Auftragsverarbeitungsvertrag
Nach Art. 28 DSGVO · Gilt zwischen Rein24 GmbH („Auftragsverarbeiter") und angeschlossenen Reinigungsunternehmen („Verantwortlicher"). Version 2026-04-17.
Legal review incomplete · Pre-launch build
Rein24 GmbH legal-entity data is not fully configured. This page must not be linked from production marketing until counsel signs off and the remaining fields are set.
1. Gegenstand & Weisungsbefugnis
Rein24 GmbH verarbeitet im Rahmen der Plattform personenbezogene Daten der Kund:innen des Verantwortlichen ausschließlich auf dessen dokumentierte Weisung. Als „dokumentierte Weisung" gilt dieser Vertrag, der Platform Agreement zwischen den Parteien sowie jede weitere schriftliche oder in Textform erteilte Anweisung.
2. Art, Zweck und Dauer der Verarbeitung
Vermittlung, Abwicklung und Abrechnung von Reinigungsleistungen; Betrieb einer Kommunikationsplattform inklusive Moderation zum Schutz der Vertragsparteien; Erstellung von Plattformrechnungen im Auftrag des Verantwortlichen. Die Verarbeitung dauert für die Laufzeit des Platform Agreements zuzüglich gesetzlicher Aufbewahrungsfristen (§ 132 BAO, 7 Jahre für Rechnungsdaten).
3. Betroffenenkreise & Datenarten
- Kund:innen des Verantwortlichen: Stammdaten, Adresse, Buchungsdaten, Chat-Inhalte, Bewertungen.
- Mitarbeitende des Verantwortlichen: Name, Funktion, Kontakt, Auftragszuordnung.
- Keine besonderen Kategorien i.S.v. Art. 9 DSGVO werden bewusst erhoben.
4. Technische und organisatorische Maßnahmen (TOM)
Maßnahmen im Detail siehe Anlage 1. Kurzfassung: verschlüsselte Übertragung (TLS 1.2+), verschlüsselte Ruhespeicherung (AES-256), Zugriffskontrollen mit Mehrfaktorauth für Admins, Rollen- und Row-Level-Security auf DB-Ebene, unveränderliches Audit-Log über 5 Jahre, jährliche Penetrationstests, Least-Privilege-Secret-Handling, Backup- und Wiederanlauftests je Quartal.
5. Subunternehmer (Sub-Auftragsverarbeiter)
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung i.S.v. Art. 28 Abs. 2 DSGVO, die nachfolgend genannten Sub-Auftragsverarbeiter einzusetzen. Jede Änderung wird nach Ziffer 6 angekündigt.
| Dienst | Rechtsträger | Zweck | Speicherort | Absicherung | Status |
|---|---|---|---|---|---|
| Supabase | Supabase Inc. (US) — EU data residency: Frankfurt | Datenbank, Auth, Storage, Realtime-Channels | EU (Frankfurt) | EU-Standardvertragsklauseln (Art. 46 DSGVO) | aktiv |
| Vercel | Vercel Inc. (US) — EU-Region fra1 | Hosting, Edge-Caching, Build-Pipeline | EU (Frankfurt) | EU-Standardvertragsklauseln (Art. 46 DSGVO) | aktiv |
| Stripe | Stripe Payments Europe, Ltd. (Ireland) | Zahlungsabwicklung, KYC, Auszahlung (Connect Express) | EU (Ireland) | nur EU/EWR | aktiv |
| Resend | Resend Inc. (US) — EU endpoint | Transaktionale E-Mails (Bestätigungen, Rechnungen, Moderationshinweise) | EU | EU-Standardvertragsklauseln (Art. 46 DSGVO) | aktiv |
| Mapbox | Mapbox Inc. (US) | Kartenkacheln und Geocoding für Such- und Profilseiten | US | EU-Standardvertragsklauseln (Art. 46 DSGVO) | vertraglich vorbereitet |
| Upstash | Upstash Inc. (US) — EU-Region | Rate-Limiting-Zähler (kurzlebige IP-/Session-Hashes, < 24 h) | EU | EU-Standardvertragsklauseln (Art. 46 DSGVO) | aktiv |
6. Änderung des Sub-Auftragsverarbeiter-Kreises (Änderungsmitteilung)
Beabsichtigt der Auftragsverarbeiter, einen weiteren Sub-Auftragsverarbeiter hinzuzuziehen oder einen bestehenden zu ersetzen, teilt er dies dem Verantwortlichen mindestens 30 Tage im Voraus in Textform (E-Mail an die hinterlegte Kontaktadresse) und durch Aktualisierung dieser Seite mit. Der Verantwortliche kann der Änderung innerhalb dieser Frist aus berechtigtem datenschutzrechtlichen Grund widersprechen. Ein berechtigter Widerspruch verpflichtet die Parteien, gemeinsam eine zumutbare Lösung zu finden; verbleibt keine, kann jede Partei das Platform Agreement nach Maßgabe der ordentlichen Kündigungsfristen beenden.
