Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO — Courthaus

Stand: 4. März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem jeweiligen Mandanten (nachfolgend „Verantwortlicher") und dem Anbieter von Courthaus geschlossen:

Rudolph Gottesheim Ein-Personen-Unternehmen (EPU) WKO-Sparte: Information und Consulting Marke: Midnight Design Österreich

[Straße, Hausnummer, PLZ Ort — vor Veröffentlichung einzutragen]

E-Mail: [email protected]

(nachfolgend „Auftragsverarbeiter")

Der Verantwortliche und der Auftragsverarbeiter werden nachfolgend einzeln als „Partei" und gemeinsam als „Parteien" bezeichnet.

Der Verantwortliche nutzt den Dienst Courthaus zur Verwaltung seiner Sportanlage und verarbeitet dabei über die Plattform personenbezogene Daten seiner Gäste. Der Auftragsverarbeiter stellt zu diesem Zweck die technische Infrastruktur bereit und verarbeitet die betreffenden Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen.

Dieser AVV ergänzt die Nutzungsbedingungen von Courthaus und bildet mit ihnen zusammen die vollständige Vereinbarung zwischen den Parteien zum Gegenstand der Auftragsverarbeitung.

1. Gegenstand, Dauer, Art und Zweck der Verarbeitung

1.1 Gegenstand

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten von Gästen des Verantwortlichen durch den Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes Courthaus.

1.2 Dauer

Dieser AVV tritt mit Annahme durch den Verantwortlichen im Rahmen der Mandanten-Erstellung in Courthaus in Kraft und gilt für die gesamte Dauer des Nutzungsverhältnisses. Er endet automatisch mit der wirksamen Beendigung der zugrunde liegenden Nutzungsbedingungen, ohne dass es einer gesonderten Kündigung bedarf. „Beendigung" im Sinne dieses AVV bezeichnet die vollständige Schließung des Mandanten-Accounts — nicht das bloße Auslaufen eines Abonnements oder den Übergang in den eingeschränkten Lesemodus. Während des eingeschränkten Lesemodus (etwa nach Ablauf des Testzeitraums, nach Kündigung des Abonnements oder während einer Abonnementpause) bleibt dieser AVV in vollem Umfang in Kraft; alle darin geregelten Datenschutzpflichten bestehen unverändert fort bis zur tatsächlichen Schließung des Accounts. Die Pflichten aus den Abschnitten 9 (Löschung und Rückgabe) und 11 (Vertraulichkeit) gelten über das Vertragsende hinaus fort.

1.3 Art der Verarbeitung

Der Auftragsverarbeiter führt im Auftrag des Verantwortlichen folgende Verarbeitungsvorgänge durch:

  • Speicherung und Verwaltung von Gästedaten in der Court-Manager-Datenbank;
  • Anzeige, Bearbeitung und Löschung von Gästedaten auf Weisung des Verantwortlichen über die Benutzeroberfläche der Plattform;
  • Verknüpfung von Gästedaten mit Buchungsdatensätzen;
  • Bereitstellung von Suchfunktionen und Exportfunktionen für Gästedaten;
  • kurzzeitige Zwischenspeicherung von Gästedaten im Rahmen der Offline-Funktion der Plattform;
  • Protokollierung von Änderungen an Gästedatensätzen im Audit-Protokoll des Mandanten-Accounts (Zeitpunkt der Aktion und handelnde Person).

1.4 Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Erbringung des vertraglich vereinbarten Dienstes — konkret: der technischen Ermöglichung der Platzbuchungs- und Gästeverwaltung des Verantwortlichen über die Court-Manager-Plattform. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

2. Art der personenbezogenen Daten und Kategorien betroffener Personen

2.1 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung verarbeitet der Auftragsverarbeiter folgende Kategorien personenbezogener Daten:

  • Namen von Gästen (Vor- und Nachname oder Kurzbezeichnung, soweit vom Verantwortlichen erfasst), einschließlich namensbezogener Snapshots auf Buchungsdatensätzen;
  • Telefonnummern von Gästen;
  • Buchungsmetadaten (Datum, Uhrzeit und Platzzuweisung auf Buchungsdatensätzen, die dem Gast zugeordnet sind).

