AUFTRAGSDATENVERARBEITUNG

VERTRAG ZUR AUFTRAGSDATENVERARBEITUNG

abgeschlossen zwischen

dem Auftraggeber

– nachstehend als „Verantwortlicher“ bezeichnet –

und

typo-wimmer GmbH
Schlossstraße 38
5023 Salzburg
Österreich

– nachstehend als „Auftragsverarbeiter“ bezeichnet –

– und gemeinsam als die „Parteien“ bezeichnet–

schließen den folgenden Vertrag zur Auftragsdatenverarbeitung („ADV“),
der die Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter regelt.

§ 1 Präambel

Der Verantwortliche hat mit dem Auftragsverarbeiter einen Vertrag („Hauptvertrag“) über die Erbringung bestimmter Dienstleistungen geschlossen. Die Parteien schließen den vorliegenden ADV ab, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen nach Maßgabe der geltenden Datenschutzgesetze erfolgt.

§ 2 Begriffsbestimmungen

Sämtliche in dieser ADV verwendeten Begriffe sind im Sinne der EU Datenschutzgrundverordnung (EU/2016/679) zu verstehen:

  1. „Datenschutzgesetze“ sind die EU Datenschutzgrundverordnung (EU/2016/679) und die auf die Tätigkeiten des Datenverantwortlichen im Zusammenhang mit dem Hauptvertrag anwendbaren nationalen Datenschutzgesetze;
  2. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
  3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
  4. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
  5. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
  6. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
  7. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
  8. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
  9. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
  10. „grenzüberschreitende Verarbeitung“ entweder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

§ 3 Verarbeitung personenbezogener Daten

§ 4 Rechte und Pflichten des Verantwortlichen

Es obliegt alleine dem Verantwortlichen, den Inhalt der vertragsgegenständlichen Verarbeitung personenbezogener Daten, die sich daraus ergebenden Risiken, die beauftragten Verarbeitungsvorgänge und das benötigte Schutzniveau vorzugeben. Dies umfasst insbesondere:

  1. die Beurteilung der Zulässigkeit der vertragsgegenständlichen Verarbeitungsprozesse
  2. die Erteilung und Dokumentation von Weisungen an den Auftragsverarbeiter
  3. die Durchführung von Überprüfungen – einschließlich Inspektionen – zur Kontrolle der Einhaltung der dem Auftragsverarbeiter auferlegten vertraglichen Verpflichtungen sowie Verpflichtungen gemäß den Datenschutzgesetzen
  4. die Kontrolle, Überprüfung und Abnahme und laufende Evaluierung der vom Auftragsverarbeiter getroffenen Technisch Organisatorischen Maßnahmen
  5. die Erfüllung der Betroffenenrechte gemäß den Datenschutzgesetzen

Der Verantwortliche verpflichtet sich, personenbezogene Daten ausschließlich im Einklang mit den geltenden Datenschutzgesetzen zu verarbeiten.

§ 5 Rechte und Pflichten des Auftragsverarbeiters

  1. Weisungsgebundenheit
    Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf schriftliche und dokumentierte Weisung des Verantwortlichen und nur nach Maßgabe der geltenden Datenschutzgesetze. Zudem verarbeitet der Auftragsverarbeiter die diesem zu Verfügung gestellten Datensätze nur in dem Umfang, welcher notwendig ist, um seine Verpflichtungen aus diesem ADV sowie dem Hauptvertrag zu erfüllen. Sollte der Auftragsverarbeiter zur Verarbeitung der Ihm im Rahmen des Vertragsverhältnisses zur Verfügung gestellten Datensätze aufgrund von Datenschutzgesetzen verpflichtet sein, ist eine Verarbeitung ohne dokumentierter Weisung ausnahmsweise zulässig. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, außer das betreffende Recht verbietet eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses.
  2. Vertraulichkeit der Daten
    Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zudem stellt der Auftragsverarbeiter sicher, dass diese Geheimhaltungspflicht über die Beendigung von Beschäftigungsverträgen und Dienstleistungsverträgen fortgilt.
  3. Mitteilungspflicht
    Der Auftragsverarbeiter unterliegt einer umfassenden Mitteilungspflicht. Diese umfasst insbesondere:

