Zum Inhalt springen
Zurück
HausMeista

Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Präambel

Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") wird zwischen dem Auftraggeber (nachfolgend „Verantwortlicher") und dem Auftragnehmer Florian Krimbacher (nachfolgend „Auftragsverarbeiter") geschlossen und ist Bestandteil des jeweiligen Nutzungsvertrags für die HausMeista-Anwendung. Er regelt die datenschutzrechtlichen Anforderungen gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).

§ 1 — Vertragsparteien

Auftraggeber (Verantwortlicher)

Das Hausmeister- oder Facility-Management-Unternehmen bzw. die natürliche oder juristische Person, die einen Nutzungsvertrag mit HausMeista abgeschlossen hat und die Anwendung zur Verwaltung eigener Einsätze und Mitarbeiter einsetzt.

Auftragnehmer (Auftragsverarbeiter)

Florian Krimbacher
Reimmichlgasse 11
6020 Innsbruck
Österreich
E-Mail: florian.krimbacher@outlook.com

Privatperson — kein Unternehmen im Sinne des Unternehmensgesetzbuchs (UGB)

§ 2 — Gegenstand und Dauer der Verarbeitung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der cloudbasierten Anwendung HausMeista für folgende Funktionsbereiche:

  • Einsatzdokumentation (Erfassung von Tätigkeiten, Fotos, GPS-Daten, Zeitstempeln)
  • Mülldienst-Verwaltung (Abfallkalender, Bereitstellungs- und Verräumprotokolle)
  • Winterdienst-Protokollierung (Streueinsätze, Räumflächen, Wetterdaten)
  • Anlagen- und Liegenschaften-Verwaltung (Objektadressen, Zonen)
  • Team-Verwaltung (Mitarbeiterkonten, Rollenvergabe)

Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Nutzungsvertrags zwischen den Parteien. Nach Vertragsende werden die Daten gemäß § 9 dieses AVV behandelt.

§ 3 — Art der verarbeiteten Daten und Betroffene

Kategorien personenbezogener Daten

  • Mitarbeiterdaten: Vor- und Nachname, E-Mail-Adresse, Rolle (Admin / Mitarbeiter)
  • Einsatzdaten: Fotos von Einsatzorten, GPS-Koordinaten, Zeitstempel (Beginn/Ende), Tätigkeitsbeschreibungen
  • Anlagendaten: Adressen und Bezeichnungen von Liegenschaften und Zonen
  • Mieterdaten (optional): Soweit der Auftraggeber im Rahmen der Einsatzdokumentation Daten zu Mietern oder Bewohnern eingibt (z. B. in Freitextfeldern), fallen diese ebenfalls unter diesen AVV.

Kategorien betroffener Personen

  • Mitarbeiter und Auftragnehmer des Verantwortlichen
  • Mieter, Eigentümer und sonstige Bewohner der betreuten Liegenschaften

§ 4 — Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine gesetzliche Pflicht erfordert eine anderweitige Verarbeitung.
  • Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Alle erforderlichen technisch-organisatorischen Maßnahmen gemäß Art. 32 DSGVO und § 5 dieses AVV zu ergreifen.
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit) sowie bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
  • Datenschutzverletzungen unverzüglich — spätestens binnen 72 Stunden nach Bekanntwerden — dem Verantwortlichen zu melden (Art. 33 DSGVO).
  • Nach Abschluss der Verarbeitung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (§ 9 dieses AVV).
  • Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten aus Art. 28 DSGVO nachweisen zu können, und Überprüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer zu ermöglichen und zu unterstützen.

§ 5 — Technisch-Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat gemäß Art. 32 DSGVO folgende Maßnahmen zum Schutz der personenbezogenen Daten getroffen:

Vertraulichkeit

  • Transportverschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2 / 1.3 (HTTPS).
  • Verschlüsselung im Ruhezustand: Datenbankinhalte und gespeicherte Dateien (Fotos) werden mittels AES-256 at-rest verschlüsselt.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungsmodell (Super-Admin, Admin, Mitarbeiter); mandantenfähige Datentrennung durch Row-Level-Security (RLS) auf Datenbankebene — jede Organisation sieht ausschließlich ihre eigenen Daten.
  • Authentifizierung: Passwortbasierter Login mit sicherer Session-Verwaltung; Passwörter werden ausschließlich gehasht gespeichert (bcrypt via Supabase Auth).

Integrität & Verfügbarkeit

  • Backups: Automatisierte tägliche Datenbank-Backups durch den Unterauftragnehmer Supabase (Point-in-Time Recovery).
  • Logging: Zugriffs- und Fehlerprotokolle werden serverseitig geführt.
  • Verfügbarkeit: Hochverfügbare Infrastruktur über Supabase und Vercel; SLA gemäß Bedingungen der Unterauftragnehmer.

