Auftragsverarbeitungsvertrag (DPA)
Stand11. Mai 2026
Dieser Auftragsverarbeitungsvertrag („AVV" oder „DPA") wird zwischen Ihnen (dem „Verantwortlichen") und XAIO FlexCo, Liechtensteinstraße 22a / 4, 1090 Wien, Österreich, FN 672857x, Handelsgericht Wien (dem „Auftragsverarbeiter" oder „XAIO") geschlossen und ist integraler Bestandteil der Nutzungsbedingungen. Er gilt, soweit XAIO personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit dem Dienst verarbeitet. Soweit XAIO personenbezogene Daten als Verantwortlicher verarbeitet (z.B. Account-Daten der Vertreter:innen des Verantwortlichen), gilt die Datenschutzerklärung. Begriffe, die hier nicht definiert sind, haben die Bedeutung gemäß Art. 4 DSGVO oder gemäß AGB.
1. Gegenstand und Dauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung des Dienstes nach Maßgabe der AGB, dieses AVV und der dokumentierten Weisungen des Verantwortlichen. Dieser AVV gilt, solange der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen verarbeitet.
2. Art, Zweck und Umfang
- Art der Verarbeitung: Erhebung, Speicherung, Übermittlung, Abruf, Strukturierung, Organisation, Hosting, Umwandlung und Löschung personenbezogener Daten über den Dienst.
- Zweck: Bereitstellung der KI-gestützten Entwicklungs-, Kollaborations-, Veröffentlichungs- und Betriebsfunktionen des Dienstes für den Verantwortlichen.
- Dauer: Laufzeit des zugrundeliegenden Abonnements zuzüglich gesetzlich vorgeschriebener Aufbewahrung.
3. Kategorien betroffener Personen und personenbezogener Daten
Die betroffenen Personen und Datenkategorien hängen von der Nutzung des Dienstes durch den Verantwortlichen ab und umfassen typischerweise:
- Betroffene Personen: Mitarbeiter:innen, Auftragnehmer:innen und Kollaborateur:innen des Verantwortlichen mit Account-Zugang; Endnutzer:innen der vom Verantwortlichen Veröffentlichten Sites oder auf dem Dienst gehosteten Anwendungen; in Nutzer-Inhalten genannte Personen.
- Personenbezogene Daten: Account-Kennungen (Name, E-Mail, Rolle, Sprache); Kollaborations-Metadaten (Projekt, Kommentar, Audit-Log); Inhalte der vom Verantwortlichen eingereichten Prompts, Codes, Konfigurationen, Dateien und AI Output; technische Daten wie IP-Adressen, Geräteidentifikatoren und Logs; sonstige personenbezogene Daten, die der Verantwortliche über den Dienst verarbeitet.
Der Verantwortliche übermittelt dem Dienst wissentlich keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen gemäß Art. 10 DSGVO ohne eindeutige Rechtsgrundlage und angemessene Schutzmaßnahmen.
4. Weisungen und Compliance
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf Übermittlungen in Drittländer, sofern er nicht durch Unionsrecht oder Recht eines Mitgliedstaats hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
Die Standard-Weisungen des Verantwortlichen sind in den AGB, diesem AVV und den im Dienst vorgenommenen Konfigurationen dokumentiert. Zusätzliche oder abweichende Weisungen bedürfen der Textform und können bei wesentlicher Überschreitung des Service-Umfangs angemessen vergütet werden.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, falls eine Weisung seiner Auffassung nach gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
5. Vertraulichkeit der Beschäftigten
Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind (vertraglich oder gesetzlich) und in angemessenem Umfang zu Datenschutzpflichten geschult werden.
6. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen umfassen:
- Vertraulichkeit. Verschlüsselter Transport (TLS 1.2+), verschlüsselte Speicherung (AES-256 oder gleichwertig), rollenbasierte Zugriffskontrolle, Need-to-know-Prinzip, Multi-Faktor-Authentifizierung für administrativen Zugriff, Mandantentrennung.
