Präambel

Zwischen

und

— gemeinsam „Parteien" —

wird auf Grundlage des zwischen den Parteien bestehenden Hauptvertrages über die Nutzung der Software „PolizzPilot" (im Folgenden „Hauptvertrag") folgender Auftragsverarbeitungsvertrag (im Folgenden „AVV") gemäß Art. 28 DSGVO geschlossen.

§ 1 Begriffsbestimmungen

(1) Begriffe dieses Vertrages werden im Sinne des Art. 4 DSGVO ausgelegt.

(2) Insbesondere gelten folgende Begriffe:

• „DSGVO": Verordnung (EU) 2016/679 vom 27. April 2016 (Datenschutz-Grundverordnung).
• „DSG": Österreichisches Datenschutzgesetz (BGBl. I Nr. 165/1999 idgF).
• „Personenbezogene Daten": Daten gemäß Art. 4 Z 1 DSGVO.
• „Betroffene": Natürliche Personen, deren personenbezogene Daten verarbeitet werden (insbesondere Endkunden des Verantwortlichen).
• „Verarbeitung": Vorgänge gemäß Art. 4 Z 2 DSGVO.
• „Sub-Auftragsverarbeiter": Weiterer Auftragsverarbeiter, dessen sich der Auftragsverarbeiter bedient.
• „Software": Die SaaS-Lösung „PolizzPilot" inklusive Web-App, Mobile-App und Cloud-Diensten.

§ 2 Gegenstand und Dauer des Auftrags

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Software „PolizzPilot" sowie der damit verbundenen Funktionen, insbesondere:

• Verwaltung von Endkunden- und Vertragsdaten (CRM)
• Erfassung, Speicherung und Verarbeitung von Versicherungsdokumenten und -polizzen
• Erstellung von Kündigungsschreiben, Vollmachten und Versicherungsbestätigungen
• Optische Zeichenerkennung (OCR) und KI-gestützte Datenextraktion
• Versand von Signatur-Anforderungen via E-Mail und SMS
• Digitale Unterschrift und Dokumenten-Workflow
• Kalender- und E-Mail-Integration

(2) Dauer: Verarbeitung beginnt mit Vertragsabschluss und läuft auf unbestimmte Zeit, längstens bis zur Beendigung des Hauptvertrages.

(3) Art und Zweck der Verarbeitung sowie Datenkategorien und betroffene Personen ergeben sich aus Anhang 3.

§ 3 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie die Wahrung der Betroffenenrechte alleinverantwortlich.

(2) Der Verantwortliche stellt sicher, dass eine ausreichende Rechtsgrundlage gemäß Art. 6 und ggf. Art. 9 DSGVO besteht.

(3) Weisungen werden schriftlich (E-Mail genügt) oder durch Nutzung der Software-Funktionen erteilt. Standardisierte Verarbeitungsvorgänge gelten durch Vertragsabschluss als generell freigegeben.

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über erkannte Fehler oder Unregelmäßigkeiten.

(5) Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO ist einzuhalten.

(6) Der Verantwortliche bestimmt einen Ansprechpartner für datenschutzrechtliche Fragen.

§ 4 Allgemeine Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen, sofern keine gesetzliche Verpflichtung besteht.

(2) Einhaltung der DSGVO und aller weiteren anwendbaren datenschutzrechtlichen Bestimmungen.

(3) Keine Verarbeitung der Daten zu eigenen Zwecken (insbesondere kein Marketing, kein Profiling).

(4) Information des Verantwortlichen, falls eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.

(5) Datenverarbeitung innerhalb EU/EWR, soweit nicht in § 8 und Anhang 1 anderes geregelt.

§ 5 Vertraulichkeit

(1) Verpflichtung aller mit der Auftragsverarbeitung befassten Personen zur Vertraulichkeit vor Aufnahme der Tätigkeit.

(2) Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(3) Berechtigte Personen handeln nur auf Weisung des Verantwortlichen oder gesetzlicher Verpflichtung.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter trifft die in Anhang 2 beschriebenen TOMs gemäß Art. 32 DSGVO.

(2) TOMs unterliegen der technischen Weiterentwicklung. Alternative Maßnahmen sind zulässig, sofern das Sicherheitsniveau erhalten bleibt. Wesentliche Änderungen werden angezeigt.

(3) Regelmäßige Wirksamkeitsprüfung.

§ 7 Sub-Auftragsverarbeiter

(1) Mit Vertragsabschluss erteilt der Verantwortliche die allgemeine Genehmigung zur Hinzuziehung der in Anhang 1 genannten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO).

