Auftragsverarbeitung
AV-Verträge und DPA
Übersicht über eingesetzte Dienstleister, Rollen, Datenschutzunterlagen und interne To-dos.
1. Verantwortlicher
Verantwortlicher gegenüber Nutzern ist [Firmenname / Name eintragen]. Werden Dienstleister für Hosting, Authentifizierung, Datenbank, Zahlungsabwicklung oder Support eingesetzt, sind deren Rollen und Vertragsunterlagen zu dokumentieren.
2. Übersicht der Dienstleister
- Vercel: Hosting, Auslieferung der Website, Serverfunktionen, Deployment- und Funktionslogs.
- Supabase: Authentifizierung, Datenbank, Storage, Backups, Nutzerarbeitsbereiche.
- Stripe: Checkout, Abo, Zahlung, Kundenportal, Rechnungen, Zahlungsstatus und Rechnungsdaten.
- [E-Mail-/Support-Anbieter]: Supportkommunikation und Kontaktanfragen.
3. Vercel
Rolle: Auftragsverarbeiter für Hosting und Verarbeitung von Kundendaten in der Infrastruktur, soweit Vercel personenbezogene Daten im Auftrag verarbeitet. Vercel verarbeitet daneben bestimmte Account-, Kontakt- oder Servicedaten eigenständig.
- DPA-Link: https://vercel.com/legal/dpa
- Status: [abgeschlossen / zu prüfen]
- Plan: [Hobby / Pro / Enterprise - prüfen, da DPA je nach Plan relevant sein kann]
- Unterlagen abgelegt unter: [interner Ablageort]
- Subprozessoren geprüft am: [Datum]
4. Supabase
Rolle: Auftragsverarbeiter für Authentifizierung, Datenbank, Storage und Backups, soweit personenbezogene Daten im Auftrag verarbeitet werden.
- DPA-Link: https://supabase.com/legal/dpa
- Hinweis: Supabase verweist darauf, die rechtsverbindliche DPA-Version im Supabase Dashboard anzufordern.
- Status: [angefordert / abgeschlossen / zu prüfen]
- Projektregion: [Region eintragen]
- Backups: täglicher Export in privaten Supabase-Bucket `backups`.
- Unterlagen abgelegt unter: [interner Ablageort]
5. Stripe
Rolle: Stripe kann je nach Verarbeitung als Auftragsverarbeiter und als eigenständig Verantwortlicher handeln. Zahlungs-, Betrugspräventions-, Finanz- und Compliance-Vorgänge unterliegen teilweise eigenständigen Stripe-Pflichten.
- DPA-Link: https://stripe.com/at/legal/dpa
- Status: [über Stripe-Konto akzeptiert / zu prüfen]
- Stripe-Konto-Land: [z. B. Österreich]
- Steuerhinweis: Kleinunternehmerregelung gemäß § 6 Abs. 1 Z 27 UStG; keine Stripe Tax Rate hinterlegt
- Rechnungen: [Stripe Invoicing/Billing aktiviert / zu prüfen]
- Unterlagen abgelegt unter: [interner Ablageort]
6. E-Mail und Support
Anbieter: [E-Mail-/Support-Anbieter eintragen]. Wenn Supportkommunikation über einen externen Anbieter läuft, ist zu prüfen, ob ein AV-Vertrag erforderlich ist und wo die Daten verarbeitet werden.
- Status AV/DPA: [abgeschlossen / nicht erforderlich / zu prüfen]
- Supportadresse: support@speditionsvergleich.at
- Speicherfrist Supporttickets: [Frist eintragen]
7. Interne Prüfliste vor Live-Verkauf
- Alle Anbieter-DPA herunterladen, akzeptieren oder anfordern.
- Subprozessorenlisten speichern und Wiedervorlage setzen.
- Drittlandübermittlungen und Standardvertragsklauseln prüfen.
- Technische und organisatorische Maßnahmen der Anbieter dokumentieren.
- Supabase RLS, Backups, Löschprozess und Exportprozess testen.
- Stripe Webhook, Kündigung, Rechnungen und Kleinunternehmer-Hinweis live/testweise prüfen.