Datenschutzvereinbarung
Vereinbarung zur Auftragsdatenverarbeitung gem. Art 28 DS-GVO
Diese Vereinbarung zur Auftragsdatenverarbeitung regeln die Verarbeitung der Daten durch Lywand gemäß der EU-Datenschutz-Grundverordnung. Sie ist eine Vereinbarung zwischen Lywand Software GmbH, mit Sitz in Österreich, Josefstrasse 46a/6, A-3100 St.Pölten ("Auftragnehmer") und Ihnen oder dem Unternehmen, welches Sie ("Auftraggeber ") vertreten. In diesen Lizenzbedingungen steht "wir", "uns" oder "unser" für Lywand und seine verbundenen Unternehmen.
Auftraggeber und Auftragnehmer werden im Folgenden gemeinsam als „Vertragsparteien“ bezeichnet. Dieser Vertrag wird im Folgenden als „Vereinbarung“ bezeichnet.
1. Präambel
1.1. Die EU-Datenschutz-Grundverordnung (DS-GVO) entfaltet seit 25.05.2018 ihre Geltung. Die damit einhergehenden Regelungspflichten betreffend das Verhältnis zwischen Verantwortlichen und Auftragsverarbeiter werden mit dieser Vereinbarung erfüllt.
1.2. Die Vertragsparteien kommen überein, dass betreffend der dieser Vereinbarung zu Grunde liegenden Datenverarbeitung der Auftraggeber als Verantwortlicher (gem. Art 4 Z 7 DS-GVO) und der Auftragnehmer als Auftragsverarbeiter (gem. Art 4 Z 8 DS-GVO) anzusehen sind.
1.3. Für den Fall von zukünftigen Beauftragungen oder Vertragsverhältnissen ist den Vertragsparteien möglich, die gegenständliche Vereinbarung zum Vertragsinhalt zu erheben.
2. Gegenstand der Vereinbarung
2.1. Der Gegenstand des Auftrages ist die Durchführung nachfolgender Aufgaben durch den Auftragnehmer für den Auftraggeber:
Tätigkeit und Zweck der Datenverarbeitung
Bereitstellung des Lywand-Portals
Kommunikation via E-Mail im Rahmen der Funktion des Lywand-Portals
Kommunikation via E-Mail im Rahmen des Lizenzvertrages
Lizenzverwaltung und Fakturierung
Die nähere Leistungsbeschreibung richtet sich nach dem Hauptvertrag, insbesondere wie aufgelistet und beschrieben im Angebot des Auftragnehmers.
2.2. Dabei – vor allem beim Einspielen und Warten des Datenbestandes – können folgende Datenkategorien von folgenden Kategorien betroffener Personen verarbeitet werden:
lfd.Nr. | Betroffenenkategorie | Datenkategorien |
1 | Kunde | Kontaktdaten |
2 | Kunde | Verrechnungsdaten |
3 | Kunde | Vertragsdaten |
3. Dauer der Vereinbarung
3.1. Sollte die Vereinbarung als Ergänzung zu einer bestimmten Vereinbarung beigezogen werden (vgl. Punkt 1.3.) und beinhaltet diese gesonderte Regelungen über die Laufzeit und Beendigungsmodalitäten, richten sich auch die Laufzeit und Beendigungsmodalitäten dieser Vereinbarung nach der dortigen Regelung. Ansonsten gilt Folgendes:
3.2. Die gegenständliche Vereinbarung wird auf unbestimmte Zeit geschlossen. Beide Vertragsparteien sind dazu berechtigt, diese Vereinbarung unter Einhaltung einer Kündigungsfrist von 4 Monaten zum Ende eines jeden Kalenderjahres zu kündigen.
3.3. Darüber hinaus ist jede Vertragspartei dazu berechtigt, die gegenständliche Vereinbarung bei Vorliegen wichtiger Gründe mit sofortiger Wirkung ohne Einhaltung von Kündigungsfristen oder -terminen zu kündigen. Ein derartiger wichtiger Grund liegt etwa vor, wenn
eine zugrunde liegende Vereinbarung beendet wurde;
über das Vermögen der anderen Vertragspartei ein Insolvenzverfahren eröffnet oder mangels Kostendeckung nicht eröffnet werden sollte;
sich die jeweils andere Vertragspartei als zur Erbringung der vereinbarten Pflichten dieser Vereinbarung ungeeignet erweisen sollte.
Ungeachtet jeder Kündigung wirken die Geheimhaltungsverpflichtungen auch über eine Beendigung der Vereinbarung unbeschränkt hinaus.
