Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung ("DPA") samt Anhang gilt für die Verarbeitung personenbezogener Daten im Auftrag des Kunden durch das GRUPPENMITGLIED (als "Auftragsverarbeiter") gemäß Art 28 Datenschutz-Grundverordnung ("DSGVO"). Dieses DPA unterliegt den Bedingungen der Vereinbarung. Bei Widersprüchen gilt die Reihenfolge: 1. Anhang zum DPA, 2. dieses DPA, 3. die Vereinbarung. In diesem DPA verwendete, aber nicht definierte datenschutzrechtliche Begriffe (zB "Verarbeitung", "Betroffene Person") haben die in der DSGVO festgelegte Bedeutung.

1. Verarbeitung

Gegenstand, Art und Zweck der Verarbeitung ergeben sich aus der Erbringung der Leistungen des Auftragsverarbeiters wie im Auftragsdokument samt einer allfälligen Leistungsbeschreibung beschrieben und im Anhang zum DPA ergänzt. Sofern nicht im Auftragsdokument oder im Anhang zum DPA abweichend geregelt, ist die Dauer der Verarbeitung an die im Auftragsdokument festgelegte Laufzeit der Vereinbarung gekoppelt und endet mit dieser.

2. Rechte und Pflichten des Auftragsverarbeiters und des Verantwortlichen

2.1
Der Kunde ist alleiniger Verantwortlicher iSd Art 4 Z 7 DSGVO hinsichtlich jeglicher Informationen, die sich auf identifizierte oder identifizierbare Personen iSd Art 4 Z 1 DSGVO beziehen, die vom Auftragsverarbeiter im Rahmen der Erbringung der oben genannten Services verarbeitet werden. Sofern weitere Verantwortliche existieren, haben diese den Kunden angewiesen und ihm die Genehmigung erteilt, der Verarbeitung der personenbezogenen Daten des Kunden durch den Auftragsverarbeiter zuzustimmen.

2.2
Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen und der anwendbaren gesetzlichen Bestimmungen zu verarbeiten, sowie nur soweit, als dies zur Erbringung der Leistungen erforderlich ist. Änderungen der vereinbarten Verarbeitung stimmen die Parteien gemeinsam ab (insb. im Rahmen eines anwendbaren Change Request-Verfahrens). Sofern derartige Änderungen zu einer erheblichen Erweiterung der Verarbeitung durch den Auftragsverarbeiter führen, gilt Punkt 2.11.

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung verantwortlich. Ist der Auftragsverarbeiter dessen ungeachtet der Auffassung, dass eine Weisung gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, wird er den Verantwortlichen unverzüglich darüber informieren und kann die Erfüllung der Weisung aussetzen, bis der Verantwortliche entweder deren Rechtmäßigkeit per E-Mail an privacy@ixolit.com bestätigt oder diese ändert. Der Auftragsverarbeiter ist berechtigt, nicht personenbezogene und statistische Auswertungen auf Basis der vom Verantwortlichen überlassenen Daten für eigene und fremde Zwecke zu erstellen.

2.3
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen vor dem Zugriff zur Vertraulichkeit im Sinne des Art 28 Abs 3 lit b DSGVO und zur Wahrung des Datengeheimnisses nach § 6 DSG 2018 verpflichtet haben.

2.4
Der Auftragsverarbeiter sichert zu, dass er dem Risiko seines Aufgabenbereichs angemessene Datensicherheitsmaßnahmen im Sinne des Art 32 DSGVO ergriffen hat, insbesondere um zu verhindern, dass Daten rechtswidrig verwendet oder Dritten unbefugt zugänglich werden. Der Auftragsverarbeiter hat in seinem Verantwortungsbereich allgemeine technische und organisatorische Maßnahmen ("TOMs") ergriffen und hält diese aufrecht. Die konkret getroffenen Datensicherheitsmaßnahmen können - je nach konkreter Verarbeitung - durch den Auftragsverarbeiter im Rahmen der gesetzlichen Bestimmungen eigenständig angepasst und zukünftig abgeändert bzw aktualisiert werden, sofern die Sicherheit und Funktionalität der Verarbeitungen nicht negativ beeinträchtigt werden. Der Verantwortliche kann vom Auftragsverarbeiter die aktuellen TOMs jederzeit per E-Mail an privacy@ixolit.com anfordern.

