EGSTON

AUFTRAGSDATENVERARBEITUNG


 

 

VEREINBARUNG
über die
AUFTRAGSDATENVERARBEITUNG

 

abgeschlossen zwis­chen

 

 

(im Fol­gen­den „Ver­ant­wortlich­er“ genan­nt)

ein­er­seits und

 

EGSTON Sys­tem Elec­tron­ics Eggen­burg GmbH

Grafen­berg­er Straße 37

3730 Eggen­burg

Aus­tria

 

(im Fol­gen­den „Auf­tragsver­ar­beit­er“ genan­nt)

ander­er­seits

 

1. Präam­bel

1.1.        Die Ver­tragsparteien haben am August 8, 2020 einen Ver­trag abgeschlossen (im Fol­gen­den „Hauptver­trag“ genan­nt). Auf der Grund­lage des Hauptver­trages ver­ar­beit­et der Auf­tragsver­ar­beit­er über Auf­trag des Ver­ant­wortlichen ver­schiedene per­so­n­en­be­zo­gene Dat­en.

1.2.        Mit 25.5.2018 tritt die Daten­schutz-Grund­verord­­nung (DSGVO) in Kraft und wird der Ver­ant­wortliche, als Auf­tragge­ber, zum Abschluss ein­er Vere­in­barung mit jedem Auf­tragsver­ar­beit­er, der per­so­n­en­be­zo­gene Dat­en für den Ver­ant­wortlichen ver­ar­beit­et, verpflichtet. Im Rah­men dieser Vere­in­barung über die Auf­trags­daten­ver­ar­beitung sind die geset­zlichen Rechte und Pflicht­en des Ver­ant­wortlichen bzw. des Auf­tragsver­ar­beit­ers im Sinne der DSGVO expliz­it anzuführen.

Dies voraus­geschickt schließen die Ver­tragsparteien nach­ste­hende Vere­in­barung und bildet diese einen inte­gri­eren­den Bestandteil des Hauptver­trages:

 

2. Begriffs­bes­tim­mungen

Auf­tragsver­ar­beit­er

Auf­tragsver­ar­beit­er ist die EGSTON Sys­tem Elec­tron­ics Eggen­burg GmbH mit dem Sitz in Öster­re­ich und der Geschäft­san­schrift in Eggen­burg, einge­tra­gen im Fir­men­buch unter FN 282750i, zuständi­ges Gericht Reg­is­tra­tion Court Krems/Donau

Daten­ver­ar­beitung / Ver­ar­beitung

Daten­ver­ar­beitung / Ver­ar­beitung umfasst jeden Vor­gang in Bezug auf die per­so­n­en­be­zo­ge­nen Dat­en (ins­beson­dere Spe­icherung, Anpas­sung, Ver­wen­dung und/oder Verän­derung der Dat­en)

Hauptver­trag

Hauptver­trag ist der zwis­chen den Ver­tragsparteien am abgeschlossene Ver­trag

per­so­n­en­be­zo­gene Dat­en

Per­so­n­en­be­zo­gene Dat­en sind die vom Ver­ant­wortlichen an den Auf­tragsver­ar­beit­er übergebe­nen bzw. diesem zur Ver­fü­gung gestell­ten Infor­ma­tio­nen (Dat­en), welche sich auf eine iden­ti­fizierte / iden­ti­fizier­bare natür­liche Per­son beziehen.

Ver­ant­wortlich­er

Auf­tragsver­ar­beit­er ist

Ver­tragsparteien

Ver­tragsparteien sind der Ver­ant­wortliche und der Auf­tragsver­ar­beit­er einzeln und/oder gemein­sam.

 

3. Ver­trags­ge­gen­stand

Der Auf­tragsver­ar­beit­er hat sich im Rah­men des Hauptver­trages gegenüber dem Ver­ant­wortlichen verpflichtet, die im Anhang ./3 beschriebe­nen Daten­ver­ar­beitun­gen zu erbrin­gen. Gegen­stand der Daten­ver­ar­beitun­gen sind auss­chließlich jene Dat­en, welche für die Erfül­lung des Hauptver­trages erforder­lich oder zweck­di­en­lich sind und wer­den darüber hin­aus wer­den keine weit­eren Dat­en ver­ar­beit­et.