4. Pflichten des Auftragnehmers
4.1. Weisungsgebundenheit
Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
Eigenmächtige Fremdinstallationen auf Geräten des Auftraggebers oder Datendownloads von Geräten des Auftraggebers über USB-Sticks und Laptops sind strengstens untersagt. Fotos von MitarbeiterInnen, von Geräten oder sonstigen Einrichtungen des Auftraggebers sind ausdrücklich verboten. USB-Sticks, Laptops, Handys, und Fotokameras oder andere Devices zum Download und der externen Datenspeicherung, die sich im Besitz des Auftragnehmers befinden, fallen unter die volle Verantwortung und Haftung des Auftragnehmers.
Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Datenverarbeitung ein Verarbeitungsverzeichnis mit allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten nach Art 30 DSGVO zu errichten hat.
4.2. Geheimhaltung und Vertraulichkeitsverpflichtung
Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese angemessenen gesetzlichen Verschwiegenheitsverpflichtungen unterliegen.
Die Verschwiegenheitsverpflichtung bezieht sich nicht auf Informationen, welche im Zeitpunkt der Kenntniserlangung durch eine der Vertragsparteien dieser Vertragspartei oder der Allgemeinheit bereits bekannt waren oder später ohne Zutun und ohne Vertragsverletzung dieser Partei bekannt geworden sind. Die Verpflichtungen gelten weiters nicht gegenüber Behörden oder Gerichten, soweit kein gesetzliches Recht zur Aussageverweigerung besteht.
Die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
4.3. Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DS-GVO ergriffen hat, sohin zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, sowie Verfahren für Pseudonymisierung und Verschlüsselung), weiters auch die Implementierung von Datensicherheitsmaßnahmen (privacy by design und privacy by default), die Bestellung eines Datenschutzbeauftragten und Namhaftmachung gegenüber dem Auftraggeber, wenn die Bestellung laut DS-GVO vom Auftragsverarbeiter gefordert wird, die Durchführung einer Risikoanalyse der Datenanwendungen, wenn diese laut DS-GVO vom Auftragsverarbeiter gefordert wird.
Der Auftragnehmer erklärt weiters rechtsverbindlich, dass das Schutzniveau bei der Datenverarbeitung auch Risiken abdeckt, die unrechtmäßig oder unbeabsichtigt zu Verlust, Vernichtung, Veränderung oder unbefugter Offenlegung oder zu einem unbefugten Zugang zu personenbezogenen gespeicherten oder verarbeiteten Daten führen könnte.
Der Auftragnehmer bietet mit seiner Unterschrift hiermit dem Auftraggeber hinreichend Garantie dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen nach dem Art 28 Abs 1 DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.
Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke sowie das Risiko der Verarbeitung zu berücksichtigen.
4.4. Unterstützung des Auftraggebers bei den Betroffenenrechten
Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
4.5. Unterstützung des Auftraggebers bei den Pflichten gem Art 32 bis 36
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
Insbesondere ein Databreach von Daten des Auftraggebers über Geräte oder MitarbeiterInnen des Auftragnehmers müssen dem Auftraggebers sofort gemeldet werden, die rechtlichen und finanziellen Folgen eines solchen Databreach sind gänzlich vom Auftragnehmer zu tragen.
4.6. Löschverpflichtung
Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten von diesem erhalten hat oder in einem anderen gängigen Format herauszugeben. Daten, die sich in Speichermedien in Geräten oder Geräteteilen befinden, welche vom Auftragnehmer im Rahmen einer Wartung getauscht oder ersetzt werden, sind vom Auftragnehmer nachweislich zu vernichten.
5. Ort der Datenverarbeitung
5.1. Alle Datenverarbeitungstätigkeiten des Auftragnehmers werden – mit Maßgabe der nachfolgenden Bestimmungen – grundsätzlich ausschließlich innerhalb des EWR durchgeführt.
5.2. Übermittlungen von personenbezogenen Daten in ein Drittland und in Drittländern durchgeführte Verarbeitungstätigkeiten sind nur zulässig, wenn für dieses Drittland ein aufrechter Angemessenheitsbeschluss der Kommission iSd Art 45 Abs 3 DS-GVO besteht. Falls kein solcher Beschluss der Kommission besteht, wird der Auftragnehmer sonstige geeignete Garantien für ein angemessenes Datenschutzniveau, inkl der wirksamen Durchsetzbarkeit von der DS-GVO entsprechenden Rechte der Betroffenen, vorsehen. Dazu stehen dem Auftragnehmer alle Möglichkeiten des Art 46 Abs 2 und 3 DS-GVO zur Verfügung, wobei es in der alleinigen Verpflichtung des Auftragnehmers steht, für die Wirksamkeit der herangezogenen Möglichkeiten und allenfalls einzuholende Genehmigungen der Aufsichtsbehörde zu sorgen.