(2) Information über jede beabsichtigte Änderung mit Frist von mindestens 30 Tagen vor Beginn der Verarbeitung — per E-Mail an Ansprechpartner und im Trust-Center.

(3) Widerspruchsrecht innerhalb von 14 Tagen bei wichtigem Grund. Bei berechtigtem Widerspruch suchen die Parteien einvernehmliche Lösung; falls keine binnen 30 Tagen, außerordentliches Kündigungsrecht des Hauptvertrages.

(4) Schriftlicher Vertrag mit jedem Sub-Auftragsverarbeiter; gleiche datenschutzrechtliche Verpflichtungen. Einsichtnahme auf Anfrage.

(5) Haftung für das Verschulden der Sub-Auftragsverarbeiter wie für eigenes.

(6) Nicht als Sub-Auftragsverarbeitung gelten Nebenleistungen (Telekom, Post, Wartung, Datenträger-Entsorgung). Auch hier angemessene vertragliche Vereinbarungen.

§ 8 Drittlandtransfer

(1) Übermittlung in Drittländer nur bei Vorliegen der Voraussetzungen der Art. 44 ff. DSGVO.

(2) Ohne Angemessenheitsbeschluss (Art. 45 DSGVO) stützt sich der Auftragsverarbeiter auf:

• Standardvertragsklauseln (SCC) der EU-Kommission, Durchführungsbeschluss (EU) 2021/914
• Ergänzende Maßnahmen nach EDPB-Empfehlungen 01/2020 (Schrems II)
• Verschlüsselung in Transit und at Rest
• Vertragliche Verpflichtung der Sub-Auftragsverarbeiter zur Information bei behördlichem Datenzugriff

(3) Aktuelle Drittlandtransfers sind in Anhang 1 namentlich gekennzeichnet.

(4) Transfer Impact Assessment für jeden Sub-Auftragsverarbeiter im Drittland; Vorlage auf Anfrage.

§ 9 Unterstützung des Verantwortlichen

(1) Unterstützung des Verantwortlichen bei seinen Pflichten nach Art. 32 bis 36 DSGVO:

• Sicherheit der Verarbeitung (Art. 32)
• Meldung von Datenschutzpannen (Art. 33)
• Benachrichtigung Betroffener (Art. 34)
• Datenschutz-Folgenabschätzung (Art. 35)
• Vorherige Konsultation der Aufsichtsbehörde (Art. 36)

(2) Unterstützung bei Betroffenenrechten (Art. 12–23):

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
• Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)

(3) Bei direktem Antrag eines Betroffenen: Weiterleitung an Verantwortlichen innerhalb von 3 Werktagen, plus Unterstützung bei der Bearbeitung.

(4) Übersteigt der Aufwand erheblich den Hauptvertrags-Leistungsumfang, ist eine Aufwandsentschädigung zu marktüblichen Stundensätzen zulässig.

§ 10 Datenpannen / Verletzungen des Schutzes personenbezogener Daten

(1) Information des Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnisnahme (Art. 33 Abs. 2 DSGVO).

(2) Mitteilung enthält mindestens: Art der Verletzung, Kategorien/Anzahl betroffener Personen und Datensätze, mögliche Folgen, ergriffene und vorgeschlagene Maßnahmen.

(3) Meldung an die Aufsichtsbehörde (Art. 33 Abs. 1) und Information der Betroffenen (Art. 34) erfolgt durch den Verantwortlichen.

(4) Vollständige Dokumentation aller Datenpannen; Vorlage auf Anfrage.

§ 11 Datenschutzbeauftragter

(1) Benennung gemäß Art. 37 DSGVO sofern verpflichtend, sonst interner Ansprechpartner.

(2) Kontaktdaten:

• Name: {{NAME_DSB_ODER_ANSPRECHPARTNER}}
• E-Mail: {{EMAIL_DSB}}
• Telefon: {{TELEFON_DSB}}

(3) Änderungen werden unverzüglich mitgeteilt.

§ 12 Kontroll- und Auditrechte

(1) Kontrolle der Einhaltung von Datenschutzvorschriften und vertraglichen Vereinbarungen im erforderlichen Umfang.

(2) Auskunftspflicht des Auftragsverarbeiters insbesondere zu: TOMs (Art. 32), Sub-Auftragsverarbeitern, Datenschutzpannen, Drittlandtransfers.