 

4. Dauer der Ver­ar­beitung

4.1.        Die gegen­ständliche Vere­in­barung ist inte­gri­eren­der Bestandteil des auf unbe­fris­tete Dauer abgeschlosse­nen Hauptver­trages und find­en die im Hauptver­trag ange­führten Kündi­gungs­bes­tim­mungen auf die gegen­ständliche Vere­in­barung Anwen­dung.

4.2.        Nach Ver­trags­beendi­gung hat der Auf­tragsver­ar­beit­er die Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en einzustellen und nach Wahl des Ver­ant­wortlichen sämtliche per­so­n­en­be­zo­ge­nen Dat­en und Kopi­en der­sel­ben an den Ver­ant­wortlichen zurück­zustellen oder diese per­so­n­en­be­zo­ge­nen Dat­en zu löschen, sofern nicht nach dem Union­srecht, dem Recht der Mit­glied­staat­en oder gegen­seit­iger zusät­zlich­er  Vere­in­barun­gen eine Verpflich­tung zur Spe­icherung der per­so­n­en­be­zo­ge­nen Dat­en beste­ht.

Über Ver­lan­gen des Ver­ant­wortlichen ist diesem bin­nen ein­er angemesse­nen Frist eine schriftliche Bestä­ti­gung über die Ver­nich­tung der per­so­n­en­be­zo­ge­nen Dat­en zu über­mit­teln.

 

5. Ort der Ver­ar­beitung  

Der Auf­tragsver­ar­beit­er nimmt die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en auch außer­halb der EU / des EWR, näm­lich in [Aufzäh­lung der jew­eili­gen Staat­en], vor. Das in diesen Staat­en / in diesem Staat gegebene Daten­schutzniveau gilt aus nach­ste­hen­den Grün­den als angemessen:

-      Angemessen­heits­beschluss gemäß Art. 45 DSGVO

-      Stan­dard­daten­schutzk­lauseln gemäß Art. 46 DSGVO

-      Vor­liegen geeigneter Garantien im Sinne von verbindlichen inter­nen Daten­schutzvorschriften (Bind­ing Cor­po­rate Rules gemäß Art. 46 DSGVO)[1]

 

6. Pflicht­en des Auf­tragsver­ar­beit­ers

6.1.     Der Auf­tragsver­ar­beit­er verpflichtet sich, die ihm vom Ver­ant­wortlichen zur Ver­fü­gung gestell­ten per­so­n­en­be­zo­ge­nen Dat­en auss­chließlich auf der Grund­lage und im Rah­men von doku­men­tierten Vere­in­barun­gen mit dem Ver­ant­wortlichen zu ver­ar­beit­en, es sei denn, der Ver­ant­wortliche ist nach den geset­zlichen Bes­tim­mungen der Europäis­chen Union oder der Mit­glied­staat­en zur Ver­ar­beitung verpflichtet.

Erhält der Auf­tragsver­ar­beit­er einen behördlichen Auf­trag, Dat­en des Ver­ant­wortlichen her­auszugeben, so ist der Auf­tragsver­ar­beit­er sein­er­seits verpflichtet, den Ver­ant­wortlichen – sofern geset­zlich zuläs­sig – unverzüglich hierüber in Ken­nt­nis zu set­zen.

6.2.     Ergänzend dazu hat der Auf­tragsver­ar­beit­er den Ver­ant­wortlichen schriftlich darüber zu informieren, sofern der Auf­tragsver­ar­beit­er eine Weisung des Ver­ant­wortlichen als rechtswidrig erachtet.

6.3.     Der Auf­tragsver­ar­beit­er gewährleis­tet, dass er alle gemäß Art. 32 DSGVO notwendi­gen tech­nis­chen und organ­isatorischen Maß­nah­men zur Gewährleis­tung der Sicher­heit bei der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en ergrif­f­en hat. In diesem Zusam­men­hang unter­stützt der Auf­tragsver­ar­beit­er den Ver­ant­wortlichen – soweit dies möglich ist – durch die Ergrei­fung geeigneter tech­nis­ch­er und organ­isatorisch­er Maß­nah­men bei der Wahrnehmung der dem Ver­ant­wortlichen gemäß Art. 32 bis 36 DSGVO obliegen­den Pflicht­en (Sicher­heit der Ver­ar­beitung, Mel­dung von Daten­schutzver­let­zun­gen, Daten­schutz-Fol­­gen­ab­schätzung, Benachrich­ti­gung der von ein­er Ver­let­zung des Schutzes per­so­n­en­be­zo­gen­er Dat­en betrof­fen­er Per­so­n­en etc.).

