DocKI

Rechtliches

Vereinbarung zur Auftragsverarbeitung (AVV)

Stand: Juni 2026 · Art. 28 DSGVO

Präambel

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung von DocKI. Sie wird mit Vertragsschluss zwischen dem Kunden („Verantwortlicher“) und dem Anbieter Dipl.-Ing. Philipp Pirker, handelnd unter der Geschäftsbezeichnung „Intellia“, Hinterleitenstraße 58b, 8523 Laßnitz, Österreich („Auftragsverarbeiter“), wirksam, soweit der Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeitet. Sie ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB). Bei Widersprüchen gehen die Regelungen dieser AVV für die Auftragsverarbeitung den AGB vor.

1. Gegenstand, Art, Zweck und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Nutzung von DocKI eingibt oder eingeben lässt. Art und Zweck der Verarbeitung bestehen in der Bereitstellung, dem Betrieb, der Sicherung und der Wartung der SaaS-Anwendung DocKI gemäß AGB, insbesondere zur Inventarisierung von KI-Systemen, zur Compliance-Dokumentation und zur Verwaltung von Schulungsnachweisen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags zuzüglich der vereinbarten Lösch- und Übergangsfristen.

2. Art der Daten und Kategorien betroffener Personen

Verarbeitet werden insbesondere folgende Datenarten:

  • Stamm- und Kontaktdaten (Name, Funktion, geschäftliche E-Mail-Adresse)
  • Account- und Nutzungsdaten (Rollen, Organisation, Zeitstempel, Einladungen)
  • Inhaltsdaten (KI-Inventar, Beschreibungen, Risikoeinstufungen, Compliance-Dokumentation)
  • Schulungsdaten (Namen, E-Mail-Adressen, Schulungszuordnung, Abschlussstatus von Mitarbeitern)
  • Technische Daten (IP-Adresse, Log- und Sicherheitsereignisse)

Kategorien betroffener Personen sind insbesondere Mitarbeiter, Ansprechpartner und sonstige Nutzer des Verantwortlichen. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung, sofern dies nicht ausdrücklich gesondert vereinbart wird.

3. Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf Drittlandübermittlungen, sofern keine gesetzliche Verpflichtung nach Unionsrecht oder dem Recht eines Mitgliedstaats entgegensteht. Die Nutzung von DocKI gemäß ihrer Funktionalität und den AGB gilt als dokumentierte Weisung. Einzelweisungen sind in Textform an info@docki.at zu richten. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen.

4. Pflichten des Auftragsverarbeiters

  • Verarbeitung nur auf dokumentierte Weisung (Art. 28 Abs. 3 lit. a DSGVO)
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO)
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO; §5)
  • Einhaltung der Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern (Art. 28 Abs. 2 und 4 DSGVO; §6)
  • Unterstützung des Verantwortlichen bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO; §7)
  • Unterstützung bei Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit, Meldungen, Datenschutz-Folgenabschätzung)
  • Löschung oder Rückgabe der Daten nach Ende der Verarbeitung (Art. 28 Abs. 3 lit. g DSGVO; §9)
  • Bereitstellung der erforderlichen Nachweise und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO; §10)

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft geeignete Maßnahmen nach Art. 32 DSGVO, insbesondere:

  • Verschlüsselte Datenübertragung (TLS) und Verschlüsselung gespeicherter Daten beim Infrastrukturanbieter
  • Zugriffsbeschränkungen, rollenbasierte Berechtigungen und Authentifizierung
  • Mandantentrennung (logische Trennung der Kundendaten)
  • Protokollierung sicherheitsrelevanter Ereignisse
  • Regelmäßige Backups und Wiederherstellbarkeit
  • Maßnahmen zur Verfügbarkeit, Belastbarkeit und Wiederherstellung nach Vorfällen
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen

Die TOMs werden an den Stand der Technik angepasst; das Schutzniveau wird dabei nicht unterschritten. Eine jeweils aktuelle Fassung kann unter info@docki.at angefordert werden.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter verpflichtet diese durch Vertrag auf Datenschutzpflichten, die den Pflichten dieser AVV entsprechen. Über beabsichtigte Änderungen (Hinzufügung oder Ersetzung) informiert der Auftragsverarbeiter in angemessener Frist; der Verantwortliche kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

Aktuell eingesetzte Unterauftragsverarbeiter:

UnterauftragsverarbeiterLeistungStandort / Transfer
Supabase Inc.Datenbank, Authentifizierung, SpeicherungFrankfurt am Main (EU); DPA
Vercel Inc.Hosting, CDN, Serverless-Funktionen, LogsUSA; EU-US DPF / SCCs; DPA
Plus Five Five, Inc. (Resend)Versand transaktionaler E-MailsUSA; SCCs; DPA
Stripe Payments Europe, Ltd.Zahlungsabwicklung (soweit Auftragsverarbeitung)Irland (EU); verbundene Gesellschaften ggf. Drittland; DPA/SCCs

7. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anträgen betroffener Personen (Art. 12 bis 23 DSGVO). Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden und unterstützt ihn bei dessen Pflichten nach Art. 33 und 34 DSGVO. Die Meldung enthält die verfügbaren Informationen zur Art der Verletzung, den voraussichtlichen Folgen und den ergriffenen oder vorgeschlagenen Maßnahmen.

9. Löschung und Rückgabe

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück, soweit verfügbare Exportfunktionen genutzt werden, und löscht vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Nach Vertragsende bleibt der Zugang für bis zu 30 Tage zur Datensicherung möglich; danach erfolgt die Löschung. Backups werden im Rahmen regulärer Zyklen innerhalb von 90 Tagen überschrieben.

10. Nachweise und Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieser AVV erforderlichen Informationen zur Verfügung. Überprüfungen erfolgen vorrangig durch Vorlage geeigneter Nachweise oder Auskünfte. Vor-Ort-Prüfungen sind auf das erforderliche Maß beschränkt, mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne unverhältnismäßige Beeinträchtigung des Betriebs durchzuführen; sie tragen der Mandantentrennung und den Geheimhaltungsinteressen anderer Kunden Rechnung.

11. Drittlandübermittlungen

Übermittlungen in Drittländer erfolgen nur, soweit ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, der konkrete Empfänger wirksam unter dem EU-US Data Privacy Framework zertifiziert ist, oder geeignete Garantien nach Art. 46 DSGVO – insbesondere EU-Standardvertragsklauseln nebst erforderlicher zusätzlicher Maßnahmen – bestehen.

12. Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der AGB ergänzend, soweit Art. 82 DSGVO und sonstige zwingende Vorschriften dem nicht entgegenstehen.

13. Schlussbestimmungen

Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts; zwingendes Datenschutzrecht bleibt unberührt. Soweit das Schweizer Datenschutzgesetz (revDSG) anwendbar ist, gelten die Pflichten dieser AVV sinngemäß auch im Sinne des revDSG. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.