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind von diesem AVV nicht umfasst und dürfen über Courthaus nicht verarbeitet werden.

2.2 Kategorien betroffener Personen

Betroffene Personen sind Gäste der Sportanlage des Verantwortlichen — also natürliche Personen, die Sportplätze des Verantwortlichen buchen oder gebucht haben und deren Daten vom Verantwortlichen oder seinen Mitarbeiterinnen und Mitarbeitern in Courthaus eingetragen werden.

3. Pflichten und Rechte des Verantwortlichen

3.1 Weisungsrecht

Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter jederzeit Weisungen zur Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können insbesondere betreffen:

  • die Berichtigung, Löschung oder Einschränkung der Verarbeitung bestimmter Datensätze;
  • den Export von Daten;
  • die Unterstützung bei der Bearbeitung von Betroffenenrechtsanfragen (vgl. Abschnitt 8).

Weisungen werden in der Regel durch die Nutzung der in Courthaus bereitgestellten Funktionen ausgeübt. Darüber hinausgehende Weisungen sind schriftlich (einschließlich per E-Mail) an [email protected] zu richten.

3.2 Verantwortung des Verantwortlichen

Der Verantwortliche trägt die alleinige Verantwortung dafür, dass

  • er für die Verarbeitung der in Courthaus eingetragenen Gästedaten über eine geeignete Rechtsgrundlage nach Art. 6 DSGVO verfügt;
  • er seine Gäste in geeigneter Weise über die Verarbeitung ihrer Daten informiert;
  • die ihm erteilten Weisungen mit dem anwendbaren Datenschutzrecht vereinbar sind.

Weist der Verantwortliche den Auftragsverarbeiter zu einer Verarbeitung an, die nach Einschätzung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich darauf hinweisen. Besteht der Verantwortliche auf der Weisung, kann der Auftragsverarbeiter die Ausführung verweigern und das Nutzungsverhältnis aus wichtigem Grund kündigen (vgl. Nutzungsbedingungen §13.1).

4. Pflichten des Auftragsverarbeiters

4.1 Bindung an Weisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach dem Recht der Europäischen Union oder dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen die betreffenden rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

4.2 Keine Verarbeitung zu eigenen Zwecken

Der Auftragsverarbeiter nutzt die ihm anvertrauten personenbezogenen Daten nicht für eigene Zwecke, insbesondere nicht zur Erstellung von Nutzerprofilen, zu Marketingzwecken oder zur Weitergabe an Dritte außerhalb der in diesem AVV geregelten Unterauftragsverarbeitung.

4.3 Ansprechpartner

Der Auftragsverarbeiter benennt als Ansprechpartner für datenschutzrechtliche Fragen im Rahmen dieses AVV:

Rudolph Gottesheim, [email protected]

Da der Auftragsverarbeiter ein Ein-Personen-Unternehmen betreibt, ist die Bestellung eines gesonderten betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO derzeit nicht erforderlich. Sollte sich dies ändern, wird der Verantwortliche unverzüglich informiert.

5. Vertraulichkeit

5.1 Vertraulichkeitspflicht

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu den im Auftrag verarbeiteten personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

Da Courthaus als Ein-Personen-Unternehmen betrieben wird, ist der Auftragsverarbeiter selbst die einzige Person, die regulär Zugang zu den Rohdaten der Datenbank hat. Für etwaige künftige Mitarbeiterinnen und Mitarbeiter oder freie Mitarbeitende wird eine entsprechende Vertraulichkeitsvereinbarung abgeschlossen, bevor diesen Personen Zugang zu personenbezogenen Daten gewährt wird.

5.2 Fortgeltung

Die Vertraulichkeitspflicht gilt über die Beendigung dieses AVV hinaus.

6. Technische und organisatorische Maßnahmen (TOMs)

6.1 Allgemeine Verpflichtung

Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 28 Abs. 3 lit. c, Art. 32 DSGVO).

