AVV

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Stand: 20.05.2026

zwischen

Markvea
Philipp Leitner
Blättergasse 8,
4616 Weißkirchen an der Traun
ÖSTERREICH
E-Mail: [email protected]

nachfolgend „Auftragnehmer“

und

dem jeweiligen Kunden gemäß Hauptvertrag, Angebot, Bestellung oder Auftragsbestätigung

nachfolgend „Auftraggeber“

gemeinsam „Parteien“.

1. Gegenstand und Einbindung dieses Vertrages

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

Dieser Vertrag ergänzt den zwischen den Parteien bestehenden Hauptvertrag über Website-Erstellung, technische Website-Bereitstellung, Systemzugang, CRM, Funnel, Formulare, Automationen, Kalenderfunktionen, Support, digitale Schulungsumgebungen und damit verbundene Dienstleistungen.

Dieser Vertrag wird Bestandteil des Hauptvertrages, sobald der Auftraggeber ein Angebot, eine Bestellung, ein Online-Formular, eine Auftragsbestätigung oder einen sonstigen Vertrag annimmt, in dem auf diesen Auftragsverarbeitungsvertrag verwiesen wird.

Die Annahme kann schriftlich, elektronisch, per E-Mail, durch Online-Bestätigung, durch Checkbox, durch Annahme eines Angebots oder durch Inanspruchnahme der Leistungen erfolgen.

Bei Widersprüchen zwischen Hauptvertrag, AGB und diesem Auftragsverarbeitungsvertrag gehen die Regelungen dieses Auftragsverarbeitungsvertrages vor, soweit datenschutzrechtliche Fragen der Auftragsverarbeitung betroffen sind.

2. Rollen der Parteien

Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO, soweit er über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers und ist insoweit Auftragsverarbeiter im Sinne von Art. 4 Z 8 DSGVO.

Soweit der Auftraggeber selbst personenbezogene Daten im Auftrag Dritter verarbeitet, beispielsweise im Auftrag eigener Kunden, handelt der Auftragnehmer gegenüber dem Auftraggeber als weiterer Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter.

Soweit der Auftragnehmer personenbezogene Daten für eigene Zwecke verarbeitet, insbesondere zur eigenen Vertragsabwicklung, Rechnungslegung, Kundenverwaltung, Kommunikation, Rechtsdurchsetzung oder Erfüllung gesetzlicher Pflichten, erfolgt diese Verarbeitung nicht auf Grundlage dieses Vertrages, sondern in eigener Verantwortlichkeit des Auftragnehmers.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Erbringung der vereinbarten Leistungen.

Dies umfasst insbesondere:

• Erstellung, Betrieb und technische Bereitstellung von Websites und Landingpages
• technische Bereitstellung von Formularen, Funnels und Buchungsseiten
• Speicherung, Verwaltung und Bearbeitung von Kontaktanfragen
• CRM-Verwaltung
• Einrichtung und Verwaltung von Pipelines
• Einrichtung, Verwaltung und Nutzung von Automationen und Workflows
• Kalender-, Termin- und Buchungsfunktionen
• E-Mail-, SMS-, Telefonie-, Chat- oder sonstige Kommunikationsfunktionen, sofern vereinbart oder aktiviert
• Benutzerverwaltung und Systemzugänge
• Support, Wartung, Fehleranalyse und technische Unterstützung
• Bereitstellung von Academy-, Kurs-, Community- oder Schulungszugängen
• Systemkonfiguration und Onboarding
• Datenexporte, Datenimporte und Migrationen, sofern vereinbart
• Analyse technischer Nutzungs- und Systemdaten, soweit für Betrieb, Sicherheit, Fehlerbehebung oder Support erforderlich
• Tracking-, Analyse-, Marketing-, AI- oder Zahlungsfunktionen, sofern vereinbart, aktiviert oder vom Auftraggeber genutzt

