Datenverarbeitungsvereinbarung
(die "Vereinbarung"), zwischen
1. Florian Kraus (der "Verantwortliche"); und
2. greenpass GmbH, Leopold-Ungar-Platz 2/4/423, 1190 Wien, Österreich ("Auftragsverarbeiter" und, zusammen mit dem Verantwortlichen, die "Parteien").
PRÄAMBEL
PRÄAMBEL
A. Auftragsverarbeiter. Der Auftragsverarbeiter betreibt eine cloudbasierte Webanwendung für das Hosting, die Verarbeitung und den Austausch von Daten, die es dem für die Verarbeitung Verantwortlichen ermöglichen, Florian Kraus (die "Dienste").
B. Hauptvertrag. Die Parteien haben einen Vertrag über die Nutzung der Dienste geschlossen (der "Hauptvertrag"). Der vorliegende Vertrag ändert den Hauptvertrag.
C. Gegenstand. In Erfüllung des Hauptvertrages verarbeitet der Auftragsverarbeiter personenbezogene Daten der verantwortlichen Stelle sowie von Kunden, Mitarbeitern, Freiberuflern und ähnlichen Inhaltsgebern der verantwortlichen Stelle, jeweils im Auftrag der verantwortlichen Stelle. Dieser Vertrag regelt die Rechte und Pflichten der Parteien bei der Erfüllung des Hauptvertrages.
D. Auftragsverarbeiter. Diese Vereinbarung ist ein Vertrag im Sinne von Art. 28 GDPR.
I. Definitionen
I. Definitionen
§ I.1 In diesem Vertrag haben die verwendeten Begriffe die Bedeutung, die ihnen im Abschnitt "Definitionen" in Anlage § I.1 zugewiesen wird, es sei denn, der Zusammenhang erfordert eine andere Auslegung.
II. Details der Datenverarbeitung
II. Details der Datenverarbeitung
§ II.1 Gegenstand. Gegenstand dieses Vertrages ist die Erbringung der Dienstleistungen.
§ II.2 Kategorien von Daten. Für die Erbringung der Dienstleistungen werden die in der Anlage § II.2 aufgeführten Datenkategorien (die "Daten") verarbeitet.
§ II.3 Art und Zweck. Die Verarbeitung erfolgt in der Art und Weise und zu den Zwecken, die in § 2.3 der Anlage beschrieben sind.
§ II.4 Kategorien von betroffenen Personen. Die Verarbeitung betrifft Kategorien von betroffenen Personen, wie in § II.4 der Anlage beschrieben.
§ II.5 Dauer. Diese Vereinbarung ist für die Dauer des Hauptvertrags verbindlich. Während der Laufzeit des Hauptvertrags kann dieser Vertrag nur aus wichtigem Grund gekündigt werden. Wird der Hauptvertrag von einer Partei gekündigt, endet dieser Vertrag automatisch. Die Verpflichtung gemäß § V.2 besteht auch im Falle der Kündigung fort.
III. Ort der Datenverarbeitung
III. Ort der Datenverarbeitung
§ III.1 Die Verarbeitung der Daten finde ausschließlich innerhalb der EU und des EWR statt. Die Länder, in denen die Verarbeitung stattfindet, und die Grundlage für ein angemessenes Datensicherheitsniveau sind in der Anlage § III.1 aufgeführt.
IV. Rechte und Pflichten des Verantwortlichen
IV. Rechte und Pflichten des Verantwortlichen
§ IV.1 Zuordnung. Der Verantwortliche ist Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO und hat den Auftragsverarbeiter mit der Verarbeitung der Daten beauftragt.
§ IV.2 Recht auf Auskunft. Der für die Verarbeitung Verantwortliche hat das Recht, alle Informationen zu erhalten, die erforderlich sind, um die Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß Art. V genannten Verpflichtungen nachzuweisen, und Überprüfungen, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer durchzuführen.
