Stand: 13. Mai 2026 — gilt für alle ab diesem Datum mit der Workheld GmbH neu abgeschlossenen Vereinbarungen über die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.
Diese Seite stellt die aktuelle Vorlage der Auftragsverarbeitungsvereinbarung (AVV) der Workheld GmbH gemäß Art. 28 DSGVO öffentlich zur Verfügung. Bestehende, individuell abgeschlossene AVVs (etwa als Anlage zu einem Cloud-Service-Agreement oder Enterprise-Vertrag) bleiben unverändert in Kraft; diese Vorlage ist der Standardtext, den wir für künftige bzw. neu abzuschließende Vereinbarungen verwenden.
Vereinbarung
betreffend die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen nach Datenschutzgesetz (DSG) und Art 28 Datenschutz-Grundverordnung (DSGVO)
abgeschlossen zwischen
[Firma des Verantwortlichen]
[Adresse]
[PLZ Ort, Land]
(im Folgenden „Verantwortlicher“)
und
Workheld GmbH
Rotensterngasse 5/3
1020 Wien, Österreich
FN 432744 p, Handelsgericht Wien
UID ATU69753046
(im Folgenden „Auftragsverarbeiter“)
zusammen als „Parteien“ bezeichnet
1. Präambel / Vertragsgegenstand
1. Der Auftragsverarbeiter erbringt aufgrund eines gesondert abgeschlossenen Vertrags (in der Folge „Grundvertrag“) Dienstleistungen für den Verantwortlichen, welche in der Verarbeitung personenbezogener Daten im Sinn des Art 4 Z 1 und 2 der EU-Datenschutz-Grundverordnung (DSGVO) bestehen oder eine solche mit sich bringen. Diese ergänzende Vereinbarung bildet die spezifische rechtsgeschäftliche Grundlage für die Datenverarbeitung gem. Art 28 Abs 3 DSGVO, wobei der Verantwortliche diesbezüglich als (einziger) „Verantwortlicher“ und der Auftragsverarbeiter als „Auftragsverarbeiter“ fungiert.
2. Der Grundvertrag bleibt davon unberührt, soweit dessen Bedingungen dieser Vereinbarung nicht widersprechen; letztere geht bei Regelungskollisionen im Zweifel zur Gänze vor und ist geltungserhaltend im Sinn der DSGVO und begleitender nationaler Normen (österr. Datenschutzgesetz – DSG) auszulegen.
3. Anhang 1 bildet einen integrierten Vertragsbestandteil. Unabhängig von darin enthaltenen Auflistungen bzw. Definitionen sind von diesem Vertrag jedenfalls sämtliche personenbezogenen Daten erfasst, die der Auftragsverarbeiter in Erfüllung des Grundvertrages für den Verantwortlichen in welcher Form auch immer verarbeitet oder auf die der Auftragsverarbeiter in diesem Kontext zugreift bzw. zugreifen kann.
2. Konkrete Datenverarbeitung / Beschränkungen
4. Der äußerste Rahmen der vertragsgegenständlichen Datenanwendungen ergibt sich aus dem Inhalt des Grundvertrages. Ergänzend werden in Anhang 1 zu dieser Vereinbarung Gegenstand, Dauer, Art und Zwecke der Verarbeitung, sowie diejenigen personenbezogenen Daten, die dem Auftragsverarbeiter zur Auftragserfüllung übermittelt oder zugänglich gemacht werden, und die Kategorien betroffener Personen zusammengefasst.
5. Soweit der Auftragsverarbeiter nicht gesetzlich zu bestimmten Verarbeitungen verpflichtet ist, verwendet er die personenbezogenen Daten ausschließlich zur Erfüllung seiner Vertragspflichten gegenüber dem Verantwortlichen, also wie hier vereinbart oder vom Verantwortlichen angewiesen. Von den weiteren gesetzlichen Verarbeitungspflichten setzt er den Verantwortlichen im zulässigen Ausmaß vorweg in Kenntnis.
6. Der Auftragsverarbeiter darf die Daten keinesfalls für eigene oder fremde Zwecke verwenden oder ohne schriftliche Weisung bzw. Genehmigung des Verantwortlichen an Dritte weitergeben, soweit nicht Punkt 5 dieser Vereinbarung eine Weitergabe gestattet. Kopien oder Duplikate von Daten werden ohne gesonderte Zustimmung des Verantwortlichen nur insoweit erstellt, als sie zur Gewährleistung ordnungsgemäßer Verarbeitung (Sicherheitskopien) oder im Hinblick auf gesetzliche Aufbewahrungspflichten erforderlich sind.
7. Die Daten sind innerhalb des Europäischen Wirtschaftsraums (EWR) zu verarbeiten. Eine Übermittlung in Drittländer ist nur zulässig, sofern (i) ein Angemessenheitsbeschluss der Europäischen Kommission besteht – insbesondere das EU-U.S. Data Privacy Framework gemäß Beschluss (EU) 2023/1795 für DPF-zertifizierte Empfänger in den USA –, (ii) geeignete Garantien gemäß Art 46 DSGVO (insbesondere Standardvertragsklauseln nach Art 46 Abs 2 lit c DSGVO) ergänzt um geeignete zusätzliche Maßnahmen im Sinne der Rechtsprechung des EuGH (insbesondere Rs. C-311/18, „Schrems II“) vorliegen, oder (iii) eine Ausnahme nach Art 49 DSGVO greift. Der Verantwortliche wird über jede Drittlandübermittlung schriftlich in Kenntnis gesetzt.
