Apps herunterladenAnmelden

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO für die Nutzung von SwagFlow

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen dem Kunden (nachfolgend "Verantwortlicher") und Othmar Fetz, Werbeagentur FETZ, Kirchenstraße 16, 4615 Holzhausen, Österreich (nachfolgend "Auftragsverarbeiter") im Zusammenhang mit der Nutzung der Software SwagFlow.

Dieser AVV ist Bestandteil des Hauptvertrags (AGB) und tritt mit dessen Wirksamkeit in Kraft.

§ 1 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung und des Betriebs der Software SwagFlow zur digitalen Abwicklung von Werbeartikelmessen.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung des Vertrags werden die Daten gemäß § 10 dieses AVV behandelt.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung und Verwaltung von Besucher-Registrierungsdaten
  • Verarbeitung von Check-in/Check-out-Ereignissen
  • Erfassung und Speicherung von Anfragen, Muster- und Katalogbestellungen
  • Erstellung und Speicherung von Angeboten
  • Kommunikation zwischen Besuchern und Händlern über das Besucher-Portal
  • Versand von E-Mails (Einladungen, Bestätigungen, Erinnerungen, Angebote)
  • Erstellung von Statistiken und Reports für den Veranstalter
  • Erstellung und Bereitstellung von Tickets und Badges (QR-Code, Short-Code)
  • Datensicherung (Backups)

Der Zweck der Verarbeitung ist ausschließlich die Erbringung der vertraglich vereinbarten Leistungen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

Besucher

  • Vorname, Nachname
  • E-Mail-Adresse
  • Unternehmen / Organisation
  • Telefonnummer (optional)
  • Registrierungsstatus und -zeitpunkt
  • Check-in/Check-out-Zeitpunkte
  • Zugeordneter Händler
  • Anfragen, Muster- und Katalogbestellungen
  • Kommunikation über das Besucher-Portal

Händler-Mitarbeiter

  • Vorname, Nachname
  • E-Mail-Adresse
  • Rolle und Berechtigungen
  • Anmeldedaten (verschlüsselt)

Aussteller-Mitarbeiter

  • Vorname, Nachname
  • E-Mail-Adresse
  • Rolle und Berechtigungen
  • Anmeldedaten (verschlüsselt)
  • Scan-Aktivitäten (welche Besucher gescannt wurden)

Check-in-Personal

  • Vorname, Nachname
  • E-Mail-Adresse
  • Anmeldedaten (verschlüsselt)

§ 4 Kategorien betroffener Personen

  • Besucher der Werbeartikelmesse
  • Mitarbeiter der teilnehmenden Händler
  • Mitarbeiter der teilnehmenden Aussteller
  • Check-in-Personal des Veranstalters

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich.
  • Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage: TOM).
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.) zu unterstützen.
  • Den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO zu unterstützen.
  • Nach Beendigung des Vertrags alle personenbezogenen Daten zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen.

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

DienstleisterZweckStandortDatenschutz (DPA)
Supabase Inc.Datenbank, Authentifizierung, Echtzeit-SyncEU (Frankfurt)DPA ansehen
Vercel Inc.Hosting & Betrieb der Web-AnwendungGlobal (EU-Region)DPA ansehen
Mailgun Technologies Inc.E-Mail-VersandEUDPA ansehen

Die Auftragsverarbeitungsverträge (DPAs) mit diesen Unterauftragsverarbeitern sind vorstehend verlinkt. Kopien der abgeschlossenen Vereinbarungen stellt der Auftragsverarbeiter dem Verantwortlichen auf Anfrage bereit.

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.

§ 7 Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet nur statt, sofern ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch EU-US Data Privacy Framework, Standardvertragsklauseln oder Angemessenheitsbeschluss der EU-Kommission). Die Übermittlung an Unterauftragsverarbeiter mit Sitz in den USA (z.B. Vercel Inc.) wird durch die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgesichert.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Die Meldung enthält mindestens:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen
  • Kategorien und ungefähre Anzahl der betroffenen Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

§ 9 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der in diesem AVV und in Art. 28 DSGVO enthaltenen Vorgaben durch Inspektionen oder Audits zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen die hierfür erforderlichen Auskünfte zu erteilen und den Zugang zu relevanten Unterlagen und Systemen zu ermöglichen. Inspektionen sind mit angemessener Vorlaufzeit anzukündigen und dürfen den Betrieb nicht unverhältnismäßig beeinträchtigen.

§ 10 Beendigung und Datenlöschung

Nach Beendigung des Hauptvertrags hat der Verantwortliche 30 Tage Zeit, alle Daten über die Export-Funktion der Software herunterzuladen.

Nach Ablauf dieser Frist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen unwiderruflich, es sei denn, eine Aufbewahrung ist nach Unionsrecht oder nationalem Recht erforderlich. Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.

§ 11 Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind in der Anlage Technische und organisatorische Maßnahmen (TOM) beschrieben und sind Bestandteil dieses Vertrags.

Stand: Mai 2026 · Version 1.0