Die in §6.2 aufgeführten Maßnahmen wurden von den Parteien gemeinsam als dem Risikoprofil der in §§1–2 dieses AVV beschriebenen Verarbeitung angemessen bewertet. Jede Absenkung des durch diese Maßnahmen gewährleisteten Schutzniveaus erfordert eine vorherige schriftliche Mitteilung an den Verantwortlichen; eine wesentliche Absenkung setzt darüber hinaus die vorherige schriftliche Zustimmung des Verantwortlichen voraus. Der Auftragsverarbeiter behält die Flexibilität, einzelne technische Maßnahmen zu aktualisieren, sofern das Gesamtschutzniveau nicht abgesenkt wird.

6.2 Maßnahmenkategorien

Die umgesetzten TOMs umfassen insbesondere folgende Kategorien:

Vertraulichkeit:

  • Verschlüsselung aller Datenübertragungen über HTTPS (TLS);
  • Verschlüsselung sicherheitskritischer Daten im Ruhezustand (AES-256-GCM);
  • Sicheres Sitzungsmanagement (kryptographisch gesicherte Tokens, HttpOnly- und Secure-Flags);
  • Strikte mandantenbezogene Zugriffskontrolle.

Integrität:

  • Authentifizierte Datenbankverbindungen;
  • Protokollierung wesentlicher Datenänderungen (Audit-Protokoll) mit Benutzerkennung und Zeitstempel;
  • Optimistische Sperrmechanismen zur Verhinderung konkurrierender Schreibzugriffe.

Verfügbarkeit und Belastbarkeit:

  • Betrieb der Infrastruktur innerhalb des Europäischen Wirtschaftsraums (EWR);
  • Datensicherungen (Backups) durch den Hosting-Dienstleister;
  • Offline-Funktionalität mit automatischer Synchronisierung zur Sicherstellung der Datenkontinuität.

Verschlüsselung von Datensicherungen: Der Auftragsverarbeiter verpflichtet den Hosting-Dienstleister vertraglich, Datensicherungen (Backups) verschlüsselt im Ruhezustand zu speichern, in Erfüllung von Art. 32 Abs. 1 lit. a DSGVO.

Wiederherstellbarkeit:

  • Die Backup- und Wiederherstellungskapazitäten des Hosting-Dienstleisters gewährleisten die rechtzeitige Wiederherstellbarkeit personenbezogener Daten nach einem Sicherheitsvorfall, in Erfüllung von Art. 32 Abs. 1 lit. c DSGVO. Die Verantwortung für die konkrete Ausgestaltung dieser Maßnahmen liegt beim Hosting-Dienstleister als Unterauftragsverarbeiter; der Auftragsverarbeiter stellt sicher, dass die vertraglichen Vereinbarungen mit dem Hosting-Dienstleister die Anforderungen von Art. 32 Abs. 1 lit. c DSGVO abdecken.

Verfahren zur regelmäßigen Überprüfung:

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen;
  • Einsatz aktueller Softwarekomponenten mit zeitnahem Einspielen sicherheitsrelevanter Updates.

Die konkrete Ausgestaltung der TOMs kann der Auftragsverarbeiter im Laufe der Zeit anpassen, um das vereinbarte Schutzniveau aufrechtzuerhalten oder zu verbessern, sofern das Schutzniveau insgesamt nicht abgesenkt wird.

7. Unterauftragsverarbeitung

7.1 Genehmigungsvorbehalt

Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur einsetzen, wenn der Verantwortliche dem zustimmt. Mit Annahme dieses AVV erteilt der Verantwortliche seine allgemeine Genehmigung für den Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO).

7.2 Aktuelle Unterauftragsverarbeiter

Unterauftragsverarbeiter Sitz Verarbeitungszweck
[Hosting-Dienstleister — Name und Sitz vor Veröffentlichung einzutragen] EWR Server- und Datenbankhosting
[Externe Buchungs-API — Anbieter, Name und Sitz vor Veröffentlichung einzutragen, sobald die datenschutzrechtliche Bewertung als Unterauftragsverarbeiter abgeschlossen ist] Verwaltung von Verfügbarkeiten und Zeitfenstern

Hinweis: Diese Liste ist vor der Produktivschaltung von Courthaus vollständig auszufüllen. Für jeden weiteren Dienstleister, der personenbezogene Daten im Rahmen der Leistungserbringung verarbeitet, ist vorab zu prüfen, ob er als Unterauftragsverarbeiter einzustufen ist und in diese Liste aufzunehmen ist.

