Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

Letzte Aktualisierung: 14. März 2026

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen zwischen PDF Ghost ("Auftragsverarbeiter") und dir ("Verantwortlicher") und regelt die Verarbeitung personenbezogener Daten durch PDF Ghost in deinem Auftrag gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO).

Durch die Nutzung von PDF Ghost und das Hochladen von Dokumenten, die personenbezogene Daten enthalten, trittst du in diesen AVV ein.

1. Definitionen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und in den bei PDF Ghost hochgeladenen Dokumenten enthalten sind.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Speicherung, Fingerprinting, Abruf und Löschung.
  • Unterauftragsverarbeiter: Ein Dritter, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.

2. Umfang und Zweck der Verarbeitung

2.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der in den Allgemeinen Geschäftsbedingungen beschriebenen PDF-Fingerprinting- und Leak-Erkennungsdienste.

2.2 Dauer

Die Verarbeitung erfolgt für die Dauer deiner Nutzung des Dienstes zuzüglich etwaiger Aufbewahrungsfristen gemäß den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung.

2.3 Art der Verarbeitung

  • Entgegennahme und Speicherung hochgeladener PDF-Dokumente
  • Erstellung eindeutig fingerprinted Kopien von Dokumenten
  • Speicherung von fingerprinted Artefakten für Leak-Erkennungszwecke
  • Löschung von Dokumenten und Artefakten gemäß dem Aufbewahrungszeitplan

2.4 Arten personenbezogener Daten

Alle personenbezogenen Daten, die in den vom Verantwortlichen hochgeladenen PDF-Dokumenten enthalten sind, einschließlich, aber nicht beschränkt auf: Namen, Adressen, Identifikationsnummern, Finanzdaten oder andere personenbezogene Daten, die der Verantwortliche in die hochgeladenen Dokumente aufnimmt.

2.5 Kategorien betroffener Personen

Empfänger von fingerprinted Dokumenten und alle Personen, deren personenbezogene Daten in den hochgeladenen Dokumenten enthalten sind, wie vom Verantwortlichen bestimmt.

3. Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • Sicherzustellen, dass eine Rechtsgrundlage gemäß DSGVO für die Verarbeitung personenbezogener Daten über den Dienst besteht
  • Sicherzustellen, dass betroffene Personen angemessen über die Verarbeitung informiert wurden
  • Sicherzustellen, dass alle hochgeladenen Dokumente nur personenbezogene Daten enthalten, zu deren Verarbeitung der Verantwortliche berechtigt ist
  • Alle geltenden Datenschutzgesetze einzuhalten

4. Pflichten des Auftragsverarbeiters

4.1 Verarbeitungsanweisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, die durch die Nutzung der Dienstfunktionen durch den Verantwortlichen definiert werden. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Meinung ist, dass eine Weisung gegen die DSGVO verstößt.

4.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:

  • Verschlüsselung der Daten bei der Übertragung (TLS/SSL)
  • Verschlüsselung der Daten im Ruhezustand
  • Zugriffskontrollen und Authentifizierungsmechanismen
  • Regelmäßige Sicherheitsbewertungen
  • Automatische Löschung von Daten gemäß dem Aufbewahrungszeitplan

4.4 Unterauftragsverarbeitung

Der Auftragsverarbeiter verwendet die folgenden Kategorien von Unterauftragsverarbeitern:

  • Zahlungsabwicklung: Für Abonnement- und Kauftransaktionen (Merchant of Record)
  • Cloud-Infrastruktur: Für Computing, Speicherung und Datenverarbeitung
  • E-Mail-Dienste: Für den Versand transaktionsbezogener E-Mails
  • Analytics: Datenschutzorientierte, anonymisierte Nutzungsanalyse
  • Authentifizierungsanbieter: OAuth-Identitätsanbieter (Google, GitHub)

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, solchen Änderungen zu widersprechen. Die aktuelle Liste der Unterauftragsverarbeiter wird in unserer Datenschutzerklärung gepflegt.

4.5 Rechte betroffener Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß DSGVO ausüben (Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch), soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen.

4.6 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft.

4.7 Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit erforderlich, durch Bereitstellung relevanter Informationen über die Verarbeitung.

4.8 Löschung und Rückgabe

Nach Beendigung des Dienstes oder auf Anfrage des Verantwortlichen löscht der Auftragsverarbeiter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten, sofern nicht geltendes Recht eine Aufbewahrung vorschreibt. Die Löschung erfolgt gemäß dem in den Allgemeinen Geschäftsbedingungen definierten Aufbewahrungszeitplan:

  • Quell-PDF-Dokumente werden nach Abschluss der Fingerprinting-Verarbeitung gelöscht
  • Fingerprinted Artefakte werden nach Ablauf der planspezifischen Aufbewahrungsfrist gelöscht
  • Entwurfsjobs werden nach Ablauf der planspezifischen Entwurfs-Aufbewahrungsfrist automatisch gelöscht

5. Prüfungen

Der Verantwortliche hat das Recht, Prüfungen durchzuführen (oder einen unabhängigen Prüfer zu beauftragen), um die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Prüfungen sind mit angemessener Vorankündigung (mindestens 30 Tage), während der normalen Geschäftszeiten durchzuführen und dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Die Kosten der Prüfung trägt der Verantwortliche.

6. Internationale Übermittlungen

Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stellt der Auftragsverarbeiter geeignete Schutzmaßnahmen sicher, einschließlich:

  • Übermittlungen in Länder mit EU-Angemessenheitsbeschluss
  • EU-Standardvertragsklauseln (SVK), wenn kein Angemessenheitsbeschluss vorliegt
  • EU-US Data Privacy Framework-Zertifizierung für anwendbare US-basierte Unterauftragsverarbeiter

7. Haftung

Die Haftung jeder Partei im Rahmen dieses AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen der Allgemeinen Geschäftsbedingungen, soweit nach geltendem Recht zulässig.

8. Laufzeit und Beendigung

Dieser AVV gilt für die Dauer der Nutzung des Dienstes durch den Verantwortlichen. Er endet automatisch mit der Beendigung des Dienstleistungsvertrages. Die Pflichten zur Löschung personenbezogener Daten bestehen über die Beendigung hinaus fort.

9. Anwendbares Recht

Dieser AVV unterliegt dem Recht der Republik Österreich, ohne Berücksichtigung der Kollisionsnormen. Bei Verbraucherverträgen gelten die zwingenden Verbraucherschutzbestimmungen des Wohnsitzlandes des Verbrauchers.

Um eine unterzeichnete Kopie dieses AVV anzufordern oder bei Fragen kontaktiere uns unter [email protected].