SaaS-Vertrag samt Auftragsverarbeitervertrag

Mandantschaft: Goodie Tech OG
Datum: 26.5.2025
Aktualisierung: 26.5.2026

1. Präambel

1.1. Goodie Tech OG, Adamsgasse 18/Top 12, 1030 Wien, Österreich, FN: 649273 p (im Folgenden "ANBIETER" genannt) bietet die Software-Anwendung GuestGoodie in der zum Zeitpunkt des Vertragsabschlusses aktuellsten Version (in der Folge „ANWENDUNG") dem KUNDEN als Software-as-a-Service-Variante an. Die ANWENDUNG dient dem KUNDEN als digitale Buchungsplattform für Hotelgäste.

1.2. Dieser SaaS-Vertrag richtet sich ausschließlich an Personen, die die Leistungen zu beruflichen Zwecken nutzen wollen, also Unternehmer im Sinne des § 1 Abs 1 Z 1 KSchG (im Folgenden "KUNDE" genannt).

1.3. Die Allgemeinen Geschäftsbedingungen des KUNDEN gelten ausdrücklich nicht.

1.4. Aus Gründen der besseren Lesbarkeit wird auf eine geschlechtsspezifische Differenzierung verzichtet. Dies geschieht ohne jegliche Absicht der Diskriminierung. Alle Geschlechter sind gleichermaßen angesprochen.

2. Klarstellung

2.1. Umfasste Leistungen

Klarstellend wird festgehalten, dass das LIZENZENTGELT folgende Leistungen umfasst:

2.2. Nicht umfasste Leistungen

Ausdrücklich nicht umfasst vom LIZENZENTGELT und daher gesondert zu entlohnen sind hingegen:

3. Anwendungsbereich

3.1. Für alle Geschäftsbeziehungen zwischen dem ANBIETER und dem KUNDEN im Zusammenhang mit Software-as-a-Service-Leistungen in Bezug auf die ANWENDUNG gilt dieser SaaS-Vertrag in seiner zum Zeitpunkt des Geschäftsabschlusses gültigen Fassung.

3.2. Vertrags-, Bestell- und Geschäftssprache ist Deutsch.

4. Nutzungsbedingungen

4.1. Der KUNDE ist verpflichtet, im Rahmen der Geschäftsbeziehung wahrheitsgemäße und vollständige Angaben zu machen und seine Daten stets auf dem aktuellen Stand zu halten. Er hat seine Daten (insbesondere Passwörter und Zugangsdaten) vertraulich zu behandeln. Hat der KUNDE den Verdacht des Missbrauchs durch Dritte (inklusive ihm zuzurechnende Mitarbeiter), hat er den ANBIETER unverzüglich darüber zu informieren.

4.2. Der KUNDE hat alle Handlungen zu unterlassen, die die technische Leistungserbringung des ANBIETERs gefährden oder beeinträchtigen können (einschließlich Cyber-Attacken).

4.3. Der KUNDE haftet, in Bezug auf die rechtswidrige Nutzung der ANWENDUNG, vollumfänglich für das Verhalten seiner Mitarbeiter und ihm zuzurechnende Personen.

4.4. Im Falle einer rechtswidrigen Nutzung der ANWENDUNG behält sich der ANBIETER das Recht vor, dem KUNDEN die Nutzung der ANWENDUNG zu verweigern.

4.5. Es liegt in der Verantwortung des KUNDEN, die für die Nutzung der Dienste notwendige elektronische Infrastruktur zu schaffen. Dies bedeutet auch, dass der KUNDE über die notwendige Soft- und Hardwareausstattung zur Nutzung der ANWENDUNG verfügt. Der ANBIETER ist nicht verpflichtet, diesbezüglich Auskünfte oder Ratschläge zu erteilen.

4.6. Es liegt in der alleinigen Verantwortung des KUNDEN sicherzustellen, dass die ANWENDUNG keine Inhalte erfasst, die illegale Informationen enthalten. Der ANBIETER übernimmt keine Haftung für einen rechtswidrigen Einsatz der ANWENDUNG.

4.6.1. Es liegt in der Verantwortung des KUNDEN, dass ausschließlich Fotos in der ANWENDUNG hochgeladen werden, wenn hierzu die erforderlichen Rechte eingeholt wurden bzw bestehen.