8. Die Datenverarbeitung hat insgesamt auf eine Weise zu erfolgen, die den Verantwortlichen jederzeit bei der Erfüllung seiner datenschutzrechtlichen Pflichten gegenüber Betroffenen und Behörden unterstützt.
9. Nach Abschluss der vereinbarten Leistungserbringung (spätestens mit Vertragsbeendigung) oder bei vorheriger Aufforderung durch den Verantwortlichen hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Informationen, Unterlagen, die Verarbeitungs- und Nutzungsergebnisse sowie in Zusammenhang mit dem Auftragsverhältnis stehende Datensätze (einschließlich Test- und Ausschussmaterial) in einem strukturierten, gängigen und maschinenlesbaren Dateiformat (z. B. JSON oder CSV) innerhalb von dreißig (30) Tagen nach Vertragsende dem Verantwortlichen zu retournieren bzw. nach dessen vorheriger Zustimmung nachweislich zu vernichten. Gesetzliche Aufbewahrungspflichten (insbesondere § 132 BAO und § 212 UGB) bleiben unberührt; insoweit gespeicherte Daten werden bis zum Ablauf der jeweiligen Aufbewahrungsfrist gesperrt verarbeitet.
3. Rechte und Pflichten des Verantwortlichen
10. Der Verantwortliche erklärt ausdrücklich, Verantwortlicher gem. Art 4 Z 7 DSGVO in Bezug auf die bereitgestellten personenbezogenen Daten zu sein, und entscheidet im Rahmen dieser Vertragsbeziehung somit alleine über Zwecke und Mittel ihrer Verarbeitung. Er hat für die Zulässigkeit der beauftragten Datenverarbeitung bzw. Legitimität ihrer Zwecke zu sorgen und gegenüber Dritten die Einhaltung aller Datenschutzvorschriften sowie die Wahrung der Betroffenenrechte zu gewährleisten und zu vertreten.
11. In diesem Sinn steht dem Verantwortlichen gegenüber dem Auftragsverarbeiter ein umfassendes Weisungsrecht hinsichtlich Art und Umfang der Datenverarbeitung zu. Sofern eine solche Weisung nach Auffassung des Auftragsverarbeiters gegen geltendes Datenschutzrecht verstoßen könnte, hat er den Verantwortlichen unverzüglich zu warnen (Art 28 Abs 3 letzter Satz DSGVO) und kann er die Durchführung bis zur Bestätigung oder Abänderung aussetzen; offensichtlich rechtswidrige Weisungen sind nicht zu befolgen.
12. Die Entscheidung über eine Einschränkung, Löschung oder Berichtigung vertragsgegenständlicher Datensätze steht ausschließlich dem Verantwortlichen zu. Der Auftragsverarbeiter hat dahingehend niemals eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen tätig zu werden. Wenden sich betroffene Personen diesbezüglich direkt an den Auftragsverarbeiter, so leitet dieser derartige Ersuchen ohne schuldhafte Verzögerung an den Verantwortlichen weiter.
13. Soweit vom Grundvertrag umfasst, wird der Auftragsverarbeiter hinsichtlich Löschung bzw. „Vergessenwerden“, Berichtigung, Datenportabilität und Datenauskunft (Art 15–22 DSGVO) unterstützen; die entsprechende Kommunikation und Durchführung mit Betroffenen obliegt jedoch grundsätzlich dem Verantwortlichen.
4. Pflichten des Auftragsverarbeiters
14. Der Auftragsverarbeiter ist für die vertragsgemäße Auftragsdatenverarbeitung im Rahmen des geltenden Datenschutzrechts verantwortlich. Er bestätigt die Kenntnis aller einschlägigen Vorschriften und beachtet insbesondere die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art 5 DSGVO.
15. Konkrete Verpflichtungen bzw. detaillierte Verhaltensvorgaben, die sich weder direkt aus dem Grundvertrag noch aus objektivem Recht ergeben, sind als „Anweisungen zur Datenverarbeitung“ in Anhang 1 festgehalten. Der Verantwortliche behält sich bedarfsabhängige Anpassungen sowie die jederzeitige Erteilung weiterer/abweichender Einzelweisungen vor.
16. Der Auftragsverarbeiter garantiert, dass alle zur beauftragten Datenverarbeitung eingesetzten bzw. befugten Personen entsprechend geeignet sind und zur Vertraulichkeit verpflichtet wurden oder einer angemessenen – insbesondere gesetzlichen – Verschwiegenheitspflicht unterliegen (Art 28 Abs 3 lit b DSGVO). Die Verschwiegenheitspflicht ist auch nach der Beendigung dieser Vereinbarung einzuhalten. Der Auftragsverarbeiter instruiert, schult und sensibilisiert die betroffenen Mitarbeiter regelmäßig zu Datenschutz, Datensicherheit und Vertraulichkeit und überwacht die Einhaltung der Vorgaben.
