Auftragsverarbeitungsvertrag (AAV)

gemäß Art. 28 DSGVO

zwischen

dem Kundenunternehmen, das die Plattform „Nisty" nutzt — nachfolgend „Verantwortlicher" —

und

Strategie Manufaktur Unternehmensberatung e.U., Romatschachen 86, 8212 Pischelsdorf, Österreich (FN 653876h, Landesgericht für ZRS Graz), vertreten durch den Inhaber Bernd Steiner, MA BA

sowie

Risk-Vision GmbH, Südsiedlung 1/1, 8401 Kalsdorf, Österreich (FN 619592s, Landesgericht für ZRS Graz, UID ATU80320109), vertreten durch den Geschäftsführer Manuel Rieger, MA MBA

— die beiden vorgenannten Gesellschaften gemeinsam und gleichrangig nachfolgend „Auftragsverarbeiter" —

§ 1 Gegenstand und Grundlagen

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der Compliance-Plattform „Nisty" (nis2.strategiemanufaktur.online).
Die beiden den Auftragsverarbeiter bildenden Gesellschaften betreiben die Plattform gleichrangig und treten gegenüber dem Verantwortlichen gemeinsam als Auftragsverarbeiter auf. Sie haften gegenüber dem Verantwortlichen für die Pflichten aus diesem Vertrag gesamtschuldnerisch. Eine Weisung des Verantwortlichen an eine der beiden Gesellschaften gilt als an beide gerichtet.
Die Verarbeitung erfolgt ausschließlich nach den Bestimmungen dieses Vertrags und den dokumentierten Weisungen des Verantwortlichen. Art, Umfang, Zweck und Dauer der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1.
Verantwortlicher im Sinne der DSGVO bleibt der Verantwortliche. Er ist für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte verantwortlich.

§ 2 Dauer

Dieser Vertrag gilt für die Dauer des zugrunde liegenden Hauptvertrags (Nutzungsvertrag der Plattform). Er endet automatisch mit dessen Beendigung; § 11 (Löschung und Rückgabe) bleibt davon unberührt.

§ 3 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Weisungen werden in der Regel über die Funktionen der Plattform erteilt; ergänzende Einzelweisungen sind in Textform (z. B. per E-Mail an office@strategiemanufaktur.online) zu erteilen und werden dokumentiert.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, insbesondere:

Daten nur im Rahmen des Auftrags und der Weisungen zu verarbeiten;
die Vertraulichkeit zu wahren und sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen und einzuhalten (Anlage 2);
die Bedingungen für die Inanspruchnahme der Dienste weiterer Auftragsverarbeiter gemäß § 6 einzuhalten;
den Verantwortlichen bei der Erfüllung der Betroffenenrechte gemäß § 7 zu unterstützen;
den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation);
nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen zu löschen oder zurückzugeben (§ 11);
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung zu stellen und Überprüfungen zu ermöglichen (§ 9).

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter setzt die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen um und hält diese während der Vertragsdauer aufrecht.
Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter darf alternative, gleichwertige Maßnahmen umsetzen, sofern das Sicherheitsniveau nicht unterschritten wird.

§ 6 Unter-Auftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung zur Hinzuziehung von Unter-Auftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unter-Auftragsverarbeiter sind in Anlage 3 aufgeführt und gelten als genehmigt.
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unter-Auftragsverarbeitern und räumt dem Verantwortlichen die Möglichkeit ein, gegen derartige Änderungen innerhalb von 14 Tagen Einspruch zu erheben.
Der Auftragsverarbeiter verpflichtet jeden Unter-Auftragsverarbeiter vertraglich auf dieselben Datenschutzpflichten, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO) nachzukommen. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter.

§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.
Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO sowie — soweit einschlägig — bei den Meldepflichten nach NIS-2 (Art. 23 RL 2022/2555 bzw. nationaler Umsetzung).