4.7. Es liegt in der alleinigen Verantwortung des KUNDEN, die Ergebnisse, die mittels der und durch die ANWENDUNG produziert und verarbeitet werden, auf deren Richtigkeit und Plausibilität zu überprüfen. Der ANBIETER übernimmt keine Haftung für die Richtigkeit der durch die ANWENDUNG erstellten Daten.

5. Entgelt und Zahlungsmodalitäten

5.1. Die vom ANBIETER angeführten Preise verstehen sich in EUR. Im Zweifel ist die Umsatzsteuer noch nicht inkludiert (und daher hinzuzurechnen).

5.2. Das zu entrichtende LIZENZENTGELT ergeben sich aus dem vom KUNDEN ausgewählten Paket auf der Website des ANBIETERs.

5.3. Zahlungen sind mit Rechnungsstellung fällig. Sofern die Forderung nicht binnen 30 Tagen bezahlt wird, wird der ANBIETER 9,2 % pro Jahr an gesetzlichen Verzugszinsen über dem aktuellen Basiszinssatz der Europäischen Zentralbank ab dem Tag der Fälligkeit verlangen.

5.4. Der KUNDE verpflichtet sich für den Fall des Verzuges, dem ANBIETER entstehende Mahn- und Inkassospesen, soweit sie zur zweckentsprechenden Rechtsverfolgung notwendig sind, zu ersetzen. Pro Mahnschreiben können Kosten von EUR 40,00 geltend gemacht werden. Es bleibt dem Anbieter unbenommen einen darüber hinausgehenden Schaden geltend zu machen.

5.5. Im Falle eines Zahlungsverzuges von mehr als 45 Tagen ist der ANBIETER berechtigt, seine Leistungen zurückzubehalten.

5.6. Die Zahlung erfolgt hinsichtlich des pauschalierten LIZENZENTGELTs im Voraus für ein Jahr oder ein Monat, je nach Auswahl des KUNDEN.

5.7. Der ANBIETER behält sich das Recht vor, die vereinbarten Entgelte einmal jährlich an die Inflation anzupassen. Als Referenzwert gilt der von der Statistik Austria veröffentlichte monatliche Index der Verbraucherpreise (Basis VPI 2020). Die Entgelte erhöhen sich nach Maßgabe der durchschnittlichen Veränderung der in den letzten 12 Monaten veröffentlichten Indexzahlen. Zusätzlich behält sich der ANBIETER das Recht vor, die Entgelte bei der Einführung größerer neuer Versionen oder Upgrades der ANWENDUNG anzupassen, um den erweiterten Funktionsumfang und die gestiegenen Entwicklungsaufwände zu berücksichtigen.

6. Nutzung der ANWENDUNG

6.1. Der KUNDE darf die vom ANBIETER angebotene ANWENDUNG nur für die vorgesehenen Zwecke nutzen.

6.2. Der ANBIETER räumt dem KUNDEN mit der vollständigen Bezahlung aller LIZENZENTGELTE eine nicht ausschließliche Lizenz (im Sinne des § 24 Abs 1 erster Satz UrhG „Werknutzungsbewilligung") zur Nutzung der ANWENDUNG ein, die zeitlich auf die Dauer des Vertragsverhältnisses und räumlich und inhaltlich auf die Zwecke der Geschäftsbeziehung beschränkt ist. Im Übrigen bleiben alle (Werk-)Nutzungsrechte in allen Verwertungsarten beim ANBIETER.

6.2.1. Lizenzberechnung

Das LIZENZENTGELT ist pro Standort/Hotel-Betrieb zu entrichten und richtet sich nach der Anzahl der Zimmer, die für Gäste genutzt werden. Ein Standort ist wie folgt definiert: Ein fester physischer Ort, an dem der KUNDE regelmäßig oder dauerhaft wirtschaftliche Tätigkeiten ausübt und Gäste beherbergt.

6.3. Eine Unterlizenzierung oder Weiterlizenzierung ist nur mit ausdrücklicher Zustimmung des ANBIETERS zulässig.

6.4. Das Recht zur Dekompilierung und zum Reverse Engineering der ANWENDUNG ist ausgeschlossen, soweit dies nicht zwingend vorgesehen ist. Der KUNDE ist nicht berechtigt, die ANWENDUNG ohne Zustimmung des ANBIETERs zu verändern.

6.5. Kennzeichnungen der ANWENDUNG, insbesondere Urheberrechtsvermerke, Markenzeichen, Seriennummern oder Ähnliches dürfen nicht entfernt, verändert oder unkenntlich gemacht werden.