17. Der Auftragsverarbeiter verpflichtet sich, im Sinn des Art 32 DSGVO alle für die Sicherheit der Datenverarbeitung erforderlichen Maßnahmen zu ergreifen (Art 28 Abs 3 lit c DSGVO). Er wird insbesondere alle organisatorischen und technischen Vorkehrungen dafür treffen, dass die Integrität der Verarbeitung gewährleistet und der Verlust personenbezogener Daten sowie der unbefugte Zugriff Dritter darauf verhindert wird. Die vom Auftragsverarbeiter umgesetzten Maßnahmen sind in Anhang 1 angeführt und entsprechen einem an ISO/IEC 27001:2022 ausgerichteten Informationssicherheits-Managementsystem. Der Auftragsverarbeiter ist nach ISO/IEC 27001:2022 durch die akkreditierte Proks Certification GmbH (Zertifikatsnummer AT-IS-20260241, gültig vom 5. Februar 2026 bis 4. Februar 2029) zertifiziert. Das Zertifikat sowie die ISMS-Policy (POL-6) sind unter workheld.com/informationssicherheit-bei-workheld öffentlich abrufbar und werden dem Verantwortlichen auf Verlangen jederzeit zur Verfügung gestellt.
Der Auftragsverarbeiter wird seine Prozesse und Maßnahmen-Effizienz regelmäßig kontrollieren, dokumentieren und gegebenenfalls notwendig gewordene oder technischen Fortschritten entsprechende Modifikationen vornehmen/veranlassen. Daraus resultierende Kosten werden vom Auftragsverarbeiter ausschließlich aufgrund gesonderter Vereinbarung mit dem Verantwortlichen in Rechnung gestellt.
Soweit der Verantwortliche selbst als wesentliche oder wichtige Einrichtung im Sinne der Richtlinie (EU) 2022/2555 (NIS-2) oder deren nationaler Umsetzung verpflichtet ist, dient die Bereitstellung dieser Maßnahmen, der ISO/IEC 27001-Dokumentation und der Vorfallmeldung gemäß Punkt 20 dieser Vereinbarung der Erfüllung seiner Lieferketten-Sicherheitspflichten nach Art. 21 Abs. 2 lit. d NIS-2; weitergehende vertragliche oder organisatorische Maßnahmen sind im Grundvertrag oder durch gesonderte Vereinbarung zu regeln.
18. Der Auftragsverarbeiter wird den Verantwortlichen bei der Umsetzung seiner Informationspflichten und geltend gemachter Betroffenenrechte unterstützen (Art 28 Abs 3 lit e DSGVO). Insbesondere schafft er die technischen und organisatorischen Voraussetzungen dafür, dass der Verantwortliche seinen Verpflichtungen gegenüber Betroffenen gem. Art 15 ff DSGVO (Auskunftserteilung, Berichtigung, Löschung/„Vergessenwerden“, Datenportabilität, Widerspruch) innerhalb der maßgeblichen Fristen nachkommen kann. Der Auftragsverarbeiter liefert dem Verantwortlichen jedenfalls die mit vertretbarem technischem und wirtschaftlichem Aufwand einholbaren Informationen, sofern der Verantwortliche dazu aus technischer Sicht nicht selbst in der Lage ist.
19. Der Auftragsverarbeiter hat den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen auch bei der Erfüllung von dessen Verpflichtungen gemäß Art 32–36 DSGVO (Sicherheit der Verarbeitung, Meldung und Benachrichtigung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) zu unterstützen (Art 28 Abs 3 lit f DSGVO).
19a. Datenschutzbeauftragte des Auftragsverarbeiters. Der Auftragsverarbeiter benennt als Datenschutzbeauftragte: Dipl.-Inf. Christine Geier, MBA, erreichbar über Workheld GmbH, Rotensterngasse 5/3, 1020 Wien, oder per E-Mail an hallo@workheld.com mit dem Betreff „Datenschutz“. Sie ist Ansprechpartnerin für alle datenschutzrechtlichen Anfragen des Verantwortlichen im Rahmen dieser Vereinbarung.
19b. KI-Verarbeitung (Workheld AI / Azure OpenAI Service). Soweit der Verantwortliche im Rahmen der Workheld Plattform die Komponente Workheld AI nutzt, gelten ergänzend folgende Festlegungen:
(i) Workheld setzt für die KI-Funktionalität Microsoft Azure OpenAI Service als Sub-Auftragsverarbeiter im EU-Tenant West Europe ein (siehe Anhang 1, Abschnitt 3.A). Die übermittelten Eingaben werden nicht zum Training der zugrunde liegenden Sprachmodelle verwendet; eine Weitergabe an OpenAI Inc. erfolgt nicht.
(ii) Der Verantwortliche ist Betreiber (Deployer) im Sinne von Verordnung (EU) 2024/1689 (KI-Verordnung) gegenüber seinen Endnutzern und erfüllt die Transparenzpflicht gemäß Art. 50 Abs. 1 KI-Verordnung selbst. Workheld unterstützt durch Bereitstellung geeigneter Hinweistexte und UI-Elemente in der Plattform.
