Konvio Konvio
English Deutsch Home Funktionen Anwendungsfälle Preise Über uns
Anmelden
Zugang anfragen

Auftragsverarbeitungsvertrag (AVV)

Stand: 11. März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen dem Kunden der SaaS-Plattform Konvio (nachfolgend „Verantwortlicher") und

Ing. Philipp Zöchner, Sackstraße 26, 8010 Graz, Österreich (nachfolgend „Auftragsverarbeiter").

Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen (AGB) der Plattform Konvio und regelt die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) sowie § 12 des österreichischen Datenschutzgesetzes (DSG).

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der SaaS-Plattform Konvio für Veranstaltungsmanagement und CRM.

Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß den AGB.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten im Rahmen der Plattformnutzung:

  • Speicherung und Verwaltung von Veranstaltungsdaten
  • Verarbeitung von Registrierungsdaten für Events
  • Verwaltung von Kontakt- und Unternehmensdaten im CRM
  • Versand von E-Mail-Benachrichtigungen und Nachrichten
  • Erstellung und Verwaltung von Rechnungen
  • Bereitstellung von Formularen zur Datenerfassung
  • Verwaltung von Ausstellerdaten und Standbuchungen
  • Bereitstellung von Veranstaltungskatalogen und öffentlichen Seiten

Zweck der Verarbeitung ist die Erbringung der vertraglich vereinbarten SaaS-Dienstleistungen.

§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen

Art der verarbeiteten personenbezogenen Daten:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Adresse)
  • Unternehmensdaten (Firmenname, UID-Nummer, Firmenadresse)
  • Registrierungsdaten (Benutzername, gehashtes Passwort)
  • Veranstaltungsbezogene Daten (Anmeldungen, Standbuchungen, Teilnehmerlisten)
  • Kommunikationsdaten (Nachrichten, E-Mail-Inhalte)
  • Rechnungsdaten (Rechnungsadressen, Beträge)
  • Nutzungsdaten (Seitenaufrufe innerhalb der Plattform, Aktionsprotokoll)
  • Von Kunden über Formulare erfasste Daten (vom Verantwortlichen definiert)

Kategorien betroffener Personen:

  • Mitarbeiter und Beauftragte des Verantwortlichen
  • Veranstaltungsteilnehmer und Registrierte
  • Aussteller und deren Kontaktpersonen
  • Kontakte im CRM des Verantwortlichen
  • Empfänger von E-Mails und Nachrichten

§ 4 Pflichten und Rechte des Verantwortlichen

  • Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass eine gültige Rechtsgrundlage für die Verarbeitung vorliegt.
  • Der Verantwortliche erteilt dem Auftragsverarbeiter Weisungen in Bezug auf die Verarbeitung personenbezogener Daten. Die Weisungen werden in der Regel durch die Nutzung der Plattformfunktionen erteilt.
  • Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzvorschriften und dieses AVV zu überprüfen (siehe § 9).
  • Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

§ 5 Pflichten des Auftragsverarbeiters

  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage der dokumentierten Weisungen des Verantwortlichen, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich (Art. 28 Abs. 3 lit. a DSGVO).
  • Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
  • Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten gemäß Art. 15–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO).
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, insbesondere bei Datenschutz-Folgenabschätzungen und der Meldung von Datenschutzverletzungen (Art. 28 Abs. 3 lit. f DSGVO).
  • Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO.

Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragsverarbeiter folgende Unterauftragsverarbeiter ein:

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) — Hosting und Infrastruktur
  • Scaleway SAS (8 rue de la Ville-l'Évêque, 75008 Paris, Frankreich) — E-Mail-Versand und Datensicherung
  • Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) — Authentifizierung (Social Login via Google OAuth)

Alle Unterauftragsverarbeiter sind in der Europäischen Union ansässig. Es findet keine Datenübermittlung in Drittländer statt.