§ 9 Kontroll- und Auditrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zum Nachweis der Einhaltung dieses Vertrags erforderlichen Informationen zur Verfügung (z. B. Zertifikate, Prüfberichte, Beschreibung der TOM, Audit-Log-Export).
Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen Maßnahmen zu überzeugen — durch Einholung von Auskünften, durch Vorlage von Nachweisen oder genehmigter Zertifizierungen (z. B. ISO 27001) oder, soweit erforderlich, durch eine Vor-Ort-Prüfung mit angemessener Vorankündigung und während der üblichen Geschäftszeiten.
Soweit zumutbar, sind Prüfungen vorrangig durch Vorlage vorhandener Nachweise und Zertifikate zu erfüllen, um Betriebsabläufe nicht unverhältnismäßig zu beeinträchtigen.

§ 10 Verarbeitung in Drittländern

Eine Verarbeitung personenbezogener Daten in einem Drittland erfolgt nur, soweit die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (Angemessenheitsbeschluss, Standardvertragsklauseln oder sonstige geeignete Garantien). Die in Anlage 3 genannten Drittlandbezüge und ihre Rechtsgrundlagen sind dort ausgewiesen.

§ 11 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder mitgliedstaatlichem Recht eine Verpflichtung zur Speicherung besteht.
Daten des manipulationsgesicherten Compliance-Audit-Logs (append-only, Hash-Kette) werden zur Erfüllung gesetzlicher und vertraglicher Nachweispflichten bis zum Ablauf der gesetzlichen Aufbewahrungsfrist (orientiert an § 132 BAO, ISO 27001 A.5.33) aufbewahrt und sodann gelöscht. Hierauf wird der Verantwortliche ausdrücklich hingewiesen.
Die Löschung wird dem Verantwortlichen auf Anfrage bestätigt.

§ 12 Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags. Die gesamtschuldnerische Haftung der beiden den Auftragsverarbeiter bildenden Gesellschaften nach § 1 Abs. 2 bleibt unberührt.
Klarstellung: Das Assessment, die Gap-Analyse und der Compliance-Statusbericht beruhen auf der Selbstauskunft des Verantwortlichen. Der Auftragsverarbeiter übernimmt keine Gewähr für die inhaltliche Richtigkeit dieser Angaben oder der daraus abgeleiteten Ergebnisse, für das Erreichen eines bestimmten Sicherheits-, Compliance- oder Zertifizierungsergebnisses (insbesondere kein staatliches NIS-2-Zertifikat) sowie nicht für Schäden an IT-Systemen oder Folgeschäden. Im Übrigen gilt der Haftungsausschluss im Impressum (nis2.strategiemanufaktur.online/impressum.html).

§ 13 Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist — soweit gesetzlich zulässig — das sachlich zuständige Gericht in Graz. Gegenüber Verbrauchern gelten die zwingenden gesetzlichen Gerichtsstandsregelungen.
Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags hinsichtlich der Datenverarbeitung vor.

Unterschriften

Dieser Auftragsverarbeitungsvertrag wird in zwei gleichlautenden Ausfertigungen geschlossen.

Für den Verantwortlichen

Ort, Datum: …………………………………………………..

Name (Druckbuchstaben): ………………………………………..

Funktion: …………………………………………………….

Unterschrift / Stempel: ………………………………………..

Für den Auftragsverarbeiter — Strategie Manufaktur Unternehmensberatung e.U. (vertreten durch Bernd Steiner, MA BA)

Ort, Datum: …………………………………………………..

Name (Druckbuchstaben): ………………………………………..

Unterschrift / Stempel: ………………………………………..

Für den Auftragsverarbeiter — Risk-Vision GmbH (vertreten durch Manuel Rieger, MA MBA)

Ort, Datum: …………………………………………………..

Name (Druckbuchstaben): ………………………………………..

Unterschrift / Stempel: ………………………………………..

Anlage 1 — Gegenstand und Details der Verarbeitung

Gegenstand der Verarbeitung: Bereitstellung und Betrieb der NIS-2-Compliance-Plattform „Nisty" (Gap-Analyse, Maßnahmenplanung, Richtlinien-Erstellung, Lieferanten-Bewertung, Incident-Management, Schulungsverwaltung, Compliance-Statusbericht).

