Anmelden Kostenlos testen

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Juni 2026

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Nutzung von Scribo durch ClearFlow verarbeiten lässt. Er wird mit der Registrierung bzw. der Nutzung von Scribo zwischen den Parteien wirksam und ist Bestandteil der AGB.

Parteien

Verantwortlicher („Kunde“): die den Dienst nutzende Sachverständige bzw. das nutzende Büro.
Auftragsverarbeiter: ClearFlow Systems FlexCo i.G., Mortaraplatz 7/13, 1200 Wien, Betreiberin von Scribo („ClearFlow“).

1. Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch ClearFlow im Auftrag des Kunden zur Bereitstellung von Scribo. Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses.

2. Art, Zweck und Umfang der Verarbeitung

Zweck: Bereitstellung der Funktionen von Scribo zur Erstellung von Gutachten (u. a. Speicherung von Falldaten und Unterlagen, KI-gestützte Textverarbeitung, Spracherkennung, Texterkennung).
Art: Erheben, Speichern, Strukturieren, Auslesen, Verändern und Löschen im Rahmen der Dienstnutzung.

Kategorien betroffener Personen

  • Verfahrensbeteiligte und sonstige im Gutachten genannte Personen
  • Auftraggeber und Kontaktpersonen des Kunden

Kategorien personenbezogener Daten

  • Stamm- und Kontaktdaten (Name, Anschrift, Kontaktdaten)
  • in Unterlagen und Falltexten enthaltene Inhaltsdaten
  • ggf. besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), soweit vom Kunden eingebracht (z. B. Gesundheitsdaten in medizinischen Gutachten)

3. Weisungsrecht

ClearFlow verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Nutzung der Funktionen von Scribo durch den Kunden gilt als Weisung. ClearFlow informiert den Kunden, wenn eine Weisung nach Auffassung von ClearFlow gegen datenschutzrechtliche Vorschriften verstößt.

4. Pflichten von ClearFlow

  • Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO)
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (Art. 32 DSGVO, siehe Anlage 2)
  • Unterstützung des Kunden bei der Beantwortung von Anträgen betroffener Personen (Art. 12–23 DSGVO)
  • Unterstützung des Kunden bei seinen Pflichten nach Art. 32–36 DSGVO
  • unverzügliche Meldung von Verletzungen des Schutzes personenbezogener Daten

5. Unterauftragsverarbeiter

Der Kunde genehmigt den Einsatz der nachstehenden Unterauftragsverarbeiter (Anlage 1). ClearFlow informiert den Kunden über beabsichtigte Änderungen; der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichen Grund widersprechen. ClearFlow verpflichtet Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau.

6. Drittlandtransfer

Die Verarbeitung erfolgt innerhalb der EU. Soweit Unterauftragsverarbeiter mit US-Mutterkonzern eingesetzt werden, ist ein etwaiger Zugriff durch deren Zertifizierung nach dem EU-U.S. Data Privacy Framework (DPF) sowie ergänzend durch EU-Standardvertragsklauseln (SCC) abgesichert.

7. Kontrollrechte

ClearFlow weist die Einhaltung der Pflichten auf Anfrage in geeigneter Form nach (z. B. durch Auskünfte und Dokumentation der technischen und organisatorischen Maßnahmen). Weitergehende Kontrollen erfolgen nach angemessener Vorankündigung und ohne Störung des Betriebs.

8. Löschung und Rückgabe

Nach Beendigung des Nutzungsverhältnisses löscht ClearFlow die im Auftrag verarbeiteten Daten oder gibt sie nach Wahl des Kunden zurück, soweit keine gesetzliche Aufbewahrungspflicht besteht.

9. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO sowie den Haftungsregelungen der AGB.

10. Schlussbestimmungen

Es gilt österreichisches Recht. Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Auftragsverarbeitung die Regelungen dieses AVV vor.

Anlage 1 — Unterauftragsverarbeiter

DienstleisterLeistungStandort
Hetzner Online GmbHHosting, DatenspeicherungDeutschland (EU)
Microsoft (Azure)KI-Textverarbeitung, SpracherkennungEU-Region West-Europa
GoogleVersand der Bestätigungs-E-MailEU-Verarbeitung / USA (DPF)

Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Verschlüsselung der Datenübertragung (TLS) und Schutz gespeicherter Daten
  • Zugriffskontrolle: individuelle Konten, Authentifizierung, rollenbasierte Rechte
  • Hosting ausschließlich in Rechenzentren innerhalb der EU
  • regelmäßige Sicherungen (Backups) und Wiederherstellbarkeit
  • Trennung der Daten verschiedener Kunden (Mandantentrennung)
  • Protokollierung sicherheitsrelevanter Zugriffe

Eine gesondert unterzeichnete Fassung dieses AVV stellen wir auf Anfrage zur Verfügung: infra@clearflow-systems.at.