Der Verantwortliche bestätigt, angemessene TOMs in dessen Verantwortungsbereich getroffen zu haben und aufrecht zu erhalten.

2.5
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung gemäß Art 28 Abs 2 DSGVO, dass der Auftragsverarbeiter andere Unternehmen zur Durchführung von Verarbeitungen heranziehen kann ("Subverarbeiter"). Der Auftragsverarbeiter verständigt jedoch den Verantwortlichen von der beabsichtigten Heranziehung eines Subverarbeiters so rechtzeitig, dass der Verantwortliche dies im Einklang mit Art 28 Abs 2 DSGVO per E-Mail an privacy@ixolit.com allenfalls untersagen kann. Die Untersagung des Verantwortlichen darf nur aus sachlich gerechtfertigten Gründen erfolgen, welche in der Untersagungserklärung samt allfälligen Kompromissmöglichkeiten anzugeben sind. Der Auftragsverarbeiter schließt mit dem Subverarbeiter ein Vertrag im Sinne des Art 28 Abs 4 DSGVO, in dem sichergestellt ist, dass dem Subverarbeiter mit jenen dieses DPA im Wesentlichen gleiche datenschutzrechtliche Verpflichtungen auferlegt werden.

2.6
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen dabei, dass dieser die Rechte der betroffenen Personen wahren kann (zB Recht auf Auskunft, Richtigstellung oder Löschung der Daten, Widerspruch). Der Auftragsverarbeiter überlässt dem Verantwortlichen auf dessen Anfrage per E-Mail an privacy@ixolit.com alle dafür notwendigen Informationen. Sollte der Auftragsverarbeiter direkt von betroffenen Personen hinsichtlich Ihrer datenschutzrechtlichen Ansprüche und Rechte kontaktiert werden, wird er diese Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Für deren Beantwortung ist der Verantwortliche zuständig. Begehren von betroffenen Personen wird der Auftragsverarbeiter erst entsprechend einer vorherigen, dokumentierten Weisung durch den Verantwortlichen per Email an privacy@ixolit.com behandeln.

2.7
Macht eine betroffene Person einen Anspruch gegenüber dem Auftragsverarbeiter wegen der Verletzung ihrer Betroffenenrechte geltend, die dieser nicht allein zu verantworten hat, entschädigt der Verantwortliche den Auftragsverarbeiter für alle mit dem Anspruch zusammenhängenden Schäden, insb. Kosten, Gebühren, Schäden, Aufwendungen oder Verluste. Entsprechend dem Anteil des Auftragsverarbeiters an der Verantwortung für einen Schaden und nach Maßgabe der Haftungsbeschränkungen der Vereinbarung kann der Verantwortliche vom Auftragsverarbeiter jene Beträge zurückzufordern, die er an eine betroffene Person bezahlt hat, deren Betroffenenrechte der Auftragsverarbeiter durch einen Verstoß gegen seine Pflichten aus der DSGVO verursacht hat.

Ersatzansprüche nach diesem Punkt bestehen nur, sofern die von der betroffenen Person in Anspruch genommene Partei die andere Partei über den Anspruch informiert und ihr die Zusammenarbeit bei dessen Abwehr und Beilegung ermöglicht hat.