6.7. Der Quellcode der ANWENDUNG wird ausdrücklich nicht geschuldet.

6.8. Ein Benutzerhandbuch ist nicht geschuldet.

7. Back-Ups und Speicherung von Daten

7.1. Der ANBIETER erstellt in regelmäßigen Abständen Sicherungskopien der in der ANWENDUNG erzeugten und/oder gespeicherten Daten während ihrer Nutzung. Die Sicherungskopien werden nicht länger als sieben Tage gespeichert.

7.2. Unbeschadet Punkt 7.1. ist der KUNDE selbst für die Sicherung und Durchführung von Back-Ups verantwortlich.

7.3. Es wird darauf hingewiesen, dass Daten, welche mit der ANWENDUNG erfasst werden, ein Jahr nach Beendigung der Vertragsbeziehung gelöscht werden können. Es obliegt daher ausschließlich dem KUNDEN, rechtzeitig die Daten zu sichern und gegebenenfalls zu extrahieren.

8. Service Levels

8.1. Der ANBIETER bemüht sich auf Anfragen an Werktagen (Republik Österreich; Bundesland Wien) binnen 48 Stunden zu reagieren. Zeiten außerhalb der Arbeitszeit sind vom Lauf der genannten Frist ausgenommen.

8.2. Der ANBIETER bemüht sich an Werktagen Anfragen zu folgenden Zeiten zu bearbeiten: Montag bis Donnerstag: 09:00 bis 17:00 Uhr; Freitag: 09:00 bis 12:00 Uhr. Eine Bearbeitung außerhalb der Arbeitszeit ist nicht geschuldet.

8.3. Anfragen sind grundsätzlich über das dafür vorgesehene Ticket-System oder via E-Mail einzubringen.

8.4. Der ANBIETER bemüht sich um eine Verfügbarkeit der ANWENDUNG von 99,5 % pro Jahr. Angekündigte Wartungsarbeiten sowie Ausfälle wegen höherer Gewalt werden bei der Berechnung der Verfügbarkeit nicht in Abzug gebracht.

9. Mitwirkungspflichten

9.1. Der KUNDE ist verpflichtet, den ANBIETER bei der Bereitstellung der ANWENDUNG laufend und in zumutbarem Umfang zu unterstützen und gegebenenfalls einen (Fern-)Zugriff auf die ANWENDUNG zu ermöglichen. Insbesondere hat der KUNDE dem ANBIETER die erforderlichen Informationen, Daten und Beschreibungen zur Verfügung zu stellen und seine Wünsche und Vorstellungen zur Leistungserbringung rechtzeitig und deutlich mitzuteilen.

9.2. Im Falle notwendiger (Sicherheits-)Updates der ANWENDUNG ist der KUNDE verpflichtet, deren Installation durch den ANBIETER zu dulden.

10. Änderungen, Customizing

10.1. Der KUNDE hat das Recht, Änderungen an der ANWENDUNG vorzuschlagen (Change Request oder Customizing), wobei der ANBIETER nicht verpflichtet ist, diese Änderungsvorschläge umzusetzen.

10.2. Die gewünschten Änderungen sind vom KUNDEN möglichst genau in Form eines Lastenheftes zu beschreiben und gegebenenfalls gesondert zu entlohnen.

10.3. Das Werknutzungsrecht (im Sinne des § 24 Abs 1 zweiter Satz UrhG) an umgesetzten Kundenwünschen verbleibt beim ANBIETER.

11. Updates und Upgrades

11.1. Updates, also die Instandhaltung der ANWENDUNG, sind vom laufenden LIZENZENTGELT abgedeckt. Dies sind bspw. reguläre Fehlerbehebungen oder Verbesserungen.

11.2. Upgrades, also die Verbesserung der ANWENDUNG, sind vom laufenden LIZENZENTGELT ebenfalls abgedeckt und sind daher nicht gesondert zu entlohnen. Ein Upgrade bedeutet bspw. das hinzufügen eines neuen Features.

12. Gewährleistung, Haftungsausschluss und Schadloserklärung

12.1. Maßgeblich für die Beschaffenheit der vom ANBIETER bereitzustellenden ANWENDUNG ist die zum Zeitpunkt des Vertragsschlusses vorliegende Leistungsbeschreibung.

12.2. Der ANBIETER ist berechtigt, etwaige Mängel durch wirtschaftlich und technisch zumutbare Umgehungslösungen („Workarounds") zu beheben.

