Auftragsverarbeitervertrag

Zuletzt aktualisiert am 02.02.2022

abgeschlossen zwischen

Herrn Jonas Hiptmair
Dörfl 26, 4292 Kefermarkt,

– nachstehend kurz als „Auftragsverarbeiter“ bezeichnet –
einerseits

und

________________________
________________________
________________________

– im Folgenden „Verantwortlicher“ genannt –
andererseits

– im Folgenden zusammen auch als „Vertragsparteien“ und jeweils einzeln auch als „Vertragspartei“ bezeichnet –

wie folgt:

I. Vertragsgegenstand

Der Verantwortliche steht mit dem Auftragsverarbeiter in einer Vertragsbeziehung, in deren Rahmen der Auftragsverarbeiter im Zusammenhang mit der Bereitstellung und dem Betrieb von Software personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Der Verantwortliche beauftragt den Auftragsverarbeiter mit den im Anhang I aufgelisteten und beschriebenen Datenverarbeitungen (im Folgenden auch „beauftragte Datenverarbeitungen“). Dieser Anhang beschreibt Gegenstand (Name der Anwendung), Zweck und die Art der beauftragten Datenverarbeitungen, ihre Speicherdauer, die dabei vom Auftragsverarbeiter verarbeiteten Kategorien betroffener Personen und die Arten verarbeiteter personenbezogener Daten.

II. Vertragsdauer/-auflösung

Der gegenständliche Vertrag wird auf unbestimmte Zeit abgeschlossen. Beide Vertragsparteien können den Vertrag unter Einhaltung einer Kündigungsfrist von drei Monaten jeweils zum Jahresende kündigen. Die Kündigung dieses Vertrages gilt zugleich als Kündigung des Vertrages über die dem Verantwortlichen vom Auftragsverarbeiter überlassene Software.

Die Vertragsparteien sind darüber hinaus berechtigt, den gegenständlichen Vertrag mit sofortiger Wirkung aufzulösen, sofern die weitere Aufrechterhaltung des Vertrages mit der jeweils anderen Partei nicht mehr zumutbar ist (Kündigung aus wichtigem Grund). Ein wichtiger Grund liegt für den Auftragsverarbeiter etwa dann vor, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen.

Nach Beendigung des Vertrages oder sonstigem Abschluss der Datenverarbeitung hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu vernichten/ löschen oder diesem in einem gängigen elektronischen Format zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

III. Verarbeitungsgegenstand

Grundsätze der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf die vom Verantwortlichen festgelegte Weise, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zu einer anderweitigen Verarbeitung verpflichtet. Erteilt der Verantwortliche während der Dauer der Verarbeitung personenbezogener Daten dem Auftragsverarbeiter Weisungen, sind diese zu dokumentieren.

Ist der Auftragsverarbeiter der Auffassung, dass eine vom Verantwortlichen erteilte Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder deren Mitgliedstaaten verstößt, hat er dies dem Verantwortlichen unverzüglich und begründet mitzuteilen.

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die im Anhang I genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält. Die Daten werden vom Auftragsverarbeiter nur für die in Anhang angegebene Dauer verarbeitet.

Sicherheit der Verarbeitung

Der Auftragsverarbeiter wird geeignete technische und organisatorische Maßnahmen ergreifen, um die Rechte und Freiheiten natürlicher Personen zu schützen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die für die betroffenen Personen verbundenen Risiken und deren Eintrittswahrscheinlichkeit zu berücksichtigen. Diese Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es ist dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.

Wesentliche Änderungen sind zu dokumentieren. Einzelheiten sind dem Anhang II zu entnehmen.

Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben. Diese bleibt auch nach Beendigung der Tätigkeit der mit der Datenverarbeitung beauftragten Personen bzw. nach deren Ausscheiden beim Auftragnehmer aufrecht.

Sensible Daten

Festgehalten wird, dass die Verarbeitung grundsätzlich keine sensiblen Daten umfasst. Sollte die Verarbeitung im Einzelfall dennoch personenbezogene Daten betreffen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), hat der Verantwortliche den Auftraggeber im Vorfeld zu informieren, damit der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien anwenden kann.

Subauftragsverarbeiter

Der Verantwortliche nimmt zur Kenntnis, dass der Auftragsverarbeiter die netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe, als Subauftragsverarbeiter beauftragt hat.

