Legal

AVV / DPA (Auftragsverarbeitungsvertrag)

Pilot-spezifischer Vertrag mit Platzhaltern für Kundeninformationen und TOMs.

Dieses Dokument ist eine Vorlage für Pilot- bzw. Kundengespräche und wird mit Ihren Daten ausgefüllt, sobald ein Vertrag zustande kommt.

Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA)

Runward SaaS-Plattform

Gültig ab: 26. Januar 2026

Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer (Runward) im Auftrag des Auftraggebers (Kunde) gemäß Art. 28 DSGVO.

1. Vertragsparteien

1.1 Auftraggeber (Verantwortlicher)

[Wird im Pilotprogramm mit Ihren Daten ausgefüllt]

Firma: {{KUNDE_FIRMA}}
Adresse: {{KUNDE_ADRESSE}}
Kontakt: {{KUNDE_EMAIL}}

(im Folgenden „Auftraggeber")

1.2 Auftragnehmer (Auftragsverarbeiter)

Lukas Stepanek
Untere Viaduktgasse 23
1030 Wien
Österreich
E-Mail: hello@runward.at

(im Folgenden „Auftragnehmer")

2. Gegenstand und Dauer der Auftragsverarbeitung

2.1 Gegenstand

Der Auftragnehmer verarbeitet personenbezogene Daten im Rahmen der Bereitstellung der Runward SaaS-Plattform (Payment Control & Audit Layer) für den Auftraggeber.

2.2 Dauer

Dieser AVV gilt ab Beginn der Nutzung der Plattform und endet mit Beendigung des Hauptvertrags (siehe AGB).

2.3 Art und Zweck der Verarbeitung

Art der Verarbeitung Zweck
Speicherung Payment-Daten, Vendor-Stammdaten, Trusted Contacts
Verarbeitung Gatekeeper-Prüfung, Policy-Enforcement, Dual-Control-Validierung
Übermittlung E-Mail-Versand (OTP-Codes), Webhook-Alerts, Evidence-Pack-Downloads
Hash-Chaining Audit-Trail-Generierung, RFC-3161-Timestamping
Verschlüsselung Field-Level-Encryption (PII), KMS-Key-Management

3. Kategorien betroffener Personen

Der Auftragnehmer verarbeitet personenbezogene Daten folgender Kategorien betroffener Personen:

  • Mitarbeitende des Auftraggebers: Finance-Ops-Teams, AP/Kreditorenbuchhaltung, Approver, Administratoren
  • Lieferantenkontakte: Ansprechpartner bei Lieferanten (für Out-of-Band-Verifikation)
  • Endnutzer: Ggf. weitere Kontaktpersonen im Onboarding/Support

4. Arten der verarbeiteten Daten

Der Auftragnehmer verarbeitet folgende Kategorien personenbezogener Daten:

4.1 Kontaktdaten

  • E-Mail-Adressen (verschlüsselt at rest: AES-256-GCM)
  • Telefonnummern (verschlüsselt at rest: AES-256-GCM)
  • Namen, Rollen (Finance-Kontakte)

4.2 Bank- und Zahlungsdaten

  • IBANs (aus Payment-Files)
  • BICs
  • Zahlungsdatei-Inhalte (SEPA pain.001.001.03, CSV)
  • Rechnungsnummern, Beträge, Zahlungszwecke

4.3 Nutzungs- und Metadaten

  • Login-Events, IP-Adressen (anonymisiert in Logs)
  • Audit-Trail-Events (wer/wann/was/Ergebnis)
  • Holds, Approvals, Verifikations-Status
  • Run-Hashes, Watermark-Tokens

4.4 Verifikationsdaten

  • Challenge-Status (OTP-Codes nur gehasht; niemals im Klartext gespeichert)
  • Callback-Metadaten (wer/wann/welcher Kanal; keine Audioaufzeichnung)
  • Dual-Control-Approvals (Approver-IDs, Timestamps)

Wichtig: Der Auftragnehmer speichert keine Audioaufzeichnungen von Telefon-Verifikationen. Es werden ausschließlich Metadaten erfasst.

5. Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DSGVO)

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

Weisungen umfassen:

  • Diese AVV
  • Die AGB
  • Schriftliche Anweisungen per E-Mail (von autorisierten Kontakten des Auftraggebers)

Falls der Auftragnehmer der Ansicht ist, dass eine Weisung gegen DSGVO oder andere Datenschutzvorschriften verstößt, wird er den Auftraggeber unverzüglich informieren.

5.2 Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c DSGVO)

Der Auftragnehmer hat technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO implementiert. Diese sind in Anhang 1 (TOMs) detailliert beschrieben.

5.4 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).