V. Rechte und Pflichten des Verarbeiters
§ V.1 Verarbeitung.
(a) Der Auftragsverarbeiter wird die Daten ausschließlich nach Maßgabe des Hauptvertrages und etwaiger zusätzlicher schriftlicher Weisungen des Verantwortlichen verarbeiten. Dies gilt auch für die Übermittlung von Daten in ein Drittland oder an eine internationale Organisation.
(b) § V.1(a) gilt nicht für die Verarbeitung von Daten, wenn der Auftragsverarbeiter gesetzlich verpflichtet ist, die Daten in einer bestimmten Weise zu verarbeiten. In diesen Fällen unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über seine Verpflichtung, sofern kein wichtiges öffentliches Interesse einer solchen Unterrichtung entgegensteht.
§ V.2 Vertraulichkeit der Daten. Der Auftragsverarbeiter und seine Mitarbeiter sind zur Wahrung des Datengeheimnisses gemäß § 6 des österreichischen Datenschutzgesetzes in der jeweils geltenden Fassung verpflichtet. Der Auftragsverarbeiter hat seine Mitarbeiter vertraglich zur Wahrung des Datengeheimnisses zu verpflichten, sofern sie nicht bereits gesetzlich dazu verpflichtet sind. Diese Verpflichtung hat auch bei Beendigung des Arbeitsverhältnisses aufrecht zu bleiben. Der Auftragsverarbeiter erklärt, dass er diese Verpflichtungen einhalten wird.
§ V.3 Technische und organisatorische Maßnahmen.
(a) Der Auftragsverarbeiter erklärt ausdrücklich, dass er die erforderlichen Maßnahmen ergriffen hat, um die Sicherheit der Verarbeitung von Daten gemäß Art. 32 GDPR zu gewährleisten. Eine vollständige Liste dieser Maßnahmen findet sich in Anhang § V.3(a) (die "Maßnahmen").
(b) Sollte eine Änderung der Maßnahmen den Sicherheitsstandard bei der Datenverarbeitung verringern, wird der Auftragsverarbeiter diese Änderungen mit dem Verantwortlichen abstimmen.
(c) Der für die Verarbeitung Verantwortliche hat das Recht, vom Auftragsverarbeiter über die Aktualität der Maßnahmen informiert zu werden und eine Kopie der aktuellen Fassung dieser Maßnahmen zu erhalten.
§ V.4 Unterstützung des Verantwortlichen.
(a) Der Auftragsverarbeiter wird den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen so weit wie möglich dabei unterstützen, die Verpflichtung des für die Verarbeitung Verantwortlichen zur Beantwortung der Anfragen der betroffenen Personen gemäß Art. 3 GDPR zu erfüllen. Sollte eine solche Anfrage versehentlich an den Auftragsverarbeiter statt an den Verantwortlichen gesandt worden sein, leitet der Auftragsverarbeiter sie unverzüglich an den Verantwortlichen weiter und informiert den Antragsteller über diese Vorgehensweise.
(b) Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DS-GVO (Gewährleistung der Sicherheit der Verarbeitung, Meldungen oder Mitteilungen an die Aufsichtsbehörde oder die betroffenen Personen, Datenschutz-Folgenabschätzung einschließlich vorheriger Konsultation).
§ V.5 Verarbeitung nach Beendigung. Wenn die Verarbeitung von Daten beendet ist, muss der Auftragsverarbeiter je nach Entscheidung des für die Verarbeitung Verantwortlichen entweder alle Daten an diesen zurückgeben oder sie löschen. Dies gilt nicht, wenn der Auftragsverarbeiter gesetzlich verpflichtet ist, die Daten zu speichern.
§ V.6 Informationspflicht. Der für die Verarbeitung Verantwortliche stellt die Ausübung des Auskunftsrechts gemäß § IV.2 sicher.