12.3. Die Haftung des ANBIETERs für leicht fahrlässig verursachte Schäden ist zur Gänze ausgeschlossen.

12.4. Die Haftung des ANBIETERs ist, in Fällen der groben Fahrlässigkeit, auf die doppelte Höhe des vom KUNDEN im letzten Jahr der Vertragsbeziehung bezahlten oder zu bezahlenden (netto) LIZENZENTGELTs beschränkt. Im ersten Jahr ist das doppelte vertraglich zu zahlende LIZENZENTGELT (netto) maßgeblich.

12.5. Schadensersatzansprüche des KUNDEN verjähren ein Jahr nach ihrem Entstehen.

12.6. Der ANBIETER haftet nicht für entgangenen Gewinn.

12.7. Der ANBIETER ist um einen störungsfreien Betrieb der ANWENDUNG bemüht. Dies beschränkt sich naturgemäß auf Leistungen, auf die der ANBIETER eine Einflussmöglichkeit hat. Dem ANBIETER bleibt es unbenommen, den Zugang zur ANWENDUNG aufgrund von Wartungsarbeiten, Kapazitätsbelangen und aufgrund anderer Ereignisse, die nicht in seinem Machtbereich stehen, zeitweise oder einzuschränken. Es steht dem ANBIETER auch zu, einzelne Funktionen einzustellen oder zu ändern.

12.8. Der ANBIETER haftet nicht für Inhalte, die der KUNDE in der ANWENDUNG veröffentlicht. Der KUNDE stellt den ANBIETER für den Fall der Inanspruchnahme wegen einer vermeintlichen oder tatsächlichen Rechtsverletzung und/oder Verletzung von Rechten Dritter von sämtlichen Ansprüchen Dritter frei, die sich aus vom KUNDEN zu vertretenden Handlungen im Zusammenhang mit der Nutzung der ANWENDUNG ergeben.

12.9. Der ANBIETER übernimmt keine Haftung und leistet keine Gewähr dafür, dass die ANWENDUNG fehlerfrei läuft. Der ANBIETER geht nach dem jeweiligen Stand der Technik vor, gewährleistet jedoch keine absolute Sicherheit der ANWENDUNG.

12.10. Während der kostenlosen Testphase sind sämtliche Gewährleistungsansprüche ausgeschlossen.

13. Datenschutz und Wahrung von Geschäfts- und Betriebsgeheimnissen

13.1. Die Weitergabe von Daten und Informationen an die jeweils erforderlichen Geschäftspartner ist zulässig, soweit dies für die Erfüllung des Vertragsverhältnisses, berechtigter Interessen und der gesetzlichen Pflichten erforderlich ist (Art 6 Abs 1 lit b, c, e und lit f DSGVO). Im Übrigen ist der ANBIETER verpflichtet, über die ihm aus der vorliegenden Geschäftsbeziehung bekannt gewordenen Umstände, Daten oder Geschäfts- und Betriebsgeheimnisse der anderen Partei Stillschweigen zu bewahren und insbesondere das Datengeheimnis zu wahren. Diese Verpflichtungen zum Daten- und Geschäftsgeheimnis gelten auch über das Vertragsverhältnis hinaus.

13.2. Der Quellcode der ANWENDUNG ist als Geschäftsgeheimnis im Sinne des § 26b UWG zu qualifizieren und unterliegt als solches angemessenen Geheimhaltungsmaßnahmen. Der KUNDE ist nicht berechtigt, ohne schriftliche Zustimmung des ANBIETERs Berechnungsmethoden, Programme, Ausdrucksweisen der Software, Angebote, Rankings, Preise, Leistungsbeschreibungen, Lastenhefte (in der Folge „ARBEITSERGEBNISSE") und ähnliches vollständig oder auszugsweise, entgeltlich oder unentgeltlich weiterzugeben. Die erstellten ARBEITSERGEBNISSE befinden sich ausschließlich im geistigen Eigentum des ANBIETERs (oder eines Dritten) und stellen Geschäftsgeheimnisse dar.

13.3. Der ANBIETER weist darauf hin, dass personenbezogene Daten des KUNDEN zu Werbezwecken auf Grundlage von berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) verarbeitet werden dürfen. Der KUNDE kann dieser Form der Datenverarbeitung jederzeit widersprechen (Art 21 Abs 2 DSGVO).