7.3 Änderungen bei Unterauftragsverarbeitern

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 30 Tagen nach Zugang der Benachrichtigung schriftlich Widerspruch einlegen. Wird kein Widerspruch eingelegt, gilt die Änderung als genehmigt. Erhebt der Verantwortliche fristgerecht Widerspruch und kann der Auftragsverarbeiter dem Widerspruch nicht ohne wesentliche Beeinträchtigung des Dienstes Rechnung tragen, ist jede Partei berechtigt, das Nutzungsverhältnis mit einer Frist von 30 Tagen zum Monatsende zu kündigen. Bis zur Kündigung oder bis zum Erreichen einer einvernehmlichen Lösung setzt der Auftragsverarbeiter den geplanten Unterauftragsverarbeiterwechsel aus. Der Einsatz des neuen Unterauftragsverarbeiters erfolgt frühestens nach Ablauf der Widerspruchsfrist, sofern kein fristgerechter Widerspruch eingelegt wurde.

Notfallklausel: Kündigt ein bestehender Unterauftragsverarbeiter, der kritische Hosting- oder Infrastrukturleistungen erbringt, den Vertrag mit dem Auftragsverarbeiter mit einer Frist von weniger als 30 Tagen, so ist der Auftragsverarbeiter berechtigt, zur Aufrechterhaltung des Betriebs unverzüglich auf einen Ersatz-Unterauftragsverarbeiter umzustellen. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen gleichzeitig mit der Umstellung schriftlich über den Wechsel und seinen Grund. Dem Verantwortlichen steht ab dem Eingang dieser Benachrichtigung eine nachträgliche Widerspruchsfrist von 30 Tagen zu. Legt der Verantwortliche innerhalb dieser Frist schriftlich Widerspruch gegen den Ersatz-Unterauftragsverarbeiter ein, ist er berechtigt, das Nutzungsverhältnis mit einer Frist von 30 Tagen zu kündigen. Die Notfallklausel greift ausschließlich in Fällen, in denen der Auftragsverarbeiter die verkürzte Frist des bisherigen Unterauftragsverarbeiters nicht zu vertreten hat.

7.4 Weitergabepflichten

Der Auftragsverarbeiter stellt sicher, dass er Unterauftragsverarbeitern dieselben datenschutzrechtlichen Pflichten auferlegt, wie sie ihm selbst aus diesem AVV obliegen, insbesondere in Bezug auf Weisungsgebundenheit, Vertraulichkeit und technische und organisatorische Maßnahmen. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber dafür, dass Unterauftragsverarbeiter diese Pflichten erfüllen (Art. 28 Abs. 4 DSGVO).

8. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen (Art. 28 Abs. 3 lit. e DSGVO), insbesondere:

  • Auskunft (Art. 15 DSGVO): Die Plattform bietet dem Verantwortlichen Such- und Einsichtsfunktionen, mit denen alle zu einer Person gespeicherten Daten ermittelt werden können.
  • Berichtigung (Art. 16 DSGVO): Der Verantwortliche kann Gästedaten über die Benutzeroberfläche direkt berichtigen.
  • Löschung (Art. 17 DSGVO): Der Verantwortliche kann Gästedatensätze über die Plattform löschen; Buchungsreferenzen, die aus rechtlichen Gründen aufzubewahren sind, verbleiben ggf. als anonymisierter Datensatz.
  • Datenübertragbarkeit (Art. 20 DSGVO): Die Exportfunktion ermöglicht den Download aller Mandantendaten in einem maschinenlesbaren Format (CSV/JSON).
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Soweit technisch nicht vollständig durch die Plattformfunktionen abgedeckt, unterstützt der Auftragsverarbeiter den Verantwortlichen auf schriftliche Anfrage bei der Umsetzung.

