Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO)
Stand: März 2026
§ 1 Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen
dem Kunden der cloud-basierten Produktionsplanungssoftware „GanttWork“
– nachfolgend „Auftraggeber“ oder „Verantwortlicher“ –
und
Fabricon Design e.U.
Am Anningerpark 2/1/31, 2351 Wiener Neudorf, Österreich
Inhaberin: Daniela Bartisch
FN 564201h, LG Wiener Neustadt
USt-IdNr: ATU83119206
E-Mail: info@ganttwork.at
– nachfolgend „Auftragnehmer“ oder „Auftragsverarbeiter“ –
– Auftraggeber und Auftragnehmer nachfolgend einzeln auch „Partei“ und gemeinsam „Parteien“ –
Der Auftragnehmer betreibt die cloud-basierte Produktionsplanungssoftware „GanttWork“ (nachfolgend „Software“ oder „Dienst“) als Software-as-a-Service (SaaS). Im Rahmen der Nutzung der Software verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Nutzung der Software (nachfolgend „Hauptvertrag“). Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Bezug auf den Schutz personenbezogener Daten vor.
§ 2 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung und des Betriebs der cloud-basierten Produktionsplanungssoftware „GanttWork“ gemäß dem Hauptvertrag.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Dieser AVV beginnt mit der Unterzeichnung und endet automatisch mit der Beendigung des Hauptvertrags, gleich aus welchem Grund, sofern sich aus den Bestimmungen dieses AVV keine darüber hinausgehenden Pflichten ergeben (insbesondere Löschpflichten gemäß § 7 Abs. 4).
(3) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Eine Übermittlung in Drittländer findet nicht statt.
§ 3 Umfang, Art und Zweck der Datenverarbeitung
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und nach dokumentierter Weisung des Auftraggebers. Die Verarbeitung umfasst folgende Tätigkeiten:
- Speicherung und Verwaltung von Produktionsaufträgen, Arbeitsgängen und Arbeitssitzungen
- Erfassung und Speicherung von Arbeitszeitdaten über das Werker-Terminal
- Verwaltung von Benutzerkonten inkl. Zugangsdaten (Benutzername, gehashtes Passwort)
- Speicherung von Ressourcen- und Maschinendaten
- Speicherung von Kundendaten des Auftraggebers (Namen, Adressen)
- Bereitstellung der Software über verschlüsselte Internetverbindungen (HTTPS/TLS)
- Erstellung von Datensicherungen (Backups)
- Wartung und technischer Support der Software
(2) Zweck der Datenverarbeitung ist die Ermöglichung der Nutzung der Software „GanttWork“ zur digitalen Fertigungsplanung, Produktionssteuerung und Arbeitszeiterfassung durch den Auftraggeber.
(3) Die Verarbeitung erfolgt ausschließlich auf Grundlage dieses AVV und der Weisungen des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers findet nicht statt.
§ 4 Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden folgende Arten personenbezogener Daten verarbeitet:
- Bestandsdaten: Namen, Benutzernamen, E-Mail-Adressen der Benutzer des Auftraggebers
- Zugangsdaten: Benutzernamen und gehashte Passwörter (bcrypt)
- Nutzungsdaten: Anmeldezeiten, Sitzungsdaten, Protokolldaten
- Arbeitszeitdaten: An-/Abmeldezeiten am Werker-Terminal, Arbeitssitzungen (Start, Ende, Dauer), Zuordnung zu Arbeitsgängen und Ressourcen
- Auftragsdaten: Produktionsaufträge mit zugehörigen Kundennamen und -adressen des Auftraggebers
- Werkernamen: Vor- und/oder Nachnamen der Mitarbeiter des Auftraggebers, die das Werker-Terminal nutzen
Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ist nicht Gegenstand dieses AVV.
§ 5 Kategorien betroffener Personen
Die folgenden Kategorien von Personen sind von der Verarbeitung betroffen:
- Mitarbeiter des Auftraggebers: Benutzer der Software (Planer, Administratoren), Werker, die das Terminal zur Arbeitszeiterfassung nutzen
- Kunden des Auftraggebers: Natürliche Personen, deren Namen und Adressen in Produktionsaufträgen gespeichert werden
- Ansprechpartner des Auftraggebers: Kontaktpersonen für die Vertragsdurchführung und den technischen Support
§ 6 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), einschließlich in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Weisungen werden in der Regel in Textform (E-Mail) erteilt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
(4) Weisungsberechtigte Personen des Auftraggebers sowie empfangsberechtigte Personen des Auftragnehmers werden im Hauptvertrag oder gesondert benannt. Änderungen sind der jeweils anderen Partei unverzüglich in Textform mitzuteilen.
§ 7 Pflichten des Auftragsverarbeiters
7.1 Vertraulichkeit
(1) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(2) Die Vertraulichkeitspflicht besteht auch nach Beendigung dieses AVV fort.
7.2 Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Die aktuellen Maßnahmen sind in Anlage 1 zu diesem AVV dokumentiert.
