gemäß Art. 28 DSGVO
Conve GmbH · Stand: 17.03.2026
1.1. Auftraggeber (Verantwortlicher): Der Kunde, der die Plattform Tracono nutzt.
1.2. Auftragnehmer (Auftragsverarbeiter): Conve GmbH, Lerchenweg 33, 9400 Wolfsberg, Österreich (nachfolgend „Anbieter").
1.3. Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung der Plattform Tracono. Die Dauer entspricht der Vertragslaufzeit.
1.4. Dieser AVV gilt als mit der Registrierung auf der Plattform akzeptiert und ist Bestandteil der AGB.
2.1. Art der Verarbeitung: Erhebung, Speicherung, Verarbeitung, Übermittlung, Löschung von personenbezogenen Daten im Rahmen der SaaS-Plattform.
2.2. Zweck: Bereitstellung der Plattform-Funktionen gemäß AGB, insbesondere CRM, Rechnungswesen, E-Mail-Marketing, Ticketsystem, Kalender, Buchungssystem.
Folgende Datenkategorien können im Auftrag des Kunden verarbeitet werden:
3.1. Kontaktdaten: Name, E-Mail, Telefon, Anschrift, Firma, UID-Nummer
3.2. Kommunikationsdaten: E-Mails, Ticket-Nachrichten, Chat-Verläufe, SMS
3.3. Finanzdaten: Rechnungen, Zahlungsinformationen, IBAN, Bestellungen
3.4. Termindaten: Kalendereinträge, Buchungen, Teilnehmer
3.5. Nutzungsdaten: Login-Zeiten, IP-Adressen (zur Sicherheit und Betrugsprävention)
Kunden des Auftraggebers, Geschäftspartner, Mitarbeiter des Auftraggebers, Lieferanten, Interessenten, Newsletter-Abonnenten.
5.1. Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (inkl. der in diesem Vertrag enthaltenen Weisungen), es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
5.2. Der Auftragnehmer gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
5.3. Der Auftragnehmer trifft alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Diese umfassen insbesondere:
a) AES-256-Verschlüsselung aller gespeicherten Daten
b) TLS 1.3 für alle Datenübertragungen
c) Regelmäßige automatisierte Backups (täglich, 30 Tage Aufbewahrung)
d) Zugriffskontrolle mit Rollenkonzept und JWT-Authentifizierung
e) Firewall und DDoS-Schutz auf Infrastrukturebene
f) Automatische Sicherheitsupdates der Serverinfrastruktur
g) Mandantentrennung: Jeder Kunde hat eine isolierte Datenumgebung (tenant_id)
5.4. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldung von Datenschutzverletzungen).
5.5. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenschutzverletzungen (innerhalb von 48 Stunden nach Bekanntwerden).
6.1. Der Auftraggeber stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting, Server-Infrastruktur | Deutschland / Finnland (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Kreditkarte) | Irland (EU) |
| Anthropic PBC * | KI-Verarbeitung (Chatbot, Scanner) | USA (EU-US DPF) |
| A-Trust GmbH | RKSV-Signatur (Registrierkasse) | Österreich (EU) |
| MessageBird B.V. | SMS-Versand (nur bei SMS-Modul) | Niederlande (EU) |
* Anthropic verarbeitet nur Daten die der Kunde aktiv an den KI-Chatbot/Scanner sendet. Die Verarbeitung erfolgt unter dem EU-US Data Privacy Framework.
6.2. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bei Unterauftragsverarbeitern per E-Mail mit einer Frist von 30 Tagen. Der Auftraggeber kann Einspruch erheben.
6.3. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter gleichwertige Datenschutzpflichten einhalten.
7.1. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
7.2. Die Plattform bietet dem Auftraggeber die technischen Mittel zur Erfüllung dieser Rechte (Datenexport, Kontaktlöschung, Anonymisierung).
8.1. Nach Beendigung des Vertragsverhältnisses stehen dem Auftraggeber die Daten 30 Tage zum Export zur Verfügung (Komplett-Export als ZIP-Archiv: JSON, CSV, PDF).
8.2. Nach Ablauf der 30-Tage-Frist werden alle personenbezogenen Daten des Auftraggebers unwiderruflich gelöscht, einschließlich Backups (innerhalb des regulären Backup-Rotationszyklus von maximal 30 Tagen).
8.3. Der Auftragnehmer bestätigt die Löschung auf Anfrage schriftlich.
9.1. Der Auftraggeber hat das Recht, die Einhaltung der TOM und dieses AVV zu überprüfen, insbesondere durch Einholung von Auskünften und Einsichtnahme in relevante Dokumentation.
9.2. Vor-Ort-Kontrollen können nach vorheriger Abstimmung und unter Wahrung der Geschäftsgeheimnisse durchgeführt werden. Die Kosten trägt der Auftraggeber.
Die Haftung richtet sich nach den AGB sowie den gesetzlichen Bestimmungen der DSGVO (insbesondere Art. 82 DSGVO).
11.1. Dieser AVV unterliegt österreichischem Recht.
11.2. Änderungen dieses AVV bedürfen der Schriftform.
11.3. Dieser AVV gilt als mit der Registrierung auf der Plattform akzeptiert und ist Bestandteil der AGB.