Ein Wechsel der Subauftragsverarbeiter oder die Beauftragung weiterer Unterauftragsverarbeiter ist dem Auftragsverarbeiter gestattet, sofern diese ihre Niederlassung innerhalb der EU oder des EWR haben und der Subauftragnehmer die Datenanwendung ausschließlich innerhalb der EU oder des EWR betreibt. Über einen Wechsel und jede beabsichtigte Beauftragung bzw. Inanspruchnahme von weiteren Subauftragnehmern hat der Auftragsverarbeiter den Verantwortlichen schriftlich zu informieren. Diesem steht es frei, dieser Beauftragung bzw. Inanspruchnahme ohne Angabe von Gründen zu widersprechen. Im Fall eines solchen Widerspruchs wird der Auftragsverarbeiter den Subauftragsverarbeiter nicht beauftragen bzw. in Anspruch nehmen.

Der Auftragsverarbeiter ist verpflichtet, sämtliche Subauftragsverarbeiter schriftlich zur Einhaltung der einschlägigen Bestimmungen der DSGVO und des DSG zu verpflichten. Dabei ist sicherzustellen, dass der Subauftragsverarbeiter sämtliche Verpflichtungen eingeht, die dem Auftragsverarbeiter aufgrund dieses Vertrages obliegen. Bei Verletzung seiner Pflichten durch den Subauftragsverarbeiter haftet der Auftragsverarbeiter. Die Beauftragung bzw. Inanspruchnahme von weiteren Subauftragnehmern durch den Subauftragsverarbeiter ist diesem nur unter den in diesem Punkt festgelegten Voraussetzungen gestattet.

Unterstützung des Verantwortlichen

Der Auftragsverarbeiter wird den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, dass dieser seine Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in der DSGVO genannten Rechte der betroffenen Person (Auskunft, Berichtigung und Löschung, Information, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann, und er überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Sollte sich ein Betroffener anstelle des Verantwortlichen direkt an den Auftragsverarbeiter oder einen Subauftragsverarbeiter wenden, verpflichtet sich dieser, den Verantwortlichen unverzüglich darüber zu informieren, sodass dieser den Antrag fristgerecht bearbeiten kann.

Der Auftragsverarbeiter wird den Verantwortlichen nach Maßgabe der dem Auftragsverarbeiter bekannten Informationen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Ergreifung technischer und organisatorischer Maßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Erstellung einer Datenschutzfolgenabschätzung) unterstützen.

Internationale Datenübermittlung

Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit den einschlägigen Bestimmungen der DSGVO in Einklang stehen.

IV. Dokumentation

Der Auftragsverarbeiter hat für die auf Grundlage des gegenständlichen Vertrags erfolgenden Verarbeitungstätigkeiten ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu führen.

Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der dem Auftragsverarbeiter in diesem Vertrag auferlegten Pflichten zur Verfügung zu stellen.

Der Verantwortliche ist berechtigt, die Einhaltung sämtlicher maßgeblichen datenschutzrechtlichen Vorschriften sowie die Einhaltung der vertraglichen Bestimmungen selbst oder durch Dritte beim Auftragsverarbeiter sowie allfälligen Subauftragsverarbeitern zu kontrollieren.

V. Schlussbestimmungen

Auf alle Rechtsfragen aus oder im Zusammenhang mit diesem Vertrag einschließlich der Frage seines Zustandekommens und seiner Vor- und Nachwirkungen ist ausschließlich österreichisches Recht unter Ausschluss der nationalen und europäischen Kollisionsnormen anzuwenden.

Für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag einschließlich der Frage seines Zustandekommens und seiner Vor- und Nachwirkungen wird die ausschließliche Zuständigkeit des für 4292 Kefermarkt, Österreich, sachlich zuständigen Gerichts vereinbart.

Änderungen dieses Vertrages sowie sämtliche Erklärungen in Bezug auf diesen Vertrag bedürfen zu ihrer Wirksamkeit der Schriftform. Ebenso ist ein Abgehen von diesem Erfordernis an die Schriftform geknüpft. Sofern nicht im Einzelnen anders vereinbart, genügen Erklärungen per E-Mail der Schriftform nicht.

Sollte eine Bestimmung dieses Vertrages ungültig sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Diesfalls verpflichten sich die Vertragsparteien, die ungültige Bestimmung soweit gesetzlich zulässig durch eine Bestimmung zu ersetzen, die in ihren wirtschaftlichen Auswirkungen der ungültigen Bestimmung möglichst nahekommt. Dasselbe gilt sinngemäß für allfällige Lücken in diesem Vertrag.

Anhang 1: Kategorien verarbeiteter Daten

Anhang 2: Technische und organisatorische Maßnahmen