Anhang zu den Bedingungen und Konditionen
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO
Art. 28 DSGVO stellt spezifische Anforderungen an eine Auftragsverarbeitung. Zur Wahrung dieser speziellen Anforderungen schließen die Vertragsparteien zusätzlich zu den Allgemeinen Geschäftsbedingungen diesen Vertrag zur Auftragsverarbeitung. Er findet Anwendung auf alle Tätigkeiten, die mit dem abgeschlossenen Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers verarbeiten. Es gelten die Begriffsbestimmungen der DSGVO.
Vertragsgegenstand und Weisungsrecht des Auftraggebers
Gegenstand dieses Vertrages sind Leistungen des Auftragnehmers für den Auftraggeber. Darüber hinaus wird auf die Anlage 1 dieses Vertrages sowie die Allgemeinen Geschäftsbedingungen verwiesen. Bei Änderungen der beauftragten Leistung ist dieser Vertrag zur Auftragsverarbeitung in der Anlage 1 entsprechend anzupassen und zu ergänzen.
Dem Auftraggeber als verantwortliche Stelle obliegt die alleinige Beurteilung der Zulässigkeit der Datenverarbeitung nach der DSGVO.
Bei der Erbringung der Leistung erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedsstaaten, dem er unterliegt, zu einer anderen Verarbeitung verpflichtet ist.
Die Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt und können vom Auftraggeber in zumindest dokumentiert elektronischem Format durch Einzelweisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit (Art. 28 Abs. 3 lit. a DSGVO).
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen, ohne dass ihm hierdurch negative Konsequenzen entstehen. Der Auftraggeber ist für die Erteilung rechtsgültiger Weisungen verantwortlich (Art. 28 Abs. 3 Satz 3 DSGVO).
Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
Technisch-organisatorische Maßnahmen
Der Auftragnehmer beachtet die gesetzlichen Bestimmungen über den Datenschutz. Eine Weitergabe oder Offenlegung von Informationen des Auftraggebers an Dritte erfolgt ohne eine ausdrückliche Weisung des Auftraggebers nicht. Unterlagen und Daten werden gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik gesichert.
Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und gewährleistet, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO getroffen hat. Hierzu wird auf Anlage 2 verwiesen.
Der Auftraggeber überprüft vor der Aufnahme der Datenverarbeitung und sodann regelmäßig die technischen und organisatorischen Maßnahmen des Auftragnehmers. Änderungen an den vereinbarten Sicherheitsmaßnahmen können vorgenommen werden, soweit diese das vertraglich vereinbarte Schutzniveau nicht unterschreiten.
Vertraulichkeit
Dem Auftragnehmer und dessen Beschäftigten ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der Auftragnehmer verpflichtet alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden, zur Vertraulichkeit.
Die Vertraulichkeitsverpflichtungen gelten auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragnehmer.
Informationspflichten des Auftragnehmers
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, sicherheitsrelevanten Vorfällen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten informiert der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder dokumentiertem elektronischen Format.
Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen.
Inhalte der Meldung bei Datenschutzverletzungen
- Beschreibung der Art der Verletzung, inklusive Kategorien und Anzahl betroffener Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen
Der Auftragnehmer trifft unverzüglich Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und ersucht den Auftraggeber um weitere Weisungen.
Bei Pfändung, Beschlagnahme, Insolvenz oder sonstigen Maßnahmen Dritter informiert der Auftragnehmer den Auftraggeber unverzüglich, sofern keine rechtliche Verpflichtung entgegensteht.
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung seiner Pflichten nach Art. 12–22 sowie Art. 32–36 DSGVO (Art. 28 Abs. 3 lit. e und f DSGVO).
Kontrollrechte des Auftraggebers
Der Auftragnehmer stellt dem Auftraggeber auf Anforderung innerhalb angemessener Frist alle notwendigen Auskünfte und Nachweise zur Verfügung.