7. Betroffenenrechte & Meldepflichten
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsersuchen sowie bei Art. 35/36 DSGVO. Datenschutzverletzungen werden ohne unangemessene Verzögerung (< 72 h ab Kenntnis) unter Angabe aller nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen gemeldet.
8. Audit & Nachweis
Der Verantwortliche kann einmal jährlich auf eigene Kosten und nach Ankündigung von mindestens 30 Tagen einen Nachweis über die TOM verlangen; primär wird dieser Nachweis über Berichte unabhängiger Prüfer (z. B. ISO-27001-Zertifikat des Sub-Auftragsverarbeiters, SOC-2-Report von Stripe) erbracht.
9. Löschung bei Vertragsende
Nach Beendigung des Auftrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder in einem standardisierten Format zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht (z. B. § 132 BAO, 7 Jahre) entgegensteht. Die Löschung wird auf Verlangen schriftlich bestätigt.
10. Haftung & Gerichtsstand
Für Schadensersatzansprüche nach Art. 82 DSGVO haften die Parteien nach Maßgabe des Gesetzes. Erfüllungsort und ausschließlicher Gerichtsstand ist Wien. Es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts.
Anlage 1 — TOM (Kurzfassung)
- Zugriffskontrolle: SSO, MFA-Pflicht für Admins, RLS-Policies pro Tabelle.
- Übertragungskontrolle: TLS 1.2+ für jede Verbindung; HSTS mit Preload.
- Eingabekontrolle: unveränderliches Audit-Log pro Admin-Aktion (5 Jahre).
- Verfügbarkeitskontrolle: tägliche Backups, RPO ≤ 24 h, RTO ≤ 4 h.
- Trennbarkeitskontrolle: getrennte Umgebungen für Dev/Staging/Prod.
- Auftragskontrolle: jeder Sub-Auftragsverarbeiter mit AVV nach Art. 28 DSGVO.
Anlage 2 — Service-Levels & Reaktionszeiten
- Vertraulichkeitsvorfall: Erstmeldung innerhalb 72 h, Root-Cause innerhalb 14 Tagen.
- Betroffenenanfragen: Antwortentwurf innerhalb von 7 Werktagen.
- Plattformverfügbarkeit (Best-Effort): ≥ 99,5 % im Kalendermonat.
- Support-Erreichbarkeit: werktags 09–17 Uhr MEZ, E-Mail: kontakt@rein24.at.
Rechtsverbindlich ist die deutsche Fassung dieser Seite. Englische Übersetzungen werden ausschließlich als unverbindliche Lesehilfe bereitgestellt. · The German version is authoritative; any English translation is a non-authoritative courtesy translation only.
Stand: 2026-04-19 · Vertragsversion 2026-04-17. Änderungen werden nach Ziffer 6 angekündigt.