3 Zugriffskontrolle
1.4 Verschlüsselung
Anlage 3
Stand: zum Zeitpunkt des Vertragsschlusses. Änderungen werden gemäß § 6 dieser AVV mitgeteilt.
| Anbieter / Sitz | Zweck | Verarbeitungsort | Drittland / Garantie |
|---|---|---|---|
| netcup GmbH Daimlerstraße 25, 76185 Karlsruhe, DE | Hosting der Anwendungsserver (Next.js) | Wien, Österreich (EU) | Kein Drittlandtransfer; reines EU-Hosting |
| Supabase Inc. Singapur; EU-Verarbeitung über AWS eu-central-1 | Datenbank-Plattform (PostgreSQL), Authentifizierung, Logging, Backup | Frankfurt am Main, DE (EU) | EU-Verarbeitung; Mutterkonzern USA: SCC + ergänzende Maßnahmen |
| Hetzner Online GmbH Industriestraße 25, 91710 Gunzenhausen, DE | Off-Site-Backup-Speicherung (Storage Box) | Falkenstein, DE (EU) | Kein Drittlandtransfer; reines EU-Hosting |
| Microsoft Ireland Operations Ltd. One Microsoft Place, Dublin 18, IE | E-Mail-Versand und -Empfang, Postfächer (Microsoft 365) | EU (Microsoft EU Data Boundary) | Mutterkonzern USA: SCC + EU-US Data Privacy Framework (DPF) |
| Cloudflare, Inc. 101 Townsend St, San Francisco, CA, USA | DNS-Auflösung, Reverse-Proxy, DDoS-Schutz und CDN für zimmerplan.at | Globale Anycast-Infrastruktur | SCC + EU-US DPF; IP-Adressen der Nutzer werden im Rahmen des Proxy-Betriebs verarbeitet |
| Sentry, Inc. 45 Fremont Street, San Francisco, CA 94105, USA | Fehlerprotokollierung und Performance-Monitoring der Anwendung | Frankfurt am Main, DE (EU-Region) | SCC + EU-US DPF; EU-Region wird genutzt |
Die Zahlungsabwicklung für SaaS-Abonnements erfolgt über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Stripe verarbeitet die Zahlungsdaten als eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und nicht als Auftragsverarbeiter des Auftragsverarbeiters.
Diese Auftragsverarbeitungsvereinbarung wird durch Abschluss eines kostenpflichtigen Abonnements für Zimmerplan verbindlich vereinbart. Mit dem Abschluss des Abonnements bestätigt der Verantwortliche, diese AVV gelesen, verstanden und akzeptiert zu haben. Die AVV gilt in ihrer zum Zeitpunkt des Vertragsschlusses auf dieser Seite veröffentlichten Fassung.