Bedingungen der Auftragsverarbeitung

Diese Bedingungen der Auftragsverarbeitung samt DPA Anhang gelten für die Verarbeitung personenbezogener Daten durch das GRUPPENMITGLIED als "Auftragsverarbeiter" im Auftrag des Kunden, und bilden gemeinsam den Auftragsverarbeitervertrag gemäß Art 28 DSGVO ("DPA"). Das DPA unterliegt den Bedingungen der Vereinbarung. Sofern nicht ausdrücklich abweichend geregelt gilt die Reihenfolge: 1. DPA Anhang, 2. diese Bedingungen der Auftragsverarbeitung, 3. die Vereinbarung. Im DPA verwendete, aber nicht definierte datenschutzrechtliche Begriffe (zB "Verarbeitung", "Betroffene Person") haben die in der DSGVO festgelegte Bedeutung.

1. Verarbeitung

Gegenstand, Art und Zweck der Verarbeitung ergeben sich aus der Erbringung der Leistungen des Auftragsverarbeiters wie im Auftragsdokument samt einer allfälligen Leistungsbeschreibung beschrieben und im DPA Anhang ergänzt ("Services"). Sofern nicht im Auftragsdokument oder im DPA Anhang abweichend geregelt, ist die Dauer der Verarbeitung an die im Auftragsdokument festgelegte Laufzeit der Vereinbarung gekoppelt und endet mit dieser.

2. Rechte und Pflichten des Auftragsverarbeiters und des Verantwortlichen

2.1

Der Kunde bestätigt, alleiniger Verantwortlicher iSd Art 4 Z 7 DSGVO hinsichtlich jeglicher Informationen zu sein, die sich auf identifizierte oder identifizierbare Personen iSd Art 4 Z 1 DSGVO beziehen, die vom Auftragsverarbeiter im Rahmen der Erbringung des Services verarbeitet werden. Sofern weitere Verantwortliche existieren oder der Kunde selbst als Auftragsverarbeiter von Verantwortlichen agiert, haben diese den Kunden angewiesen und ihn bevollmächtigt, der Verarbeitung durch den Auftragsverarbeiter zuzustimmen.

2.2

Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung zu entscheiden. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, sowie nur soweit, als dies zur Erbringung der Leistungen erforderlich ist. Änderungen der vereinbarten Verarbeitung stimmen die Parteien gemeinsam ab (insb. im Rahmen eines anwendbaren Change Request-Verfahrens). Sofern derartige Änderungen zu einer erheblichen Erweiterung der Verarbeitung durch den Auftragsverarbeiter führen, gilt Punkt 2.12.

2.3

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung in Übereinstimmung mit der DSGVO, anderen anwendbaren Datenschutzbestimmungen der EU oder deren Mitgliedstaaten und diesem DPA verantwortlich. Ist der Auftragsverarbeiter dessen ungeachtet der Auffassung, dass eine Weisung gegen eine der eben genannten Bestimmungen verstößt, wird er den Verantwortlichen unverzüglich darüber informieren und kann die Erfüllung der Weisung aussetzen, bis der Verantwortliche entweder deren Rechtmäßigkeit per E-Mail an [email protected] bestätigt oder diese ändert. Der Auftragsverarbeiter ist berechtigt, nicht personenbezogene und statistische Auswertungen auf Basis der vom Verantwortlichen überlassenen Daten für eigene und fremde Zwecke zu erstellen.

2.4

Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen Zugriff nur im jeweils notwendigen Umfang ("need to know basis") erhalten und sich diese zur Vertraulichkeit im Sinne des Art 28 Abs 3 lit b DSGVO und zur Wahrung des Datengeheimnisses nach § 6 DSG 2018 verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

2.5

Der Auftragsverarbeiter sichert zu, dass er dem Risiko seines Aufgabenbereichs angemessene Datensicherheitsmaßnahmen im Sinne des Art 32 DSGVO ergriffen hat, insbesondere um zu verhindern, dass Daten rechtswidrig verwendet oder Dritten unbefugt zugänglich werden. Der Auftragsverarbeiter hat in seinem Verantwortungsbereich allgemeine technische und organisatorische Maßnahmen ("TOMs") ergriffen und hält diese aufrecht. Die konkret getroffenen Datensicherheitsmaßnahmen können - je nach konkreter Verarbeitung - durch den Auftragsverarbeiter im Rahmen der gesetzlichen Bestimmungen eigenständig angepasst und zukünftig abgeändert bzw aktualisiert werden, sofern die Sicherheit und Funktionalität der Verarbeitungen nicht negativ beeinträchtigt werden. Der Verantwortliche kann vom Auftragsverarbeiter die aktuellen TOMs jederzeit per E-Mail an [email protected] anfordern.

