Der Verantwortliche:
Lizenznehmer einer vom Auftragsverarbeiter bereitgestellten Coudlösung
(zB. HSBAU(R)Evolution oder NUVEM®)
(im Folgenden Auftraggeber)
Der Auftragsverarbeiter:
W. Scheidl KG – PC trade partnership
Weizenweg 31B
1220 Wien, Österreich
(im Folgenden Auftragnehmer)
1. Gegenstand der Vereinbarung
(1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:
Verarbeitung beigestellter Daten oder Remotezugriff auf entfernte Daten zum Zweck der Datenprüfung. Verarbeitung beigestellter Daten zum Zweck der befristeten oder dauerhaften Datenerfassung. Bereitstellung von Cloud-Services im Rahmen der Nutzung der Webapplikationen HSBAU(R)Evolution, NUVEM®, oder spezifischer Individuallösungen. Diese Vereinbarung ist als Ergänzung zu den AGB’s zu verstehen.
(2) Folgende Datenkategorien werden verarbeitet: Daten und Datenbanken des Auftraggebers, die folgende Datenkategorien enthalten können: Kontaktdaten, Angebotsdaten, Vertragsdaten, Verrechnungsdaten, Bestelldaten, Entgeltdaten.
(3) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Dienstnehmer, Angehörige, Auftraggeber, Auftragnehmer, Lieferanten, Mitglieder, Interessenten, Ansprechpartner.
2. Dauer der Vereinbarung
Die Vereinbarung wird auf unbestimmte Zeit geschlossen. Die Kündigungsfrist wird im jeweiligen Vertrag geregelt. Ist die Kündigungsfrist nicht vertraglich vereinbart, so kann diese Vereinbarung von beiden Parteien jeweils zum Monatsletzten mit einer Kündigungsfrist von 6 Monaten gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt
3. Pflichten des Auftragnehmers
(1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
(3) Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art 32 DSGVO). (Einzelheiten sind der Anlage ./1 zu entnehmen).
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und er irrtümlich für den Auftraggeber gehalten, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. Benötigt der Auftraggeber zur Erfüllung der hier genannten Pflichten eine Unterstützung durch den Auftragnehmer, so ist der Auftragnehmer berechtigt, den dadurch entstehenden Mehraufwand dem Auftraggeber in Rechnung zu stellen.
(5) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
(6) Der Auftragnehmer erstellt für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO.
(7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle im angemessenen Umfang, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
(8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, auf Weisung des Auftraggebers zu vernichten, sofern gesetzliche Aufbewahrungsfristen dadurch nicht verletzt werden. Der Auftraggeber ist verpflichtet, für alle von ihm beigestellte oder erfasste Daten eine Sicherungskopie zu erstellen. Wird nach Beendigung dieser Vereinbarung vom Auftraggeber eine Herausgabe der Daten durch den Auftragnehmer verlangt, ist der Auftragnehmer berechtigt den dadurch entstehenden Aufwand zu den jeweils gültigen Sätzen zu verrechnen.
(9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten
4. Besondere Pflichten des Auftraggebers
(1) Diese Vereinbarung entbindet den Auftraggeber nicht seiner gesetzlichen Pflichten. Der Auftraggeber ist als Verantwortlicher im Sinne von Art 4 DSGVO für die Wahrung von Betroffenenrechte nach Art 12-23 DSGVO – insbesondere für Anträge auf Auskunft, Berichtigung, Sperrung oder Löschung – allein verantwortlich.
(2) Der Auftraggeber erklärt rechtsverbindlich den Auftragnehmer unverzüglich zu informieren, wenn er Kenntnis über Verlust oder Diebstahl von Zugangsdaten, erkennbare Sicherheitslücken, oder nicht autorisierten Datenzugriff hat. Für daraus entstehende Risiken haftet der Auftraggeber.
5. Ort der Durchführung der Datenverarbeitung
Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt.
6. Sub-Auftragsverarbeiter
Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen. Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
7. ERFÜLLUNGSGEHILFEN
Der Auftragnehmer kann Erfüllungsgehilfen hinzuziehen. Für die Hinzuziehung von Erfüllungsgehilfen bedarf es keiner Verständigung oder Einwilligung des Auftraggebers. Erfüllungsgehilfen unterliegen dem Art 3 (Abs.2) dieser Vereinbarung.
Stand 22.05.2018
ANLAGE ./1 – TECHNISCH-ORGANISATORISCHE MASSNAHMEN
VERTRAULICHKEIT
- Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;
- Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
- Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;
- Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt und gesondert aufbewahrt.
- Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).
INTEGRITÄT
- Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
- Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
VERFÜGBARKEIT UND BELASTBARKEIT
- Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;
- Rasche Wiederherstellbarkeit;
- Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl.
VERFAHREN ZUR REGELMÄßIGEN ÜBERPRÜFUNG, BEWERTUNG, EVALUIERUNG
- Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen;
- Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: vertragliche Vereinbarung, schriftliche Auftragserteilung.