4. Kategorien personenbezogener Daten

Es können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Namen
• Unternehmensdaten
• berufliche Kontaktdaten
• private Kontaktdaten, sofern vom Auftraggeber eingebracht
• E-Mail-Adressen
• Telefonnummern
• Adressen
• IP-Adressen
• Kommunikationsdaten
• Formularinhalte
• CRM-Daten
• Lead- und Interessentendaten
• Kundendaten
• Termindaten
• Buchungsdaten
• Vertragsdaten
• Zahlungs- und Rechnungsdaten, soweit für die Leistung erforderlich
• technische Nutzungsdaten
• Login- und Zugriffsdaten
• Supportdaten
• E-Mail-, SMS-, Anruf-, Chat- und Kommunikationsdaten, sofern entsprechende Funktionen genutzt werden
• Automations-, Funnel- und Kampagnendaten
• Tracking- und Analysedaten, sofern entsprechende Funktionen genutzt werden
• Kurs-, Academy-, Community- oder Membership-Daten, sofern entsprechende Funktionen genutzt werden
• sonstige personenbezogene Daten, die der Auftraggeber in die bereitgestellten Systeme einbringt

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO dürfen nur verarbeitet werden, wenn dies ausdrücklich vereinbart wurde oder der Auftraggeber solche Daten eigenständig in das System einbringt und hierfür eine geeignete Rechtsgrundlage sowie angemessene Schutzmaßnahmen sicherstellt.

5. Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

• Kunden des Auftraggebers
• Interessenten des Auftraggebers
• Website-Besucher
• Nutzer von Formularen, Funnels, Kalendern oder Buchungssystemen
• Mitarbeiter des Auftraggebers
• Bewerber des Auftraggebers, sofern entsprechende Prozesse genutzt werden
• Lieferanten und Geschäftspartner des Auftraggebers
• Teilnehmer an Kursen, Academy-, Community- oder Schulungsangeboten
• Kommunikationspartner des Auftraggebers
• sonstige Personen, deren personenbezogene Daten der Auftraggeber in die Systeme einbringt

6. Verantwortlichkeit des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung verantwortlich.

Der Auftraggeber stellt insbesondere sicher, dass:

• die personenbezogenen Daten rechtmäßig erhoben werden
• eine geeignete Rechtsgrundlage für die Verarbeitung besteht
• betroffene Personen ordnungsgemäß informiert werden
• erforderliche Einwilligungen eingeholt und dokumentiert werden
• Datenschutzinformationen, Cookie-Hinweise und Einwilligungstexte aktuell und korrekt sind
• Newsletter-, E-Mail-Marketing-, SMS-, Telefonie-, Messenger- und sonstige Direktmarketingmaßnahmen nur bei entsprechender rechtlicher Grundlage erfolgen
• erforderliche Double-Opt-in- oder sonstige Nachweisverfahren eingerichtet werden, sofern erforderlich
• Tracking-, Analyse- und Marketingtools erst nach wirksamer Einwilligung eingesetzt werden, soweit eine solche erforderlich ist
• Betroffenenrechte erfüllt werden
• gesetzliche Aufbewahrungs- und Löschpflichten eingehalten werden
• keine unzulässigen, rechtswidrigen oder besonders sensiblen Inhalte ohne geeignete Rechtsgrundlage in die Systeme eingebracht werden
• besondere Kategorien personenbezogener Daten nur bei Vorliegen einer geeigneten Rechtsgrundlage verarbeitet werden
• die Nutzung der bereitgestellten Systeme seinen eigenen datenschutzrechtlichen, telekommunikationsrechtlichen, wettbewerbsrechtlichen und sonstigen gesetzlichen Pflichten entspricht
• Zugangsdaten sicher verwahrt und nicht unbefugt weitergegeben werden
• nur berechtigte Personen Zugriff auf das System erhalten

Der Auftraggeber ist verpflichtet, den Auftragnehmer unverzüglich zu informieren, wenn er Fehler, Unregelmäßigkeiten, Datenschutzrisiken oder rechtswidrige Nutzungen in Bezug auf die Auftragsverarbeitung feststellt.

7. Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

Weisungen können sich ergeben aus:

• dem Hauptvertrag
• diesem Auftragsverarbeitungsvertrag
• Leistungsbeschreibungen
• schriftlichen oder elektronischen Mitteilungen
• Systemeinstellungen des Auftraggebers
• Konfigurationen, die der Auftraggeber selbst vornimmt oder freigibt
• dokumentierten Support- oder Umsetzungsanfragen
• dem vom Auftraggeber gewählten Paket oder Leistungsumfang

Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform zu bestätigen.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzrecht verstößt. Der Auftragnehmer ist berechtigt, die Durchführung einer offensichtlich rechtswidrigen Weisung bis zur Klärung auszusetzen.