(3) Audit-Optionen:

• Selbst-Auskunft des Auftragsverarbeiters (aktuelle Zertifikate, Audit-Berichte, Penetration-Test-Reports)
• Schriftliche Dokumentation der Maßnahmen (TOM-Liste, ISMS-Doku)
• Nach Vorankündigung mit angemessener Frist (mind. 20 Werktage) Vor-Ort-Prüfung während üblicher Geschäftszeiten

(4) Vertretung durch sachverständige Dritte (Datenschutzbeauftragte, Wirtschaftsprüfer) zulässig, sofern Verschwiegenheitsverpflichtung und keine Wettbewerbssituation.

(5) Bei erheblichem Aufwand (z.B. mehrtägige Vor-Ort-Prüfung) Aufwandsentschädigung zu marktüblichen Stundensätzen. Standard-Auskünfte/-Doku kostenlos.

§ 13 Löschung und Rückgabe von Daten

(1) Bei Beendigung des Hauptvertrages: Bereitstellung in gängigem maschinenlesbaren Format (JSON, CSV) oder unmittelbare Löschung auf Wunsch.

(2) Löschung umfasst alle Kopien (auch bei Sub-Auftragsverarbeitern), sofern keine gesetzliche Aufbewahrungspflicht besteht (insbesondere § 132 BAO, § 137f GewO, § 19 WAG).

(3) Daten mit Aufbewahrungspflicht werden in geschützter Archivumgebung (Soft-Delete mit Lese-Sperre) verwahrt und nach Fristablauf endgültig gelöscht.

(4) Löschprotokoll auf Anfrage.

(5) Datenexport-Anforderung innerhalb 30 Tagen nach Vertragsbeendigung; danach automatische Löschung.

§ 14 Haftung

(1) Haftungsregelungen des Hauptvertrages gelten, sofern hier nichts abweichend geregelt.

(2) Haftung gegenüber Betroffenen nach Art. 82 DSGVO; im Innenverhältnis haftet jede Partei für die von ihr zu verantwortenden Verletzungen.

(3) Bei aufsichtsbehördlicher Geldbuße aufgrund Datenschutzverletzung der anderen Partei: Freistellung im Innenverhältnis, soweit alleine zu verantworten.

§ 15 Vertragsdauer und Beendigung

(1) Inkrafttreten mit Annahme durch den Verantwortlichen (z.B. Onboarding-Acceptance oder Unterzeichnung); Laufzeit unbestimmt, längstens für die Dauer des Hauptvertrages.

(2) Kündigung nur gemeinsam mit dem Hauptvertrag; isolierte Kündigung des AVV ausgeschlossen.

(3) Mit Beendigung des Hauptvertrages endet der AVV automatisch.

(4) §§ 5 (Vertraulichkeit) und 13 (Löschung/Rückgabe) bleiben über Vertragsende hinaus bestehen.

§ 16 Schlussbestimmungen

(1) Schriftform: Änderungen bedürfen der Textform (E-Mail genügt). Gilt auch für diese Schriftformklausel.

(2) Vorrang: Bei Widersprüchen zum Hauptvertrag gehen die Regelungen dieses AVV in datenschutzrechtlichen Belangen vor.

(3) Salvatorische Klausel: Unwirksame Bestimmungen berühren die Wirksamkeit der übrigen Bestimmungen nicht. Ersatz durch wirksame, dem wirtschaftlichen Zweck nahekommende Bestimmung.

(4) Anwendbares Recht: Österreichisches Recht unter Ausschluss des UN-Kaufrechts.

(5) Gerichtsstand: {{GERICHTSSTAND, z.B. das sachlich zuständige Gericht in Wien}}.

(6) Annahme: durch elektronische Zustimmung im Onboarding-Prozess oder Unterzeichnung. Elektronische Zustimmung wird mit Datum, Uhrzeit, IP-Adresse und Versionsnummer dokumentiert.

Anhang 1 — Sub-Auftragsverarbeiter

Stand: 30.4.2026 · Version 1.0. Aktuelle Liste jederzeit unter /legal/subprocessors.

Allgemeine Schutzmaßnahmen: TLS 1.2+ für alle Datenverbindungen, vertragliche DSGVO-Verpflichtung, SCCs bei Drittlandtransfers, Information bei behördlichem Datenzugriff (Schrems-II-konform), regelmäßige Überprüfung.