- Integrität. Eingabevalidierung, Code-Review, automatisierte Abhängigkeits- und Schwachstellen-Scans, Audit-Logging sicherheitsrelevanter Aktionen.
- Verfügbarkeit und Belastbarkeit. Redundante Infrastruktur innerhalb der EU (eu-central-1, Frankfurt), automatisierte Backups, Monitoring und Alarmierung, Incident-Response-Prozesse.
- Wiederherstellbarkeit. Dokumentierte Backup- und Wiederherstellungsverfahren mit Tests.
- Pseudonymisierung. Soweit angemessen umsetzbar, Pseudonymisierung von Kennungen in Logs.
- Lieferantenmanagement. Sorgfaltsprüfung der Sub-Prozessoren und vertragliche Weitergabe der Datenschutzpflichten.
- Personal. Vertraulichkeitsverpflichtungen, Sicherheitsüberprüfungen soweit rechtlich zulässig, laufende Sicherheits- und Datenschutzschulungen.
- Sicherer Entwicklungslebenszyklus. SDLC mit Bedrohungsmodellierung, Code-Review, SAST, Abhängigkeits-Scans und Pre-Deployment-Sicherheitstests.
Eine aktuelle, detailliertere Beschreibung der TOM ist auf Anfrage unter security@xaio.dev erhältlich. Der Auftragsverarbeiter kann die Maßnahmen anpassen, sofern das Schutzniveau nicht abgesenkt wird.
7. Sub-Prozessoren
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Sub-Prozessoren. Eine aktuelle Liste wird unter /sub-processors veröffentlicht.
Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über eine beabsichtigte Aufnahme oder einen Wechsel von Sub-Prozessoren und ermöglicht es dem Verantwortlichen, aus berechtigten datenschutzrechtlichen Gründen Einspruch zu erheben. Erhebt der Verantwortliche innerhalb der Frist schriftlich Einspruch und können sich die Parteien nicht innerhalb einer angemessenen Zeit auf eine Lösung einigen, kann der Verantwortliche den betroffenen Teil des Dienstes aus wichtigem Grund kündigen; bereits gezahlte Entgelte für den ungenutzten Restzeitraum werden anteilig rückerstattet.
Der Auftragsverarbeiter schließt mit jedem Sub-Prozessor eine schriftliche Vereinbarung, die Datenschutzpflichten auferlegt, die diesem AVV im Wesentlichen entsprechen, insbesondere hinreichende Garantien zur Umsetzung angemessener TOM.
8. Internationale Datenübermittlung
Der primäre Verarbeitungsort liegt in der Europäischen Union (Frankfurt, Deutschland). Soweit Sub-Prozessoren personenbezogene Daten außerhalb des EWR verarbeiten (z.B. KI-Modellanbieter in den USA), stellt der Auftragsverarbeiter ein angemessenes Übermittlungsinstrument nach Kapitel V DSGVO sicher, etwa: (a) Verarbeitung über eine EU-Niederlassung, die unter das EU–US Data Privacy Framework oder einen Nachfolger fällt; (b) EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) einschließlich Modul 3 (Processor-to-Processor) gegebenenfalls mit ergänzenden Maßnahmen; (c) andere zulässige Übermittlungsinstrumente.
Der Auftragsverarbeiter stellt dem Verantwortlichen die einschlägigen Übermittlungsdokumente auf Anfrage zur Verfügung.
9. Unterstützung des Verantwortlichen
Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen in angemessener Zeit bei:
- der Beantwortung von Anträgen Betroffener nach Art. 12 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung);
- der Einhaltung der Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation);
- der Zusammenarbeit mit Aufsichtsbehörden auf begründete Anfrage.