§ V.7 Rechtswidrige Weisungen. Der Auftragsverarbeiter informiert die verantwortliche Stelle unverzüglich, wenn er eine Weisung nach dem Datenschutzrecht der EU oder dem geltenden Recht der Mitgliedsstaaten für rechtswidrig hält.
§ V.8 Aufzeichnung von Verarbeitungstätigkeiten. Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 GDPR.
VI. Unterauftragsverarbeiter
VI. Unterauftragsverarbeiter
§ VI.1 Recht auf Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter hat das Recht, ohne vorherige Zustimmung des für die Verarbeitung Verantwortlichen einen anderen Auftragsverarbeiter mit dem Betrieb des Produkts zu beauftragen (ein "Unterauftragsverarbeiter"), einschließlich der Verarbeitung von Daten. Im Falle eines beabsichtigten Wechsels des Unterauftragsverarbeiters wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen rechtzeitig informieren.
§ VI.2 Liste der Unterauftragsverarbeiter. Eine Liste aller derzeit beauftragten Unterauftragsverarbeiter findet sich in Anlage § VI.2.
§ VI.3 Verpflichtungen. Im Falle der Beauftragung eines neuen Unterauftragsverarbeiters schließt der Auftragsverarbeiter alle erforderlichen Vereinbarungen gemäß Art. 28 Abs. 4 GDPR mit dem Unterauftragsverarbeiter ab. Diese Vereinbarungen müssen den Unterauftragsverarbeiter an die gleichen Datensicherheitsverpflichtungen binden, wie sie in dieser Vereinbarung festgelegt sind, insbesondere hinsichtlich der Garantien für angemessene technische und organisatorische Maßnahmen.
§ VI.4 Haftung. Kommt ein Unterauftragsverarbeiter seinen Datensicherheitspflichten nicht nach, ist der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Einhaltung dieser Pflichten verantwortlich
VII. Schlussbestimmungen
VII. Schlussbestimmungen
§ VII.1 Es gelten die Bestimmungen der Anlage § VII.1 über das anwendbare Recht, die Form und die sonstigen dort genannten Vorschriften.
Schedule I Definitionen
Schedule I Definitionen
| GDPR | GDPR bezeichnet die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). |
| Verarbeitung | Verarbeitung bedeutet Verarbeitung von Daten gemäß Art. 4 Z2 GDPR. |
Anlage § 2.2 Datenkategorien
Anlage § 2.2 Datenkategorien
| Kunde | Firmenname, Adresse, Firmenregisternummer, E-Mail-Adresse, Telefonnummer, Logo, Umsatzsteuernummer, Bankkontonummer, Kreditkartennummer, Bankkontonummer, Website, Mutterfirma |
| Kontakt | Vorname, Nachname, Geschlecht, E-Mail-Adresse, Telefonnummer, Firmenname |
| Autorisierter Nutzer | Vorname, Nachname, Geschlecht, E-Mail-Adresse, Telefonnummer, Foto, Geburtsdatum, IP-Adresse, Cookie-ID, Standortdaten, Login, Login-Historie, Passwort, Berufsbezeichnung, SpracheLogin, Login-Historie, Passwort, Berufsbezeichnung, Sprache |
| Leads | Vorname, Nachname, Geschlecht, E-Mail-Adresse, Telefonnummer, Firmenname, Adresse, Website |
Anlage §2.3 Art und Zweck
Anlage §2.3 Art und Zweck
1. Arten der Verarbeitung:
1. Erhebung und Speicherung
2. Organisation
3. Übermittlung
4. Vernichtung
5. Analyse
2. Zwecke der Verarbeitung:
1. Erfüllung des Hauptvertrags
Anlage §2.4 Kategorien von betroffenen Personen
Anlage §2.4 Kategorien von betroffenen Personen
1. Kunden, Nutzer
Anlage §3.1 Länder für Datenvereinbarung und Beschreibung der Datensicherheit
Anlage §3.1 Länder für Datenvereinbarung und Beschreibung der Datensicherheit
1. Österreich
2. Deutschland
3. Schweiz
4. Vereinigtes Königreich
5. Italien
6. Tschechien
7. Serbien
8. Slowakei
9. Spanien
10. Niederlande
11. Polen
Anlage §5.3(a) Maßnahmen
Anlage §5.3(a) Maßnahmen
1. Vertraulichkeit
1. Elektronische Zugangskontrolle: Alle Computer und Zugangspunkte sind passwortgeschützt. Der Zugang zu unseren Cloud-Infrastrukturanbietern wird einzelnen, klar definierten Mitarbeitern auf einer Need-to-know-Basis gewährt. Sobald ein Nutzer das Unternehmen verlässt, werden sein Konto und alle anderen Zugangsmöglichkeiten deaktiviert.