Art der Verarbeitung: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Verwenden, Bereitstellen, Löschen.

Zweck der Verarbeitung: Erfüllung des Plattform-Nutzungsvertrags sowie Unterstützung des Verantwortlichen bei der Erfüllung seiner NIS-2- und ISO-27001-bezogenen Pflichten.

Art der personenbezogenen Daten:

Stammdaten von Nutzerkonten (Name, E-Mail, Firmenzugehörigkeit, Rolle)
vom Verantwortlichen eingegebene Daten Dritter (z. B. Kontaktdaten von Lieferanten, Daten zu Schulungsteilnehmern, Angaben in Incident-Meldungen)
technische Protokolldaten (IP-Adresse bei Authentifizierungs- und Sicherheitsereignissen)

Kategorien betroffener Personen:

Mitarbeitende und Administratoren des Verantwortlichen (Nutzer der Plattform)
Ansprechpartner bei Lieferanten/Dienstleistern des Verantwortlichen
Schulungsteilnehmende
ggf. von einem Vorfall betroffene Personen

Dauer: Für die Laufzeit des Hauptvertrags; danach gemäß § 11.

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

Zutrittskontrolle: Verarbeitung in den ISO-zertifizierten Rechenzentren von Hetzner in Deutschland (Nürnberg/Falkenstein) mit physischen Zutrittssicherungen.
Zugangskontrolle: Mehr-Faktor-Authentifizierung (MFA), individuelle Benutzerkonten, Passwort-Richtlinien, automatische Sperren nach Fehlversuchen.
Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC), Prinzip der minimalen Rechte, strikte Mandantentrennung über Tenant-ID.

Integrität

Weitergabekontrolle: Verschlüsselte Übertragung ausschließlich über TLS 1.2+.
Eingabekontrolle: Manipulationsgesichertes, append-only Audit-Log mit kryptografischer Hash-Kette (SHA-256), Protokollierung sicherheitsrelevanter Aktionen inkl. IP bei Auth-Events.

Verfügbarkeit und Belastbarkeit

regelmäßige Backups, Wiederherstellungsverfahren, Monitoring der Verfügbarkeit.
Schutzmaßnahmen gegen Datenverlust und unbefugte Veränderung.

Verschlüsselung und Pseudonymisierung

Verschlüsselung der Datenübertragung; Pseudonymisierung in der internen Telemetrie (Tenant-/User-IDs statt Klarnamen, tagesrotierender Sitzungs-Hash).

Auftragskontrolle / Verfahren zur regelmäßigen Überprüfung

vertragliche Bindung aller Unter-Auftragsverarbeiter nach Art. 28 DSGVO.
Orientierung der Maßnahmen an ISO 27001:2022 und BSI IT-Grundschutz; regelmäßige Überprüfung und Bewertung der Wirksamkeit.

Datenstandort

Verarbeitung der Kerndaten ausschließlich in Deutschland; kein genereller Drittlandtransfer (Ausnahmen siehe Anlage 3).

Anlage 3 — Genehmigte Unter-Auftragsverarbeiter

Unter-Auftragsverarbeiter	Sitz	Leistung	Datenstandort / Drittland	Garantie
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen	Deutschland	Hosting / Server-Infrastruktur	Deutschland (Nürnberg/Falkenstein)	EU/EWR — kein Drittland
Stripe Payments Europe Ltd. (Irland) / Stripe Inc. (USA)	Irland / USA	Zahlungsabwicklung	EU sowie USA	SCC + EU-US DPF
ActiveCampaign LLC / Postmark	USA	Versand von Transaktions-E-Mails	USA	SCC + EU-US DPF

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen dieser Liste (Hinzuziehung oder Ersetzung von Unter-Auftragsverarbeitern) gemäß § 6 Abs. 2 rechtzeitig vorab.

Stand: Juni 2026 · Strategie Manufaktur Unternehmensberatung e.U. & Risk-Vision GmbH