Auftragsverarbeitungsvereinbarung
gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679)
Parteien
Diese Auftragsverarbeitungsvereinbarung (nachfolgend „Vereinbarung“) wird zwischen dem jeweiligen Kunden der postservice.at Plattform (nachfolgend „Verantwortlicher“ oder „Auftraggeber“) und dem Auftragnehmer geschlossen:
1010 Works GmbH
Seitenstettengasse 5/37, 1010 Wien
vertreten durch Stephan Holzbach, Geschäftsführer
(nachfolgend „Auftragsverarbeiter“).
Der Verantwortliche und der Auftragsverarbeiter werden im Folgenden gemeinsam als „Parteien“, einzeln als „Partei“ bezeichnet. Die Vereinbarung tritt mit Abschluss des zugrundeliegenden Dienstleistungsvertrages über postservice.at in Kraft.
Präambel
Der Verantwortliche nutzt die Dienstleistungen des Auftragsverarbeiters im Rahmen des Dienstleistungsvertrages für virtuelle Bürodienste und Postservices über die Plattform postservice.at. Im Rahmen dieser Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen folgender Dienstleistungen:
- Entgegennahme, Sortierung und Weiterleitung von Postsendungen
- Scannen und digitale Übermittlung von Postinhalten an den Verantwortlichen
- Bereitstellung einer Geschäftsadresse (virtuelle Büroadresse)
- Telefonservice und Anrufweiterleitung (sofern beauftragt)
- Zugangsmanagement für Coworking-Räumlichkeiten (sofern beauftragt)
(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Dienstleistungsvertrages zwischen den Parteien. Diese Vereinbarung endet automatisch mit Beendigung des Dienstleistungsvertrages.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich zum Zweck der Erfüllung der in § 1 genannten Dienstleistungen. Die Art der Verarbeitung umfasst insbesondere:
- Erhebung und Speicherung von Kontaktdaten des Verantwortlichen und seiner Mitarbeiter/Geschäftspartner
- Scannen, digitale Erfassung und Übermittlung von Postinhalten
- Physische Aufbewahrung und Weiterleitung von Postsendungen
- Protokollierung von eingehenden Anrufen (sofern beauftragt)
§ 3 Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten sind Gegenstand der Verarbeitung:
- Namen und Kontaktdaten (Adresse, Telefonnummer, E-Mail) des Verantwortlichen, seiner Mitarbeiter und Geschäftspartner
- Geschäftskorrespondenz und deren Inhalte (sofern gescannt)
- Absenderinformationen eingehender Post
- Anrufinformationen (Anrufername, Telefonnummer, Anrufzeit, Nachrichteninhalt)
- Zugangsdaten für Coworking-Räumlichkeiten (Name, Zeitstempel)
§ 4 Kategorien betroffener Personen
Betroffene Personen sind:
- Mitarbeiter, Geschäftsführer und Organe des Verantwortlichen
- Kunden und Geschäftspartner des Verantwortlichen
- Absender von Postsendungen an den Verantwortlichen
- Anrufer beim Verantwortlichen
§ 5 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).
(4) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).
(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 28 Abs. 3 lit. e DSGVO).
(6) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(7) Der Auftragsverarbeiter löscht nach Abschluss der Verarbeitungsdienstleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).
(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung, ermöglicht Überprüfungen einschließlich Inspektionen und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).
§ 6 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.
(2) Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder elektronisch zu bestätigen.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.
§ 7 Unterauftragsverarbeiter
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage vor der beabsichtigten Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters. Der Verantwortliche kann innerhalb von 14 Tagen nach Zugang der Information gegen die Änderung Einspruch erheben.
(3) Bei Einschaltung von Unterauftragsverarbeitern stellt der Auftragsverarbeiter sicher, dass diesen dieselben Datenschutzpflichten auferlegt werden, die in dieser Vereinbarung festgelegt sind.
(4) Eine namentliche Liste der zum Zeitpunkt des Vertragsabschlusses eingesetzten Unterauftragsverarbeiter ist als Anlage 2 Bestandteil dieser Vereinbarung. Eine stets aktuelle Fassung wird zusätzlich unter postservice.at/avv#anlage-2 veröffentlicht.
§ 7a Datenübermittlung in Drittländer
(1) Soweit personenbezogene Daten im Rahmen dieser Vereinbarung an Unterauftragsverarbeiter mit Sitz in einem Land außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden oder dort verarbeitet werden können, stellt der Auftragsverarbeiter sicher, dass eine geeignete Garantie im Sinne der Art. 44 ff. DSGVO vorliegt.