6.4.     Eben­so wird der Auf­tragsver­ar­beit­er den Ver­ant­wortlichen – soweit dies möglich ist – bei der Erfül­lung der dem Ver­ant­wortlichen obliegen­den Pflicht­en bei Anträ­gen auf Wahrnehmung der Betrof­fe­nen­rechte gemäß Kapi­tel III der DSGVO (Rechte auf Infor­ma­tion, Auskun­ft, Berich­ti­gung, Löschung, Ein­schränkung der Ver­ar­beitung, Datenüber­trag­barkeit, Wider­spruch und Schutz vor automa­tisiert­er Entschei­dung) unter­stützen. Wird ein der­ar­tiger Antrag an den Auf­tragsver­ar­beit­er gerichtet, so leit­et dieser den Antrag an den Ver­ant­wortlichen zur weit­eren Bear­beitung weit­er.

6.5.      Der Auf­tragsver­ar­beit­er verpflichtet sich, über geson­dertes Ersuchen des Ver­ant­wortlichen alle erforder­lichen Infor­ma­tio­nen zum Nach­weis der Ein­hal­tung der in Art. 28 DSGVO genan­nten Pflicht­en zur Ver­fü­gung zu stellen. In gle­ich­er Weise verpflichtet sich der Auf­tragsver­ar­beit­er dazu, den Ver­ant­wortlichen im Falle von Über­prü­fun­gen (ein­schließlich Inspek­tio­nen) zu unter­stützen und dem Ver­ant­wortlichen jed­erzeit­ige Ein­sicht zu gewähren.

6.6.      Unbeschadet der eige­nen Verpflich­tung des Ver­ant­wortlichen hat der Auf­tragsver­ar­beit­er ein Verze­ich­nis der Ver­ar­beitungstätigkeit­en betr­e­f­fend die von ihm im Auf­trag des Ver­ant­wortlichen durchge­führten Ver­ar­beitungstätigkeit­en zu führen und dem Ver­ant­wortlichen dieses Verze­ich­nis über dessen schriftlich­es Ver­lan­gen inner­halb von 14 Tagen nach Ein­lan­gen des Ersuchens zu über­mit­teln.

6.7.      Der Auf­tragsver­ar­beit­er ist zur ver­traulichen Behand­lung der ihm gegenüber offen­gelegten bzw. an ihn über­mit­tel­ten oder son­st zur Ver­fü­gung gestell­ten per­so­n­en­be­zo­ge­nen Dat­en und Infor­ma­tio­nen verpflichtet. In gle­ich­er Weise sind die erlangten Ken­nt­nisse der Ver­ar­beitungsergeb­nisse von dieser Pflicht zur Ver­traulichkeit umfasst.

Ergänzend dazu hat der Auf­tragsver­ar­beit­er sämtliche ihm zurechen­baren Per­so­n­en, welche mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en befasst sind, ver­traglich zur Ver­traulichkeit / Geheimhal­tung der ihnen bekan­nt­ge­wor­de­nen und bekan­ntwer­den­den Dat­en, sowie zur redlichen Ver­ar­beitung dieser Dat­en verpflichtet. Die Ver­traulichkeit bzw. Ver­schwiegen­heit­spflicht beste­ht auch nach Beendi­gung der Tätigkeit für den Auf­tragsver­ar­beit­er fort.

6.8.      Der Auf­tragsver­ar­beit­er hat sämtliche mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en beauf­tragten Per­so­n­en dazu verpflichtet, diese Dat­en auss­chließlich im Rah­men des gewöhn­lichen Geschäfts­be­triebes an Dritte zu über­mit­teln. Des Weit­eren hat der Auf­tragsver­ar­beit­er diese Per­so­n­en (und neu ein­tre­tende Per­so­n­en) über die für sie gel­tenden Über­mit­tlungsanord­nun­gen und die Fol­gen ein­er Ver­let­zung des Datenge­heimniss­es zu informieren.

 

7. Tech­nis­che und organ­isatorische Maß­nah­men für die sichere Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en

Der Auf­tragge­ber hat umfan­gre­iche tech­nis­che und organ­isatorische Maß­nah­men zur Gewährleis­tung der Sicher­heit bei der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en ergrif­f­en (Anhang ./7).

 

8. Sub-Auf­­tragsver­ar­beitung

8.1.      Die Ver­tragsparteien hal­ten fest, dass der Auf­tragsver­ar­beit­er zum Zeit­punkt der Ver­trag­sun­ter­fer­ti­gung keine weit­eren Auf­tragsver­ar­beit­er (Sub-Auf­­tragsver­ar­beit­er) zur Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en beige­zo­gen hat.

8.2.      Der Auf­tragsver­ar­beit­er ist berechtigt, im Rah­men sein­er Tätigkeit zur Erfül­lung dieser Vere­in­barung Sub-Auf­­tragsver­ar­beit­er zu beauf­tra­gen. Vor der Hinzuziehung eines Sub-Auf­­tragsver­ar­beit­ers ist der Ver­ant­wortliche so rechtzeit­ig zu ver­ständi­gen.

In diesem Zusam­men­hang verpflichtet sich der Auf­tragsver­ar­beit­er mit dem Sub-Auf­­tragsver­ar­beit­er alle notwendi­gen Vere­in­barun­gen im Sinne des Art. 28 Abs. 4 DSGVO abzuschließen und sind dem Sub-Auf­­tragsver­ar­beit­er diesel­ben Verpflich­tun­gen aufzuer­legen, welche dem Auf­tragsver­ar­beit­er nach der gegen­ständlichen Vere­in­barung obliegen.

8.3.     Kommt der Sub-Auf­­tragsver­ar­beit­er den ihm obliegen­den Daten­schutzverpflich­tun­gen nicht ord­nungs­gemäß nach, so haftet der Auf­tragsver­ar­beit­er gegenüber dem Ver­ant­wortlichen für die Ein­hal­tung der Pflicht­en des Sub-Auf­­tragsver­ar­beit­ers.

 

8. Anhänge

Anhang ./3                  Auf­stel­lung der ver­trags­ge­gen­ständlichen Daten­ver­ar­beitun­gen

Anhang ./7                  Auf­stel­lung der tech­nis­che und organ­isatorische Maß­nah­men

 

Anhang ./3

  1. Kat­e­gorien der betrof­fe­nen Per­so­n­en

 Die über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en betr­e­f­fen fol­gende Kat­e­gorien betrof­fen­er Per­so­n­en:

-    [z.B. Mitar­beit­er etc.]

  1. Kat­e­gorien der per­so­n­en­be­zo­ge­nen Dat­en

 

Die Vere­in­barung bet­rifft die Ver­ar­beitung der fol­gen­den Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en durch den Auf­tragsver­ar­beit­er:

 

-      [z.B. Per­so­n­en­stands­dat­en, Anschrift, etc.].

 

  1. Gegen­stand der Ver­ar­beitung und Ver­ar­beitungs­maß­nah­men

 

Die über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en wer­den fol­gen­den Ver­ar­beitungs­maß­nah­men unter­zo­gen:

 

[Def­i­n­i­tion des Auf­trages samt genauer Darstel­lung der Ver­ar­beitungstätigkeit­en]

 

  1. Ver­ar­beitungszwecke

 

Die über­mit­tel­ten per­so­n­en­be­zo­ge­nen Dat­en wer­den zu fol­gen­den Zweck­en des Ver­ant­wortlichen ver­ar­beit­et:

 

-      [z.B. Mar­ket­ing, Wer­bung und Mark­t­forschung; Buch­hal­tung etc.]

 

 

 

Anhang ./7

 

Tech­nis­che und organ­isatorische Maß­nah­men zur Gewährleis­tung der Sicher­heit bei der Ver­ar­beitung:

 

1. Zutrittskon­trolle

Kon­trolle des Zutritts zu den Räum­lichkeit­en des Unternehmens durch geregelte Schlüs­selver­wal­tung, Sicher­heit­stüren und Alar­man­la­gen

 

2. Zugangskon­trolle

Kon­trolle des Zugangs zu Daten­ver­ar­beitungssys­te­men durch Ken­nwörter, automa­tis­che Sper­rmech­a­nis­men, Ver­schlüs­selung von Daten­trägern, Pro­tokol­lierung von Benutzer­an­mel­dun­gen und VPN-Verbindun­­gen

 

3. Zugriff­skon­trolle

Kon­trolle des Zugriffs auf Dat­en inner­halb des Sys­tems durch ein Berech­ti­gungssys­tem samt Pro­tokol­lierung von Zugrif­f­en

 

4. Schutzvorkehrun­gen zur Ver­hin­derung der Zer­störung oder des Ver­lustes von per­so­n­en­be­zo­ge­nen Dat­en

Back­up und Aktu­al­isierungskonzepte, Fire­walls  und Viren­soft­ware, Ver­wahrung der Daten­sätze (Papier­form, Daten­träger etc.) in einem Tre­sor oder Sicher­heitss­chränken

 

5. Kon­trolle der Daten­weit­er­gabe

Schutz vor unbefugtem Lesen, Kopieren, Verän­dern oder Ent­fer­nen bei elek­tro­n­is­ch­er Über­tra­gung durch VPN, Ver­schlüs­selung, Con­­tent-Fil­ter für ein- und aus­ge­hende Dat­en oder elek­tro­n­is­che Sig­natur sowie ver­schließbare Trans­port­be­häl­ter

 

6. Ver­füg­barkeit / Wieder­her­stell­barkeit der Dat­en

Eine Wieder­her­stel­lung von ver­lore­nen oder zer­störten Dat­en (z.B. auf­grund tech­nis­ch­er Gebrechen) ist auf­grund der getrof­fe­nen Recov­­ery-Konzepte inner­halb kurz­er Zeit möglich

 

7. Daten­schutz-Man­age­­mentsys­tem

Das derzeit beste­hende Daten­schutzsys­tem wird laufend evaluiert und angepasst

 

8. Auf­tragskon­trolle

keine Ver­ar­beitung ohne doku­men­tierte Anweisung des Ver­ant­wortlichen[2]

[1]          Alter­na­tive: Der Auf­tragsver­ar­beit­er nimmt die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en auss­chließlich inner­halb der EU / des EWR vor.

[2]          Es han­delt sich hier­bei um eine beispiel­hafte Auf­stel­lung. Ich ersuche daher um kri­tis­che Durch­sicht der ange­führten tech­nis­chen und organ­isatorischen Maß­nah­men und allen­falls um Ergänzung bzw. Stre­ichung.

Leave this emp­ty:

Signature arrow

Unter­schrieben Frank Wolfin­ger und Thomas Schuh
Unter­schrieben Octo­ber 18, 2018

Zer­ti­fikat
Doc­u­ment name: AUFTRAGSDATENVERARBEITUNG
lock iconUnique Doc­u­ment ID: d9efb8f36ee7368ffa6fa69597e5d8ce9523cc16
Time­stamp Audit
June 6, 2018 2:24 pm CESTAUFTRAGSDATENVERARBEITUNG Uploaded by Frank Wolfin­ger und Thomas Schuh — info@studioms.at IP 62.99.214.46
June 18, 2018 12:45 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 12:50 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 12:54 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 1:31 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 1:32 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 1:37 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 2:07 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 2:45 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 2:46 pm CESTStu­dio MS — info@studioms.at added by Admin First Name Admin Last Name — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 2:52 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 2:56 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:00 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:05 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:13 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:20 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:21 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
June 18, 2018 3:24 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
Octo­ber 9, 2018 7:20 pm CESTStu­dio MS — info@studioms.at added by Chris­t­ian Lentschig — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
Octo­ber 18, 2018 4:25 pm CESTStu­dio MS — info@studioms.at added by Frank Wolfin­ger und Thomas Schuh — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
Octo­ber 18, 2018 4:42 pm CESTStu­dio MS — info@studioms.at added by Frank Wolfin­ger und Thomas Schuh — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46
Octo­ber 18, 2018 4:45 pm CESTStu­dio MS — info@studioms.at added by Frank Wolfin­ger und Thomas Schuh — info@studioms.at as a CC’d Recip­i­ent Ip: 62.99.214.46