Verpflichtungserklärung zur Auftragsverarbeitung
nach Art. 28 Abs. 3 DSGVO
Lukas Krempl IT Services e.U.
Bergviertel 61, 8190 Miesenbach bei Birkfeld, Österreich
FN 667716k | Landesgericht für ZRS Graz
E-Mail: lukas@krempl-it.at | Tel.: +43 650 401 5113
als „Auftragsverarbeiter"
verpflichtet sich gegenüber dem Verantwortlichen (= Auftraggeber, Kunde) wie folgt:
Stand: März 2026
1 Vertragsgegenstand
a. Der Auftragsverarbeiter erbringt für den Verantwortlichen Leistungen in folgenden Bereichen: Unterstützung bei IT-Fragen, Betreuung der Server und Computer, Installation und Support von IT-Hard- und Software, Netzwerkbetreuung, Fernwartung, Cloud-Administration, Cybersecurity sowie Systemwartung auf Grundlage des Hauptvertrages. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Umfang und Zweck der Datenverarbeitung durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dem Verantwortlichen obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
b. Die Laufzeit dieser Verpflichtungserklärung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen ergeben.
2 Art der verarbeiteten Daten, Kreis der Betroffenen
Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragsverarbeiter Zugriff auf die hier näher spezifizierten personenbezogenen Daten.
Folgende Datenkategorien werden verarbeitet:
Namen, Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bestelldaten, Entgeltdaten, IT-Zugangsdaten (Benutzernamen, Systemkonfigurationen), IP-Adressen sowie alle weiteren im Zuge der Zusammenarbeit offengelegten Daten.
Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
Kunden, Ansprechpartner bzw. Beschäftigte des Kunden, Lieferanten, Beschäftigte des Auftraggebers.
3 Weisungsrecht
a. Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Verantwortlichen erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.
b. Der Verantwortliche ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
c. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
4 Schutzmaßnahmen des Auftragsverarbeiters
a. Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
b. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gemäß Art. 32 DSGVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
c. Den bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden „Mitarbeitende" genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung des Hauptvertrages oder des Beschäftigungsverhältnisses zwischen den Mitarbeitenden und dem Auftragsverarbeiter bestehen bleiben. Dem Verantwortlichen sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
5 Informationspflichten des Auftragsverarbeiters
a. Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gemäß Art. 30 Abs. 2 DSGVO enthält.
b. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Verantwortlichen unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde.
c. Über wesentliche Änderungen der Sicherheitsmaßnahmen nach § 4 hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu unterrichten.
6 Kontrollrechte des Verantwortlichen
a. Der Verantwortliche kann sich jederzeit vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters überzeugen. Hierfür kann er z. B. Auskünfte des Auftragsverarbeiters einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Verantwortliche wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören.
b. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.
c. Der Auftragsverarbeiter weist dem Verantwortlichen die Verpflichtung der Mitarbeiter nach § 4 c auf Verlangen nach.
7 Einsatz von Subunternehmern
a. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 2 genannten Subunternehmer durchgeführt. Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis") befugt. Er setzt den Verantwortlichen hiervon unaufgefordert in Kenntnis.
b. Der Auftragsverarbeiter ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Verpflichtungserklärung ebenso zu verpflichten und dabei sicherzustellen, dass der Verantwortliche seine Rechte aus dieser Verpflichtungserklärung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragsverarbeiter wird dem Verantwortlichen auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
c. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, und Bewachungsdienste.
8 Anfragen und Rechte Betroffener
a. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
b. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Verantwortlichen und wartet dessen Weisungen ab.
9 Haftung
a. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragsverarbeiter alleine der Verantwortliche gegenüber dem Betroffenen verantwortlich.
b. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
10 Beendigung des Hauptvertrags
a. Der Auftragsverarbeiter wird dem Verantwortlichen nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Republik Österreich eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
b. Der Verantwortliche hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragsverarbeiter in geeigneter Weise zu kontrollieren.
c. Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Verpflichtungserklärung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Verantwortlichen zugeleitet wurden oder die er für diesen erhoben hat.
