Vereinbarung zur Auftragsverarbeitung (AVV)
NEVO · Stand: 23. Juni 2026 · gemäß Art. 28 DSGVO
Diese Vereinbarung ergänzt die Allgemeinen Geschäftsbedingungen zwischen dir („Auftraggeber:in", „du") und Sigrid Aicher, Sigrid Aicher Photography, Sobieskigasse 37/6, 1090 Wien, Österreich („Auftragsverarbeiter", „wir") und gilt automatisch für die Dauer deines NEVO-Abos, sobald du personenbezogene Daten deiner eigenen Kund:innen in NEVO verarbeitest. Mit Abschluss des NEVO-Vertrags (Registrierung und Bestätigung der Nutzungsbedingungen) akzeptierst du auch diese AVV.
1. Gegenstand und Dauer
1.1 Du nutzt NEVO, um Daten deiner eigenen Kund:innen (Tierhalter:innen) und deren Tiere zu verwalten — etwa im Rahmen von Buchungen, Aufträgen, Terminen und der Speicherung von Fotos. Soweit du dabei personenbezogene Daten verarbeitest, bist du datenschutzrechtlich Verantwortliche(r) im Sinne von Art. 4 Nr. 7 DSGVO. Wir verarbeiten diese Daten ausschließlich in deinem Auftrag und nach deinen Weisungen als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
1.2 Diese Vereinbarung gilt für die Dauer deines NEVO-Vertrags und endet automatisch mit dessen Beendigung, vorbehaltlich der Regelungen zur Datenlöschung in Ziffer 9.
2. Art und Zweck der Verarbeitung
Wir verarbeiten die Daten ausschließlich, um dir den Betrieb von NEVO als Software-as-a-Service bereitzustellen: Speicherung, Anzeige, Sicherung und Verwaltung der von dir eingegebenen Daten im Rahmen der vertraglich vereinbarten Funktionen. Eine Verarbeitung zu eigenen Zwecken, insbesondere zu Werbe- oder Analysezwecken, findet nicht statt.
3. Art der Daten und Kategorien betroffener Personen
3.1 Verarbeitete Datenkategorien: Stammdaten deiner Kund:innen (Name, Kontaktdaten, Adresse), Daten zu deren Tieren, Auftrags- und Termindaten, hochgeladene Fotos, sowie — soweit von dir genutzt — Unterschriftsdaten im Rahmen von Haftungserklärungen.
3.2 Betroffene Personen: Deine Kund:innen (Tierhalter:innen) sowie ggf. weitere von ihnen benannte Personen.
3.3 Eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten) ist im Rahmen der bestimmungsgemäßen Nutzung von NEVO nicht vorgesehen. Solltest du dennoch solche Daten eingeben, geschieht dies in deiner alleinigen Verantwortung.
4. Deine Rechte und Pflichten als Verantwortliche(r)
4.1 Du bist dafür verantwortlich, dass die Verarbeitung der Daten deiner Kund:innen über NEVO eine geeignete Rechtsgrundlage hat (z. B. Vertrag mit deiner Kundin, Einwilligung) und dass du deine Kund:innen entsprechend Art. 13/14 DSGVO informierst.
4.2 Du erteilst uns Weisungen grundsätzlich durch die bestimmungsgemäße Nutzung von NEVO (z. B. durch Eingabe, Änderung oder Löschung von Daten über die Anwendung). Darüberhinausgehende Weisungen erteilst du in Textform (z. B. E-Mail) an die oben genannte Adresse.
5. Unsere Pflichten als Auftragsverarbeiter
Wir verpflichten uns,
a) die Daten ausschließlich auf deine dokumentierten Weisungen hin zu verarbeiten, es sei denn, wir sind gesetzlich zu einer abweichenden Verarbeitung verpflichtet;
b) alle Personen, die bei uns Zugriff auf die Daten haben, zur Vertraulichkeit zu verpflichten;
c) angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen (siehe Ziffer 6);
d) Subunternehmer nur unter den Bedingungen der Ziffer 7 einzusetzen;
e) dich im Rahmen des Zumutbaren bei der Erfüllung deiner Pflicht zu unterstützen, Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung etc.) zu beantworten;
f) dich bei der Einhaltung deiner Pflichten nach Art. 32 bis 36 DSGVO zu unterstützen, insbesondere bei der Meldung von Datenschutzverletzungen;
g) nach Vertragsende, je nach deiner Wahl, alle Daten zu löschen oder dir zur Verfügung zu stellen und vorhandene Kopien zu löschen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (siehe Ziffer 9);
h) dir die zum Nachweis der Einhaltung dieser Vereinbarung erforderlichen Informationen zur Verfügung zu stellen und Kontrollen im Rahmen der Ziffer 8 zu ermöglichen.
6. Technische und organisatorische Maßnahmen
Wir setzen insbesondere folgende Maßnahmen ein: Verschlüsselte Datenübertragung (TLS), Zugriffstrennung zwischen Kund:innen-Konten auf Datenbankebene (Row-Level-Security), Zugriffsbeschränkung nach dem Need-to-know-Prinzip sowie regelmäßige Datensicherungen bei unseren Hosting-Unterauftragsverarbeitern.
7. Subunternehmer (Unterauftragsverarbeiter)
7.1 Du stimmst der Beauftragung folgender Subunternehmer zu:
- Railway Corporation, 548 Market St, San Francisco, CA 94104, USA — Anwendungs-Hosting, Server in der EU
- Supabase Inc. (Sitz Singapur) — Datenbank, Authentifizierung, Dateispeicher, Server in der EU (Region Frankfurt)
7.2 Möchten wir einen weiteren Subunternehmer beauftragen oder einen bestehenden austauschen, informieren wir dich vorab in Textform. Du kannst der neuen Beauftragung innerhalb von 14 Tagen aus berechtigtem Grund widersprechen.
8. Kontrollrechte
Du kannst dich auf Anfrage in zumutbarem Umfang von der Einhaltung dieser Vereinbarung überzeugen, etwa durch Vorlage einschlägiger Nachweise oder Zertifikate unserer Subunternehmer.
9. Löschung und Rückgabe nach Vertragsende
Nach Beendigung deines NEVO-Vertrags kannst du deine Daten innerhalb einer angemessenen Frist exportieren. Danach löschen wir alle bei uns und unseren Subunternehmern gespeicherten Daten unwiderruflich, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
10. Meldung von Datenschutzverletzungen
Stellen wir eine Verletzung des Schutzes deiner über NEVO verarbeiteten Daten fest, informieren wir dich unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung.
11. Haftung
Die Haftung zwischen dir und uns im Rahmen dieser Vereinbarung richtet sich nach den Haftungsregelungen unserer AGB.