(iii) Geistige Eigentumsrechte an Eingaben und KI-generierten Ausgaben verbleiben im Verhältnis der Parteien beim Verantwortlichen, soweit gesetzlich zulässig. Workheld leitet aus der KI-Verarbeitung keine eigenen Nutzungsrechte ab, die über die Erfüllung des Grundvertrags und dieser Vereinbarung hinausgehen.
(iv) Der Verantwortliche stellt sicher, dass seine Eingaben in die KI-Funktionalität keine besonderen Datenkategorien gemäß Art. 9 DSGVO enthalten, soweit dies nicht im Grundvertrag ausdrücklich vereinbart ist, und dass die Verwendung nicht in einen nach Art. 5 oder Anhang III KI-Verordnung erfassten Hochrisiko- oder verbotenen Anwendungsfall fällt.
19c. IIoT-Telemetrie (Workheld Sense / Luna). Soweit der Verantwortliche im Rahmen der Workheld Plattform die Komponente Workheld Sense einschließlich der Edge-Komponente „Luna“ nutzt, gelten ergänzend folgende Festlegungen:
(i) Die durch Luna und die Workheld-Sense-Plattform erhobenen Maschinen- und Anlagendaten („Produktdaten“ im Sinne von Art. 2 Nr. 15 Verordnung (EU) 2023/2854) sind grundsätzlich nicht personenbezogen. Soweit sie keinen Personenbezug aufweisen, fallen sie nicht in den Anwendungsbereich dieser Vereinbarung; die zugehörigen Datenrechte und -pflichten sind in Teil IV der Allgemeinen Geschäftsbedingungen geregelt.
(ii) Soweit die unter (i) genannten Daten personenbezogene Anteile enthalten (insbesondere Bediener-Identifikatoren, RFID-Authentifizierungen, Schichtzuordnungen) oder mit personenbezogenen Daten verknüpft werden, fallen diese Anteile in den Anwendungsbereich dieser Vereinbarung und unterliegen den Festlegungen der Anhang 1.
(iii) Luna verbindet sich ausschließlich über eine ausgehende, TLS-gesicherte MQTT-Verbindung mit dem HiveMQ-MQTT-Broker, der in der Microsoft-Azure-Infrastruktur des Auftragsverarbeiters in der Region West Europe betrieben wird (siehe Anhang 1, Abschnitt 3.A). Eine eingehende Verbindung zum OT-Netzwerk des Verantwortlichen erfolgt nicht.
20. Meldung von Datenschutzverletzungen. Der Auftragsverarbeiter wird den Verantwortlichen (bzw. dessen namhaft gemachten Datenschutzbeauftragten oder die in Anhang 1 angegebene Kontaktstelle) über relevante Verletzungen des Schutzes bzw. der Sicherheit vertragsgegenständlicher Daten in seinem Verantwortungsbereich ohne unangemessene Verzögerung, längstens jedoch innerhalb von 24 Stunden ab Kenntnis vom relevanten Ereignis informieren, damit der Verantwortliche seinen Meldepflichten gemäß Art 33 DSGVO innerhalb der 72-Stunden-Frist nachkommen kann. Die Erstmeldung kann formlos per E-Mail erfolgen; eine vollständige Meldung mit den nach Art 33 Abs 3 DSGVO erforderlichen Inhalten – insbesondere Ausmaß der betroffenen Datensätze/-kategorien und Personen, zu erwartende Folgen der Verletzung, bereits ergriffene bzw. geplante Gegenmaßnahmen, Kontaktdaten der verantwortlichen Person beim Auftragsverarbeiter – folgt unverzüglich nach Vorliegen der Informationen.
5. Einsatz weiterer (Sub-)Auftragsverarbeiter
21. Der Auftragsverarbeiter ist berechtigt, (Sub-)Auftragsverarbeiter bei der Erfüllung dieser Vereinbarung in Hinblick auf die Datenverarbeitung hinzuziehen, sofern die Erbringung der Hauptleistung(en) – in Bezug auf Datenverarbeitung – selbst vertraglich verlagert bzw. delegiert werden soll. Nicht als in diesem Sinn relevante Sub-Auftragsverhältnisse gelten daher z. B. Hilfsdienstleistungen Dritter bei Telekommunikation, Versand/Transport, IT-Wartung (z. B. Herstellersupportleistungen), Benutzerservices etc., wobei allerdings auch insoweit für risikoangemessene und gesetzeskonforme Vertragsregelungen bzw. Kontrollmaßnahmen zu sorgen ist.
22. Für die in Anhang 1 aufgelisteten Sub-Auftragsverarbeiter gilt die Zustimmung zur Sub-Beauftragung unter den Voraussetzungen als erteilt, dass sie zur konkreten vertragsgemäßen Tätigkeit objektiv geeignet sind, insbesondere hinreichende Garantien für die nötigen technisch-organisatorischen Maßnahmen bieten, und sich in belegbar abgeschlossenen Vereinbarungen gem. Art 28 Abs 3 DSGVO zumindest zur Gewährleistung des vom gegenständlichen Vertrag vorgegebenen Datenschutzniveaus verpflichten. Erbringt der Sub-Auftragsverarbeiter die vereinbarte Leistung außerhalb der EU bzw. des EWR, stellt der Auftragsverarbeiter ein angemessenes Datenschutzniveau auf Grundlage eines Angemessenheitsbeschlusses (insbesondere EU-U.S. Data Privacy Framework) oder von Standardvertragsklauseln gemäß Art 46 Abs 2 lit c DSGVO – ergänzt um geeignete zusätzliche Maßnahmen – sicher.