Inspektionen können zu den üblichen Geschäftszeiten mit einer Ankündigungsfrist von 14 Tagen durchgeführt werden. Sie dürfen Betriebsabläufe nur verhältnismäßig beeinträchtigen. Für die Unterstützung kann eine gesonderte Vergütung vereinbart werden.
Einsatz von Subauftragnehmern
Die Leistungen werden unter Hinzuziehung der in Anlage 3 genannten Subauftragnehmer erbracht. Der Auftraggeber erteilt eine allgemeine Genehmigung zur Hinzuziehung weiterer Subauftragnehmer.
Änderungen werden mindestens 14 Tage im Voraus schriftlich angekündigt. Innerhalb dieser Frist kann der Auftraggeber Einspruch erheben. Erfolgt kein Einspruch, gilt die Genehmigung als erteilt.
Reine Nebenleistungen (z. B. Post-, Transport-, Reinigungs- oder Telekommunikationsleistungen) gelten nicht als Subunternehmerverhältnisse.
Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen gemäß Art. 82 DSGVO.
Beendigung des Hauptvertrags
Nach Beendigung des Hauptvertrags gibt der Auftragnehmer alle Daten zurück oder löscht diese auf Wunsch des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht besteht. Ein Nachweis über die ordnungsgemäße Löschung ist zu erbringen.
Die Vertraulichkeitspflichten gelten über das Vertragsende hinaus, solange personenbezogene Daten verarbeitet werden.
Schlussbestimmungen
- Ein Zurückbehaltungsrecht an Daten ist ausgeschlossen.
- Änderungen und Ergänzungen bedürfen der Schriftform oder eines dokumentierten elektronischen Formats.
- Sollte eine Bestimmung unwirksam sein, bleiben die übrigen Regelungen unberührt.
- Es gilt österreichisches Recht.
Anlagen
Anlage 1 – Beschreibung der betroffenen Personen und Datenkategorien
Gegenstand der Verarbeitung
LeadMetrics ist ein System zur Integration und Verwaltung von Daten aus Werbeplattformen und Leadgenerierungsquellen zur Analyse und Darstellung relevanter KPIs in einem Dashboard.
Art und Zweck der Verarbeitung
Sammeln, Speichern, Analysieren, Darstellen und Berichten von Kampagnen- und Leaddaten zur Optimierung von Marketingmaßnahmen, inkl. automatisierter Reports und Alerts.
Art der personenbezogenen Daten
- Kontaktdaten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Postleitzahl
- Lead-Daten: Antworten auf spezifische Fragen
- Nutzungsdaten: Klicks, Conversions
- Technische Daten: IP-Adresse, Gerätedaten, Browsertyp, Zugriffszeiten
Kategorien betroffener Personen
- Mitarbeiter des Auftraggebers
- Kunden des Auftraggebers
- Leads des Auftraggebers
Anlage 2 – Technische und organisatorische Maßnahmen
Vertraulichkeit
- Zutritts- und Zugangskontrollen
- Zwei-Faktor-Authentifizierung
- Passwortregeln, Verschlüsselung, Clean-Desk-Policy
- Microsoft Azure (ISO 27001)
Zugriffskontrolle
- Protokollierung
- Rollen- und Berechtigungskonzepte
- Mandantentrennung
Integrität
- Protokollierung von Änderungen
- Individuelle Benutzerkonten
Verfügbarkeit & Belastbarkeit
- Redundante Systeme
- Backupkonzept
Überprüfung & Evaluierung
- Regelmäßige Prüfungen
- Mitarbeiterschulungen
- DSGVO-konforme Prozesse
Anlage 3 – Genehmigte Subauftragnehmer
| Unternehmen | Verarbeitungstätigkeit | Verarbeitungsort |
|---|---|---|
| Microsoft Ireland Operations Limited | Hosting (Azure) | Deutschland West Central (Frankfurt) |
| MailerSend, Inc. | Versand von E-Mails | USA |
Datenübermittlungen erfolgen auf Basis des Data Privacy Frameworks.