Prozess:

  1. Betroffene richten Anfragen an den Auftraggeber (primär)
  2. Falls Anfragen direkt beim Auftragnehmer eingehen, wird er diese binnen 2 Werktagen an den Auftraggeber weiterleiten
  3. Der Auftragnehmer stellt Tools zur Verfügung:
    • Export-Funktion: Datendownload als JSON/CSV
    • Löschfunktion: Crypto-Erasure (Schlüssel-Löschung, Daten unlesbar)
    • Einschränkung: Account-Sperre ohne Datenlöschung

5.5 Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung, um eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

5.6 Meldung von Datenschutzverletzungen (Art. 33 DSGVO)

Bei einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragnehmer den Auftraggeber unverzüglich, spätestens binnen 24 Stunden nach Kenntnisnahme.

Die Meldung enthält:

  • Art der Verletzung (z.B. unbefugter Zugriff, Datenverlust)
  • Kategorien und Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen
  • Ergriffene oder vorgeschlagene Maßnahmen

5.7 Löschung und Rückgabe (Art. 28 Abs. 3 lit. g DSGVO)

Nach Beendigung des Vertrags:

  1. Rückgabe: Der Auftragnehmer stellt dem Auftraggeber binnen 30 Tagen einen Download-Link für alle Evidence Packs und Audit-Trails zur Verfügung.
  2. Clean Files: Artefakte wie Watermarked SEPA-/CSV-Dateien oder Run Receipts stehen noch 90 Tage zum Download bereit; danach werden sie automatisch gelöscht, sofern nicht eine dokumentierte Weisung („Archive Mode“) eine längere Aufbewahrung (z. B. 7 Jahre) vorsieht.
  3. Account- und Kontaktdaten: Werden grundsätzlich binnen 6 Monaten gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  4. Evidence Packs / Audit-Trails: Bleiben standardmäßig bis zu 7 Jahre beim Auftragnehmer, soweit sie für den Nachweis- und Audit-Zweck erforderlich sind; auf Weisung können kürzere oder längere Fristen vereinbart werden.

Löschnachweis: Der Auftragnehmer stellt auf Anfrage ein schriftliches Löschprotokoll aus.

6. Subprozessoren (Art. 28 Abs. 2, 28 Abs. 4 DSGVO)

6.1 Genehmigung

Der Auftraggeber erteilt dem Auftragnehmer eine generelle Genehmigung zur Beauftragung von Subprozessoren.

Der Auftragnehmer verpflichtet sich:

  • Subprozessoren nur mit schriftlichem Vertrag (Art. 28-konforme Pflichten) zu beauftragen
  • Den Auftraggeber über geplante Änderungen (Hinzufügung/Ersetzung) mindestens 30 Tage im Voraus zu informieren
  • Dem Auftraggeber ein Widerspruchsrecht binnen 14 Tagen einzuräumen

Widerspruchsrecht: Falls der Auftraggeber aus begründeten Datenschutzbedenken widerspricht, wird der Auftragnehmer entweder einen alternativen Subprozessor einsetzen oder dem Auftraggeber ein außerordentliches Kündigungsrecht mit 30-tägiger Frist einräumen.

6.2 Aktuell eingesetzte Subprozessoren

Die aktuelle Liste ist in Anhang 2 (Subprozessoren) aufgeführt und wird laufend unter https://runward.at/legal/subprocessors aktualisiert.

7. Drittlandtransfer

7.1 EU-First-Strategie

Alle produktions-kritischen Datenverarbeitungen (Datenbank, Storage, Payment-Files, Audit-Logs) erfolgen ausschließlich in der EU (AWS eu-central-1, Frankfurt).

7.2 Ausnahmen (mit Garantien)

Drittlandtransfers ergeben sich aus konfigurationsabhängigen Ergänzungen, die nicht automatisch zum Kernumfang dieses AVV gehören. Beispiele:

  • OIDC-Provider: Wählt der Auftraggeber einen Identitätsanbieter mit Sitz außerhalb der EU (z. B. Google Workspace/Okta mit US-Mutter), findet ein Drittlandtransfer statt. Die jeweiligen Garantien (z. B. EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO) werden vom Anbieter bereitgestellt; die Auswahl und Bewertung obliegen dem Auftraggeber.
  • Timestamping (TSA-Provider): Timestamping-Dienste erfolgen vorrangig innerhalb der EU. Sollte ein Anbieter außerhalb der EU zum Einsatz kommen (z. B. DigiCert oder Sectigo), sichern wir den Transfer über geeignete Garantien nach Art. 44 ff. DSGVO (z. B. SCC plus ergänzende organisatorische und technische Maßnahmen).

Hinweis: Website-spezifische Dienste wie Website-Analytics (z. B. Vercel Analytics auf runward.at) betreffen Runward als Website-Verantwortlichen und sind daher nicht Teil dieses AVV.

8. Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)

8.1 Nachweise

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage folgende Nachweise zur Verfügung:

  • Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)
  • Liste der Subprozessoren
  • Sicherheitszertifizierungen (soweit vorhanden; z.B. ISO 27001-konforme Prozesse)
  • Incident-Response-Protokolle (anonymisiert)

8.2 Audits

Der Auftraggeber hat das Recht, nach vorheriger schriftlicher Ankündigung (14 Tage) und zu angemessenen Zeiten (Geschäftszeiten) Audits durchzuführen oder durch unabhängige Dritte durchführen zu lassen.

Umfang:

  • Einsichtnahme in relevante Dokumentationen (TOMs, Subprozessor-Verträge, Incident-Logs)
  • Interviews mit technischen Ansprechpartnern
  • Technische Überprüfung (z.B. RLS-Policies, Verschlüsselung)

Kosten: Der Auftragnehmer kann angemessene Kosten für Audits verlangen, die über 1 Audit pro Kalenderjahr hinausgehen (außer bei begründetem Verdacht auf Datenschutzverstoß).

9. Haftung

9.1 Haftungsaufteilung

Gemäß Art. 82 DSGVO haftet jede Partei für Schäden, die sie durch Verletzung ihrer DSGVO-Pflichten verursacht.

9.2 Haftungsbeschränkung

Die in den AGB Ziffer 9.3 geregelte Haftungsbeschränkung gilt auch für diesen AVV, soweit gesetzlich zulässig.

Wichtig: Die Haftungsbeschränkung gilt nicht für:

  • Vorsätzliche oder grob fahrlässige Verstöße gegen Datenschutzvorschriften
  • Bußgelder oder Strafen, die dem Auftraggeber aufgrund Verschuldens des Auftragnehmers auferlegt werden

10. Änderungen dieses AVV

Änderungen dieses AVV werden dem Auftraggeber mindestens 30 Tage vor Inkrafttreten schriftlich (per E-Mail) mitgeteilt.

Der Auftraggeber hat das Recht, binnen 14 Tagen zu widersprechen. Bei Widerspruch ist der Auftragnehmer berechtigt, den Vertrag mit einer Frist von 30 Tagen zu kündigen.

11. Schlussbestimmungen

11.1 Anwendbares Recht

Für diesen AVV gilt österreichisches Recht.

11.2 Rangfolge

Im Falle von Widersprüchen gilt folgende Rangfolge:

  1. Dieser AVV
  2. AGB
  3. Sonstige Vereinbarungen

11.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

12. Kontakt

Bei Fragen zu diesem AVV wenden Sie sich bitte an:

Datenschutz-Kontakt (Auftragnehmer):
E-Mail: hello@runward.at
Betreff: AVV/DPA-Anfrage

ANHANG 1: Technische und Organisatorische Maßnahmen (TOMs)

1. Zutrittskontrolle

  • Hosting ausschließlich in EU-Rechenzentren (primär AWS eu-central-1); physischer Zugang erfolgt über die Kontrollprozesse des Cloud-Anbieters (ISO 27001, SOC 2).

2. Zugangskontrolle (zu IT-Systemen)

  • Authentifizierung über OIDC (Azure AD, Okta, Google Workspace oder vergleichbare Provider); Multi-Faktor-Authentifizierung für administrative Funktionen.
  • Sitzungs- und Token-Management mit HttpOnly/Secure-Cookies, begrenzten Lebensdauern und automatisierten Abmeldemechanismen.
  • Schutz vor Brute-Force-Versuchen und automatisiertem Zugriff durch strukturiertes Monitoring und vorab definierte Maßnahmen.

3. Zugriffskontrolle (auf Daten)

  • Mandanten-isolierende PostgreSQL-Row-Level-Security (RLS) kombiniert mit Least-Privilege-Prinzipien und differenzierten Rollen (Operator, Manager, Finance-Lead, Admin).
  • Tenant-Kontext wird ausschließlich aus der Session bzw. dem Auth-Token abgeleitet, nie aus frei eingebendem Payload.

4. Weitergabekontrolle

  • Verschlüsselung in Transit nach aktuellem Stand der Technik (TLS 1.2+ / TLS 1.3, HSTS, CORS-Restriktionen)
  • Signierung und Verschlüsselung ausgehender Webhooks; opportunistisches TLS für E-Mail-Versand (AWS SES, EU-Region).