Drittlandtransfers (USA): Mit der EU-Adäquanzentscheidung vom 10.07.2023 (EU-US Data Privacy Framework) besteht für zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau. Für nicht-zertifizierte Anbieter werden zusätzlich SCCs in der Fassung des Durchführungsbeschlusses (EU) 2021/914 verwendet.

Anhang 2 — Technische und Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO · Stand: 30.4.2026 · Version 1.0

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b)

1.1 Zutrittskontrolle

• Hosting in zertifizierten Cloud-Rechenzentren von Google Cloud Platform (ISO 27001/27017/27018, SOC 1/2/3, PCI-DSS)
• Hauptverarbeitungsstandort: Belgien (europe-west1)
• Kein eigener Serverbetrieb
• Mitarbeiter-Arbeitsplätze: gesicherte Räumlichkeiten, Zutrittskontrolle

1.2 Zugangskontrolle

• Authentifizierung über Firebase Authentication (E-Mail/Passwort + optionale MFA)
• Passwort-Mindestanforderungen (8+ Zeichen, geprüft gegen kompromittierte Passwörter)
• Brute-Force-Schutz
• Session-Management mit zeitlich begrenzten Tokens
• Sicherer Passwort-Reset über E-Mail-Verifikation
• Mitarbeiter-Produktionszugang nur über persönliche, MFA-geschützte Konten

1.3 Zugriffskontrolle

• Multi-Tenant-Isolation auf Datenbankebene (Firestore Security Rules)
• Rollensystem auf Org-Ebene (Owner, Admin, Member)
• Granulare Berechtigungen pro Plan-Stufe
• Zugriffe nur über die Anwendung; keine direkte DB-Abfrage durch Mitarbeiter
• Activity-Log über alle relevanten Datenzugriffe
• Need-to-know-Prinzip + Logging aller Mitarbeiter-Zugriffe

1.4 Pseudonymisierung

• Activity-Log: Pseudonymisierung gelöschter Nutzer (Name → „Gelöschter Nutzer", E-Mail → anonymisiert)
• Bankdaten in Activity-Logs: Maskierung (nur letzte 4 Zeichen sichtbar)
• IP-Adressen werden bei Pseudonymisierung entfernt

1.5 Verschlüsselung

• In Transit: TLS 1.2+ für alle Datenverbindungen
• At Rest: AES-256 (Google Cloud Platform Standard)
• Spezielle Verschlüsselung sensibler Daten (Kalender-Tokens, Bankdaten): AES-256-GCM mit dediziertem Schlüssel
• Schlüsselverwaltung über Google Cloud Secret Manager

2. Integrität (Art. 32 Abs. 1 lit. b)

2.1 Weitergabekontrolle

• Ausschließlich verschlüsselte Übertragung (TLS 1.2+)
• Sicherheits-Header (HSTS, CSP, X-Frame-Options)
• API-Authentifizierung über kurzlebige JWT-Tokens

2.2 Eingabekontrolle

• Vollständiges Activity-Log (Aktor, Aktion, Ressource, Timestamp, IP, User-Agent, Quellgerät)
• Append-only-Modus (keine Manipulation)
• Aufbewahrung: 1 Jahr (Auth) / 3 Jahre (Standard) / 10 Jahre (sicherheitskritisch)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b)

3.1 Verfügbarkeitskontrolle

• Google Cloud Platform mit Verfügbarkeit ≥ 99,95 % SLA
• Geo-redundante Datenspeicherung (europe-west1)
• Automatische Skalierung der Cloud Functions
• DDoS-Schutz durch Google Cloud Armor
• Monitoring und Alerting

3.2 Wiederherstellbarkeit

• Tägliche automatische Firestore-Backups
• Aufbewahrung: 90 Tage operativ, 7 Jahre Compliance (§ 132 BAO)
• Storage-Bucket-Versionierung
• RTO < 24h, RPO < 24h
• Regelmäßige Restore-Tests

3.3 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d)

• Mindestens jährliche TOM-Überprüfung
• Anlassbezogene Anpassung bei Architektur-Änderungen
• Externe Penetration-Tests {{HÄUFIGKEIT_PENTEST, z.B. jährlich}}
• Regelmäßige Datenschutz-/IT-Sicherheits-Schulungen
• Incident-Response-Plan mit definierten Eskalationswegen

4. Trennungsgebot (Art. 32 Abs. 1 lit. b iVm. Art. 25 Abs. 2)

• Strikte logische Trennung der Mandanten-Daten via organizationId
• Firestore Security Rules erzwingen Trennung auf DB-Ebene
• Cloud Storage: getrennte Verzeichnisse pro Organisation
• Keine Cross-Tenant-Zugriffe (auch nicht durch Mitarbeiter)