(2) Als geeignete Garantien kommen insbesondere in Betracht:
- Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO (z. B. EU-US Data Privacy Framework für zertifizierte US-Empfänger)
- Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 in der jeweils gültigen Fassung
- UK International Data Transfer Addendum bzw. UK IDTA, soweit für Übermittlungen aus dem Vereinigten Königreich relevant
(3) Der Auftragsverarbeiter hat ein Transfer Impact Assessment (TIA) durchgeführt und ergreift wo erforderlich ergänzende technische Maßnahmen (Verschlüsselung im Transit und at-Rest, Zugriffsbeschränkung, EU-Region-Wahl beim Hosting), um das Schutzniveau der DSGVO sicherzustellen.
(4) Die konkreten Drittlandtransfers, das jeweilige Empfängerland und die angewandten Garantien sind in Anlage 2 dieser Vereinbarung dokumentiert.
§ 8 Meldepflicht bei Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.
(2) Die Meldung enthält mindestens folgende Informationen:
- Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung
§ 9 Betroffenenrechte
(1) Wendet sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO) an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung solcher Anträge.
§ 10 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzvorschriften und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu überprüfen. Dies kann durch Vor-Ort-Kontrollen, Einsichtnahme in Unterlagen oder durch Beauftragung eines unabhängigen Prüfers erfolgen.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Durchführung der Kontrolle erforderlichen Informationen zur Verfügung.
(3) Kontrollen sind unter angemessener Berücksichtigung des Betriebsablaufs des Auftragsverarbeiters und mit einer Vorankündigungsfrist von mindestens 14 Tagen durchzuführen, außer bei begründetem Verdacht auf Datenschutzverstöße.
§ 11 Haftung
Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den allgemeinen gesetzlichen Bestimmungen.
§ 12 Schlussbestimmungen
(1) Diese Vereinbarung unterliegt österreichischem Recht. Ausschließlicher Gerichtsstand ist Wien.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
(3) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.
(4) Diese Vereinbarung ist Bestandteil des Dienstleistungsvertrages zwischen den Parteien.
Anlage 1: Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle:
- Zugang zu den Geschäftsräumlichkeiten ausschließlich mittels elektronischem Zugangssystem (EVVA AirKey)
- Protokollierung aller Zutritte
- Zutrittsberechtigung nur für autorisiertes Personal
Zugangskontrolle:
- Passwortgeschützte Systeme mit Mindestanforderungen an Passwortkomplexität
- Zwei-Faktor-Authentifizierung für administrative Zugänge
- Automatische Bildschirmsperre
Zugriffskontrolle:
- Rollenbasiertes Berechtigungskonzept
- Zugriff auf Kundendaten nur für berechtigte Mitarbeiter
- Protokollierung von Zugriffen auf personenbezogene Daten
Trennungskontrolle:
- Mandantenfähige Systeme, strikte Trennung der Kundendaten
- Getrennte Ablage der physischen Post je Kunde
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle:
- Verschlüsselte Übertragung sämtlicher Daten via TLS 1.2+ / HTTPS zwischen Plattform und Endgeräten der Kunden
- Verschlüsselte Übertragung von Scandokumenten zur Speicherung in einem EU-gehosteten Object Storage
- Verschlüsselte E-Mail-Kommunikation per TLS (Microsoft 365), soweit der empfangende Mailserver TLS unterstützt
- Verschlüsselung der Datenbank (PostgreSQL) und des Object Storage at-rest beim Cloud-Anbieter
Eingabekontrolle:
- Nachvollziehbarkeit der Datenerfassung, Änderung und Löschung durch Audit-Logs
- Versionierung kritischer Datensätze in der Datenbank
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
- Tägliche automatische Datenbank-Backups beim Hosting-Anbieter mit Point-in-Time-Recovery, Aufbewahrung gemäß Anbieter-SLA
- Redundante Hosting-Infrastruktur mit automatischem Failover
- Brandschutz- und Diebstahlschutzmaßnahmen in den Geschäftsräumlichkeiten
- Sichere physische Aufbewahrung eingehender Postsendungen in versperrbaren Aktenschränken
- Wiederherstellungsverfahren und regelmäßige Tests der Backup-Restoration
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Regelmäßige interne Überprüfung der technischen und organisatorischen Maßnahmen
- Sensibilisierung und Schulung der Mitarbeiter im Datenschutz
- Dokumentiertes Datenschutz-Management
- Incident-Response-Prozess für Datenschutzverletzungen
- Auswahl der Subverarbeiter ausschließlich nach DSGVO-konformer Vorprüfung (DPA, SCCs, Zertifizierungen, EU-Region-Wahl wo möglich)
Anlage 2: Liste der Unterauftragsverarbeiter und eingesetzten Systeme
Folgende Unterauftragsverarbeiter sind zum Stand dieser Vereinbarung im Rahmen der Erbringung der Dienstleistungen über postservice.at eingebunden.
