Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: April 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

Verantwortlicher (Auftraggeber): Der Kunde, der sich auf der Plattform Tippidi registriert und die Dienste nutzt (nachfolgend „Auftraggeber").

Auftragsverarbeiter: Dominik-Sascha Bauer, Einzelunternehmer, handelnd unter dem Handelsnamen Deploymentcode, Waitzendorf 6, 2073 Schrattenthal, Österreich, USt-IdNr. ATU80051658 (nachfolgend „Auftragnehmer").

Dieser AVV kommt gemäß den Allgemeinen Geschäftsbedingungen (AGB) automatisch mit der Freischaltung des Kundenkontos auf der Plattform Tippidi zustande. Er ergänzt die AGB.

1. Gegenstand und Dauer der Verarbeitung

1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Erbringung der unter der Marke „Tippidi" angebotenen Dienste, insbesondere der KI-gestützten Verarbeitung von Inhalten.

1.2 Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages zwischen dem Auftraggeber und dem Auftragnehmer. Nach Beendigung des Vertrages gelten die Regelungen in Ziffer 10 dieses AVV.

2. Art und Zweck der Verarbeitung

2.1 Die Verarbeitung umfasst die Entgegennahme, Speicherung und Verarbeitung der vom Auftraggeber auf die Plattform hochgeladenen Inhalte mittels KI-gestützter Dienste sowie die Bereitstellung der Ergebnisse über die Plattform.

2.2 Der Zweck der Verarbeitung ist die Erbringung der vertraglich vereinbarten Dienste. Eine darüber hinausgehende Verarbeitung findet nicht statt, es sei denn, eine gesetzliche Verpflichtung erfordert dies.

2.3 Der Auftragnehmer stellt vertraglich sicher, dass die eingesetzten KI-Dienstleister die übermittelten Daten nicht zum Training, zur Entwicklung oder zur Verbesserung ihrer KI-Modelle verwenden.

3. Art der personenbezogenen Daten

3.1 Folgende Arten personenbezogener Daten können Gegenstand der Verarbeitung sein, abhängig davon, welche Inhalte der Auftraggeber über die Plattform verarbeitet:

  • Audiodaten (z. B. Sprachaufnahmen, Diktate);
  • Text-, Bild- und Dokumentendaten (z. B. Transkriptionen, korrigierte Texte, Notizen);
  • Namen, Adressen und Kontaktdaten von Personen, die in den Inhalten genannt werden;
  • Ggf. besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), insbesondere Gesundheitsdaten, sofern der Auftraggeber solche Inhalte hochlädt;
  • Sonstige personenbezogene Daten, die in den vom Auftraggeber hochgeladenen Inhalten enthalten sind.

3.2 Der Auftraggeber entscheidet eigenverantwortlich, welche personenbezogenen Daten er über die Plattform verarbeitet. Der Auftragnehmer hat keinen Einfluss auf Art und Umfang der vom Auftraggeber hochgeladenen Inhalte.

4. Kategorien betroffener Personen

Betroffene Personen können insbesondere sein:

  • Personen, deren Daten in den vom Auftraggeber hochgeladenen Diktaten enthalten sind (z. B. Patienten, Mandanten, Kunden des Auftraggebers);
  • Personen, deren Stimme in den Audiodateien enthalten ist (z. B. Diktierende);
  • Mitarbeiter und Unterkontonutzer des Auftraggebers;
  • Empfänger geteilter Diktate.
5. Pflichten des Auftraggebers

5.1 Der Auftraggeber ist im Sinne der DSGVO der Verantwortliche für die Verarbeitung personenbezogener Daten. Er ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt insbesondere sicher, dass:

  • er über eine geeignete Rechtsgrundlage für die Übermittlung der Daten an den Auftragnehmer verfügt;
  • die betroffenen Personen in erforderlichem Umfang informiert wurden;
  • bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) die zusätzlichen Anforderungen des Art. 9 DSGVO eingehalten werden;
  • er die Weisungen an den Auftragnehmer dokumentiert.

5.2 Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung seiner Daten feststellt.

6. Pflichten des Auftragnehmers

6.1 Weisungsgebundenheit: Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Nutzung der Plattform und die Konfiguration der Dienste durch den Auftraggeber gelten als dokumentierte Weisungen. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung bis zur Bestätigung durch den Auftraggeber auszusetzen. Ist der Auftragnehmer aufgrund von Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet, teilt er dem Auftraggeber diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

6.2 Vertraulichkeit: Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

6.3 Technisch-organisatorische Maßnahmen: Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die aktuellen Maßnahmen sind in Anlage 1 dieses AVV beschrieben. Der Auftragnehmer ist berechtigt, die Maßnahmen anzupassen, sofern das Schutzniveau nicht unterschritten wird.

