Über 1.000 zufriedene Kunden
postservice.at

Auftragsverarbeitungsvereinbarung

gemäß Art. 28 DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679)

Parteien

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „Vereinbarung“) wird zwischen dem jeweiligen Kunden der postservice.at Plattform (nachfolgend „Verantwortlicher“ oder „Auftraggeber“) und dem Auftragnehmer geschlossen:

1010 Works GmbH
Seitenstettengasse 5/37, 1010 Wien
vertreten durch Stephan Holzbach, Geschäftsführer
(nachfolgend „Auftragsverarbeiter“).

Der Verantwortliche und der Auftragsverarbeiter werden im Folgenden gemeinsam als „Parteien“, einzeln als „Partei“ bezeichnet. Die Vereinbarung tritt mit Abschluss des zugrundeliegenden Dienstleistungsvertrages über postservice.at in Kraft.

Präambel

Der Verantwortliche nutzt die Dienstleistungen des Auftragsverarbeiters im Rahmen des Dienstleistungsvertrages für virtuelle Bürodienste und Postservices über die Plattform postservice.at. Im Rahmen dieser Dienstleistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen folgender Dienstleistungen:

  • Entgegennahme, Sortierung und Weiterleitung von Postsendungen
  • Scannen und digitale Übermittlung von Postinhalten an den Verantwortlichen
  • Bereitstellung einer Geschäftsadresse (virtuelle Büroadresse)
  • Telefonservice und Anrufweiterleitung (sofern beauftragt)
  • Zugangsmanagement für Coworking-Räumlichkeiten (sofern beauftragt)

(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Dienstleistungsvertrages zwischen den Parteien. Diese Vereinbarung endet automatisch mit Beendigung des Dienstleistungsvertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zum Zweck der Erfüllung der in § 1 genannten Dienstleistungen. Die Art der Verarbeitung umfasst insbesondere:

  • Erhebung und Speicherung von Kontaktdaten des Verantwortlichen und seiner Mitarbeiter/Geschäftspartner
  • Scannen, digitale Erfassung und Übermittlung von Postinhalten
  • Physische Aufbewahrung und Weiterleitung von Postsendungen
  • Protokollierung von eingehenden Anrufen (sofern beauftragt)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten sind Gegenstand der Verarbeitung:

  • Namen und Kontaktdaten (Adresse, Telefonnummer, E-Mail) des Verantwortlichen, seiner Mitarbeiter und Geschäftspartner
  • Geschäftskorrespondenz und deren Inhalte (sofern gescannt)
  • Absenderinformationen eingehender Post
  • Anrufinformationen (Anrufername, Telefonnummer, Anrufzeit, Nachrichteninhalt)
  • Zugangsdaten für Coworking-Räumlichkeiten (Name, Zeitstempel)

§ 4 Kategorien betroffener Personen

Betroffene Personen sind:

  • Mitarbeiter, Geschäftsführer und Organe des Verantwortlichen
  • Kunden und Geschäftspartner des Verantwortlichen
  • Absender von Postsendungen an den Verantwortlichen
  • Anrufer beim Verantwortlichen

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO).

(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(4) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO).

(5) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 28 Abs. 3 lit. e DSGVO).

(6) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

(7) Der Auftragsverarbeiter löscht nach Abschluss der Verarbeitungsdienstleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen oder gibt sie zurück und löscht vorhandene Kopien, sofern nicht nach Unionsrecht oder nationalem Recht eine Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung, ermöglicht Überprüfungen einschließlich Inspektionen und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).

§ 6 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen allein verantwortlich.

(2) Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder elektronisch zu bestätigen.

(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

§ 7 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 14 Tage vor der beabsichtigten Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters. Der Verantwortliche kann innerhalb von 14 Tagen nach Zugang der Information gegen die Änderung Einspruch erheben.

(3) Bei Einschaltung von Unterauftragsverarbeitern stellt der Auftragsverarbeiter sicher, dass diesen dieselben Datenschutzpflichten auferlegt werden, die in dieser Vereinbarung festgelegt sind.

(4) Eine stets aktuelle Liste der Unterauftragsverarbeiter wird unter postservice.at/datenschutz veröffentlicht und ist Bestandteil dieser Vereinbarung.

§ 8 Meldepflicht bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden.

(2) Die Meldung enthält mindestens folgende Informationen:

  • Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

§ 9 Betroffenenrechte

(1) Wendet sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO) an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Beantwortung solcher Anträge.

§ 10 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzvorschriften und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu überprüfen. Dies kann durch Vor-Ort-Kontrollen, Einsichtnahme in Unterlagen oder durch Beauftragung eines unabhängigen Prüfers erfolgen.

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Durchführung der Kontrolle erforderlichen Informationen zur Verfügung.

(3) Kontrollen sind unter angemessener Berücksichtigung des Betriebsablaufs des Auftragsverarbeiters und mit einer Vorankündigungsfrist von mindestens 14 Tagen durchzuführen, außer bei begründetem Verdacht auf Datenschutzverstöße.

§ 11 Haftung

Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den allgemeinen gesetzlichen Bestimmungen.

§ 12 Schlussbestimmungen

(1) Diese Vereinbarung unterliegt österreichischem Recht. Ausschließlicher Gerichtsstand ist Wien.

(2) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

(3) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.

(4) Diese Vereinbarung ist Bestandteil des Dienstleistungsvertrages zwischen den Parteien.

Anlage 1: Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

  • Zugang zu den Geschäftsräumlichkeiten ausschließlich mittels elektronischem Zugangssystem (EVVA AirKey)
  • Protokollierung aller Zutritte
  • Zutrittsberechtigung nur für autorisiertes Personal

Zugangskontrolle:

  • Passwortgeschützte Systeme mit Mindestanforderungen an Passwortkomplexität
  • Zwei-Faktor-Authentifizierung für administrative Zugänge
  • Automatische Bildschirmsperre

Zugriffskontrolle:

  • Rollenbasiertes Berechtigungskonzept
  • Zugriff auf Kundendaten nur für berechtigte Mitarbeiter
  • Protokollierung von Zugriffen auf personenbezogene Daten

Trennungskontrolle:

  • Mandantenfähige Systeme, strikte Trennung der Kundendaten
  • Getrennte Ablage der physischen Post je Kunde

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

  • Verschlüsselte Übertragung von Scandokumenten (TLS/HTTPS)
  • Verschlüsselte E-Mail-Kommunikation (soweit technisch möglich)

Eingabekontrolle:

  • Nachvollziehbarkeit der Datenerfassung und -änderung durch Protokollierung

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Regelmäßige Datensicherungen (Backups)
  • Unterbrechungsfreie Stromversorgung (USV) für kritische Systeme
  • Brandschutzmaßnahmen in den Geschäftsräumlichkeiten
  • Wiederherstellungsverfahren und -tests

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige interne Überprüfung der technischen und organisatorischen Maßnahmen
  • Sensibilisierung und Schulung der Mitarbeiter im Datenschutz
  • Dokumentiertes Datenschutz-Management
  • Incident-Response-Prozess für Datenschutzverletzungen

Kontakt bei Fragen zum Datenschutz

Für Fragen zu dieser Auftragsverarbeitungsvereinbarung oder zum Datenschutz allgemein wenden Sie sich bitte an:

1010 Works GmbH
Seitenstettengasse 5/37, 1010 Wien
E-Mail: hello@postservice.at

Stand: April 2026