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, innerhalb von 30 Tagen nach Benachrichtigung gegen die Änderung Einspruch zu erheben. Im Falle eines berechtigten Einspruchs wird der Auftragsverarbeiter die Änderung nicht vornehmen oder dem Verantwortlichen die Möglichkeit geben, den Vertrag ohne Strafgebühr zu kündigen.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten wie in diesem AVV festgelegt (Art. 28 Abs. 4 DSGVO).

§ 7 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden (Art. 33 Abs. 2 DSGVO).

Die Meldung enthält mindestens:

  • Eine Beschreibung der Art der Verletzung, einschließlich der betroffenen Kategorien und der ungefähren Anzahl betroffener Personen und Datensätze
  • Den Namen und die Kontaktdaten der zuständigen Ansprechperson
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

§ 8 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

Der Verantwortliche hat vor Ablauf der 30-Tage-Frist die Möglichkeit, seine Daten über die Plattform zu exportieren.

Auf Verlangen bestätigt der Auftragsverarbeiter die vollständige Löschung der Daten schriftlich.

§ 9 Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).

Prüfungen sind unter folgenden Bedingungen möglich:

  • Ankündigung mit einer Frist von mindestens 30 Tagen
  • Durchführung während der üblichen Geschäftszeiten
  • Wahrung der Vertraulichkeit und des Schutzes von Geschäftsgeheimnissen
  • Die Kosten der Prüfung trägt der Verantwortliche

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter ergreift folgende Maßnahmen gemäß Art. 32 DSGVO:

1. Verschlüsselung und Pseudonymisierung

  • TLS/SSL-Verschlüsselung für alle Datenübertragungen (HTTPS)
  • Verschlüsselung ruhender Daten auf den Servern
  • Hashing von Passwörtern mit branchenüblichen Algorithmen (bcrypt)

2. Vertraulichkeit

  • Zugriffskontrolle über rollenbasierte Berechtigungssysteme
  • Multi-Tenant-Architektur mit strikter Datentrennung je Organisation
  • Authentifizierung über sichere Sitzungsverwaltung und optionale Zwei-Faktor-Authentifizierung

3. Integrität

  • Automatisierte Eingabevalidierung und Datenbereinigung
  • Protokollierung von Datenänderungen (Audit-Trail)
  • Regelmäßige Sicherheitsprüfungen und Updates der Softwareabhängigkeiten

4. Verfügbarkeit und Belastbarkeit

  • Tägliche automatisierte Backups mit geografisch getrennter Speicherung
  • Hosting in EU-Rechenzentren mit hoher Verfügbarkeit (Hetzner, Deutschland)
  • Überwachung der Systemverfügbarkeit und automatische Benachrichtigungen

5. Wiederherstellbarkeit

  • Dokumentierte Verfahren zur Wiederherstellung nach Systemausfällen
  • Regelmäßige Tests der Backup-Wiederherstellung

6. Regelmäßige Überprüfung

  • Regelmäßige Überprüfung und Anpassung der technischen und organisatorischen Maßnahmen
  • Berücksichtigung des Stands der Technik bei der Auswahl und Implementierung von Sicherheitsmaßnahmen

Anlage 2: Liste der Unterauftragsverarbeiter

Stand: 11. März 2026

Unterauftragsverarbeiter Sitz Verarbeitungszweck
Hetzner Online GmbH Gunzenhausen, Deutschland Hosting, Server-Infrastruktur, Datenbanken
Scaleway SAS Paris, Frankreich E-Mail-Versand (Transactional Email), Datensicherung (Backups)
Google Ireland Limited Dublin, Irland Authentifizierung (Social Login via Google OAuth) — Daten: Name, E-Mail-Adresse, Profilbild

Hinweis: Dieser AVV wurde als Standardvorlage erstellt. Für rechtsverbindliche Anpassungen empfehlen wir die Prüfung durch einen auf Datenschutzrecht spezialisierten Rechtsanwalt.