6.4 Unterstützung des Auftraggebers: Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten, insbesondere:

  • bei der Beantwortung von Anfragen betroffener Personen (Art. 15–22 DSGVO);
  • bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO, insbesondere bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), der Gewährleistung der Sicherheit der Verarbeitung und der Erfüllung von Meldepflichten.

6.5 Meldung von Datenschutzverletzungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich im Rahmen der gesetzlichen Pflichten, nachdem er eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO festgestellt hat. Die Meldung enthält mindestens:

  • eine Beschreibung der Art der Verletzung;
  • die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze;
  • eine Beschreibung der wahrscheinlichen Folgen;
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

6.6 Löschung und Rückgabe: Nach Beendigung der Verarbeitung werden die Daten gemäß Ziffer 10 dieses AVV gelöscht oder zurückgegeben.

6.7 Nachweispflichten: Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

7. Unterauftragsverarbeiter (Sub-Processors)

7.1 Der Auftraggeber erteilt dem Auftragnehmer eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind gemäß Anlage 2 im Kundenbereich einsehbar.

7.2 Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern per E-Mail oder über die Plattform mindestens dreißig (30) Tage im Voraus. Bei dringender betrieblicher Notwendigkeit (insbesondere bei Ausfall eines Unterauftragsverarbeiters oder behördlicher Untersagung) kann die Frist angemessen verkürzt werden; der Auftraggeber wird in diesem Fall unverzüglich informiert. Der Auftraggeber hat das Recht, gegen die Änderung innerhalb von vierzehn (14) Tagen nach Mitteilung Einspruch zu erheben.

7.3 Erhebt der Auftraggeber begründeten Einspruch und kann der Auftragnehmer den betreffenden Unterauftragsverarbeiter nicht ersetzen oder die Bedenken nicht ausräumen, ist der Auftraggeber berechtigt, den Nutzungsvertrag außerordentlich zu kündigen.

7.4 Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind. Der Auftragnehmer bleibt dem Auftraggeber gegenüber für die Einhaltung der Pflichten durch die Unterauftragsverarbeiter verantwortlich.

8. Datenübermittlung in Drittländer

8.1 Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn die Voraussetzungen der Art. 44–49 DSGVO erfüllt sind, insbesondere:

  • bei Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45 DSGVO);
  • auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO);
  • bei Zertifizierung des Empfängers unter dem EU-U.S. Data Privacy Framework.

8.2 Soweit Unterauftragsverarbeiter in den USA ansässig sind (z. B. KI-Dienstleister), stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Ziffer 8.1 vorliegen. Die jeweils anwendbaren Garantien sind bei den betreffenden Unterauftragsverarbeitern in der Liste gemäß Anlage 2 angegeben.

8.3 Der Auftragnehmer informiert den Auftraggeber, wenn sich die Rechtsgrundlage für einen Drittlandtransfer wesentlich ändert. Fällt eine Rechtsgrundlage ersatzlos weg, stellt der Auftragnehmer unverzüglich auf eine alternative geeignete Garantie um (insbesondere Standardvertragsklauseln mit ergänzenden Maßnahmen) oder stellt die betreffende Datenübermittlung ein.

9. Kontrollrechte des Auftraggebers

9.1 Der Auftraggeber hat das Recht, die Einhaltung dieses AVV und der datenschutzrechtlichen Anforderungen zu überprüfen. Dies kann erfolgen durch:

  • Einholung von Auskünften und Nachweisen beim Auftragnehmer;
  • Einsichtnahme in relevante Dokumentationen und Zertifizierungen;
  • Vor-Ort-Inspektionen nach vorheriger Ankündigung (mindestens dreißig (30) Tage) während der üblichen Geschäftszeiten, soweit dies verhältnismäßig ist; bei Datenschutzverletzungen, behördlichen Anforderungen oder sonstigem dringenden Anlass kann die Ankündigungsfrist angemessen verkürzt werden;
  • Mitwirkung an Überprüfungen durch die zuständige Datenschutz-Aufsichtsbehörde.

9.2 Der Auftragnehmer unterstützt den Auftraggeber bei Überprüfungen in angemessenem Umfang. Kosten, die über das übliche Maß hinausgehen, trägt der Auftraggeber.

9.3 Der Auftragnehmer kann alternativ aktuelle Zertifizierungen, Prüfberichte oder Bescheinigungen unabhängiger Stellen als Nachweis der Einhaltung vorlegen.

10. Löschung und Rückgabe der Daten

10.1 Nach Beendigung des Nutzungsvertrages löscht der Auftragnehmer sämtliche personenbezogenen Daten des Auftraggebers oder gibt sie nach Wahl des Auftraggebers in einem gängigen, maschinenlesbaren Format zurück. Für den Export stellt der Auftragnehmer dem Auftraggeber einen Zeitraum von dreißig (30) Tagen nach Vertragsende zur Verfügung.