2. Löschungsfristen
1. Auf unser System hochgeladene Nutzer- und Kundendaten: Alle Daten werden automatisch innerhalb von 30 Tagen nach Kündigung des Kontos/Vertrags gelöscht.
2. Logs: halbautomatische Löschung nach 90 Tagen.
3. Kundendaten werden 7 Jahre nach der letzten Transaktion mit dem Kunden gelöscht.
3. Prüfung, Bewertung und Evaluierung.
1. Die Netzarchitektur und -entwürfe werden stets von Fachkollegen geprüft.
2. Das Vier-Augen-Prinzip ist anzuwenden, wenn Änderungen an Netzen mit mittleren und großen Auswirkungen vorgenommen werden.
Anlage §6.2 Liste der Sub-Auftragverarbeiter
Anlage §6.2 Liste der Sub-Auftragverarbeiter
Siehe Partnerverzeichnis unter https://www.greenpass.io/de/service-partner
Anlage §7.1 Schlussbestimmungen
Anlage §7.1 Schlussbestimmungen
1. Vertraulichkeit. Die Parteien verpflichten sich, alle im Zusammenhang mit dieser Vereinbarung erhaltenen Informationen auf unbestimmte Zeit vertraulich zu behandeln und nur zur Erfüllung dieser Vereinbarung zu verwenden. Diese Informationen sind nur für die genannten Zwecke zu verwenden und dürfen nicht an Dritte weitergegeben werden. Dies gilt nicht, wenn (a) die verpflichtete Partei Informationen nachweislich von einem Dritten erlangt, dem gegenüber sie nicht zur Geheimhaltung verpflichtet ist, (b) die Informationen öffentlich zugänglich waren oder (c) die Offenlegung gesetzlich oder behördlich vorgeschrieben war.
2. Inkrafttreten. Dieses Abkommen tritt mit der Unterzeichnung durch beide Parteien in Kraft und ist auf unbestimmte Zeit verbindlich.
3. Schriftform. Anpassungen, Änderungen oder eine Aufhebung des Vertrages bedürfen der Schriftform oder, wenn dieser Vertrag auf elektronischem Wege geschlossen wurde, einer dem Vertragsabschluss vergleichbaren Form. Dies gilt auch für eine Regelung, die das Schriftformerfordernis abändern soll.
4. Trennbarkeit. Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder werden, so bleiben die übrigen Bestimmungen in vollem Umfang wirksam. Die Parteien verpflichten sich, die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Bestimmung zu ersetzen, die dem wirtschaftlichen Sinn der unwirksamen oder undurchführbaren Bestimmung entspricht. Dies gilt auch für den Fall, dass eine Regelungslücke entsteht.
5. Rechtsgrundlage. Es gelten ausschließlich die Bestimmungen dieses Vertrages und ergänzend die gesetzlichen Vorschriften.
6. Anwendbares Recht. Für diesen Vertrag und alle damit zusammenhängenden Vertragsbeziehungen und Rechtsstreitigkeiten gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des UN-Kaufrechtes.
7. Gerichtsstand. Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten im Zusammenhang mit diesem Vertrag sind, soweit gesetzlich zulässig, die Gerichte in Wien.
© greenpass, 2024