5. Eingabekontrolle (Protokollierung)

  • Append-only Event-Store mit Hash-Chain für jede Aktion; keine vollständigen PII-Werte in den Logs, stattdessen HMAC-Digests.
  • Log-Retention: System- und Debug-Logs 90 Tage, auditrelevante Events sukzessive bis zu sieben Jahre; technische Möglichkeiten zur Crypto-Erasure bei Löschanfragen.
  • RFC 3161-Timestamping für Audit-Evidence via EU-basierten Dienst.

6. Auftragskontrolle

  • Dieser AVV und die in ihm beschriebene Liste regeln die Zusammenarbeit.
  • Subprozessoren werden nur mit Art. 28-konformen Verträgen eingesetzt; Änderungen melden wir gem. 30-Tage-Vorlauf und veröffentlichen die aktuelle Liste unter https://runward.at/legal/subprocessors.

7. Verfügbarkeitskontrolle

  • AWS-managed PostgreSQL PITR, S3-Versionierung und Lifecycle-Policies für definierte Prefixe (z. B. Evidence/Audit).
  • Monitoring über Prometheus, Grafana und AWS CloudWatch mit Alerting bei kritischen Sicherheitsindikatoren.
  • Wiederherstellungsprozesse berücksichtigen RLS-Policies, Ownerships und Grants nach Restore.

8. Trennungskontrolle

  • Datenbankweit gültige RLS-Policies und per-Tenant Data Encryption Keys (DEKs);
  • Mandantenlogik verhindert Datenzugriffe über tenantübergreifende Joins.

9. Verschlüsselung

  • At-rest-Verschlüsselung sämtlicher Datenbanken und Storage via AWS KMS.
  • Field-level-Verschlüsselung (AES-256-GCM) für PII (Telefon, E-Mail) mit zusätzlicher Authenticated Associated Data (AAD).
  • Schlüsselmanagement folgt einem risikobasierten Rotationsplan; Master-Keys werden mindestens jährlich rekeyed, operational keys in engerem Rhythmus.

10. Incident Response

  • Benachrichtigung des Auftraggebers binnen 24 Stunden nach bestätigtem Incident sowie dokumentierte Post-Mortems innerhalb von 5 Arbeitstagen.
  • Runbooks beschreiben Meldewege, Wiederherstellung, Kommunikation und Key-Rotation.

11. Datenschutz durch Technikgestaltung (Privacy by Design)

  • Crypto-Erasure zur Löschung sensibler Daten durch Schlüsselvernichtung.
  • Purpose Limitation und Datenminimierung: Keine Audioaufzeichnungen, nur Metadaten im Audit-Trail.
  • Automatisierte Maßnahmen zur Vermeidung unnötiger Datenverarbeitungen.

ANHANG 2: Subprozessoren

Aktuelle Subprozessoren (Stand: 26. Januar 2026)

Kategorie Subprozessor Standort Zweck Garantien
Hosting & Infrastruktur Amazon Web Services EMEA SARL eu-central-1 (Frankfurt) Server, Datenbank, Storage AWS GDPR DPA
E-Mail-Versand AWS SES EU-Region (Paris/Frankfurt) Transaktionale E-Mails (OTP, Alerts) AWS GDPR DPA
Authentifizierung Azure AD / Okta / Google Workspace EU/Global (Kundenwahl) OIDC-Login SCC (vom Provider)
VoP-Provider SWIFT PPV EU Vendor Verification SWIFT GDPR DPA
VoP-Provider (Fallback) SurePay EU Vendor Verification SurePay GDPR DPA
TSA-Provider Konfigurationsabhängig (EU-first; bei Drittland z. B. DigiCert oder Sectigo) EU / je nach Anbieter RFC 3161 Timestamping Falls Drittland: geeignete Garantien nach Art. 44 ff. (z. B. SCC + ergänzende Maßnahmen); ansonsten EU-konforme Vereinbarungen
Monitoring AWS CloudWatch eu-central-1 Logs & Metrics AWS GDPR DPA

Hinweis: Die Liste wird laufend aktualisiert unter https://runward.at/legal/subprocessors.

Neue Subprozessoren:
Vor Hinzufügung oder Ersetzung eines Subprozessors informieren wir Sie 30 Tage im Voraus per E-Mail. Sie haben 14 Tage Zeit, aus begründeten Datenschutzbedenken zu widersprechen.

Ende des Auftragsverarbeitungsvertrags

Unterschriften:

Auftraggeber:

{{KUNDE_FIRMA}}

Name: ____________________
Datum: ____________________
Unterschrift: ____________________

Auftragnehmer:

Lukas Stepanek
Runward

Name: Lukas Stepanek
Datum: 26. Januar 2026
Unterschrift: ____________________