A. Hosting & Infrastruktur
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| Vercel Inc. 340 S Lemon Ave #4133, Walnut, CA 91789, USA | USA (Kontrollgesellschaft); Funktions-Ausführung primär Region Frankfurt (fra1) | Hosting der Plattform postservice.at, serverlose Funktionsausführung; verarbeitet Logdaten, IP-Adressen, übermittelte Formulardaten | DPA inkl. EU-Standardvertragsklauseln (Modul 2 + 3) gem. Beschluss 2021/914; ergänzende technische Maßnahmen |
| Vercel Blob Storage (über Vercel Inc.) | Region Frankfurt (eu-central, AWS S3-basiert) | Speicherung gescannter Postsendungen, hochgeladener Dokumente, Profilbilder/Logos der Kunden | Verarbeitung in der EU; vertragliche Garantien wie oben |
| Neon Inc. (Tochter Databricks Inc.) San Francisco, CA, USA | Region Frankfurt (eu-central-1, AWS) | Verwaltete PostgreSQL-Datenbank; verarbeitet sämtliche strukturierten Kunden-, Post- und Vertragsdaten | DPA inkl. EU-Standardvertragsklauseln; Daten verbleiben in der EU-Region |
B. E-Mail- und Kommunikationsdienste
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| Microsoft Ireland Operations Limited One Microsoft Place, Dublin 18, D18 P521, Irland | EU Data Boundary (Microsoft 365 / Exchange Online) | Geschäftsmailbox hello@postservice.at, Versand und Empfang von Korrespondenz mit Kunden, Postbenachrichtigungen | Microsoft Products and Services DPA; Verarbeitung innerhalb der EU Data Boundary |
| Resend, Inc. 2261 Market Street #5039, San Francisco, CA 94114, USA | USA (mit EU-Region für transaktionale Sendungen, soweit verfügbar) | Versand transaktionaler E-Mails (Bestellbestätigungen, Benachrichtigungen über eingegangene Post, Account-Mails) | DPA inkl. EU-Standardvertragsklauseln; ergänzende technische Maßnahmen |
C. Zahlungsabwicklung & Vertragsmanagement
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| Chargebee Inc. Hauptsitz: San Francisco, CA, USA EU-Niederlassung: Piet Heinkade 55, 1019 GM Amsterdam, Niederlande Operativ auch: ChargeBee Technologies Pvt. Ltd., Chennai/Bengaluru, Indien | USA, Niederlande, Indien | Subscription-Management, Hosted-Checkout, Rechnungsstellung, Kundenportal; verarbeitet Name, Rechnungsadresse, E-Mail, USt-ID, Vertragsdaten. Die eigentliche Karten- bzw. Kontodatenverarbeitung erfolgt durch den jeweils angebundenen Payment-Service-Provider. | DPA inkl. EU-Standardvertragsklauseln (Modul 2); ISO 27001, SOC 1 + 2 |
D. Termin- und Beratungsbuchung
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| Cal.com, Inc. 2261 Market Street #4382, San Francisco, CA 94114, USA | USA | Online-Buchung von Onboarding- und Beratungsterminen; verarbeitet Name, E-Mail, Wunschtermin, Notizfeld | DPA inkl. EU-Standardvertragsklauseln; Open-Source-Code-Basis |
E. Zutrittsmanagement (Coworking)
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| EVVA Sicherheitstechnologie GmbH Wienerbergstraße 59-65, 1120 Wien, Österreich | Österreich (EU) | AirKey/Xesar-Zutrittssystem zu den Geschäftsräumlichkeiten; protokolliert Zutritte autorisierter Personen sowie Coworking-Nutzer | Kein Drittlandtransfer (Österreich/EU) |
F. Webanalyse & Tag Management (nur nach Einwilligung)
| Anbieter | Sitz / Verarbeitungsort | Zweck / Datenkategorien | Garantie für Drittland |
|---|---|---|---|
| Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland (Mutter: Google LLC, USA) | EU primär; Übermittlung in die USA möglich | Google Tag Manager und Google Analytics 4 zur pseudonymen Reichweitenmessung; Aktivierung ausschließlich nach Einwilligung (Consent Mode v2). Google Ads für Conversion-Tracking. | Google Ads Data Processing Terms inkl. EU-Standardvertragsklauseln; IP-Anonymisierung |
Subverarbeiter, die ausschließlich zur Erbringung interner Dienste (z. B. Buchhaltung, Code-Versionierung, Projektmanagement) ohne Verarbeitung von Kundenpostdaten eingesetzt werden, sind nicht Bestandteil dieser Liste, sofern keine personenbezogenen Daten der Kunden an sie übermittelt werden.
Kontakt bei Fragen zum Datenschutz
Für Fragen zu dieser Auftragsverarbeitungsvereinbarung oder zum Datenschutz allgemein wenden Sie sich bitte an:
1010 Works GmbH
Seitenstettengasse 5/37, 1010 Wien
E-Mail: hello@postservice.at
Stand: April 2026 (Version 2.0 – mit Anlage 2 Subverarbeiter-Liste und § 7a Drittlandtransfer)