11 Schlussbestimmungen
a. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
b. Diese Vereinbarung unterliegt österreichischem Recht. Ausschließlicher Gerichtsstand ist Weiz.
c. Der Auftragsverarbeiter ist berechtigt, jederzeit rechtskonforme Änderungen an dieser Verpflichtungserklärung vorzunehmen. Sollte er eine Änderung vornehmen (müssen), verpflichtet er sich, die jeweils letztgültige Version dieser Verpflichtungserklärung unaufgefordert dem Verantwortlichen in elektronischer Form zu übermitteln.
d. Diese Verpflichtungserklärung ersetzt alle bisherigen Vereinbarungen und Verträge zum Thema Auftragsverarbeitung.
Miesenbach bei Birkfeld, am _______________
Lukas Krempl IT Services e.U.
(Auftragsverarbeiter)
Verantwortlicher (Auftraggeber)
Firma, Name, Datum
Anlage 1 – Technisch-organisatorische Maßnahmen
Vertraulichkeit
- Zutrittskontrolle: Schutz vor unbefugtem Zutritt durch verschlossene Räumlichkeiten und Schlüsselverwaltung
- Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch sichere Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung mobiler Computer und externer Datenträger
- Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch Authentifizierung an relevanten Programmen mit Passwörtern, rollenbasierte Zugriffsrechte
- Trennungskontrolle: Getrennte Verarbeitung von Kundendaten durch logische Mandantentrennung, getrennte Ordnerstrukturen, getrennte Systeme für verschiedene Kunden
- Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt und gesondert aufbewahrt
Integrität
- Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch Verschlüsselung (TLS/SSL), Virtual Private Networks (VPN via Netbird), verschlüsselte Fernwartungsverbindungen (AnyDesk mit TLS 1.2)
- Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch Protokollierung und Dokumentenmanagement
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backup-Strategie und Recovery-Maßnahmen (Veeam / Open-Source-Backup), Virenschutz (ESET), Firewall, Patch-Management (XEOX), Meldewege und Notfallpläne
- Durch Einsatz von Sicherungssystemen und redundanter Infrastruktur ist eine Wiederherstellung betroffener Systeme möglich
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Dokumentation der Kundeninfrastruktur
- Datenschutz-Management
- Incident-Response-Management: Kontrollverfahren zur Unterstützung bei Sicherheitsverletzungen
- Datenschutzfreundliche Voreinstellungen
Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers durch eindeutige Vertragsgestaltung und Auswahl des Auftragsverarbeiters.
Anlage 2 – Auflistung der Subunternehmer
| Subunternehmer | Land | Funktion |
|---|---|---|
| Microsoft | Irland/EU | Cloud-Dienste (Microsoft 365), Betriebssysteme |
| ESET | Slowakei/EU | Virenschutz, Endpoint Security |
| XEOX | Österreich | Patch-Management, Remote Monitoring |
| AnyDesk | Deutschland/EU | Fernwartungssoftware, Remote-Support |
| Netbird | Deutschland/EU | VPN-Lösung |
| Veeam | Schweiz | Backup-Software |
| Apple | Irland/EU | Geräte-Support, Betriebssysteme (macOS, iOS) |
| Synology | Taiwan | NAS-Hardware (lokale Datenspeicherung beim Kunden) |
| ecomData / World4You | Österreich | VPS-Hosting, Webhosting |
| Proxmox | Österreich | Virtualisierungsplattform (Open Source, Self-Hosted) |
| Odoo | Self-Hosted | ERP/CRM-Software (Self-Hosted, keine Datenübermittlung an Dritte) |
| LibreOffice | Lokal | Office-Software (Open Source, lokale Verarbeitung) |
Diese Liste wird bei Änderungen aktualisiert. Der Verantwortliche wird über Änderungen unaufgefordert informiert.