6. Unterbeauftragung
6.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht als Unterauftragsverhältnis im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu gehören etwa Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, reine Hosting-Dienstleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt.
6.2. Zur Durchführung von Auftragsverarbeitungen können sich die Vertragsparteien Auftragsverarbeiter bedienen. Die Inanspruchnahme solcher Auftragsverarbeiter zum Zwecke der Verarbeitung von personenbezogenen Daten ist nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Vertragspartners zulässig. Zur Inanspruchnahme von Cloud-Dienstleistungen zur Verarbeitung und Verwaltung der Kundeninformation im CRM (Firma, Telefon, E-Mail, Name) und zur Durchführung der Kommunikation mit Partner und Kunden (per Office 365) sowie zur Datenverarbeitung der Applikation selbst (Amazon Web Services EMEA SARL, Standort Frankfurt) erteilt der Auftraggeber bereits jetzt seine Zustimmung.
6.3. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7. Kontrollrechte des Auftraggebers
7.1. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen des Auftragnehmers eingeräumt, sei es durch ihn selbst oder auch durch von ihm beauftragte fachlich geeignete Dritte.
7.2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen betreffend die hinsichtlich dieser überlassenen Daten notwendig sind. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer keinen Vergütungsanspruch geltend machen.
8. Haftung
8.1. Der Auftragnehmer nimmt zur Kenntnis, dass betroffene Personen neben verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfen auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Auftragnehmer im Falle einer Rechtsverletzung durch den Auftragnehmer haben. Sie können auf materiellen oder immateriellen Schaden klagen, wobei jeder an einer Verarbeitung Beteiligte für den Schaden haftet, der durch eine unrechtmäßige Verarbeitung verursacht wurde. Die Haftung entfällt, wenn die fehlende Verantwortung für den Umstand, durch den der Schaden eingetreten ist, nachgewiesen werden kann.
8.2. Ist mehr als ein Auftragnehmer oder mehr als ein Auftraggeber oder sowohl der Auftragnehmer als auch der Auftraggeber für einen Schaden verantwortlich, so haftet jeder Auftragnehmer und jeder Auftraggeber für den gesamten Schaden. Bei Nichteinhaltung der vertraglichen Vereinbarungen zum Schutz der Rechte der betroffenen Personen und/oder zur Einhaltung der Vorgaben der Datenschutzgrundverordnung und/oder zur Einhaltung der Datensicherheit durch den Auftragnehmer und einem da-aus entstehenden Schaden für den Auftraggeber kann sich der Auftraggeber beim Auftragnehmer schad- und klaglos halten.
8.3. Unbeschadet der Art 82, 83 und 84 DSGVO gilt ein Auftragnehmer, der unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher laut Art 28 Abs 10 DSGVO.
9. Schlussbestimmungen
9.1. Sollten eine oder mehrere in dieser Vereinbarung enthaltenen Bestimmungen nichtig oder unwirksam sein oder ihre Wirkung durch spätere Umstände verlieren oder eine von Vertragsparteien einvernehmlich festgestellte Vertragslücke bestehen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Vertragsparteien verpflichten sich für diesen Fall, die Vereinbarung durch eine dem rechtlichen und wirtschaftlichen Zweck der ungültigen oder unvollständigen Vertragsbestimmungen entsprechende wirksam zu ergänzen.
9.2. Auf diese Vereinbarung ist ausschließlich das materielle Recht der Republik Österreich unter Ausschluss des Kollisionsrechtes und des UN-Kaufrechts anzuwenden. Dies gilt auch für die Frage des Zustandekommens dieses Vertrages sowie für die Rechtsfolgen seiner Nachwirkung.
9.3. Die Vertragsparteien werden sich bemühen, etwaige Streitigkeiten aus Anlass oder über die Durchführung dieser Vereinbarung gütlich beizulegen. Sollte eine gütliche Einigung nicht erzielt werden können, wird für alle aus oder im Zusammenhang mit dieser gegenwärtigen Vereinbarung oder über deren Gültigkeit sich ergebenden Streitigkeiten die Zuständigkeit des sachlich zuständigen Gerichtes in St. Pölten vereinbart.