Der Verantwortliche bestätigt, angemessene TOMs in dessen Verantwortungsbereich getroffen zu haben und aufrecht zu erhalten.

2.6

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung gemäß Art 28 Abs 2 DSGVO, dass der Auftragsverarbeiter andere Unternehmen zur Durchführung von Verarbeitungen heranziehen kann ("Subverarbeiter"). Der Auftragsverarbeiter verständigt jedoch den Verantwortlichen von jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Subverarbeiters so rechtzeitig, dass der Verantwortliche dagegen im Einklang mit Art 28 Abs 2 DSGVO per E-Mail an [email protected] allenfalls Einspruch erheben kann. Der Einspruch des Verantwortlichen soll dessen sachlich gerechtfertigte Gründen und allfällige Kompromissmöglichkeiten enthalten. Der Auftragsverarbeiter schließt mit dem Subverarbeiter einen Vertrag im Sinne des Art 28 Abs 4 DSGVO, in dem sichergestellt ist, dass dem Subverarbeiter mit jenen dieses DPA im Wesentlichen gleiche datenschutzrechtliche Verpflichtungen auferlegt werden.

2.7

Auf Anfrage des Verantwortlichen per E-Mail an [email protected] unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen dabei, dass dieser die Rechte der betroffenen Personen wahren kann (zB Recht auf Auskunft, Richtigstellung oder Löschung der Daten, Widerspruch). Dies erfolgt, indem der Auftragsverarbeiter die Funktionalitäten des Services bereitstellt und dem Verantwortlichen alle für die Anfrage notwendigen Informationen überlässt. Sollte der Auftragsverarbeiter direkt von betroffenen Personen hinsichtlich Ihrer datenschutzrechtlichen Ansprüche und Rechte kontaktiert werden, wird er diese Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Für deren Beantwortung ist der Verantwortliche zuständig. Begehren von betroffenen Personen wird der Auftragsverarbeiter erst entsprechend einer vorherigen, dokumentierten Weisung durch den Verantwortlichen per Email an [email protected] behandeln.

Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen dabei, dass dieser die Rechte der betroffenen Personen wahren kann (zB Recht auf Auskunft, Richtigstellung oder Löschung der Daten, Widerspruch). Der Auftragsverarbeiter überlässt dem Verantwortlichen auf dessen Anfrage per E-Mail an [email protected] alle dafür notwendigen Informationen. Sollte der Auftragsverarbeiter direkt von betroffenen Personen hinsichtlich Ihrer datenschutzrechtlichen Ansprüche und Rechte kontaktiert werden, wird er diese Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Für deren Beantwortung ist der Verantwortliche zuständig. Begehren von betroffenen Personen wird der Auftragsverarbeiter erst entsprechend einer vorherigen, dokumentierten Weisung durch den Verantwortlichen per Email an [email protected] behandeln.

2.8

Macht eine betroffene Person einen Anspruch gegenüber dem Auftragsverarbeiter wegen der Verletzung ihrer Betroffenenrechte geltend, die dieser nicht allein zu verantworten hat, entschädigt der Verantwortliche den Auftragsverarbeiter für alle mit dem Anspruch zusammenhängenden Schäden, insb. Kosten, Gebühren, Schäden, Aufwendungen oder Verluste. Entsprechend dem Anteil des Auftragsverarbeiters an der Verantwortung für einen Schaden und nach Maßgabe der Haftungsbeschränkungen der Vereinbarung kann der Verantwortliche vom Auftragsverarbeiter jene Beträge zurückzufordern, die er an eine betroffene Person bezahlt hat, deren Betroffenenrechte der Auftragsverarbeiter durch einen Verstoß gegen seine Pflichten aus der DSGVO verursacht hat.

Ersatzansprüche nach diesem Punkt bestehen nur, sofern die von der betroffenen Person in Anspruch genommene Partei die andere Partei über den Anspruch informiert und ihr die Zusammenarbeit bei dessen Abwehr und Beilegung ermöglicht hat.

