Stand 18.05.2026. Gültig in Verbindung mit dem Auftragsverarbeitungsvertrag der Rev2 Innovations GmbH, abrufbar unter rev2.at/avv. Diese Anlage konkretisiert die Verarbeitung personenbezogener Daten im Rahmen des Moduls Control-Software, das als grundlegendes Framework für alle weiteren Module der Rev2 Innovations GmbH dient. Sie wird durch Angebotsannahme integraler Bestandteil des Auftragsverarbeitungsvertrages. ANLAGE 1: BESCHREIBUNG DER VERARBEITUNG Gegenstand der Verarbeitung Bereitstellung und Betrieb der Control-Software als zentrales Framework für Benutzerverwaltung, Authentifizierung, Berechtigungssteuerung, Mandantenverwaltung und Modulintegration. Die Control-Software bildet die Grundlage für sämtliche fachspezifischen Module und stellt die zentrale Infrastruktur für deren Betrieb bereit. Art und Zweck der Verarbeitung Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung an die nachfolgend genannten Subauftragnehmer, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten. Zwecke der Verarbeitungstätigkeit: Bereitstellung von Nutzerkonten und Zugangsverwaltung. Authentifizierung und Autorisierung der Benutzer. Rollen- und Berechtigungsverwaltung. Mandantenverwaltung und logische Trennung der Kundendaten. Bereitstellung der Benutzeroberfläche und Modulnavigation. Protokollierung von Anmelde- und Systemaktivitäten. Kommunikation mit den Nutzern im Rahmen des Supports. Wartung, Support und Weiterentwicklung der Software. Art der personenbezogenen Daten Stammdaten der Mitarbeiter des Auftraggebers: Name, Vorname, Funktion. Kontaktdaten: dienstliche E-Mail-Adresse, gegebenenfalls Telefonnummer. Zugangsdaten: Benutzername, gehashtes Passwort, Authentifizierungs-Token. Rollen- und Berechtigungsinformationen. Nutzungsdaten: Login-Zeitpunkte, IP-Adressen, Browser- und Geräteinformationen. Aktivitätslogs und Audit-Trail. Werden besondere Kategorien personenbezogener Daten verarbeitet? Im Rahmen dieses Moduls ist keine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO vorgesehen. Kategorien betroffener Personen Mitarbeiterinnen und Mitarbeiter des Auftraggebers als Nutzer der Software. Administratoren und Projektleiter beim Auftraggeber. Externe Mitarbeiter oder Dienstleister des Auftraggebers, denen vom Auftraggeber Zugang gewährt wurde. ANLAGE 3: GENEHMIGTE SUBAUFTRAGNEHMER Genehmigte Subauftragnehmer nach § 6 des Auftragsverarbeitungsvertrages. Supabase Inc. Sitz: 970 Toa Payoh North #07-04, Singapur (EU-Region Frankfurt, AWS eu-central-1) Verarbeitungstätigkeit: Datenbank-Hosting, Authentifizierungsdienst, Speicherung von Benutzer- und Mandantendaten, Backend für das Framework. Verarbeitungsort: Europäische Union (Frankfurt am Main). Rechtsgrundlage: Data Processing Agreement von Supabase inkl. Standardvertragsklauseln, abrufbar unter supabase.com/legal/dpa. Vercel Inc. Sitz: 440 N Barranca Ave #4133, Covina, CA 91723, USA Verarbeitungstätigkeit: Frontend-Hosting der Control-Software, Auslieferung der Benutzeroberfläche, Edge-Network für statische Inhalte. Verarbeitungsort: USA, Frankfurt-Edge-Region für europäische Nutzer. Rechtsgrundlage: Data Processing Agreement von Vercel inkl. Standardvertragsklauseln, abrufbar unter vercel.com/legal/dpa. Zertifizierung nach EU-US Data Privacy Framework, abrufbar unter dataprivacyframework.gov. HINWEISE Die Kundendaten werden in der Europäischen Union (Frankfurt am Main) gespeichert. Über Änderungen dieser Liste wird der Auftraggeber gemäß § 6 des Auftragsverarbeitungsvertrages mindestens 14 Tage im Voraus informiert. Die jeweils aktuelle Fassung dieser Liste ist abrufbar unter rev2.at/avv.