Soweit der Auftragnehmer gesetzlich verpflichtet ist, personenbezogene Daten abweichend von einer Weisung zu verarbeiten, informiert er den Auftraggeber vorab, sofern dies gesetzlich zulässig ist.

8. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• Vertraulichkeit zu wahren
• mit der Verarbeitung betraute Personen zur Vertraulichkeit zu verpflichten
• geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen
• den Auftraggeber bei der Erfüllung von Betroffenenrechten angemessen zu unterstützen
• den Auftraggeber bei Datenschutzverletzungen zu informieren
• den Auftraggeber bei der Einhaltung von Art. 32 bis 36 DSGVO angemessen zu unterstützen
• Unterauftragsverarbeiter nur nach Maßgabe dieses Vertrages einzusetzen
• personenbezogene Daten nach Vertragsende nach Wahl des Auftraggebers zu löschen oder zurückzugeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• dem Auftraggeber erforderliche Informationen zum Nachweis der Einhaltung dieses Vertrages zur Verfügung zu stellen

9. Vertraulichkeit

Der Auftragnehmer stellt sicher, dass Personen, die Zugriff auf personenbezogene Daten haben, zur Vertraulichkeit verpflichtet wurden oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zugriff auf personenbezogene Daten wird auf Personen beschränkt, die diesen Zugriff zur Erbringung der vereinbarten Leistungen benötigen.

10. Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Maßnahmen sind in Anlage 2 beschrieben.

Der Auftragnehmer darf technische und organisatorische Maßnahmen anpassen, sofern dadurch das vereinbarte Schutzniveau nicht wesentlich unterschritten wird.

Soweit technische Maßnahmen durch eingesetzte Plattformanbieter, insbesondere GoHighLevel/HighLevel, bereitgestellt werden, gelten ergänzend die technischen und organisatorischen Maßnahmen dieser Anbieter.

11. Einsatz von GoHighLevel / HighLevel

Der Auftraggeber nimmt zur Kenntnis und genehmigt, dass der Auftragnehmer zur Erbringung der Leistungen die Plattform GoHighLevel beziehungsweise HighLevel einsetzen kann.

GoHighLevel/HighLevel kann insbesondere für folgende Funktionen eingesetzt werden:

• Website- und Funnel-Builder
• Landingpages
• Formulare
• CRM
• Kontaktverwaltung
• Pipelines
• Automationen und Workflows
• Kalender- und Buchungsfunktionen
• E-Mail-Kommunikation
• SMS-, Telefonie-, Chat- oder Messenger-Funktionen, sofern aktiviert
• Zahlungs-, Angebots- oder Rechnungsfunktionen, sofern aktiviert
• Kurs-, Membership-, Academy- oder Community-Funktionen, sofern aktiviert
• Reporting, Tracking und technische Systemverwaltung
• AI-, Automatisierungs- oder Assistenzfunktionen, sofern aktiviert

HighLevel, Inc. hat seinen Sitz in den USA.

Der Auftragnehmer stellt sicher, dass mit HighLevel ein Data Processing Agreement abgeschlossen ist oder vor Verarbeitung personenbezogener Kundendaten abgeschlossen wird.

Der Auftraggeber nimmt zur Kenntnis, dass HighLevel seinerseits weitere Unterauftragsverarbeiter einsetzen kann. Die jeweils aktuelle Subprozessoren-Liste von HighLevel ist vom Auftragnehmer zu dokumentieren beziehungsweise auf Anfrage zugänglich zu machen, soweit verfügbar.

Soweit HighLevel AI-, Automations-, Kommunikations-, Tracking- oder Zahlungsfunktionen bereitstellt, dürfen diese nur im Rahmen der vereinbarten Leistungen, der Weisungen des Auftraggebers und der jeweils erforderlichen Rechtsgrundlagen genutzt werden.

12. Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, soweit diese zur Erbringung der vereinbarten Leistungen erforderlich sind.

Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter vertraglich zur Einhaltung angemessener Datenschutzpflichten verpflichtet werden, die dem Schutzniveau dieses Vertrages entsprechen.

Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die datenschutzrechtlichen Pflichten seiner Unterauftragsverarbeiter verantwortlich, soweit gesetzlich vorgesehen.

Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen beim Einsatz von Unterauftragsverarbeitern, insbesondere über die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, sofern dadurch personenbezogene Daten des Auftraggebers betroffen sind.

Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund innerhalb von 14 Kalendertagen nach Information widersprechen.

Kann dem Widerspruch nicht angemessen abgeholfen werden, steht beiden Parteien ein Recht zur Kündigung des betroffenen Leistungsteils zu, soweit eine Fortsetzung ohne den betreffenden Unterauftragsverarbeiter nicht möglich oder wirtschaftlich unzumutbar ist.

Die derzeit bekannten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.

13. Drittlandübermittlungen

Der Auftraggeber nimmt zur Kenntnis, dass beim Einsatz von GoHighLevel/HighLevel und anderen technischen Dienstleistern eine Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, erfolgen kann.

Drittlandübermittlungen erfolgen nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Dies kann insbesondere erfolgen auf Grundlage von:

• einem Angemessenheitsbeschluss der Europäischen Kommission
• dem EU-U.S. Data Privacy Framework, soweit der betreffende Anbieter wirksam zertifiziert ist
• Standardvertragsklauseln der Europäischen Kommission
• zusätzlichen technischen, organisatorischen oder vertraglichen Schutzmaßnahmen
• sonstigen gesetzlich zulässigen Transfermechanismen

Für HighLevel können insbesondere das HighLevel Data Processing Agreement, Standardvertragsklauseln, insbesondere Modul 2 beziehungsweise Modul 3 der EU-Standardvertragsklauseln, sowie das EU-U.S. Data Privacy Framework relevant sein.

Der Auftragnehmer dokumentiert die für ihn verfügbaren Informationen zur Transfergrundlage der eingesetzten Dienstleister.

Der Auftraggeber ist dafür verantwortlich, betroffene Personen in seinen Datenschutzinformationen über eingesetzte Dienstleister, Empfänger, Drittlandübermittlungen und Rechtsgrundlagen transparent zu informieren.

14. Unterstützungsleistungen bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten.

Dies betrifft insbesondere:

• Auskunft
• Berichtigung
• Löschung
• Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerspruch
• Widerruf von Einwilligungen

Wendet sich eine betroffene Person direkt an den Auftragnehmer, wird der Auftragnehmer die Anfrage, soweit möglich, an den Auftraggeber weiterleiten.

Der Auftragnehmer beantwortet solche Anfragen nicht eigenständig, sofern er hierzu nicht gesetzlich verpflichtet ist oder eine dokumentierte Weisung des Auftraggebers vorliegt.

15. Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, möglichst innerhalb von 24 Stunden nach Bekanntwerden, über eine Verletzung des Schutzes personenbezogener Daten, soweit personenbezogene Daten des Auftraggebers betroffen sind.

Die Information enthält, soweit verfügbar:

• Art der Datenschutzverletzung
• betroffene Datenkategorien
• betroffene Personengruppen
• ungefähre Anzahl betroffener Personen und Datensätze, soweit bekannt
• wahrscheinliche Folgen der Datenschutzverletzung
• ergriffene oder vorgeschlagene Maßnahmen
• Ansprechpartner für Rückfragen

Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung etwaiger Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

Die Meldung an Aufsichtsbehörden oder betroffene Personen obliegt dem Auftraggeber, sofern gesetzlich nichts anderes gilt.

16. Kontroll- und Nachweispflichten

Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrages im erforderlichen und verhältnismäßigen Umfang zu kontrollieren.