2.9

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art 32 bis 36 DSGVO genannten Pflichten in angemessenem Umfang unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

Insbesondere meldet der Auftragsverarbeiter dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten in Bezug auf die Verarbeitung unverzüglich, sobald ihm diese bekannt werden, wofür er ein Data Breach Notification Management System implementiert hat. Der Verantwortliche bleibt gegenüber der Aufsichtsbehörde und den betroffenen Personen allein im Sinne der Art 33, 34 DSGVO verantwortlich und entscheidet alleine, ob aufgrund der ihm vom Auftragsverarbeiter zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss. Jede Haftung des Auftragsverarbeiters ist ausgeschlossen, sofern der Verantwortliche eine erforderliche Meldung trotz unverzüglicher Information durch den Auftragsverarbeiter nicht (fristgerecht) erstattet.

2.10

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter grundsätzlich alle diesbezüglichen, in seinem Besitz befindlichen personenbezogenen Daten. Eine Kopie dieser personenbezogenen Daten wird der Auftragsverarbeiter in einem tauglichen Format nach Wahl und auf rechtzeitig erteilte Weisung des Verantwortlichen zurückgeben. Der Auftragsverarbeiter darf allerdings nach vorheriger Anonymisierung nicht personenbezogene Auswertungen über das zur Verfügung gestellte Datenmaterial für eigene und fremde Zwecke weiterhin durchführen.

2.11

Der Auftragsverarbeiter unterstützt den Verantwortlichen gemäß Art 28 Abs 3 lit h DSGVO und stellt ihm wie folgt jene Informationen zur Verfügung, die zur Kontrolle der Einhaltung der Pflichten des DPA notwendig sind:

(i) Der Auftragsverarbeiter übermittelt dem Verantwortlichen oder einem von diesem mandatierten Prüfer (sofern dieser einer ausreichenden gesetzlichen oder vertraglichen Verschwiegenheitsverpflichtung gegenüber dem Auftragsverarbeiter unterliegt) vorrangig die zur Überprüfung und Evaluierung der Wirksamkeit der TOMs beauftragten aktuellsten Sicherheitsdokumentationen und -zertifikate und/oder Kurz-Prüfberichte, und unterstützt den Verantwortlichen auf dessen Anfrage, indem er ihm ergänzende Informationen zur leichteren Nachvollziehbarkeit der Unterlagen zur Verfügung gestellt.

(ii) Der Auftragsverarbeiter wird weitere Informationen auf Anfrage des Verantwortlichen bereitstellen, sofern und soweit diese erforderlich sind, damit der Verantwortlichen seine Auditpflichten oder Aufträge einer zuständigen Aufsichtsbehörde entsprechen kann.

(iii) Sofern es unmöglich ist, einer gesetzlich zwingenden Auditverpflichtung auf andere Weise nachzukommen, gestattet der Auftragsverarbeiter dem Verantwortlichen oder dem mandatierten Prüfer Inspektionen der für die Serviceerbringung genutzten Betriebsstätten während seiner üblichen Geschäftszeiten und unter möglichster Schonung seiner Betriebsabläufe. Vor einem solchen Besuch stimmen sich die Parteien über ein angemessenes Datum sowie zu Sicherheits- und Verschwiegenheitsmaßnahmen ab, um Risiken für andere Kunden des Auftragsverarbeiters zu reduzieren. Hierfür behält sich der Auftragsverarbeiter das Recht vor, dem Verantwortlichen im Einzelfall angemessene Beschränkungen aufzuerlegen und/oder zusätzliche Verpflichtungen einzufordern.

Die Parteien tragen ihre Kosten nach Unterpunkt (i) jeweils selbst. Für die Unterstützung nach Unterpunkten (ii) und (iii) gilt Punkt 2.12.

2.12

Der Auftragsverarbeiter hat für seine Leistungen und benötigte Unterstützung im Rahmen des DPA Anspruch auf eine angemessene Vergütung auf Basis der jüngsten, schriftlich vereinbarten Stundensätze. Alle Weisungen, Anfragen für benötigte Unterstützung, Anträge und sonstige Kommunikation im Rahmen des DPA hat der Verantwortliche gegenüber dem Auftragsverarbeiter per E-Mail an [email protected] zu richten.

2.13

Der DPA unterliegt materiellem österreichischen Recht unter Ausschluss seiner Verweisungsnormen.

Stand: 17.01.2020

Partner	Name	Beschreibung	Dauer
IXOLIT GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOLIT GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google LLC	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen.	30 Minuten

Partner	Name	Beschreibung	Dauer
Google LLC	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google LLC	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google LLC	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google LLC	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Liidio Oy (Leadfeeder), Finland	_lfa	Nur für Domain IXOPAY.com: Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Leadfeeder filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Leadfeeder die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Leadfeeder reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google LLC	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google LLC	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate