Datenschutz Oesterreich

DATENSCHUTZ 

Datenschutzerklärung 

1.    Management Summary

  • Dieses Dokument regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer in Bezug auf die Vereinbarung über die Auftragsverarbeitung personenbezogener Daten für die beim Auftraggeber installierte Anlage
  • Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten für den Auftraggeber verarbeiten.
  • In dieser Vereinbarung verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen.

 

2.    Dauer der Vereinbarung

Die Verarbeitung beginnt mit Unterfertigung und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.

 

3.    Gegenstand der Vereinbarung

  • Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind im Auftrag konkret beschrieben. Aufgrund der Tätigkeit des Auftragnehmers für den Auftraggeber im Rahmen des konkreten Auftrags ist nicht auszuschließen, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers erhalten könnte. Nur vor diesem Hintergrund wird diese Regelung zur Auftragsverarbeitung vorsorglich geschlossen.
  • Folgende Datenkategorien werden verarbeitet: Kundendaten, Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Entgeltdaten, Videodaten, Zutrittsdaten.
  • Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Kunden, Interessenten, Lieferanten, Ansprechpartner, Beschäftigte

 

4.    Pflichten Auftragnehmer

  • Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen (auch per E-Mail, Fax, Ticketsystem etc.) Aufträge des Auftraggebers zu verarbeiten. Die Verarbeitung darf auch erfolgen, wenn der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Sofern es nach dem betreffenden Recht die Möglichkeit gibt, sich gegen die Herausgabe zu wehren, muss der Auftragnehmer diese Möglichkeiten ergreifen.
  • Der Auftragnehmer garantiert, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung von personenbezogenen Daten im Einklang mit den Anforderungen des Datenschutzrechts (insbesondere der DSGVO und dem Datenschutzgesetz) erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Hinsichtlich dieser Maßnahmen wird auf Punkt 6. verwiesen.
  • Der Auftragnehmer erklärt, dass er alle zur Verarbeitung personenbezogener Daten befugten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere hat die Verschwiegenheitsverpflichtung der zur Datenverarbeitung befugten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht zu bleiben.
  • Der Auftragnehmer hat alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen.
  • Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Einschränkung der Verarbeitung, Mitteilungspflichten, Datenübertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung im Einzelfall etc.) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
  • Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
  • Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
  • Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht der Einsichtnahme und Kontrolle eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
  • Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu löschen / vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format, herauszugeben.
  • Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten.

 

5.    Rechte und Pflichten Auftraggeber

  • Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
  • Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
  • Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  • Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen / Inspektionen vor Ort durchzuführen. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, alle erforderlichen Informationen zur Verfügung zu stellen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
  • Kontrollen / Inspektionen beim Auftragnehmer sind nur bei begründetem Verdacht auf Datenschutzverstöße möglich und haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen / Inspektionen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 4 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

6.    Technisch-organisatorische Maßnahmen

 

Der Auftragnehmer hat insbesondere die nachstehenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung getroffen.

 

Vertraulichkeit

 

  • Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, durch Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Alarmanlagen und Videoanlagen.
  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung, durch Kennwörter (einschließlich entsprechender Policy), Zwei-Faktor-Authentifizierung und Verschlüsselung von Datenträgern.
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, durch Berechtigungsprofile auf „need to know-Basis“. Standardprozess für Berechtigungsvergabe und Protokollierung von Zugriffen. Periodische stichprobenartige Überprüfung der vergebenen Berechtigungen.
  • Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt oder gesondert aufbewahrt.
  • Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder vertraglicher Vorgaben (geheim/ vertraulich/ intern/ öffentlich).

 

Integrität

 

  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch Verschlüsselung der mobilen Datenträger oder durch Nutzung von Virtual Private Networks (VPN)
  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch Protokollierung und Dokumentenmanagement.

 

Verfügbarkeit und Belastbarkeit

 

  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch eine Backup-Strategie, unterbrechungsfreie Stromversorgung durch eine USV-Anlage, Virenschutz, Firewall und Notfallpläne. Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern.
  • Rasche Wiederherstellbarkeit.
  • Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

 

  • Datenschutz-Management, einschließlich Mitarbeiter-Schulungen.
  • Datenschutzfreundliche Voreinstellungen.
  • Incident-Response-Management.
  • Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, geeignete Garantien), Vorabüberzeugungspflicht, Nachkontrollen.

 

7.    Subunternehmer

Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen.

Er hat den Auftraggeber von der beabsichtigten Heranziehung oder Änderung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann.

Der Auftraggeber hat eine Woche Zeit, diesen Subauftragnehmer abzulehnen. Sollte innerhalb dieser Zeit keine Reaktion erfolgen, gilt der Subauftragnehmer als genehmigt.

Die Sub-Auftragsverarbeiter, deren Leistungserbringung und deren im Rahmen der Leistungserbringung durchgeführte Art und Umfang der Datenverarbeitungen sind in Anlage 1 festgelegt.

Beabsichtigte Änderungen sind dem Auftraggeber unverzüglich anzuzeigen.

 

 

 

8.    Regelungen zur Berichtigung, Löschung und Sperrung von Daten

  • Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
  • Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

 

9.    Mitteilungspflichten

  • Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 48 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
    • eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
  • Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers, der bei ihm beschäftigten Personen oder von Sub-Auftragnehmern gegen datenschutzrechtliche Bestimmungen oder gegen die in diesem Vertrag getroffenen Bestimmungen (auch wenn der Sub-Auftragnehmer dagegen verstößt).
  • Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
  • Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

 

10. Weisungen

  • Dem Auftraggeber kommt hinsichtlich der Verarbeitung in seinem Auftrag ein umfassendes Weisungsrecht zu.
  • Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
  • Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

 

11. Beendigung des Auftrags

  • Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu löschen / vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu löschen / vernichten sind sämtliche vorhandene Kopien der Daten. Die Löschung / Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
  • Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung / Vernichtung auch bei Subunternehmern herbeizuführen.
  • Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

 

12. Haftung

  • Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
  • Nummer 1 gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

 

13. Sonstiges

  • Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
  • Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder ähnliches oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
  • Für Nebenabreden ist die Schriftform erforderlich.
  • Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
  • Auf diese Vereinbarung ist österreichisches Recht – mit Ausnahme der Verweisungsnormen – anzuwenden. Für Streitigkeiten aufgrund dieser Vereinbarung oder im Zusammenhang mit ihr, ist das sachlich zuständige Gericht in 1100 Wien zuständig.

Stand: Januar 2023