# Datenverarbeitungsvereinbarung (DPA) zwischen **[Auftraggeber:in]** (im Folgenden "Verantwortliche/r") und **Bernhard Götzendorfer e.U.**, Rittingergasse 15/11, 1210 Wien, Österreich (im Folgenden "Auftragsverarbeiter:in") Stand: 2026-05. Diese Vorlage ist kein Rechtsberatungs-Ersatz. Vor Anwendung anwaltlich prüfen lassen. --- ## § 1 Gegenstand und Dauer der Verarbeitung [Auftraggeber:in füllt aus: Beratungsleistung, Implementierungs-Projekt, Schulung, etc.] Dauer: [Vertragslaufzeit] --- ## § 2 Art, Zweck und Kategorien personenbezogener Daten - Kategorien Betroffener: [Mitarbeiter:innen, Kund:innen, Mandant:innen] - Datenkategorien: [E-Mail-Adressen, Trainings-Inhalte, Anonymisierte Logs] - Zweck: KI-Beratung, Champion-Pilot-Durchführung, Code-Review --- ## § 3 Pflichten des Auftragsverarbeiters (§ 28 DSGVO) - Verarbeitung nur auf dokumentierte Weisung - Verschwiegenheitsverpflichtung aller Mitarbeiter - Geeignete technische und organisatorische Maßnahmen (TOMs siehe Anlage 1) - Unterauftragsverarbeiter nur mit schriftlicher Genehmigung --- ## § 4 Berufsgeheimnis (§ 9 RAO / § 53 ÄrzteG / § 38 BWG) Der Auftragsverarbeiter erkennt das Berufsgeheimnis nach [zutreffend einsetzen: § 9 RAO Rechtsanwaltsordnung / § 53 ÄrzteG / § 38 BWG] an. Mandant:innen-/Patient:innen-/Kund:innen-Daten werden ausschließlich pseudonymisiert oder mit ausdrücklicher Schweigepflicht-Entbindung verarbeitet. --- ## § 5 Subunternehmer Aktueller Stand: keine Subunternehmer. Bei Hinzunahme: 30-Tage-Vorabinformation + Widerspruchsrecht. --- ## § 6 Hosting und Verarbeitungsorte - Standard: EU-hosted (Vercel Frankfurt + Cloudflare EU) - Optional auf Anfrage: On-Premise / Customer Cloud (z.B. AWS Frankfurt) - Keine Datenübermittlung in Drittländer ohne Standardvertragsklauseln --- ## § 7 Datenschutz-Folgenabschätzung Beim Einsatz von KI-Systemen mit Hochrisiko-Potenzial (EU AI Act Annex III) führt der Auftragsverarbeiter unterstützend zur Risikoanalyse aus. --- ## § 8 Datenpannen - Meldung an Auftraggeber:in: innerhalb von 24 Stunden ab Kenntnis - Unterstützung bei Meldung an die DSB nach Art. 33 DSGVO --- ## § 9 Beendigung und Datenlöschung Nach Vertragsende: alle personenbezogenen Daten innerhalb von 30 Tagen löschen oder zurückgeben, nach Wahl der/des Verantwortlichen. Bestätigung schriftlich. --- ## Anlage 1: Technische und organisatorische Maßnahmen (TOMs) - [ ] Zugangskontrolle: 2FA auf allen Bernhard-Götzendorfer-Konten - [ ] Verschlüsselung in transit (TLS 1.3) und at rest (AES-256) - [ ] Backup-Strategie: täglich, 30 Tage Retention - [ ] Pseudonymisierung von Mandant:innen-/Kund:innen-Identifikatoren in Code-Beispielen - [ ] Audit-Logs für 6 Monate --- Ort, Datum: **\*\*\*\***\_\_\_**\*\*\*\*** [Auftraggeber:in Unterschrift]      [Bernhard Götzendorfer Unterschrift]