Datensparsamkeit

  • Es werden nur jene Daten erhoben, die für den jeweiligen Funktionsbereich der Anwendung zwingend erforderlich sind.
  • GPS-Koordinaten werden ausschließlich im Rahmen der Einsatzdokumentation erfasst und nicht zu Tracking-Zwecken gespeichert.

§ 6 — Unterauftragnehmer

Der Auftragsverarbeiter setzt zur Erbringung der Leistung folgende Unterauftragnehmer ein, denen gegenüber gleichwertige datenschutzrechtliche Verpflichtungen auferlegt werden:

Supabase Inc.

Leistung: Datenbankhosting (PostgreSQL), Authentifizierung, Dateispeicherung (Fotos)
Sitz: 970 Toa Payoh North, Singapur / operativ: USA
Datenverarbeitungsstandort EU: Frankfurt am Main (AWS eu-central-1)
Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914
Datenschutzinformationen: supabase.com/privacy

Vercel Inc.

Leistung: Anwendungshosting, Edge Network, Server-Side Rendering
Sitz: 440 N Barranca Ave #4133, Covina, CA 91723, USA
Datenverarbeitungsstandort EU: Edge-Knoten in der EU (Frankfurt, Amsterdam u. a.)
Rechtsgrundlage Drittlandtransfer: EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914
Datenschutzinformationen: vercel.com/legal/privacy-policy

Der Verantwortliche stimmt dem Einsatz der oben genannten Unterauftragnehmer mit Abschluss des Nutzungsvertrags zu. Über wesentliche Änderungen im Kreis der Unterauftragnehmer wird der Verantwortliche vorab informiert und erhält die Möglichkeit, Einwände zu erheben.

§ 7 — Weisungsrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit schriftliche Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen erfolgen per E-Mail an florian.krimbacher@outlook.com.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine erteilte Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung einer solchen Weisung bis zur Klärung auszusetzen.

§ 8 — Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen gemäß Kapitel III DSGVO (insbesondere Art. 15–22 DSGVO). Dazu zählen:

  • Auskunftserteilung über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung von Daten auf Anfrage (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export als CSV/XLSX auf Anfrage

Anfragen sind schriftlich an florian.krimbacher@outlook.com zu richten. Der Auftragsverarbeiter wird dem Verantwortlichen die zur Beantwortung erforderlichen Informationen innerhalb von 5 Werktagen bereitstellen.

§ 9 — Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags wird der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen auf dessen Wahl:

  • Rückgabe: Export sämtlicher Daten in einem gängigen, maschinenlesbaren Format (CSV/XLSX/JSON) — auf Anfrage innerhalb von 30 Tagen nach Vertragsende kostenfrei bereitgestellt.
  • Löschung: Vollständige und unwiederbringliche Löschung aller Daten aus der Datenbank sowie sämtlicher gespeicherter Dateien (Fotos) innerhalb von 30 Tagen nach Vertragsende oder nach erfolgter Datenübertragung.

Gesetzlich vorgeschriebene Aufbewahrungsfristen bleiben hiervon unberührt. Die Löschung wird dem Verantwortlichen schriftlich bestätigt.

§ 10 — Laufzeit und Kündigung

Dieser AVV tritt mit Abschluss des Nutzungsvertrags in Kraft und läuft parallel zum Nutzungsvertrag. Er endet automatisch mit Beendigung des Nutzungsvertrags, ohne dass es einer gesonderten Kündigung bedarf.

Eine außerordentliche Kündigung dieses AVV ist möglich, wenn schwerwiegende Datenschutzverstöße durch eine der Parteien festgestellt werden und nicht binnen angemessener Frist abgestellt werden können. In diesem Fall gelten die Regelungen zur Datenlöschung gemäß § 9 entsprechend.

§ 11 — Haftung

Für Schäden, die durch eine nicht DSGVO-konforme Auftragsverarbeitung entstehen, haften Verantwortlicher und Auftragsverarbeiter gemäß Art. 82 DSGVO. Gegenüber betroffenen Personen haftet der Auftragsverarbeiter nur, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten nicht nachgekommen ist oder außerhalb der rechtmäßigen Weisungen des Verantwortlichen gehandelt hat.

§ 12 — Schlussbestimmungen

Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist Innsbruck, Österreich, soweit gesetzlich zulässig. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Änderungen dieses AVV bedürfen der Schriftform; E-Mail genügt.

Bei Widersprüchen zwischen diesem AVV und dem Nutzungsvertrag haben die Bestimmungen dieses AVV hinsichtlich der Verarbeitung personenbezogener Daten Vorrang.

Kontakt Datenschutz

Bei Fragen zu diesem AVV oder zur Datenverarbeitung wenden Sie sich bitte an:

Florian Krimbacher
Reimmichlgasse 11
6020 Innsbruck
Österreich
E-Mail: florian.krimbacher@outlook.com

Stand: März 2026
Impressum →Datenschutzerklärung →