13.4. Nachdem der ANBIETER im Auftrag des KUNDEN personenbezogene Daten verarbeitet, schließen die Parteien den in Anhang I ersichtlichen Auftragsverarbeitervertrag nach Art 28 DSGVO ab.

14. Einsatz von Open Source Komponenten

14.1. Die ANWENDUNG enthält proprietäre Softwarekomponenten und Open-Source-Software-Komponenten (nachfolgend "OSS-Komponenten"). Hinsichtlich der OSS-Komponenten gelten die jeweiligen Lizenzbedingungen der OSS-Lizenzgebers. Der ANBIETER ist nicht Vertragspartner des KUNDEN in Bezug auf die OSS-Komponenten und kann für diese nicht haftbar gemacht werden. Dieser SaaS-Vertrag bezieht sich daher ausschließlich auf die proprietären Softwarekomponenten. Mit "proprietärer Software" sind jene Elemente gemeint, die vom ANBIETER bzw vom Dritt-Hersteller entwickelt wurden und deren Quellcode als vertraulich zu qualifizieren ist.

14.2. Die OSS-Komponenten dürfen nur unter den jeweiligen OSS-Lizenzbedingungen genutzt werden. Die Liste OSS-Komponenten (Software-Stückliste) wird dem KUNDEN auf Nachfrage zur Verfügung gestellt. Hinweis: Vertragspartner des KUNDEN ist in Bezug auf die verwendeten OSS-Komponenten nicht der ANBIETER, sondern der jeweilige Open-Source-Lizenzgeber.

15. Audit-Klausel

15.1. Der ANBIETER hat die Möglichkeit, die Einhaltung der lizenz-, und rechtskonformen Nutzung der ANWENDUNG zu überprüfen. Unabhängig davon, kann der ANBIETER vom KUNDEN einen Nachweis verlangen, wonach die ANWENDUNG lizenz-, und rechtskonform genutzt wird. Anfragen im Zusammenhang mit der lizenz-, und rechtskonformen Nutzung der ANWENDUNG müssen wahrheitsgemäß beantwortet werden.

15.2. Der ANBIETER ist berechtigt, die Einhaltung der lizenz-, und rechtskonformen Nutzung der ANWENDUNG durch den KUNDEN jederzeit nach mindestens 14-tägiger Ankündigung vor Ort oder remote zu überprüfen (Lizenz-Audit). Der ANBIETER kann sich dabei eines zur Verschwiegenheit verpflichteten Wirtschaftsprüfers oder Rechtsanwalts bedienen. Der ANBIETER wird dabei Geschäfts- und Betriebsgeheimnisse sowie datenschutzrechtliche Interessen des KUNDEN bestmöglich wahren. Das Audit wird unter Schonung der operativen Tätigkeit zu den ordentlichen Geschäftszeiten des KUNDEN abgehalten. Die in diesem Zusammenhang entstehenden Kosten trägt jede Partei selbst. Der KUNDE ist verpflichtet, dem ANBIETER die für das Audit erforderlichen Information zur Verfügung zu stellen und im Zuge des Lizenz-Audits mit dem ANBIETER zu kooperieren. Widrigenfalls ist der ANBIETER zu einer Zurückbehaltung seiner Leistungen berechtigt. Dies geschieht unbeschadet etwaiger weiterer Rechtsansprüche.

16. Referenzklausel

16.1. Der ANBIETER ist berechtigt, auf die Tatsache der Geschäftsbeziehung mit dem KUNDEN durch einen Hinweis auf seiner Website oder in anderen Marketing-/Geschäftsunterlagen hinzuweisen. Er ist berechtigt, in diesem Zusammenhang das Logo/die Marke des KUNDEN zu verwenden. Dieses Recht besteht auch über dieses Vertragsverhältnis hinaus.

17. Sub-Unternehmer

17.1. Der ANBIETER ist berechtigt, für die Erfüllung seiner Leistungen Sub-Unternehmer (Erfüllungsgehilfen) heranzuziehen. Die genannten Haftungsbeschränkungen gelten auch für diese.

18. Vertragsdauer und Kündigungsrechte

18.1. Das Vertragsverhältnis wird auf unbestimmte Zeit abgeschlossen.

18.1.1. Variante jährliche Kündbarkeit: Es kann von beiden Parteien unter Wahrung einer Kündigungsfrist von drei Monaten zum letzten Tag eines jeden Vertragsjahres gekündigt werden.

18.1.2. Variante monatliche Kündbarkeit: Es kann von beiden Parteien unter Wahrung einer Kündigungsfrist von sieben Tagen zum letzten Tag eines jeden Monats gekündigt werden.