23. Über jede beabsichtigte Änderung (Ergänzung oder Ersetzung) beim Einsatz von Sub-Auftragsverarbeitern ist der Verantwortliche so rechtzeitig zu informieren, dass dieser noch vor der Umsetzung bei wesentlicher Erhöhung des Risikos für den Verantwortlichen allfällige Einwände gegen bestimmte weitere Verarbeiter erheben kann, wobei eine Verständigung per E-Mail ausreichend ist. Der Verantwortliche teilt dem Auftragsverarbeiter binnen 14 Tagen nach Verständigung mit, ob er Einspruch gegen die Änderung erhebt oder ob er diese genehmigt. Der Auftragsverarbeiter wird den Einspruch des Verantwortlichen prüfen. Der Auftragsverarbeiter kann im eigenen Ermessen entweder die Leistung selbst erbringen, einen anderen Sub-Auftragsverarbeiter oder dennoch den ursprünglichen Sub-Auftragsverarbeiter einsetzen. Im letzten Fall steht dem Verantwortlichen ein außerordentliches Kündigungsrecht des Grundvertrags (und damit automatisch auch dieses Vertrags) zu.
24. Der Auftragsverarbeiter wird dem Verantwortlichen in geeigneter Weise Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zur Verfügung stellen und eine Überprüfung im Sinne des Art 28 Abs 3 lit h DSGVO ermöglichen. Als geeigneter Nachweis gelten insbesondere das aktuelle ISO/IEC 27001-Zertifikat samt Statement of Applicability sowie weitere Sicherheits- bzw. Auditberichte. Ohne besonderen Anlass wird der Verantwortliche diese Befugnisse nicht häufiger als einmal pro Vertragsjahr ausüben.
6. Haftung
25. Es gelten die gesetzlichen Haftungsbestimmungen nach der DSGVO. Im Innenverhältnis haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen nach den im Grundvertrag vereinbarten Haftungsregelungen.
7. Vertragsdauer / Beendigung
26. Diese Vereinbarung tritt mit beiderseitiger Unterfertigung oder ausdrücklicher Zustimmung (etwa im Wege elektronischer Korrespondenz) in Kraft und gilt akzessorisch zum Grundvertrag, also jedenfalls solange der Auftragsverarbeiter die darin bezeichneten, datenschutzrechtlich relevanten Dienstleistungen für den Verantwortlichen erbringt. Sie endet ohne Bedarf gesonderter Erklärungen mit vollständigem Wegfall des Grund-Rechtsverhältnisses (gleich aus welchem Grund). Die Pflichten zur Rückgabe bzw. Vernichtung der Daten gemäß Punkt 9 bleiben hiervon unberührt.
8. Schlussbestimmungen
27. Änderungen und Ergänzungen zu diesem Vertrag, einschließlich des einvernehmlichen Abgehens vom Erfordernis der Schriftlichkeit, bedürfen der Schriftform, wobei die Übermittlung elektronischer Nachrichten an die zuletzt angegebene (E-Mail-)Kontaktadresse genügt.
28. Sollten einzelne Teile dieses Vertrags ungültig sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen. Eine weggefallene Bestimmung ist durch diejenige zulässige bzw. gültige zu ersetzen, die dem wirtschaftlichen Gehalt bzw. von den Parteien verfolgten Zweck am nächsten kommt. Gleichermaßen ist bei Vertragslücken vorzugehen.
29. Die Vereinbarung unterliegt allein österreichischem materiellen Recht sowie sachlich relevantem Unionsrecht, insbesondere der DSGVO. Ausschließlicher Gerichtsstand ist Wien, Innere Stadt.
Anhang 1
1) Datenverarbeitungs-Spezifikationen
Datenschutzbeauftragte / Datenschutzkontakt:
- Auf Seite des Verantwortlichen: ……………………………………………………
- Auf Seite des Auftragsverarbeiters: Dipl.-Inf. Christine Geier, MBA, Workheld GmbH, Rotensterngasse 5/3, 1020 Wien, hallo@workheld.com (Betreff: „Datenschutz“)
Bezug auf den Grundvertrag (Bezeichnung, Datum, Laufzeit): …………………………………………………
Gegenstand der Verarbeitung(en) im Anwendungsbereich dieser Vereinbarung sind:
☒ Personenstammdaten: ☒ Name ☐ Akad. Grad ☐ Geburtsdatum ☐ Wohnadresse
☒ Kontaktdaten: ☒ Telefonnummer ☒ E-Mail-Adresse
☒ Vertragsdaten: ☒ Bestellung ☒ Korrespondenz ☒ Vertragsinhalte ☐ Kundenhistorie
☒ Zustimmungserklärungen
☒ Abrechnungs- und Zahlungsdaten
☒ Kommunikations- und Verhaltensdaten: ☒ IP-Adresse ☒ elektronische Verbindungsdaten ☒ Bewegungs- und Nutzungsdaten
☐ Sonstige Angaben/Informationen zur Person oder deren Verhalten: ………………………………
Die davon betroffenen Personen sind in Bezug auf den Verantwortlichen:
☒ Mitarbeiter und autorisierte Vertreter des Verantwortlichen (z. B. Disponenten, Techniker, Werker, Administratoren)
☒ Service-Empfänger / Kunden des Verantwortlichen, soweit deren Daten im Workflow erfasst werden
☐ Lieferanten
☐ Sonstige: ………………………………………………………….