Der Auftragnehmer kann geeignete Nachweise bereitstellen, insbesondere:

• Dokumentationen
• TOM-Beschreibungen
• Vertragsnachweise mit Unterauftragsverarbeitern, soweit offenlegbar
• Sicherheitsinformationen von Plattformanbietern
• Datenschutzinformationen von Plattformanbietern
• Auskünfte zu System- und Zugriffskonzepten

Vor-Ort-Kontrollen sind nur zulässig, wenn sie erforderlich, verhältnismäßig und zumutbar sind, mit angemessener Frist angekündigt werden und Betriebs- und Geschäftsgeheimnisse sowie Rechte anderer Kunden gewahrt bleiben.

Aufwände für Kontrollen, Sonderauskünfte oder individuelle Prüfungen, die über die gewöhnliche Vertragserfüllung hinausgehen, können nach Aufwand verrechnet werden, sofern gesetzlich zulässig.

17. Unterstützung bei Datenschutz-Folgenabschätzungen

Soweit erforderlich und zumutbar unterstützt der Auftragnehmer den Auftraggeber bei Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und bei vorherigen Konsultationen gemäß Art. 36 DSGVO.

Die Unterstützung erfolgt unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen.

Aufwände, die über die gewöhnliche Vertragserfüllung hinausgehen, können nach Aufwand verrechnet werden, sofern gesetzlich zulässig.

18. Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrages löscht oder gibt der Auftragnehmer personenbezogene Daten nach Wahl des Auftraggebers zurück, soweit dies technisch möglich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Der Auftraggeber ist verpflichtet, rechtzeitig vor Vertragsende erforderliche Datenexporte vorzunehmen oder anzufordern.

Nach Ablauf angemessener Fristen können Daten gelöscht werden.

Soweit Daten in Backup-, Archiv- oder Protokollsystemen enthalten sind, werden diese nach den jeweiligen Lösch- und Aufbewahrungszyklen gelöscht oder gesperrt und nicht weiterverarbeitet, sofern keine gesetzliche Pflicht zur weiteren Verarbeitung besteht.

Der Auftragnehmer wirkt im zumutbaren Umfang darauf hin, dass auch eingesetzte Unterauftragsverarbeiter personenbezogene Daten nach Vertragsende löschen oder zurückgeben, soweit dies vertraglich und technisch möglich ist.

19. Systemzugang und Nutzung durch den Auftraggeber

Soweit der Auftraggeber Zugriff auf ein bereitgestelltes System, insbesondere einen GoHighLevel-/HighLevel-Account, Sub-Account oder vergleichbare Systemumgebung erhält, ist der Auftraggeber für seine eigene Nutzung des Systems verantwortlich.

Der Auftraggeber ist insbesondere verantwortlich für:

• die Rechtmäßigkeit der von ihm eingegebenen Daten
• die Rechtmäßigkeit der von ihm erstellten Inhalte
• die Rechtmäßigkeit seiner Kampagnen, Automationen und Kommunikationsmaßnahmen
• die Einrichtung und Verwaltung eigener Nutzer und Berechtigungen
• die sichere Verwahrung von Zugangsdaten
• die Einhaltung von Einwilligungs-, Informations- und Nachweispflichten
• die Prüfung von Tracking-, Marketing-, Kommunikations-, Zahlungs- und AI-Funktionen vor Aktivierung

Der Auftragnehmer ist berechtigt, Funktionen zu deaktivieren oder Zugänge vorübergehend zu beschränken, wenn konkrete Anhaltspunkte für eine rechtswidrige Nutzung, eine Gefährdung der Systemsicherheit oder eine Datenschutzverletzung bestehen.

Diese Regelung ersetzt keine gesonderten Systemnutzungsbedingungen oder AGB-Regelungen.

20. Vergütung

Leistungen im Zusammenhang mit der gewöhnlichen Auftragsverarbeitung sind mit der Vergütung des Hauptvertrages abgegolten.

Zusätzliche Unterstützungsleistungen, umfangreiche Auskünfte, Datenexporte, individuelle Prüfungen, Datenschutz-Folgenabschätzungen, Sonderkonfigurationen oder sonstige Sonderaufwände können nach Aufwand verrechnet werden, sofern gesetzlich zulässig.

21. Laufzeit

Dieser Vertrag beginnt mit Abschluss des Hauptvertrages oder mit erstmaliger Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers, je nachdem, welcher Zeitpunkt früher liegt.