18.2. Das Vertragsjahr und Vertragsverhältnis beginnt im Zweifel in jenem Zeitpunkt, in welchem der KUNDE diesen Vertrag unterzeichnet. Zur Veranschaulichung ein Beispiel: Der KUNDE unterzeichnet den Vertrag am 12.6.2025. Das Vertragsjahr endet in diesem Fall am 12.6.2026.

18.3. Eine Kündigung hat schriftlich zu erfolgen, wobei eine E-Mail ausreicht.

18.4. Das Recht auf außerordentliche Kündigung bleibt den Parteien unbenommen.

19. Gerichtsstand und anwendbares Recht

19.1. Auf dieses Vertragsverhältnis ist österreichisches Recht anzuwenden und gilt dieses als vereinbart. Die Anwendung des UN-Kaufrechtes ist ausgeschlossen.

19.2. Ausschließlicher Gerichtsstand ist das sachlich zuständige Gericht in Wien (3. Bezirk), Österreich.

19.3. Erfüllungsort ist der Sitz des ANBIETERs.

20. Änderungen des SaaS-Vertrages

20.1. Der ANBIETER ist berechtigt, diesen SaaS-Vertrag jederzeit zu ändern. Der ANBIETER wird den KUNDEN über solche Änderungen durch Zusendung der geänderten Bedingungen an die ihm zuletzt bekannt gegebene E-Mail-Adresse informieren. Der KUNDE hat das Recht, Änderungen zu widersprechen. Erfolgt binnen 14 Tagen ab Zusendung kein Widerspruch des KUNDEN, ist von einer konkludenten Zustimmung zur Änderung der Bedingungen auszugehen. Sachlich nicht gerechtfertigte Änderungen der Bedingungen können auf diese Weise nicht umgesetzt werden.

21. Sonstiges

21.1. Nichtige Bestimmungen berühren nicht die Wirksamkeit der übrigen Bestimmungen. An Stelle nichtiger Bestimmungen treten angemessene Ersatzbestimmungen, die im Lichte des Vertragszweckes dem am nächsten kommen, was die Vertragsparteien gewollt hätten, hätten sie die Nichtigkeit gekannt. Gleiches gilt bei vertragswidrigen Lücken.

21.2. Der KUNDE verpflichtet sich, die gelieferte ANWENDUNG weder unmittelbar noch mittelbar in Länder oder an Personen, Unternehmen oder Organisationen zu exportieren, re-exportieren oder weiterzugeben, wenn dadurch gegen geltende Exportkontrollvorschriften verstoßen würde. Vor einem etwaigen Export, Reexport oder einer Weitergabe hat der KUNDE eigenverantwortlich zu prüfen, ob hierfür eine Genehmigung erforderlich ist, und diese gegebenenfalls bei den zuständigen Behörden einzuholen. Der ANBIETER übernimmt keine Haftung für Verstöße des KUNDEN gegen Exportvorschriften.

21.3. Die hiermit getroffen Vereinbarung verdrängt etwaige zuvor abgeschlossene mündliche oder schriftliche Verträge.

21.4. Der beigeschlossene Anhang bildet einen integralen Bestandteil dieses Vertrages und gilt mit Annahme des SaaS-Vertrages als wirksam vereinbart.

Anhang I: Auftragsverarbeitervertrag nach Art 28 DSGVO

1. Eingangsbestimmungen

1.1. Vertragsparteien

Dieser Vertrag wird zwischen KUNDEN im Folgenden mit „Verantwortlicher" bezeichnet einerseits und dem ANBIETER im Folgenden mit „Auftragsverarbeiter" bezeichnet andererseits abgeschlossen.

1.2. Definitionen

AUFTRAGSVERARBEITER bezeichnet einen Auftragsverarbeiter im Sinne des Art 4 Z 8 Datenschutz-Grundverordnung.

DATEN bezeichnet personenbezogene Daten im Sinne des Art 4 Z 1 der Datenschutz-Grundverordnung.

DSGVO bezeichnet die Datenschutz-Grundverordnung in der jeweils geltenden Fassung.

VERANTWORTLICHER bezeichnet einen Verantwortlichen im Sinne des Art 4 Z 7 Datenschutz-Grundverordnung.

Die VERTRAGSPARTEIEN umfassen den Auftragnehmer und den Auftraggeber.