(2) Der Auftragnehmer ist berechtigt, die technisch-organisatorischen Maßnahmen während der Vertragslaufzeit anzupassen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen teilt der Auftragnehmer dem Auftraggeber in Textform mit.
7.3 Unterstützungspflichten
(1) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Anfragen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO (Art. 28 Abs. 3 lit. e DSGVO).
(2) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:
- eine Beschreibung der Art der Verletzung
- die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze
- eine Beschreibung der wahrscheinlichen Folgen
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
7.4 Löschung und Rückgabe
(1) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Auf Wunsch des Auftraggebers stellt der Auftragnehmer vor der Löschung eine Kopie der Daten in einem gängigen, maschinenlesbaren Format zur Verfügung (Datenexport).
(3) Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende, sofern nicht anders vereinbart. Der Auftragnehmer bestätigt die Löschung auf Verlangen in Textform.
§ 8 Unterauftragsverarbeitung
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen (Art. 28 Abs. 2 DSGVO). Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus in Textform.
(2) Der Auftraggeber kann der Änderung innerhalb von 14 Tagen nach Zugang der Information aus berechtigten datenschutzrechtlichen Gründen widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Genehmigung als erteilt. Bei berechtigtem Widerspruch ist der Auftragnehmer berechtigt, den Hauptvertrag mit einer Frist von 3 Monaten zum Monatsende außerordentlich zu kündigen.
(3) Der Auftragnehmer legt dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet dem Auftraggeber gegenüber für die Einhaltung der Datenschutzpflichten durch den Unterauftragsverarbeiter.
(4) Zum Zeitpunkt des Abschlusses dieses AVV setzt der Auftragnehmer folgenden Unterauftragsverarbeiter ein:
| Unterauftragnehmer | Anschrift | Leistung | Standort |
|---|---|---|---|
| netcup GmbH | Daimlerstraße 25, 76185 Karlsruhe, Deutschland | Server-Hosting, Infrastruktur (IaaS) | Deutschland (EU) |
(5) Der Auftraggeber stimmt dem Einsatz des vorstehend genannten Unterauftragsverarbeiters mit Unterzeichnung dieses AVV zu.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses AVV und der geltenden datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Inspektionen, einschließlich Überprüfungen, durch den Auftraggeber oder einen von diesem beauftragten Prüfer sind zulässig. Sie werden mit angemessener Vorlaufzeit (mindestens 14 Werktage) angekündigt und unter Berücksichtigung der berechtigten Interessen des Auftragnehmers (Geheimhaltung, Betriebsabläufe) durchgeführt.
(3) Der Auftragnehmer kann den Nachweis der Einhaltung seiner Pflichten alternativ auch durch:
- Vorlage eines aktuellen Testats oder Berichts eines unabhängigen Prüfers
- Vorlage einer geeigneten Zertifizierung
- Selbstauskunft oder Fragebogen
erbringen, sofern der Auftraggeber keine begründeten Zweifel an der Einhaltung hat.
§ 10 Haftung
(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, nach Maßgabe der gesetzlichen Bestimmungen.
(2) Der Auftragnehmer haftet für Schäden, die durch eine Verarbeitung entstehen, die nicht im Einklang mit den speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO steht oder die außerhalb oder entgegen den rechtmäßigen Weisungen des Auftraggebers erfolgt (Art. 82 Abs. 2 DSGVO).
(3) Der Auftragnehmer wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).
(4) Etwaige Haftungsbeschränkungen aus dem Hauptvertrag gelten auch für diesen AVV, soweit sie nicht gegen zwingendes Recht verstoßen.
§ 11 Laufzeit und Kündigung
(1) Dieser AVV wird auf unbestimmte Zeit geschlossen und endet automatisch mit der Beendigung des Hauptvertrags.
(2) Das Recht zur außerordentlichen Kündigung dieses AVV aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer wiederholt oder schwerwiegend gegen die Bestimmungen dieses AVV oder datenschutzrechtliche Vorschriften verstößt und trotz Abmahnung keine Abhilfe schafft.
(3) Pflichten, die ihrer Natur nach über die Beendigung dieses AVV hinaus fortgelten (insbesondere Vertraulichkeits- und Löschpflichten), bestehen unabhängig von der Beendigung dieses AVV fort.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Änderung dieser Textformklausel.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. Die Parteien verpflichten sich, anstelle der unwirksamen oder undurchführbaren Bestimmung eine wirksame und durchführbare Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung möglichst nahekommt.
(3) Es gilt das Recht der Republik Österreich unter Ausschluss des UN-Kaufrechts und der Verweisungsnormen des internationalen Privatrechts.
(4) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem AVV ist das sachlich zuständige Gericht am Sitz des Auftragnehmers (Wiener Neustadt, Österreich), soweit gesetzlich zulässig.
§ 13 Unterschriften
Dieser Auftragsverarbeitungsvertrag wird in zwei gleichlautenden Ausfertigungen erstellt, von denen jede Partei eine erhält.