10.2 Nach Ablauf der Frist gemäß Ziffer 10.1 löscht der Auftragnehmer sämtliche verbleibenden personenbezogenen Daten des Auftraggebers, einschließlich aller vorhandenen Kopien, es sei denn, eine gesetzliche Aufbewahrungspflicht steht der Löschung entgegen.

10.3 Der Auftragnehmer bestätigt die Löschung auf Anfrage des Auftraggebers schriftlich.

11. Schlussbestimmungen

11.1 Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform im Sinne der AGB (Ziffer 1.5). Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis. Hiervon ausgenommen sind Aktualisierungen der Anlage 2 (Unterauftragsverarbeiter), die gemäß Ziffer 7.2 erfolgen.

11.2 Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

11.3 Im Falle von Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen hat dieser AVV in Bezug auf den Schutz personenbezogener Daten Vorrang.

11.4 Die Haftung des Auftragnehmers für Schäden aus der Verletzung datenschutzrechtlicher Pflichten ist – mit Ausnahme der nachfolgend genannten Fälle – auf den vorhersehbaren, vertragstypischen Schaden begrenzt und insgesamt auf den Gesamtbetrag beschränkt, den der Auftraggeber in den zwölf (12) Monaten vor dem haftungsbegründenden Ereignis an den Auftragnehmer gezahlt hat. Von dieser Begrenzung ausgenommen sind:

  • Vorsatz und grobe Fahrlässigkeit;
  • Rückgriffsansprüche des Auftraggebers nach Art. 82 Abs. 5 DSGVO, soweit der Auftragnehmer seinen Anteil an der Verantwortung für den Schaden trägt;
  • Verstöße gegen die Weisungsbindung (Ziffer 6.1), die Vertraulichkeitspflichten (Ziffer 6.2) oder die Pflicht zur Meldung von Datenschutzverletzungen (Ziffer 6.5).

Art. 82 Abs. 3 DSGVO (Befreiung von der Haftung bei fehlendem Verschulden) bleibt unberührt. Die Haftung gegenüber betroffenen Personen richtet sich unmittelbar nach Art. 82 DSGVO.

11.5 Es gilt österreichisches Recht. Gerichtsstand ist das sachlich zuständige Gericht in Hollabrunn, Österreich.

11.6 Kontakt für Datenschutzangelegenheiten: management@tippidi.com

Anlage 1: Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit
  • Zutrittskontrolle: Serverinfrastruktur wird bei zertifizierten Rechenzentren innerhalb der EU betrieben. Physischer Zugang ist auf autorisiertes Personal des Rechenzentrumsbetreibers beschränkt.
  • Zugangskontrolle: Zugang zu Systemen durch Passwortrichtlinien, Zwei-Faktor-Authentifizierung für administrative Zugänge, individuelle Benutzerkonten.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC), Prinzip der minimalen Berechtigung, Protokollierung von Zugriffen.
  • Trennungskontrolle: Logische Trennung der Kundendaten, mandantenfähige Architektur.
  • Verschlüsselung: Verschlüsselung der Datenübertragung (TLS/SSL) sowie Schutz sensibler Anmeldedaten durch kryptografische Hashverfahren. Bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) gelten die gleichen Schutzmechanismen; der Auftragnehmer unterscheidet nicht nach Datenkategorie, da alle Kundendaten dem gleichen Schutzniveau unterliegen.
Integrität
  • Weitergabekontrolle: Verschlüsselung der Datenübertragung mittels TLS/SSL, verschlüsselte Verbindungen zu Unterauftragsverarbeitern.
  • Eingabekontrolle: Protokollierung von Dateneingaben, -änderungen und -löschungen über Aktivitätsprotokolle.
Verfügbarkeit und Belastbarkeit
  • Verfügbarkeitskontrolle: Regelmäßige Backups, Monitoring der Systeme.
  • Belastbarkeit: Skalierbare Infrastruktur, Maßnahmen zur Abwehr von Angriffen auf die Verfügbarkeit.
  • Wiederherstellbarkeit: Dokumentierte Wiederherstellungsverfahren, regelmäßige Tests der Backup-Wiederherstellung.
Verfahren zur regelmäßigen Überprüfung
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen;
  • Zeitnahe Einspielung von Sicherheitsupdates;
  • Incident-Response-Prozess für Sicherheitsvorfälle.

Anlage 2: Unterauftragsverarbeiter

Die aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist für registrierte Kunden im Kundenbereich einsehbar. Bei Änderungen werden bestehende Kunden gemäß Ziffer 7.2 informiert.

Impressum

Angaben zum Diensteanbieter und Kontaktdaten.

Zum Impressum

Datenschutzerklärung

Wie wir mit Ihren Daten umgehen und welche Rechte Sie haben.

Zur Datenschutzerklärung

AGB

Allgemeine Geschäftsbedingungen für die Nutzung von tippidi.

Zu den AGB