Die konkrete Verarbeitung dieser Daten besteht in deren:
☒ Erhebung/Erfassung ☒ Speicherung ☒ Organisation/Ordnung ☒ Anpassung/Berichtigung/Ergänzung ☒ Auslesen ☒ Übermittlung/Offenlegung an berechtigte Empfänger (z. B. zwischen Mitarbeitenden des Verantwortlichen, an in Anhang 1 Section 3 aufgelistete Sub-Auftragsverarbeiter) ☒ Abgleich/Verknüpfung ☒ Einschränkung ☒ Löschung/Vernichtung
☐ sonstiger Verwendung: …………………………………………….
Zweck der Verarbeitung: Erbringung der im Grundvertrag vereinbarten SaaS-, Beratungs- oder Entwicklungs-Leistungen der Workheld Plattform (Workheld Flow, Workheld Sense, Workheld AI) sowie damit verbundene Hilfs- und Wartungsleistungen.
Dauer der Verarbeitung: Für die Laufzeit des Grundvertrags; bei Vertragsende gelten die Rückgabe-/Vernichtungspflichten gemäß Punkt 9 dieser Vereinbarung.
Besondere Anweisungen zur Datenverarbeitung: …………………………………………
2) Technisch-organisatorische Maßnahmen (Art 32 DSGVO)
Der Auftragsverarbeiter hat die Datensicherheit bzw. ein dem Verarbeitungsrisiko angemessenes, dem Stand der Technik entsprechendes Schutzniveau hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie hinsichtlich der Belastbarkeit von Systemen zu gewährleisten. Die nachfolgenden Maßnahmen werden im Rahmen des nach ISO/IEC 27001:2022 zertifizierten ISMS des Auftragsverarbeiters (Zertifikatsnummer AT-IS-20260241, Proks Certification GmbH) umgesetzt, dokumentiert und regelmäßig auditiert.
Zutrittskontrolle
- Videoüberwachung der Zugänge
- Zugangsbeschränkung für Büro- und Geschäftsräume
- Sicherheitsschlösser, manuelles Schließsystem mit Schlüsselregelung
- Absicherung von Gebäudeschächten, Hintertüren, Nebeneingängen
- Regelung des Besucherzutritts (Anmeldung, Protokollierung)
Zugangskontrolle
- Passworteingabe zur Anmeldung, Richtlinie zur Passwortsicherheit
- Berechtigungskonzept mit eindeutigen Benutzer-IDs (Single-Sign-On über Microsoft Entra ID / Auth0)
- Mehr-Faktor-Authentifizierung für administrative Zugänge
- Authentifizierung über Benutzername und Passwort plus MFA
- Gesicherte Verbindung bei Fernwartung
- Protokollierung der Zugänge (An- und Abmeldung) zu Datenverarbeitungssystemen
- Konto-Sperre bei fehlerhaften Zugangsversuchen
- Automatische Rechnersperre bei vorübergehender Abwesenheit
- Regelmäßiger erzwungener Passwortwechsel und Sperre ausgeschiedener Benutzer
- Verwaltung der Rechte durch Systemadministrator, sichere Aufbewahrung administrativer Credentials in einem Passwortmanager
- Angriffserkennungssystem / Anti-Viren-Software, Endpoint-Detection-and-Response
- Abschottung durch Firewall, segmentierte Netzwerke
- Daten-/Festplattenverschlüsselung von mobilen Endgeräten
- Mobile-Device-Management auf Smartphones und Tablets
- Regelmäßige Aktualisierung der Schutzprogramme und Betriebssysteme
Zugriffskontrolle
- Zugriffsbeschränkung für Computersysteme und Netzlaufwerke auf berechtigte Benutzer
- Zugriffsbeschränkung für Backup-Datenträger auf Systemadministratoren
- Berechtigungskonzept nach Zweckbindungsprinzip mit differenzierten Berechtigungen (Lesen, Ändern, Profile, Rollen, Transaktionen, Objekte)
- Berechtigungsverwaltung durch Systemadministrator
- Meldung und Auswertung erfolgter/versuchter Sicherheitsverletzungen
- Ordnungsgemäße Datenträgervernichtung; Überschreibung der Datenträger vor Wiederverwendung
- Verschlüsselung von Datenträgern
Weitergabekontrolle
- Monitoring des Datenverkehrs
- Verschlüsselte programmgesteuerte Übermittlung von Daten
- Datentransfer über gesicherte Verbindungen (z. B. HTTPS/TLS 1.2+, SFTP)
- Protokollierung von Abruf- und Übermittlungsvorgängen
- Einrichtung von VPN-Verfahren für administrative Zugriffe
- Einsatz von Passwörtern und Passwortsicherheit; getrennte Wege zur Passwortübermittlung
Eingabekontrolle
- Nachvollziehbarkeit der Zugriffe anhand individueller Benutzernamen
- Nachvollziehbarkeit der Zugriffe anhand der Benutzergruppen
- Protokollierung von Eingabe, Änderung und Löschung von Daten in der Workheld Plattform (Audit-Trail)
- Authentizität (jederzeitige Datenzuordenbarkeit zu ihrem Ursprung)
Auftragskontrolle
- Auswahl weiterer (Sub-)Auftragsverarbeiter nach Datensicherheitsgarantien
- Verpflichtung aller Sub-Auftragsverarbeiter gemäß Art 28 Abs 3 DSGVO
- Sicherstellung der Rückgabe / ordnungsmäßen Vernichtung aller Daten bei Vertragsbeendigung
- Beachtung der Voraussetzungen der DSGVO bei Auftragsdatenverarbeitung in Drittstaaten (DPF / SCCs)
Verfügbarkeitskontrolle
- Datensicherungskonzept mit georedundanter Speicherung in Microsoft Azure (Region West Europe)
- Notfallplan / Recovery-Konzept
- Einsatz spezieller Schutzprogramme (DDoS-Schutz, WAF)
- Unterbrechungsfreie Stromversorgung und Brandschutz in den Rechenzentren (auf Ebene des Cloud-Anbieters)
- Temperatur-/Feuchtigkeitsüberwachung in den Rechenzentren (auf Ebene des Cloud-Anbieters)
- Regelmäßige Wiederherstellungstests
- Minimierung der Eintrittspunkte für Schadsoftware
Trennungsprinzip
- Mandantentrennung der Workheld Plattform (logische Trennung pro Tenant)
- Trennung von Entwicklungs-, Test- und Produktivsystemen
- Festlegung von Datenbankrechten (Zugriffsschranken)
- Rollentrennung von Benutzern
- Berechtigungskonzept mit getrennter Verwaltung durch Systemadministrator
Organisation
- Bestellung einer Datenschutzbeauftragten (Dipl.-Inf. Christine Geier, MBA)
- Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses
- Verpflichtung des Fremdpersonals (externe Entwicklungspartner) zur Wahrung des Datengeheimnisses; NDA-Verpflichtung
- Regelmäßige Datenschutz- und Sicherheitsschulungen für Mitarbeiter
- IT- und Sicherheitsrichtlinien als Teil des ISMS (ISO/IEC 27001:2022)
- Dokumentiertes Datenschutz- und Informationssicherheitskonzept
- Jährliche externe Audits durch die akkreditierte Zertifizierungsstelle
Es wird festgehalten, dass die genannten Maßnahmen in den Betriebsräumlichkeiten und in der Zugriffssphäre des Auftragsverarbeiters bzw. seiner Sub-Auftragsverarbeiter gelten und umgesetzt sind. Der Auftragsverarbeiter übernimmt keine Verantwortung und Haftung für die im Macht- und Einflussbereich des Verantwortlichen notwendigen und/oder geltenden technischen oder organisatorischen Maßnahmen.
3) Liste eingesetzter Sub-Auftragsverarbeiter
Die nachstehenden Anbieter verarbeiten personenbezogene Daten im Auftrag des Auftragsverarbeiters im Rahmen der Workheld Plattform. Mit allen genannten Anbietern bestehen Auftragsverarbeitungsvereinbarungen gemäß Art 28 DSGVO oder gleichwertige vertragliche Garantien. Übermittlungen in Drittländer erfolgen auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-U.S. Data Privacy Framework gemäß Beschluss (EU) 2023/1795) oder von Standardvertragsklauseln gemäß Art 46 Abs 2 lit c DSGVO, jeweils ergänzt um geeignete zusätzliche Maßnahmen.