SUBAUFTRAGSVERARBEITER bezeichnet einen weiteren Auftragsverarbeiter, dessen Dienste der AUFTRAGSVERARBEITER in Anspruch nimmt, um bestimmte Verarbeitungstätigkeiten auszuführen.

1.3. Neutralität der Geschlechter

Zum Zwecke der besseren Lesbarkeit wird auf eine geschlechterspezifische Differenzierung verzichtet. Dies geschieht ohne Diskriminierungsabsicht. Alle Geschlechter sind gleichermaßen angesprochen.

2. Hauptteil

2.1. Gegenstand, Dauer, Art und Zweck der Verarbeitung (Art 28 Abs 3 DSGVO)

Dieser Vertrag wird auf unbestimmte Zeit abgeschlossen. Er endet, sobald der Software-as-a-Service-Vertrag zwischen den Parteien endet. Der Gegenstand und die Art dieses AVV kann wie folgt beschrieben werden: Bereitstellung der Software GuestGoodie und Erbringung von Service-Leistungen in diesem Zusammenhang.

2.2. Art der personenbezogenen Daten und Kategorien der betroffenen Personen (Art 28 Abs 3 DSGVO)

Im Zuge der gegenständlichen Auftragsverarbeitung werden folgende Arten von DATEN verarbeitet:

Es werden die DATEN von folgenden betroffenen Personen verarbeitet:

2.3. Verarbeitung nur auf dokumentierte Weisung (Art 28 Abs 3 lit a DSGVO)

Der AUFTRAGSVERARBEITER wird DATEN nur auf dokumentierte Weisung des VERANTWORTLICHEN im Rahmen der getroffenen Vereinbarung – auch in Bezug auf die Übermittlung von DATEN an ein Drittland oder eine internationale Organisation – verarbeiten, sofern er nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der AUFTRAGSVERARBEITER unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der AUFTRAGSVERARBEITER dem VERANTWORTLICHEN diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.4. Verpflichtung zur Vertraulichkeit (Art 28 Abs 3 lit b DSGVO)

Der AUFTRAGSVERARBEITER gewährleistet, dass sich die zur Verarbeitung der DATEN befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen. Diese Verpflichtung gilt auch über das Vertragsverhältnis hinaus.

2.5. Verpflichtung zur Umsetzung der erforderlichen Maßnahmen (Art 28 Abs 3 lit c DSGVO)

Der AUFTRAGSVERARBEITER gewährleistet, alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen zu ergreifen.

Der AUFTRAGSVERARBEITER hat dem VERANTWORTLICHEN vor Abschluss dieses Auftragsverarbeitervertrages eine Liste der konkret ergriffenen bzw laufend umzusetzenden technischen und organisatorischen Maßnahmen (in der Folge „TOMs") übermittelt. Diese Liste der TOMs wird diesem Vertrag als Anhang Ib angeschlossen und ist vom AUFTRAGSVERARBEITER regelmäßig zu re-evaluieren und gegebenenfalls anzupassen.

2.6. Unterstützungspflichten (Art 28 Abs 3 lit e DSGVO)

Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen. Auskünfte an Dritte bzw betroffene Personen erteilt der AUFTRAGSVERARBEITER dabei ausschließlich auf Weisung des VERANTWORTLICHEN.

2.7. Informationspflichten (Art 28 Abs 3 lit f DSGVO)

Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden technischen Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen.

2.8. Rückgabe oder Löschung der Daten (Art 28 Abs 3 lit g DSGVO)

Der AUFTRAGSVERARBEITER wird nach Abschluss der Erbringung der Verarbeitungsleistung alle DATEN nach Wahl des VERANTWORTLICHEN entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der DATEN besteht.

2.9. Möglichkeit der Überprüfung (Art 28 Abs 3 lit h DSGVO)

Der AUFTRAGSVERARBEITER wird dem VERANTWORTLICHEN alle erforderlichen Informationen zum Nachweis der Einhaltung der im Art 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen –, die vom VERANTWORTLICHEN oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.

2.10. Informationspflicht bei Datenschutzverstoß (Art 28 Abs 3 lit h DSGVO)

Der AUFTRAGSVERARBEITER wird den VERANTWORTLICHEN unverzüglich darüber informieren, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder Mitgliedstaaten verstößt.