Soweit die Unterstützung über den regulären Funktionsumfang der Plattform hinausgeht und einen erheblichen gesonderten Aufwand erfordert, kann der Auftragsverarbeiter hierfür ein angemessenes Entgelt in Rechnung stellen.

9. Löschung und Rückgabe nach Vertragsende

Nach Beendigung des AVV — also nach Beendigung des Nutzungsverhältnisses — wird der Auftragsverarbeiter:

  • alle personenbezogenen Daten des Verantwortlichen innerhalb von 12 Monaten nach Vertragsende löschen oder anonymisieren, sofern der Verantwortliche keine anderweitige Weisung erteilt. Die 12-monatige Standardfrist ist erforderlich, um dem Verantwortlichen ausreichend Zeit für einen vollständigen Datenexport zu geben und die Vollständigkeit des Exports zu überprüfen, unter Berücksichtigung möglicher Verzögerungen im administrativen Nachgang nach der Vertragsbeendigung. Diese Standardfrist gilt als zwischen den Parteien vereinbarte Frist; sie beruht nicht auf einer eigenen gesetzlichen Aufbewahrungspflicht des Auftragsverarbeiters, sondern dient ausschließlich dem Interesse des Verantwortlichen an einer vollständigen Datensicherung vor Vertragsende. Der Verantwortliche kann die Löschung jederzeit früher über die in der Plattform integrierten Löschfunktionen veranlassen; die Standardfrist begründet keine Pflicht des Verantwortlichen, die gesamte Frist auszuschöpfen.
  • den Verantwortlichen mindestens 30 Tage vor dem planmäßigen Ablauf der Löschfrist per E-Mail an die im Mandanten-Account hinterlegte Adresse über die bevorstehende Löschung informieren, damit der Verantwortliche rechtzeitig einen Datenexport vornehmen oder eine begründete Aufbewahrungsweisung erteilen kann;
  • dem Verantwortlichen auf schriftliche Anfrage bestätigen, dass die Löschung oder Anonymisierung erfolgt ist.

Während der Frist von 12 Monaten bleiben alle Daten im eingeschränkten Lesemodus zugänglich und können vom Verantwortlichen über die Datenexportfunktion vollständig abgerufen werden. Der Verantwortliche kann die Löschung auch vor Ablauf dieser Frist jederzeit über die in der Plattform integrierten Löschfunktionen veranlassen.

Sofern der Verantwortliche nicht anderes weist, werden keine Datenkopien zurückgegeben; die in Courthaus integrierten Exportfunktionen (CSV/JSON-Download) stehen als gleichwertiges Mittel zur Datenrückgabe zur Verfügung.

Der Verantwortliche trägt die alleinige Verantwortung dafür, etwaige gesetzliche Aufbewahrungspflichten, denen er selbst unterliegt (z. B. nach § 132 BAO), vor Erteilung einer Löschanweisung mit den vorgesehenen Löschfristen abzustimmen. Der Auftragsverarbeiter ist nicht verpflichtet zu prüfen, ob eine Löschanweisung mit den gesetzlichen Aufbewahrungspflichten des Verantwortlichen vereinbar ist.

Der Verantwortliche kann dem Auftragsverarbeiter schriftlich anweisen, bestimmte Datenkategorien über die Standardlöschfrist von 12 Monaten hinaus aufzubewahren, sofern und soweit dies zur Erfüllung gesetzlicher Aufbewahrungspflichten des Verantwortlichen erforderlich ist. Der Auftragsverarbeiter wird einer solchen Weisung entsprechen, soweit die Aufbewahrung technisch und betrieblich möglich ist; der Auftragsverarbeiter kann für den erhöhten Aufwand ein angemessenes Entgelt in Rechnung stellen.

Audit-Protokoll-Einträge, die Bezüge zu Gästedaten enthalten, werden im Rahmen der allgemeinen Löschpflicht behandelt; soweit der Auftragsverarbeiter diese Einträge zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, darf er sie bis zum Ablauf der einschlägigen Verjährungsfristen aufbewahren (Art. 17 Abs. 3 lit. b DSGVO), hat dabei jedoch die Benutzerkennung in den Einträgen zu pseudonymisieren.

10. Prüfungsrechte des Verantwortlichen

10.1 Recht auf Information und Prüfung

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO). Dazu kann er:

  • schriftliche Auskünfte zu den umgesetzten TOMs und Verarbeitungsvorgängen anfordern;
  • vorhandene Zertifizierungen, Testate oder Prüfberichte Dritter, die der Auftragsverarbeiter vorlegen kann, einsehen;
  • mit angemessener Vorankündigung (mindestens 14 Tage) und zu üblichen Geschäftszeiten Prüfungen durchführen oder durch Beauftragte durchführen lassen.

10.2 Verhältnismäßigkeit

Prüfungen sind auf das erforderliche Maß zu beschränken und dürfen den laufenden Betrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen. Der Auftragsverarbeiter ist berechtigt, Prüfungen abzulehnen, die über das nach Art. 28 DSGVO erforderliche Maß hinausgehen. In diesem Fall werden die Parteien eine alternative, verhältnismäßige Nachweisform vereinbaren.

10.3 Kosten

Prüfungen, die über die Anforderung schriftlicher Auskünfte hinausgehen, trägt der Verantwortliche, sofern die Prüfung keinen Verstoß des Auftragsverarbeiters ergibt.

11. Datenpannen-Meldung

11.1 Meldepflicht des Auftragsverarbeiters

Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten, die Gästedaten des Verantwortlichen betreffen, unverzüglich und so zeitnah nach Bekanntwerden, dass der Verantwortliche seine eigene Meldefrist gemäß Art. 33 DSGVO einhalten kann, an den Verantwortlichen (Art. 28 Abs. 3 lit. f DSGVO). Die Meldung erfolgt per E-Mail an die im Mandanten-Account hinterlegte E-Mail-Adresse des Verantwortlichen.

11.2 Inhalt der Meldung

Die Meldung enthält — soweit zum Zeitpunkt der Meldung verfügbar — folgende Informationen:

  • eine Beschreibung der Art der Verletzung;
  • die ungefähre Anzahl der betroffenen Personen und Datensätze;
  • eine Beschreibung der wahrscheinlichen Folgen;
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

Soweit nicht alle Informationen gleichzeitig bereitgestellt werden können, werden sie schrittweise nachgereicht.

11.3 Eigenverantwortung des Verantwortlichen

Die Beurteilung, ob eine Meldung an die Datenschutzbehörde (Art. 33 DSGVO) oder eine Benachrichtigung betroffener Personen (Art. 34 DSGVO) erforderlich ist, obliegt dem Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erstellung der erforderlichen Informationen, soweit ihm dies möglich ist.

12. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt österreichischem Recht. Für Streitigkeiten aus oder im Zusammenhang mit diesem AVV gilt der Gerichtsstand gemäß den Nutzungsbedingungen von Courthaus.

13. Annahme und verbindlicher Vertragsschluss

Dieser AVV wird im Rahmen der Mandanten-Erstellung in Courthaus elektronisch angenommen. Dem Verantwortlichen wird der vollständige Text dieses AVV vor der Annahme zur Einsichtnahme bereitgestellt.

Durch Aktivierung der entsprechenden Bestätigungsschaltfläche im Rahmen der Mandanten-Erstellung erklärt der Verantwortliche:

  1. den vollständigen Text dieses AVV zur Kenntnis genommen zu haben;
  2. den AVV im Namen des im Mandanten-Account registrierten Unternehmens bzw. in eigenem Namen anzunehmen;
  3. dass er befugt ist, diese Erklärung für sich oder das vertretene Unternehmen abzugeben.

Die Annahme wird protokolliert; Zeitpunkt, E-Mail-Adresse des annehmenden Nutzers und Account-ID werden aufgezeichnet und für mindestens drei Jahre nach Vertragsende aufbewahrt. Als Version des AVV gilt das im Kopf des Dokuments ausgewiesene Datum „Stand".

14. Änderungen dieses AVV

14.1 Begriffsbestimmung: wesentliche und nicht wesentliche Änderungen

Für die Zwecke dieses Paragraphen gelten die folgenden Definitionen:

Nicht wesentliche Änderungen sind ausschließlich:

  1. die Korrektur von Tipp- und Schreibfehlern ohne inhaltliche Bedeutung;
  2. die Aktualisierung von Kontaktdaten oder der Anschrift des Auftragsverarbeiters;
  3. die Umbenennung von Abschnitten ohne Änderung ihres sachlichen Inhalts;
  4. die Anpassung von Querverweisen nach einer Umnummerierung von Abschnitten.

Diese Liste ist abschließend. Insbesondere sind Änderungen an den §§ 1 bis 6 dieses AVV — also an Gegenstand, Dauer, Art und Zweck der Verarbeitung, an den verarbeiteten Datenkategorien oder Kategorien betroffener Personen, an den Pflichten und Rechten der Parteien sowie an den technischen und organisatorischen Maßnahmen — stets als wesentlich einzustufen, auch wenn sie dem Auftragsverarbeiter gering erscheinen mögen.

Wesentliche Änderungen sind alle Änderungen, die nicht in die vorstehende abschließende Definition der nicht wesentlichen Änderungen fallen — einschließlich, aber nicht beschränkt auf: Änderungen des Umfangs, der Art oder der Rechtsgrundlage der Verarbeitung; Änderungen der Datenkategorien; Änderungen der Verarbeitungszwecke; Änderungen der Sicherheitspflichten; sowie Änderungen bei Unterauftragsverarbeitern (die dem Verfahren gemäß §7.3 folgen).

14.2 Nicht wesentliche Änderungen

Nicht wesentliche Änderungen im Sinne von §14.1 werden dem Verantwortlichen mit einer Frist von mindestens 30 Tagen vor ihrem Inkrafttreten schriftlich angekündigt. Erhebt der Verantwortliche innerhalb dieser Frist keinen schriftlichen Widerspruch und nutzt er den Dienst nach Ablauf der Frist weiter, gilt die Änderung als angenommen. In der Ankündigung wird ausdrücklich auf diesen Zustimmungsmechanismus hingewiesen. Der Verantwortliche wird bei Annahme dieses AVV darüber informiert, dass nicht wesentliche Änderungen auf diesem Wege wirksam werden können.

14.3 Wesentliche Änderungen

Wesentliche Änderungen im Sinne von §14.1 erfordern die aktive schriftliche Annahme durch den Verantwortlichen. Die Annahme erfolgt durch eine erneute Bestätigung in der Plattform, die dem ursprünglichen Onboarding-Annahmeverfahren gemäß §13 entspricht. Schweigen oder die bloße Nichterhebung eines Widerspruchs genügt nicht.

Der Auftragsverarbeiter kündigt wesentliche Änderungen mit einer Frist von mindestens 30 Tagen an und fordert den Verantwortlichen zur aktiven Annahme auf. Der Verantwortliche hat 30 Tage Zeit, die Änderung aktiv anzunehmen.

Nimmt der Verantwortliche eine wesentliche Änderung nicht innerhalb der 30-tägigen Frist aktiv an, so verbleibt das Vertragsverhältnis — einschließlich dieses AVV — unter der zuletzt aktiv angenommenen Fassung, bis der Verantwortliche die Änderung aktiv annimmt oder das Nutzungsverhältnis beendet. In diesem Fall gilt die neue Fassung des AVV nicht als wirksam vereinbart, bis die aktive Annahme erfolgt ist. Der Auftragsverarbeiter kann das Nutzungsverhältnis mit einer Frist von 30 Tagen zum Monatsende kündigen, wenn er das Vertragsverhältnis unter der bisherigen Fassung nicht fortführen kann.

14.4 Änderungen bei Unterauftragsverarbeitern

Änderungen der Liste der Unterauftragsverarbeiter gemäß §7.2 folgen dem Verfahren in §7.3.

Courthaus — Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, Stand 4. März 2026 Auftragsverarbeiter: Rudolph Gottesheim, Ein-Personen-Unternehmen, Österreich, Marke: Midnight Design