Dieser Auftragsverarbeitungsvertrag (AVV) wird gemäß Art. 28 DSGVO zwischen dem Kunden (Verantwortlicher) und PIFFCON.at — Ing. Florian D. Piff, M.Sc. (Auftragsverarbeiter) geschlossen. Die vollständige unterzeichnete Fassung erhalten Sie auf Anfrage per E-Mail an office@operisdesk.app.
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Software OperisDesk. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrundeliegenden Hauptvertrages über die Softwarenutzung.
2. Art und Zweck der Verarbeitung
Zweck der Verarbeitung ist die Zurverfügungstellung einer Plattform für die Erfassung von Arbeitszeiten, Projekten, Kunden, Materialien und die Erstellung von Lieferscheinen sowie Abrechnungsübersichten.
3. Art der Daten und Kategorien betroffener Personen
Kategorien personenbezogener Daten:
- Stammdaten (Namen, Kontaktdaten, Rolle, Stundensatz)
- Login- und Authentifizierungsdaten
- Vom Nutzer erfasste Daten (Zeitbuchungen, Beschreibungen, Projekte, Kunden, Materialien)
- Audit-/Log-Daten (Zugriffszeit, IP-Adresse bei Login)
Kategorien betroffener Personen:
- Mitarbeiter des Verantwortlichen
- Kunden und Ansprechpartner des Verantwortlichen (Kontaktdaten)
4. Technisch-organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO implementiert. Details siehe Seite Sicherheit sowie Anlage 1 zum AVV. Die Mindestmaßnahmen umfassen:
- Verschlüsselung der Daten im Transport (TLS 1.3)
- Verschlüsselung der Daten im Ruhezustand (AES-256)
- Rollen-/Berechtigungskonzept mit minimalen Zugriffsrechten
- Protokollierung relevanter Vorgänge (Audit-Logs)
- Regelmäßige Backups mit definierter Retention
- Zutrittskontrolle zu den Rechenzentren des Hosting-Anbieters
5. Unterauftragsverarbeiter
Folgende Unterauftragsverarbeiter werden eingesetzt (jeweils EU-/EWR-Standort):
| Unterauftragsverarbeiter | Leistung | Standort |
|---|---|---|
| Hosting-Provider | Serverbetrieb / Rechenzentrum | EU (Details auf Anfrage) |
| E-Mail-Versand-Provider | Transaktions-E-Mails | EU |
| Backup-Provider | Ausgelagerte Sicherung | EU |
6. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte nach Art. 12–23 DSGVO durch geeignete technische und organisatorische Maßnahmen (u. a. Export-Funktionen, Löschroutinen).
7. Meldung von Datenpannen
Verletzungen des Schutzes personenbezogener Daten teilt der Auftragsverarbeiter dem Verantwortlichen unverzüglich nach Kenntniserlangung mit (Ziel: innerhalb von 24 Stunden), damit dieser seinen Meldepflichten nach Art. 33, 34 DSGVO nachkommen kann.
8. Löschung / Rückgabe nach Vertragsende
Nach Ende der Leistungserbringung werden sämtliche personenbezogenen Daten entweder zurückgegeben (Export) oder nach Wahl des Verantwortlichen gelöscht — spätestens 30 Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
9. AVV zum Download
PDF-Version
Die unterzeichnungsbereite PDF-Version des AVV erhalten Sie auf Anfrage unter office@operisdesk.app. Wir senden Ihnen das Dokument innerhalb von 2 Werktagen zu.