Auftragsverarbeitungsvertrag (AVV)

Stand: April 2026 · gemäß Art. 28 DSGVO

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Anbieter von TaxiDesk im Auftrag des Kunden und ist Bestandteil der zwischen den Parteien geschlossenen Nutzungsvereinbarung (AGB).

1. Parteien

Auftragsverarbeiter:
Patrick Wolfsteiner, Bachgasse 10, 6067 Absam, Österreich
E-Mail: it@wolfsteiner.tirol

Verantwortlicher:
Der Kunde (Taxibetrieb), der die Software TaxiDesk nutzt und dessen Daten verarbeitet werden.

2. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Anwendung TaxiDesk zur Verwaltung von Taxibetrieben (Vorbestellungen, Dienstpläne, Mitarbeiterverwaltung). Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

3. Art der Verarbeitung und Zweck

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung und zum Betrieb der Software TaxiDesk im Auftrag des Verantwortlichen. Eine darüber hinausgehende Verarbeitung findet nicht statt.

4. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

• Mitarbeiterdaten: Name, Benutzername, Telefonnummer, E-Mail-Adresse, Arbeitszeiten, Benachrichtigungseinstellungen
• Vorbestellungsdaten: Name und Adresse des Fahrgastes, Abhol- und Zielort, Datum und Uhrzeit
• Stammkundendaten: Name, Adresse, Telefonnummer
• Kommunikationsdaten: interne Nachrichten (Ansagen)
• Technische Daten: Sitzungstoken, Geräteinformationen für Push-Benachrichtigungen

5. Betroffene Personen

Von der Verarbeitung betroffen sind: Mitarbeiterinnen und Mitarbeiter des Kunden sowie Fahrgäste und Stammkunden des Taxibetriebs.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• Personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
• Alle zur Verarbeitung befugten Personen auf die Vertraulichkeit zu verpflichten
• Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
• Den Verantwortlichen bei der Wahrnehmung von Betroffenenrechten zu unterstützen
• Nach Abschluss der Verarbeitung alle Daten zu löschen oder zurückzugeben
• Den Verantwortlichen über datenschutzrechtlich unzulässige Weisungen zu informieren

7. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Software TaxiDesk gemäß diesen Nutzungsbedingungen gilt als Weisung.

8. Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

Der Verantwortliche stimmt dem Einsatz dieser Unterauftragsverarbeiter mit Abschluss des Nutzungsvertrags zu.

9. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Sicherheitsmaßnahmen gemäß Art. 32 DSGVO:

• Verschlüsselte Übertragung aller Daten via HTTPS/TLS
• Mandantentrennung: jede Firma sieht ausschließlich eigene Daten
• Rollenbasierte Zugriffskontrolle (Chef/Mitarbeiter)
• Session-Schutz: simultane Login-Sperre, CSRF-Schutz
• Rate Limiting zum Schutz vor Brute-Force-Angriffen
• Regelmäßige Software-Updates und Sicherheitspatches

10. Datenpannen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens binnen 24 Stunden nach Bekanntwerden, per E-Mail.

11. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Anforderungen beim Auftragsverarbeiter zu überprüfen. Audits werden mit mindestens 14 Tagen Ankündigungsfrist angekündigt.

12. Rückgabe und Löschung

Nach Beendigung des Nutzungsvertrags löscht der Auftragsverarbeiter alle verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen. Auf Anfrage kann vor der Löschung ein Datenexport bereitgestellt werden.

13. Inkrafttreten

Dieser AVV wird mit Registrierung und Nutzung der Software TaxiDesk wirksam und ist Bestandteil der AGB.