Er endet mit Beendigung des Hauptvertrages, soweit keine gesetzlichen, vertraglichen oder technischen Nachlaufpflichten bestehen.

22. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen und den im Hauptvertrag vereinbarten Haftungsregelungen, soweit diese datenschutzrechtlich zulässig sind.

Zwingende gesetzliche Ansprüche betroffener Personen bleiben unberührt.

23. Änderungen dieses Vertrages

Der Auftragnehmer ist berechtigt, diesen Auftragsverarbeitungsvertrag zu ändern, soweit dies aufgrund gesetzlicher Änderungen, technischer Änderungen, Änderungen eingesetzter Dienstleister oder Änderungen der angebotenen Leistungen erforderlich ist.

Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen in geeigneter Form.

Widerspricht der Auftraggeber einer wesentlichen Änderung aus wichtigem datenschutzrechtlichem Grund, bemühen sich die Parteien um eine angemessene Lösung.

Ist keine angemessene Lösung möglich, kann der betroffene Leistungsteil beendet werden, soweit eine Fortsetzung ohne die Änderung nicht möglich oder wirtschaftlich unzumutbar ist.

24. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform, soweit keine strengere Form gesetzlich vorgeschrieben ist.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt das Recht der Republik Österreich, soweit keine zwingenden gesetzlichen Vorschriften entgegenstehen.

Gerichtsstand ist, soweit zulässig, der Sitz des Auftragnehmers.

Anlage 1: Beschreibung der Verarbeitung

Gegenstand der Verarbeitung

Bereitstellung von Websites, Landingpages, Systemzugängen, CRM-Funktionen, Funnel-Funktionen, Formularen, Automationen, Kalenderfunktionen, Kommunikationsfunktionen, Academy-/Schulungsfunktionen, Supportleistungen und technischen Plattformfunktionen.

Dauer der Verarbeitung

Für die Dauer des Hauptvertrages sowie darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen oder eine Löschung technisch erst nach Ablauf angemessener Fristen möglich ist.

Art der Verarbeitung

Erheben, Erfassen, Speichern, Ordnen, Strukturieren, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Abgleichen, Einschränken, Löschen und Vernichten.

Zweck der Verarbeitung

Erbringung der vereinbarten Leistungen gegenüber dem Auftraggeber und technische Bereitstellung der hierfür erforderlichen Systeme.

Kategorien personenbezogener Daten

• Kontaktdaten
• Kommunikationsdaten
• CRM-Daten
• Lead-Daten
• Formularinhalte
• Termindaten
• Buchungsdaten
• technische Nutzungsdaten
• Vertragsdaten
• Zugangsdaten
• Supportdaten
• Marketing- und Automationsdaten
• Tracking- und Analysedaten, sofern genutzt
• Zahlungsdaten, sofern genutzt
• AI-/Assistenzdaten, sofern genutzt
• sonstige vom Auftraggeber eingebrachte Daten

Kategorien betroffener Personen

• Kunden des Auftraggebers
• Interessenten des Auftraggebers
• Website-Besucher
• Mitarbeiter des Auftraggebers
• Geschäftspartner des Auftraggebers
• Nutzer von Formularen, Funnels und Kalenderfunktionen
• Teilnehmer an Kursen, Academy- oder Community-Angeboten
• sonstige Personen, deren Daten der Auftraggeber einbringt

Anlage 2: Technische und organisatorische Maßnahmen

1. Vertraulichkeit

Der Zugriff auf personenbezogene Daten wird auf berechtigte Personen beschränkt.

Zugänge werden durch persönliche Benutzerkonten und Passwörter geschützt. Soweit verfügbar und angemessen, wird Zwei-Faktor-Authentifizierung eingesetzt.

Mitarbeiter, freie Mitarbeiter und sonstige beauftragte Personen werden zur Vertraulichkeit verpflichtet.

2. Zugriffskontrolle

Berechtigungen werden nach dem Need-to-know-Prinzip vergeben.

Nicht mehr benötigte Zugänge werden entfernt oder deaktiviert.

Berechtigungen werden regelmäßig überprüft.

Kunden erhalten, soweit technisch vorgesehen, getrennte Benutzer- und Rollenrechte.

