Kudovo
DatenschutzImpressumAnmelden →

DSGVO · Art. 28

Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO zwischen Kudovo e.U. (Auftragsverarbeiter) und dem Kunden (Verantwortlicher)

§ 1 Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Verarbeitung personenbezogener Daten durch Kudovo e.U. (nachfolgend „Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend „Verantwortlicher") im Rahmen der Nutzung der SaaS-Plattform Kudovo.

Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag / AGB) zwischen Auftragsverarbeiter und Verantwortlichem. Er endet automatisch mit Beendigung des Hauptvertrags.

§ 2 Art, Zweck und Umfang der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen, insbesondere:

  • Speicherung und Verwaltung von Kundenbewertungen (Name, Bewertungstext, Bewertungsdatum)
  • KI-gestützte Generierung von Antwortvorschlägen auf Bewertungen
  • Verarbeitung von Kontaktdaten bei Nutzung des Feedback-Funnels (E-Mail, optional Telefon)
  • Anzeige und Analyse von Bewertungsdaten im Dashboard
  • Optionale Wettbewerbsanalyse öffentlich zugänglicher Bewertungsprofile

Die Verarbeitung erfolgt in der EU/EWR (Supabase EU-Region: Frankfurt) oder bei Nutzung von KI-Diensten ggf. in den USA (Anthropic, Inc.) unter Einhaltung geeigneter Garantien (SCCs).

§ 3 Kategorien betroffener Personen und Datenkategorien

Betroffene Personen:

  • Gäste und Kunden des Verantwortlichen, die Bewertungen hinterlassen haben
  • Personen, die über den Feedback-Funnel Kontakt aufnehmen

Datenkategorien:

  • Name (Vor- und Nachname oder Pseudonym)
  • Bewertungstext und Bewertungssterne
  • Datum und Uhrzeit der Bewertung
  • E-Mail-Adresse (wenn über Feedback-Funnel übermittelt)
  • Telefonnummer (optional, wenn vom Gast angegeben)

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Vertraulichkeit zu wahren und nur Personen Zugang zu gewähren, die zur Verschwiegenheit verpflichtet sind
  • Geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten umzusetzen
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) zu unterstützen
  • Nach Vertragsende alle Daten zu löschen oder zurückzugeben
  • Den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren (Art. 33 DSGVO)

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Schutzmaßnahmen ein:

🔐 Verschlüsselung
TLS 1.3 in Transit, AES-256 at Rest (Supabase)
🔑 Zugriffskontrolle
Row Level Security (RLS), 2FA für Admin-Zugänge
📋 Protokollierung
Audit Logs für alle Datenzugriffe
🛡️ Backups
Tägliche automatische Backups, 30 Tage Aufbewahrung
🏢 Rechenzentrum
EU-Region Frankfurt (ISO 27001 zertifiziert)
🔄 Updates
Regelmäßige Sicherheitsupdates und Penetrationstests

§ 6 Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit die allgemeine Genehmigung zur Beauftragung der folgenden Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen mit mindestens 30 Tagen Vorlaufzeit.

AnbieterZweckSitz / ÜbermittlungGarantie
Supabase, Inc.Datenbank, AuthentifizierungUSA → EU FrankfurtSCCs + EU-Region
Anthropic, Inc.KI-AntwortgenerierungUSASCCs (Art. 46 DSGVO)
Stripe, Inc.ZahlungsabwicklungUSA → EU DublinSCCs + PCI DSS
Vercel, Inc.Hosting / CDNUSA → EUSCCs

Mit Abschluss des Hauptvertrags stimmt der Verantwortliche der Einbindung dieser Unterauftragsverarbeiter zu. Anthropic verarbeitet nur anonymisierte/aggregierte Bewertungstexte ohne Personenbezug für die KI-Generierung.

§ 7 Weisungsrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit schriftliche Weisungen zur Verarbeitung der Daten zu erteilen. Weisungen sind per E-Mail an office@kudovo.at zu richten.

Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.

§ 8 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) gemäß Art. 15–22 DSGVO — soweit technisch möglich über das Self-Service-Dashboard, ansonsten per Anfrage an office@kudovo.at.

§ 9 Datenlöschung nach Vertragsende

Nach Beendigung des Hauptvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann vor der Löschung einen vollständigen Datenexport (CSV/JSON) über das Dashboard anfordern.

§ 10 Haftung und Schadensersatz

Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO (Art. 82) sowie den AGB von Kudovo e.U. Der Auftragsverarbeiter haftet nur für Schäden, die durch eine nicht DSGVO-konforme Verarbeitung oder Nichtbeachtung von Weisungen entstehen, soweit er ein Verschulden trifft.

§ 11 Anwendbares Recht und Gerichtsstand

Es gilt österreichisches Recht. Gerichtsstand ist Wien. Für Streitigkeiten über Datenschutzverstöße ist zusätzlich die Österreichische Datenschutzbehörde (DSB) zuständig:
www.dsb.gv.at

✅ Zustimmung durch Vertragsabschluss

Mit dem Abschluss des Nutzungsvertrags (Registrierung auf kudovo.at und Zustimmung zu den AGB) stimmt der Verantwortliche diesem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zu. Eine gesonderte Unterschrift ist nach österreichischem und EU-Recht nicht zwingend erforderlich.

Stand: Mai 2026 · Kudovo e.U. · Dieser AVV ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen.