SMARTCARL

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO i.V.m. § 62 DSG (Österreich)

Stand: März 2026

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen der Hausverwaltung, die sich bei SMARTCARL registriert (nachfolgend „Verantwortlicher"), und

Mathias Kracher

Wildgansgasse 8/2, 7400 Oberwart, Österreich

E-Mail: Kracherdigital@gmail.com

Tel.: +43 664 46 82 910

UID: ATU81585679 | GISA-Zahl: 37695736

Betreiber der Plattform SMARTCARL (nachfolgend „Auftragsverarbeiter")

geschlossen.

Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen in Form einer Software-as-a-Service-Plattform zur digitalen Abwicklung von Schadensmeldungen in der Hausverwaltung. Im Rahmen dieser Leistung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Plattform SMARTCARL, insbesondere:

  • Erfassung und Verwaltung von Schadensmeldungen
  • Kommunikation zwischen Hausverwaltung und Mietern
  • Koordination von Handwerkereinsätzen
  • Dokumentenablage und Archivierung
  • Benachrichtigungsdienste per E-Mail

(2) Die Auftragsverarbeitung beginnt mit Abschluss dieses Vertrags und endet mit Kündigung des Nutzungsvertrags. Nach Vertragsende werden alle personenbezogenen Daten des Verantwortlichen gemäß § 8 dieses Vertrags gelöscht oder zurückgegeben.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung dient ausschließlich der Erbringung der vertraglich vereinbarten Leistungen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist untersagt.

(2) Art der Verarbeitung: Erheben, Speichern, Organisieren, Ordnen, Anpassen, Abfragen, Verwenden, Übermitteln, Verbreiten, Löschen.

§ 3 Kategorien betroffener Personen und Datenkategorien

(1) Betroffene Personen:

  • Mieter und Mieterinnen der verwalteten Liegenschaften
  • Mitarbeiter der Hausverwaltung
  • Handwerker und Dienstleister (soweit in der Plattform erfasst)

(2) Verarbeitete Datenkategorien:

  • Stammdaten: Name, Adresse, E-Mail, Telefonnummer
  • Zugangsdaten: E-Mail-Adresse, verschlüsseltes Passwort
  • Schadensdaten: Beschreibung, Fotos, Standort (Wohneinheit)
  • Kommunikationsdaten: E-Mail-Verkehr innerhalb der Plattform
  • Protokolldaten: Zugriffszeiten, durchgeführte Aktionen (Audit-Log)

§ 4 Weisungsgebundenheit

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder nationales Recht, dem er unterliegt, zur Verarbeitung verpflichtet.

(2) Weisungen erfolgen in der Regel durch die Nutzung der Plattformfunktionen. Weitergehende Weisungen können per E-Mail an Kracherdigital@gmail.com erteilt werden.

§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft folgende Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung:

Vertraulichkeit

  • Verschlüsselte Datenspeicherung (AES-256 via Supabase)
  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Row Level Security (RLS) — strikte Datentrennung zwischen Mandanten
  • Zugriffskontrolle mit rollenbasiertem Berechtigungssystem
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert

Integrität

  • Audit-Logging aller sensiblen Aktionen
  • Eingabevalidierung mit serverseitiger Prüfung
  • Foreign-Key-Constraints und Datenbankintegrität

Verfügbarkeit

  • Hosting auf Vercel (EU) und Supabase (eu-north-1, Stockholm)
  • Automatische Backups durch Supabase
  • Angestrebte Verfügbarkeit: 99,5 % (Best-Effort)

Datensparsamkeit

  • EXIF-Daten werden aus hochgeladenen Fotos serverseitig entfernt
  • Fotos in privatem Storage (kein öffentlicher Zugriff)
  • Zugriffslinks für Fotos mit Ablaufzeit (Signed URLs)

§ 6 Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO)

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Einschaltung folgender Sub-Auftragsverarbeiter:

DienstZweckStandort
Supabase Inc.Datenbank, Authentifizierung, DateispeicherungEU (Stockholm, eu-north-1)
Vercel Inc.Anwendungs-Hosting, Edge FunctionsEU (Frankfurt)
Resend Inc.E-Mail-Versand (Benachrichtigungen)USA (SCCs vorhanden)

Über die Einschaltung weiterer oder die Änderung bestehender Sub-Auftragsverarbeiter wird der Verantwortliche per E-Mail informiert. Dem Verantwortlichen steht ein Widerspruchsrecht zu.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Art. 15–22 DSGVO):

  • Auskunft (Art. 15): Bereitstellung einer Export-Funktion für alle Daten eines Mieters
  • Berichtigung (Art. 16): Bearbeitung von Mieterdaten durch die Hausverwaltung möglich
  • Löschung (Art. 17): Account-Löschung auf Anfrage innerhalb von 30 Tagen
  • Datenübertragbarkeit (Art. 20): Datenexport in maschinenlesbarem Format (JSON/CSV)

Anfragen von Betroffenen sind an Kracherdigital@gmail.com zu richten oder direkt über die Plattform einzureichen.

§ 8 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Nutzungsvertrags werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (z.B. § 132 BAO: 7 Jahre für steuerrelevante Unterlagen). Auf Wunsch wird dem Verantwortlichen vorher ein Dateiexport zur Verfügung gestellt.

§ 9 Meldung von Datenpannen (Art. 33 DSGVO)

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist. Die Meldung erfolgt per E-Mail.

Der Verantwortliche ist verpflichtet, die Datenschutzbehörde (DSB, Wien) innerhalb von 72 Stunden zu informieren, sofern die Verletzung voraussichtlich ein Risiko für natürliche Personen darstellt (Art. 33 DSGVO, § 55 DSG).

§ 10 Geheimhaltung und Vertraulichkeit

Der Auftragsverarbeiter verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit. Dieser Verpflichtung liegen dauerhafte Geheimhaltungsvereinbarungen zugrunde.

§ 11 Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der Datenschutzvorschriften und der Vereinbarungen dieses Vertrags beim Auftragsverarbeiter durch Anfragen oder Audits zu überprüfen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung.

§ 12 Anwendbares Recht und Gerichtsstand

Es gilt österreichisches Recht. Gerichtsstand ist Oberwart, Österreich. Auf die DSGVO (VO (EU) 2016/679) und das österreichische DSG (BGBl. I Nr. 165/1999 i.d.F. BGBl. I Nr. 24/2018) wird ausdrücklich Bezug genommen.

Zustimmungserklärung

Mit der digitalen Akzeptanz bei der Registrierung bestätigt der Verantwortliche (die Hausverwaltung), diesen Auftragsverarbeitungsvertrag gelesen und verstanden zu haben und stimmt dessen Bedingungen zu. Zeitpunkt und IP-Adresse der Zustimmung werden protokolliert und als rechtsverbindlicher Nachweis gespeichert.

Dieser AVV tritt mit dem Zeitpunkt der digitalen Zustimmung in Kraft und ersetzt alle vorherigen mündlichen oder schriftlichen Vereinbarungen zum selben Gegenstand.