A. Kern-Infrastruktur und SaaS-Plattform
| Anbieter | Sitz | Zweck | Standort der Verarbeitung | Übermittlungsmechanismus |
|---|---|---|---|---|
| Microsoft Ireland Operations Limited (Azure) | Dublin, Irland | Cloud-Hosting der Workheld Plattform | EU (West Europe / Niederlande) | Art 28 DSGVO; bei Zugriffen aus Drittländern SCCs Art 46 Abs 2 lit c DSGVO |
| Microsoft Ireland Operations Limited (Azure OpenAI Service) | Dublin, Irland | AI-Chatbot innerhalb der Plattform; Modellaufrufe ohne Trainingsnutzung der übermittelten Daten | EU (gleiche Region wie Plattform); keine Weitergabe an OpenAI Inc. | Art 28 DSGVO; bei Zugriffen aus Drittländern SCCs Art 46 Abs 2 lit c DSGVO |
| Okta, Inc. (Auth0) | San Francisco, USA | Authentifizierung und Benutzerverwaltung | EU-Hosting; US-Mutterunternehmen | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Functional Software, Inc. (Sentry) | San Francisco, USA | Crash- und Error-Reporting (sendDefaultPii: false) | EU-Hosting (ingest.de.sentry.io); US-Mutterunternehmen | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Twilio Ireland Limited (SendGrid) | Dublin, Irland | Transaktionale E-Mails (Benachrichtigungen) | EU; US-Mutterunternehmen Twilio Inc. | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Twilio Ireland Limited | Dublin, Irland | Notification Services (SMS, Push, Voice) | EU; US-Mutterunternehmen | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Mixpanel, Inc. | San Francisco, USA | Produkt-Analytics (pseudonyme Nutzungsdaten) | EU-Hosting; US-Mutterunternehmen | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| 84codes AB (CloudAMQP) | Stockholm, Schweden | Message-Queue-Service zwischen Services | EU (Schweden) | Art 28 DSGVO |
| HiveMQ GmbH | Landshut, Deutschland | MQTT-Broker für IIoT-Telemetrie (Workheld Sense / Luna); keine personenbezogenen Daten | EU (Microsoft Azure West Europe, selbst gehostet durch den Auftragsverarbeiter) | Lizenzierte Software, selbst gehostet; HiveMQ GmbH hat keinen Zugriff auf die verarbeiteten Daten |
| TigerData Inc. (TimescaleDB) | New York, USA | Speicherung von Zeitreihen-Daten; keine personenbezogenen Daten | EU (Microsoft Azure West Europe, selbst gehostet durch den Auftragsverarbeiter) | Lizenzierte Software, selbst gehostet; TigerData Inc. hat keinen Zugriff auf die verarbeiteten Daten |
Hinweis zur Klassifikation: HiveMQ GmbH und TigerData Inc. sind in obiger Tabelle aus Gründen der Transparenz aufgeführt, obwohl sie rechtlich keine Sub-Auftragsverarbeiter im Sinne von Art. 28 DSGVO darstellen. Beide stellen ausschließlich lizenzierte Software bereit, die der Auftragsverarbeiter innerhalb seiner eigenen Microsoft-Azure-Umgebung (West Europe) betreibt; eine eigene Datenverarbeitung durch diese Anbieter findet nicht statt.
B. Entwicklung, Test und Betrieb
| Anbieter | Sitz | Zweck | Standort der Verarbeitung | Übermittlungsmechanismus |
|---|---|---|---|---|
| GitHub, Inc. | San Francisco, USA | Source Code Management | USA | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Docker, Inc. | Palo Alto, USA | Containerisierungs-Software | USA | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| SonarSource SA (SonarCloud) | Genf, Schweiz | Code-Analyse | EU/Schweiz (Angemessenheitsbeschluss) | Art 28 DSGVO; Angemessenheitsbeschluss Schweiz |
| JetBrains s.r.o. | Prag, Tschechien | Developer-IDE (IntelliJ IDEA Ultimate) | EU | Art 28 DSGVO |
| BrowserStack Inc. | Plano, TX, USA | Virtuelle Testgeräte für App-Testing | USA | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Lokalise, Inc. | Dover, DE, USA | Translation/Localization | USA | EU-U.S. Data Privacy Framework (DPF); SCCs Art 46 Abs 2 lit c DSGVO |
| Bryntum AB | Lund, Schweden | Scheduler-Softwarepaket (Team Planner, Shift Planner) | EU (Schweden) | Art 28 DSGVO |
C. Externe Entwicklungspartner
Workheld setzt zur Weiterentwicklung und Wartung der Plattform die nachfolgend aufgelisteten externen Entwicklungspartner ein. Diese arbeiten unter strikter Weisungsbindung, Geheimhaltungsvereinbarungen (NDA) und den Vorgaben des ISMS von Workheld. Der Zugriff auf personenbezogene Daten erfolgt ausschließlich im erforderlichen Umfang und unter denselben Sicherheitsstandards, die für eigene Mitarbeiter gelten.
| Partner | Sitz | Tätigkeit |
|---|---|---|
| Stift IT Solutions e.U. | Röschitz, Österreich | Softwareentwicklung |
| CoreSoft s.r.o. | Bratislava, Slowakei | Softwareentwicklung |
| QATestLab Ltd. | Nicosia, Zypern | Software Testing |
D. Interne Verwaltung des Auftragsverarbeiters (kein Zugriff auf Plattform-Daten des Verantwortlichen)
Die folgenden Anbieter werden vom Auftragsverarbeiter ausschließlich für die interne Verwaltung der Workheld GmbH genutzt und haben keinen Zugriff auf personenbezogene Daten des Verantwortlichen aus der Workheld Plattform. Sie sind hier nur informationshalber genannt.
| Anbieter | Zweck |
|---|---|
| Microsoft Ireland Operations Limited / Microsoft Österreich GmbH | Office 365 (interne Kommunikation) |
| Deel, Inc. | Employer of Record / Vertragsmanagement für externe Entwickler |
Diese Vorlage ist die unveränderte Grundlage künftiger AVV-Abschlüsse. Auf Wunsch stellen wir die AVV als unterzeichnungsfertiges Word-Dokument zur Verfügung — der Download oben enthält die identische Fassung. Für Rückfragen wenden Sie sich bitte an unsere Datenschutzbeauftragte über hallo@workheld.com (Betreff „Datenschutz“).