3. Mandantentrennung

Kundendaten werden, soweit technisch möglich, durch getrennte Sub-Accounts, Mandantenstrukturen, Benutzerrechte oder systemseitige Trennung getrennt verarbeitet.

Bei Nutzung von GoHighLevel/HighLevel wird für Kunden grundsätzlich eine getrennte Systemumgebung beziehungsweise ein getrennter Sub-Account verwendet, soweit dies für die vereinbarte Leistung erforderlich und technisch verfügbar ist.

4. Weitergabekontrolle

Personenbezogene Daten werden nur an berechtigte Empfänger übermittelt.

Datenübertragungen erfolgen, soweit technisch möglich, verschlüsselt.

Der Einsatz von Unterauftragsverarbeitern erfolgt nach Maßgabe dieses Vertrages.

5. Eingabekontrolle

Soweit technisch verfügbar, werden Änderungen, Zugriffe und Systemhandlungen protokolliert oder nachvollziehbar gemacht.

6. Verfügbarkeitskontrolle

Der Auftragnehmer nutzt technische Systeme, die auf angemessene Verfügbarkeit ausgelegt sind.

Die Verfügbarkeit ist teilweise von Drittanbietern, insbesondere Plattform-, Hosting-, Kommunikations- und Infrastruktur-Anbietern abhängig.

7. Wiederherstellbarkeit

Soweit durch eingesetzte Plattformen technisch vorgesehen, bestehen Backup-, Recovery- oder Wiederherstellungsmechanismen.

Der Auftragnehmer kann keine weitergehende Verfügbarkeit oder Wiederherstellbarkeit garantieren, soweit diese außerhalb seines Einflussbereichs liegt.

8. Lösch- und Exportkonzept

Daten werden nach Vertragsende nach Maßgabe dieses Vertrages gelöscht oder zurückgegeben.

Der Auftraggeber kann erforderliche Exporte rechtzeitig vor Vertragsende anfordern oder, soweit technisch möglich, selbst durchführen.

9. Organisatorische Maßnahmen

Der Auftragnehmer achtet auf datenschutzgerechte Prozesse, Zugriffsbeschränkungen, Vertraulichkeit, angemessene Dokumentation und sorgfältige Auswahl eingesetzter Dienstleister.

10. Maßnahmen des Plattformanbieters

Soweit GoHighLevel/HighLevel eingesetzt wird, gelten zusätzlich die von HighLevel bereitgestellten technischen und organisatorischen Maßnahmen, Sicherheitsinformationen, Datenschutzinformationen und Regelungen aus dem HighLevel Data Processing Agreement.

Anlage 3: Unterauftragsverarbeiter

1. HighLevel / GoHighLevel

Anbieter: HighLevel, Inc.

Sitz: USA

Zweck: technische Plattform für Website, CRM, Funnel, Automationen, Formulare, Kalender, Kommunikation, Academy-/Membership-Funktionen, AI-/Assistenzfunktionen, Reporting und Systemverwaltung.

Datenkategorien: Kontakt-, CRM-, Formular-, Kommunikations-, Nutzungs-, Termin-, Buchungs-, Marketing-, Automations- und technische Daten.

Betroffene Personen: Kunden, Interessenten, Website-Besucher, Mitarbeiter, Nutzer von Formularen, Funnels, Kalender-, Academy- und Kommunikationsfunktionen.

Drittlandtransfer: USA

Transfergrundlage: insbesondere HighLevel Data Processing Agreement, Standardvertragsklauseln, EU-U.S. Data Privacy Framework, soweit wirksam zertifiziert, und ergänzende Schutzmaßnahmen, soweit anwendbar.

2. Weitere Dienstleister

Je nach konkretem Projekt können weitere Unterauftragsverarbeiter eingesetzt werden, insbesondere für:

• Domains und DNS
• Hosting und technische Infrastruktur
• E-Mail-Versand
• SMS- und Telefonie
• Zahlungsabwicklung
• Buchhaltung und Rechnungslegung
• Support und Kommunikation
• Analyse und Tracking
• Cookie- und Consent-Management
• Dateiablage und Projektmanagement
• Videokonferenzen und Schulungsumgebungen