Auftraggeber (Verantwortlicher)
Ort, Datum
Firma / Name
Name des/der Unterzeichnenden
Unterschrift & Stempel
Auftragnehmer (Auftragsverarbeiter)
Ort, Datum
Firma / Name
Fabricon Design e.U.
Name des/der Unterzeichnenden
Daniela Bartisch, Inhaberin
Unterschrift & Stempel
Anlage 1
Technisch-organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO — Stand: März 2026
Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf an den Stand der Technik angepasst.
1. Zutrittskontrolle
Maßnahmen, die verhindern, dass Unbefugte räumlichen Zutritt zu Datenverarbeitungsanlagen erhalten.
- Die Server befinden sich in einem professionellen Rechenzentrum der netcup GmbH in Deutschland (EU).
- Das Rechenzentrum verfügt über 24/7-Zutrittskontrollsysteme, elektronische Zugangsschließsysteme, Videoüberwachung und Sicherheitspersonal.
- Der physische Zugang zu den Servern ist ausschließlich autorisiertem Personal des Hosting-Anbieters möglich.
- Der Auftragnehmer selbst hat keinen physischen Zugang zu den Servern – die Administration erfolgt ausschließlich über verschlüsselte Remote-Verbindungen.
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte Datenverarbeitungssysteme nutzen können.
- Der Serverzugang erfolgt ausschließlich über SSH mit Ed25519-Schlüsselauthentifizierung (kein Passwort-Login).
- Benutzerpasswörter werden ausschließlich als bcrypt-Hashes gespeichert – Klartextpasswörter werden zu keinem Zeitpunkt gespeichert.
- Rollenbasierte Zugriffskontrolle (RBAC): Unterscheidung zwischen Administrator-, Planer- und Werker-Rollen mit abgestuften Berechtigungen.
- Automatische Sitzungsverwaltung mit zeitlich begrenzten Authentifizierungstoken.
- Firewall-Regeln beschränken den Zugriff auf die notwendigen Ports (HTTPS/443, SSH/22).
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass ausschließlich auf die Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht.
- Strikte Multi-Tenant-Architektur: Jeder Kunde erhält eine eigene, isolierte Datenbankinstanz (separate PostgreSQL-Datenbanken).
- Applikationsseitige Mandantentrennung: Jede Kundeninstanz läuft in einem eigenen Docker-Container mit separater Konfiguration.
- Kein instanzübergreifender Datenzugriff möglich – weder auf Datenbank- noch auf Anwendungsebene.
- Administrativer Zugriff auf Kundendaten ist auf autorisierte Mitarbeiter des Auftragnehmers beschränkt und erfolgt nur im Rahmen von Support und Wartung.
4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Sämtliche Datenübertragung zwischen Client und Server erfolgt ausschließlich über TLS/SSL-verschlüsselte Verbindungen (HTTPS mit Let's-Encrypt-Zertifikaten).
- Administrative Serverzugriffe erfolgen ausschließlich über verschlüsselte SSH-Verbindungen.
- Es findet keine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) statt.
- Eine Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, der Auftraggeber erteilt eine entsprechende Weisung.
5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.
- Anwendungsseitige Protokollierung (Logging) von relevanten Benutzeraktionen und Datenänderungen.
- Arbeitssitzungen am Werker-Terminal werden mit Zeitstempeln und Benutzerzuordnung protokolliert.
- Server-Logs werden geführt und für die Fehleranalyse und Nachvollziehbarkeit aufbewahrt.
6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
- Dieser Auftragsverarbeitungsvertrag dokumentiert den Umfang und die Bedingungen der Verarbeitung.
- Weisungen des Auftraggebers werden in Textform dokumentiert und umgesetzt.
- Mitarbeiter des Auftragnehmers sind auf die Vertraulichkeit und die Beachtung datenschutzrechtlicher Vorschriften verpflichtet.
- Es werden ausschließlich Unterauftragsverarbeiter eingesetzt, die den Anforderungen dieses AVV entsprechen.
7. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Tägliche automatisierte Datenbank-Backups (PostgreSQL-Dumps) mit Aufbewahrung über einen definierten Zeitraum.
- Serververfügbarkeit von mindestens 99,5 % (SLA) durch professionelles Rechenzentrum mit redundanter Strom- und Netzwerkversorgung.
- Docker-basierte Containerisierung ermöglicht schnelle Wiederherstellung der Anwendung im Fehlerfall.
- Monitoring der Systemverfügbarkeit und automatische Benachrichtigung bei Ausfällen.
- Regelmäßige Aktualisierung von Betriebssystem und Software-Komponenten (Sicherheitsupdates).
8. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.
- Jeder Kunde erhält eine eigene, physisch getrennte PostgreSQL-Datenbank.
- Separate Docker-Container pro Kundeninstanz mit individueller Konfiguration und eigenem Netzwerk-Namespace.
- Strikte Trennung von Produktiv-, Entwicklungs- und Demosystemen.
- Keine Vermischung von Kundendaten verschiedener Auftraggeber – weder auf Datenbank- noch auf Anwendungsebene.