2.8
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art 32 bis 36 DSGVO genannten Pflichten in angemessenem Umfang unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

Insbesondere meldet der Auftragsverarbeiter dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten in Bezug auf die Verarbeitung unverzüglich, sobald ihm diese bekannt werden, wofür er ein Data Breach Notification Management System implementiert hat. Der Verantwortliche bleibt gegenüber der Aufsichtsbehörde und den betroffenen Personen allein im Sinne der Art 33, 34 DSGVO verantwortlich und entscheidet alleine, ob aufgrund der ihm vom Auftragsverarbeiter zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss. Jede Haftung des Auftragsverarbeiters ist ausgeschlossen, sofern der Verantwortliche eine erforderliche Meldung trotz unverzüglicher Information durch den Auftragsverarbeiter nicht (fristgerecht) erstattet.

2.9
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter grundsätzlich alle diesbezüglichen, in seinem Besitz befindlichen personenbezogenen Daten. Eine Kopie dieser personenbezogenen Daten wird der Auftragsverarbeiter in einem tauglichen Format nach Wahl und auf rechtzeitig erteilte Weisung des Verantwortlichen zurückzugeben. Der Auftragsverarbeiter darf allerdings nach vorheriger Anonymisierung nicht-personenbezogene Auswertungen über das zur Verfügung gestellte Datenmaterial für eigene und fremde Zwecke weiterhin durchführen.

2.10
Der Auftragsverarbeiter unterstützt den Verantwortlichen gemäß Art 28 Abs 3 lit h DSGVO und stellt ihm wie folgt jene Informationen zur Verfügung, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind:

(i) Der Auftragsverarbeiter übermittelt dem Verantwortlichen oder einem von diesem mandatierten Prüfer (sofern dieser einer ausreichenden gesetzlichen oder vertraglichen Verschwiegenheitsverpflichtung gegenüber dem Auftragsverarbeiter unterliegt) vorrangig die zur Überprüfung und Evaluierung der Wirksamkeit der TOMs beauftragten aktuellsten Sicherheitsdokumentationen und -zertifikate und/oder Kurz-Prüfberichte, und unterstützt den Verantwortlichen auf dessen Anfrage, indem er ihm ergänzende Informationen zur leichteren Nachvollziehbarkeit der Unterlagen zur Verfügung gestellt.

(ii) Der Auftragsverarbeiter wird weitere Informationen auf Anfrage des Verantwortlichen bereitstellen, sofern und soweit diese erforderlich sind, damit der Verantwortlichen seine Auditpflichten oder Aufträge einer zuständigen Aufsichtsbehörde entsprechen kann.

(iii) Sofern es unmöglich ist, einer gesetzlich zwingenden Auditverpflichtung auf andere Weise nachzukommen, gestattet der Auftragsverarbeiter dem Verantwortlichen oder dem mandatierten Prüfer Inspektionen der für die Serviceerbringung genutzten Betriebsstätten während seiner üblichen Geschäftszeiten und unter möglichster Schonung seiner Betriebsabläufe. Vor einem solchen Besuch stimmen sich die Parteien über ein angemessenes Datum sowie zu Sicherheits- und Verschwiegenheitsmaßnahmen ab, um Risiken für andere Kunden des Auftragsverarbeiters zu reduzieren. Hierfür behält sich der Auftragsverarbeiter das Recht vor, dem Verantwortlichen im Einzelfall angemessene Beschränkungen aufzuerlegen und/oder zusätzliche Verpflichtungen einzufordern.

Die Parteien tragen ihre Kosten nach Unterpunkt (i) jeweils selbst. Für die Unterstützung nach Unterpunkten (ii) und (iii) gilt Punkt 2.11.

2.11
Der Auftragsverarbeiter hat für seine Leistungen und benötigte Unterstützung unter dieser Vereinbarung Anspruch auf eine angemessene Vergütung auf Basis der jüngsten, schriftlich vereinbarten Stundensätze. Alle Weisungen, Anfragen für benötigte Unterstützung, Anträge und sonstige Kommunikation im Rahmen dieses DPA hat der Verantwortliche gegenüber dem Auftragsverarbeiter per E-Mail an privacy@ixolit.com zu richten.

2.12
Dieses DPA unterliegt materiellem österreichischen Recht unter Ausschluss seiner Verweisungsnormen.

Stand: 08.11.2018