    1. die Mitteilung von Datenschutzverletzungen
      Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen sowie begründete Verdachtsfälle des Schutzes personenbezogener Daten unverzüglich mit. Diese Mitteilung hat zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen), die betroffenen Kategorien der personenbezogenen Daten, die ungefähre Zahl der betroffenen Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
    2. die Mitteilung bei Störungen der Verarbeitung personenbezogener Daten sowie Verstöße gegen datenschutzrechtliche Bestimmungen
      Unverzüglich mitzuteilen sind dem Verantwortlichen erhebliche Störungen bei der Verarbeitung personenbezogener Daten sowie Verstöße des Auftragsverarbeiter oder beauftragten Subauftragsverarbeitern gegen datenschutzrechtliche Bestimmungen oder die in diesem ADV getroffene Rechte und Pflichten.
    3. die Mitteilung sofern Weisungen gegen Datenschutzgesetze verstoßen
      Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, sofern dieser der Ansicht ist, dass Weisungen des Verantwortlichen gegen geltende Datenschutzgesetze verstoßen.
    4. die Mitteilung der Kommunikationsaufnahme von Betroffenen
      Der Auftragsverarbeiter benachrichtigt den Verantwortlichen umgehend über Anfragen, Beschwerden, Nachrichten, Ersuchen oder eine wie auch immer geartete Kommunikationsaufnahme einer betroffenen Person soweit diese Bezüge zur Auftragsdatenverarbeitung aufweisen.
    5. die Mitteilungspflicht bei Behördenermittlungen
      Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
  4. Sicherheit der Verarbeitung
    Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
  5. Technische und organisatorische Maßnahmen
    Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Eine Übersicht über die zum Zeitpunkt der Unterzeichnung dieser ADV umgesetzten Maßnahmen wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt. Diese technischen und organisatorischen Maßnahmen wurden vom Verantwortlichen überprüft und als hinreichende Garantien abgenommen. Für die laufende Evaluierung und Aktualisierung der Maßnahmen ist der Verantwortliche verantwortlich. Nur soweit dies, z.B. im Hauptvertrag, schriftlich vereinbart ist, hat der Auftragsverarbeiter diese Maßnahmen im vereinbarten Ausmaß zu evaluieren und zu aktualisieren.
  6. Betroffenenrechte
    Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Datenschutzgesetzen gewährleisteten Rechten der betroffenen Personen (Auskunftsrecht, Recht auf Berichtigung und Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit, Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht) nachzukommen. Insbesondere wird der Auftragsverarbeiter dem Verantwortlichen Informationen und Dokumente in Form von Datensätzen zur Verfügung zu stellen, die notwendig sind, damit der Verantwortliche diese Anfragen innerhalb der in den Datenschutzgesetzen jeweils festgelegten gesetzlichen Fristen beantworten kann. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.
  7. Nachweis der Einhaltung der Audit
    Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht dem Verantwortlichen Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Verantwortliche hat den Auftragsverarbeiter zumindest drei Wochen im Voraus über eine Inspektion zu informieren. Der Auftragsverarbeiter hat bei Überprüfungen kooperativ beizutragen, ist jedoch berechtigt dem Verantwortlichen ein entsprechendes Entgelt für den Zeitaufwand in Rechnung stellen.
  8. Erfüllung datenschutzrechtlicher Verpflichtungen
    Der Auftragsverarbeiter versichert die Einhaltung der für Ihn in den Datenschutzgesetzen normierten Pflichten. Zudem versichert der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Datenschutzgesetze zu unterstützen und diesem sämtliche Daten und Informationen zur Verfügung zu stellen, welcher der Verantwortliche zur Einhaltung der Datenschutzgesetze benötigt jedoch selbst nicht besitzt. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.

§ 6 Sub-Auftragsverarbeiter

Der Auftragsverarbeiter ist generell berechtigt, zur Verarbeitung der personenbezogenen Daten weitere Subunternehmer als Auftragsverarbeiter in Anspruch zu nehmen. Die Heranziehung von Subunternehmern ist jedoch in jedem Einzelfall dem Verantwortlichen so zeitgerecht mitzuteilen, dass dieser dagegen Einspruch erheben kann. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auferlegt, die in dem Vertrag zwischen den Parteien festgelegt sind. Insbesondere müssen hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

Die unter § 3 angeführten Subauftragsverarbeiter gelten als genehmigt.

§ 7 Internationaler Datenverkehr

Der Auftragsverarbeiter darf Geschäftsdaten nur an Dritte innerhalb des Europäischen Wirtschaftsraums (EWR) oder in ein Land übertragen, das ein angemessenes Datenschutzschutzniveau gemäß geltender Datenschutzgesetze gewährleistet. Die Übermittlung von Geschäftsdaten an Drittländer bedarf einer vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung des Verantwortlichen. Darüber hinaus darf die Datenübermittlung nur unter Einhaltung der geltenden Datenschutzgesetze (z.B. durch Abschluss von EU Standardvertragsklauseln) erfolgen. Sofern der Auftragsverarbeiter nach Abschluss dieser ADV eine Datenweitergabe außerhalb des EWR („internationaler Datenverkehr“) oder in Länder ohne angemessenem Datenschutzniveau plant, ist er verpflichtet, dem Verantwortlichen unverzüglich schriftlich darüber in Kenntnis zu setzen.

§ 8 Laufzeit und Beendigung

  1. Im Falle einer Beendigung des Hauptvertrages, bleibt die vorliegende ADV solange bestehen, als der Auftragsverarbeiter Geschäftsdaten für den Datenverantwortlichen verarbeitet.
  2. Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragsverarbeiter kann für den Aufwand, der ihm im Zusammenhang mit der Rückgabe der Datensätze entsteht, ein angemessenes Entgelt verlangen.
  3. Nach Beendigung der ADV bleibt die umfassende Vertraulichkeitsverpflichtung des Auftragsverarbeiters weiterhin unbeschränkt in Geltung.

§ 9 Schlussbestimmungen

  1. Es gelten die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.
  2. Alle Formen von Zusatzvereinbarungen, sowohl vor Abschluss dieses ADV als auch während der Vertragslaufzeit bedürfen zu ihrer Gültigkeit der Schriftform. Das gilt auch für das Abweichen vom Schriftformerfordernis.
  3. Sollten einzelne Bestimmungen des Vertrages unwirksam oder undurchführbar sein, so ist die unwirksame Bestimmung durch eine wirksame Bestimmung, die dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt, zu ersetzen.
  4. Auf alle Rechtsbeziehungen und Sachverhalte zwischen den Parteien ist ausschließlich österreichisches Recht unter Ausschluss der internationalen Verweisungsnormen anzuwenden.
  5. Als Gerichtsstand für alle Streitigkeiten zwischen den Parteien wird das sachlich zuständige österreichische Gericht für Salzburg vereinbart.