2.11. Inanspruchnahme von Subauftragsverarbeitern (Art 28 Abs 4 DSGVO)

Nimmt der AUFTRAGSVERARBEITER die Dienste eines weiteren Auftragsverarbeiters (im Folgenden: SUBAUFTRAGSVERARBEITER) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des VERANTWORTLICHEN auszuführen, so werden diesem SUBAUFTRAGSVERARBEITER im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der betreffenden Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, die in einem Vertrag oder anderen Rechtsinstrumenten zwischen dem VERANTWORTLICHEN und dem AUFTRAGSVERARBEITER festgelegt sind. Dabei müssen insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der SUBAUFTRAGSVERARBEITER seinen Datenschutzpflichten nicht nach, so haftet der AUFTRAGSVERARBEITER gegenüber dem VERANTWORTLICHEN für die Einhaltung der Pflichten jenes SUBAUFTRAGSVERARBEITERS.

Derzeit setzt der AUFTRAGSVERARBEITER folgende SUBAUFTRAGSVERARBEITER ein:

Der VERANTWORTLICHE ist mit der Heranziehung der genannten SUBAUFTRAGSVERARBEITER einverstanden. Der VERANTWORTLICHE erteilt eine allgemeine Genehmigung, dass der AUFTRAGSVERARBEITER andere SUBAUFTRAGSVERARBEITER hinzuziehen darf. Der AUFTRAGSVERARBEITER hat den VERANTWORTLICHEN jedoch immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer SUBAUFTRAGSVERARBEITER zu informieren. Der VERANTWORTLICHE hat das Recht, gegen derartige Änderungen Einspruch binnen 14 Tagen zu erheben (Art 28 Abs 2 DSGVO), widrigenfalls von einer Zustimmung ausgegangen wird. Der AUFTRAGSVERARBEITER verpflichtet sich, dass die in Art 28 Abs 2 und 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren SUBAUFTRAGSVERARBEITER eingehalten werden (Art 28 Abs 3 lit d DSGVO).

3. Schlussbestimmungen

3.1. Teilunwirksamkeit/Salvatorische Klausel

Nichtige Bestimmungen einzelner Vertragsbestandteile dieses AVV berühren nicht die Wirksamkeit der übrigen Bestimmungen. Anstelle der nichtigen Bestimmungen treten angemessene Ersatzbestimmungen, die im Lichte des Vertragszweckes, dem am nächsten kommen, was die VERTRAGSPARTEIEN gewollt hätten, hätten sie die Unwirksamkeit gekannt. Gleiches gilt bei vertragswidrigen Lücken. Im Zweifel gelten die Regeln des Art 28 DSGVO.

3.2. Kosten der Mitwirkung

Dem AUFTRAGSVERARBEITER steht für die Mitwirkung der gesetzlich und vertraglichen Mitwirkungsleistungen (insbesondere im Zuge eines Audits oder der Wahrnehmung der Betroffenenrechte) ein separater Kostenersatzanspruch zu. Ein Kostenersatzanspruch besteht jedoch nicht, wenn der Aufwand in diesem Zusammenhang sehr gering ist (Aufwand von unter einer Stunde im Monat).

4. Anhang

Die angeführten Anhänge bilden einen integralen Bestandteil des AVV und gelten als wirksam vereinbart:

Anhang Ia - Subauftragsverarbeiter

Subauftragsverarbeiter Zweck der Datenverarbeitung Sitz des Subauftragsverarbeiters Datentransfer in Drittland
Amazon Web Services Hosting der Anwendung USA EU-US Data Privacy Framework (nur hinsichtlich Non-HR-Data)
HubSpot, Inc CRM USA EU-US Data Privacy Framework (nur hinsichtlich Non-HR-Data)

Anhang Ib – TOMs

Technische Maßnahmen:

1. Verschlüsselung:

2. Zugriffskontrolle:

3. Pseudonymisierung:

4. Datensparsamkeit:

5. Datensicherung und -wiederherstellung:

6. Datenschutz durch Technikgestaltung (Privacy by Design):

7. Multi-Tenancy Isolation:

8. Infrastructure Security:

9. DDoS-Schutz und Traffic-Management:

10. Logging und Monitoring:

Organisatorische Maßnahmen:

1. Datenschutzrichtlinien und -verfahren:

2. Schulungen und Sensibilisierung:

3. Datengeheimnis:

4. Auftragsverarbeitungsverträge:

5. Incident-Response-Plan:

6. Need-to-know-Prinzip:

Stand: 26.05.2025
Goodie Tech OG
Adamsgasse 18/Top 12
1030 Wien, Österreich