Der Auftragsverarbeiter kann die Unterstützung, soweit sie wesentlich über die im Dienst standardmäßig verfügbaren Self-Service-Funktionen hinausgeht, nach Mitteilung und einer angemessenen Kostenschätzung zu seinen jeweils aktuellen Beratungssätzen abrechnen.
10. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, möglichst innerhalb von 72 Stunden, nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft. Die Meldung beschreibt, soweit zu diesem Zeitpunkt bekannt, Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensbegrenzung. Weitere Informationen werden nachgereicht, sobald sie verfügbar sind.
11. Verzeichnisse und Audit
Der Auftragsverarbeiter führt die nach Art. 30 Abs. 2 DSGVO erforderlichen Verarbeitungsverzeichnisse und stellt dem Verantwortlichen alle Informationen zur Verfügung, die zur Nachweis der Einhaltung dieses AVV nach billigem Ermessen erforderlich sind.
Der Verantwortliche kann höchstens einmal pro Kalenderjahr mit einer Vorankündigungsfrist von mindestens 30 Tagen (außer im Falle einer Datenschutzverletzung oder einer aufsichtsbehördlichen Anordnung) auf eigene Kosten Audits durchführen, auch durch einen unabhängigen, einvernehmlich bestimmten und zur Vertraulichkeit verpflichteten Auditor. Audits finden während der üblichen Geschäftszeiten statt, dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen und respektieren die Vertraulichkeit und Sicherheit anderer Kunden.
Der Auftragsverarbeiter beantwortet angemessene Audit-Anfragen durch Bereitstellung der jeweils vorgehaltenen Dokumentation, die insbesondere den aktuellen Sicherheitsfragebogen, die TOM-Dokumentation, eine Zusammenfassung des Penetrationstests sowie — sofern dann gehalten — Dritt-Zertifizierungen (z.B. ISO 27001, SOC 2 Type II) umfasst. Der Auftragsverarbeiter hält derzeit keine ISO 27001- oder SOC 2 Type II-Zertifizierung; Statusänderungen werden auf /sub-processors veröffentlicht. Der Auftragsverarbeiter beantwortet darüber hinaus nach Treu und Glauben angemessene Folgefragen, sofern nicht zwingendes Recht ein Vor-Ort-Audit verlangt.
12. Löschung oder Rückgabe bei Beendigung
Mit Beendigung des zugrundeliegenden Abonnements und nach vorab mitgeteilter Wahl des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien, sofern nicht das Unionsrecht oder das Recht eines Mitgliedstaats eine Pflicht zur weiteren Speicherung vorsieht. Erfolgt keine rechtzeitige Weisung, löscht der Auftragsverarbeiter die personenbezogenen Daten standardmäßig binnen 30 Tagen nach Vertragsende, vorbehaltlich Backup-Zyklen und gesetzlicher Aufbewahrungspflichten (insbesondere steuer- und buchhaltungsrechtliche Pflichten gemäß § 132 BAO und § 212 UGB); während dieser Zeit werden die Daten sicher isoliert und zugriffsbeschränkt aufbewahrt.
13. Haftung
Die Haftung der Parteien aus diesem AVV richtet sich nach Abschnitt 21 der AGB (Haftungsbeschränkung), unbeschadet der Rechte Betroffener nach Art. 82 DSGVO. Die Haftung der Parteien gegenüber Betroffenen wird nach Art. 82 Abs. 5 DSGVO aufgeteilt.
14. Rangfolge
Bei Widersprüchen zwischen diesem AVV und den AGB oder einem Bestellschein in Datenschutzfragen geht dieser AVV vor. Im Übrigen gilt Abschnitt 29 der AGB.
15. Anwendbares Recht
Dieser AVV unterliegt demselben Recht und derselben Gerichtsbarkeit wie die AGB (siehe Abschnitt 24 der AGB).
16. Kontakt
Datenschutz-Kontakt: privacy@xaio.dev
Sicherheits-Kontakt: security@xaio.dev