5. Auftragskontrolle (Art. 28)

• Sub-Auftragsverarbeiter nur auf Grundlage schriftlicher Verträge
• Schulung der Mitarbeiter
• Geheimhaltungsverpflichtung aller Mitarbeiter
• Dokumentation von Weisungen
• Regelmäßige Überprüfung der Sub-Auftragsverarbeiter

6. Datenschutz durch Technikgestaltung (Art. 25)

• Privacy by Design: minimale Datenerhebung als Standard
• Privacy by Default: datenschutzfreundliche Voreinstellungen
• Pseudonymisierungs- und Verschlüsselungsfunktionen integriert
• Datenexport-Funktion zur Erfüllung der Betroffenenrechte
• Lösch- und Anonymisierungsfunktionen mit Berücksichtigung gesetzlicher Aufbewahrung

Anhang 3 — Verarbeitete Daten und betroffene Personen

A) Kategorien betroffener Personen

1. Endkunden des Verantwortlichen (versicherte Personen)
2. Familienangehörige der Endkunden (mitversicherte Personen, Begünstigte)
3. Geschäftspartner des Verantwortlichen (Versicherungsgesellschaften, Zulassungsstellen)
4. Mitarbeiter und Bevollmächtigte des Verantwortlichen (Software-Nutzer)

B) Datenkategorien

B.1 Stammdaten

Vorname, Nachname, akademischer Titel, Geburtsdatum, Geschlecht, Anschrift

B.2 Kontaktdaten

E-Mail, Telefon (Festnetz, Mobil), weitere Kontaktwege

B.3 Vertrags- und Versicherungsdaten

Polizzen-/Vertragsnummer, Versicherungsgesellschaft, -art, -summe, -prämie, Vertragsdaten, Schadenfälle

B.4 Fahrzeugdaten (KFZ)

FIN, Kennzeichen, Modell, Erstzulassung, Leistung

B.5 Bankdaten

IBAN, BIC, Kontoinhaber, Kreditinstitut, Mandatsreferenz (verschlüsselt)

B.6 Berufs-/Sozialdaten

Beruf, Arbeitgeber, Familienstand

B.7 Besondere Kategorien (Art. 9 DSGVO)

Gesundheitsdaten bei Krankenversicherungen, Berufsunfähigkeit, Lebensversicherung mit Gesundheitsfragen — werden vom Verantwortlichen verarbeitet, nur soweit zur Vertragserfüllung mit dem Endkunden erforderlich. Verarbeitungs-Rechtsgrundlage liegt im Verantwortungsbereich des Verantwortlichen.

B.8 Dokumentendaten

Hochgeladene Versicherungsdokumente (PDF/Bild), generierte Dokumente, signierte PDFs

B.9 Nutzungsdaten und Aktivitätslog

Zugriffe, Datenänderungen, Uploads, Versand-Aktionen, IP, User-Agent, Timestamp (für Audit)

B.10 Kommunikationsdaten

E-Mail-Versand-Logs, SMS-Versand-Logs (inkl. Anzahl Segmente), Kalender-Termine

B.11 Zahlungs- und Abrechnungsdaten

Hinterlegte Zahlungsmethode des Verantwortlichen (Kreditkarte/SEPA), Rechnungen, Zahlungsstatus

C) Zweck der Verarbeitung

• Bereitstellung der Software-Funktionalitäten gemäß Hauptvertrag
• CRM (Kunden-/Vertragsverwaltung)
• Erstellung und Versand von Versicherungsdokumenten
• Digitale Signatur via E-Mail/SMS
• KI-gestützte Datenextraktion (OCR)
• Kommunikation mit Endkunden (Erinnerungen, Termine)
• Reporting und Auswertungen
• Audit-Trail und Compliance-Nachweise

D) Speicherdauer

• Stamm-/Vertragsdaten: aktive Vertragsbeziehung + gesetzliche Aufbewahrungsfristen (insbesondere 7 Jahre § 132 BAO)
• Dokumente: 7 Jahre (steuerliche Aufbewahrung)
• Beratungsprotokolle: 5 Jahre (§ 137f GewO)
• Aktivitätslogs: 1 Jahr (Auth) / 3 Jahre (Standard) / 10 Jahre (sicherheitskritisch)
• Backups: 90 Tage operativ; bei Hauptvertragsende Löschung gem. § 13