Datenschutz – Vertrag

über die Auftragsverarbeitung

gemäß Art 28 DSGVO

 

 

Abgeschlossen zwischen:

ATF Station

_______________________________________________ [Name,Anschrift,vertreten durch]
                                               (Verantwortlicher/Auftraggeber iSd Art 4 Z7 DSGVO)

UND

ATF Terminfracht GmbH

Wiener Straße 441

8046 Graz

vertreten durch: Walter Apoloner

_______________________________________________ [Name,Anschrift,vertreten durch]
                                               (Auftragsverarbeiter/Auftragsnehmer iSd Art 4 Z8 DSGVO)

 

 

Dieser Vertrag wird zum Zweck der Erfüllung der Verpflichtungen aus der DSGVO zwischen dem Verantwortlichen (Partner) und dem Auftragsverarbeiter (ATF) geschlossen.

Der Auftragsverarbeiter (ATF) muss hinreichende Garantien dafür bieten, dass von ihm geeignete technische und organisatorische Maßnahmen getroffen werden und die Vorgaben der DSGVO erfüllt werden. Dadurch wird der Schutz der Rechte der betroffenen Personen gewährleistet.

Der Auftragsverarbeiter (ATF) kann für die Einhaltung der in Art 28 Abs 1 DSGVO genannten Garantien, die Einhaltung genehmigter Verhaltensregeln[1] oder eines genehmigten Zertifizierungsverfahrens[2], anführen.

 

1) Wesentliche Vertragselemente: Art 28 Abs 3

1.1) Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten (iSd Art 4 Z1 DSGVO) durch den Auftragnehmer (Auftragsverarbeiter) ATF für den Auftraggeber (Verantwortlicher), d.h. den Partner. Der Auftragnehmer ATF handelt im Auftrag und unter der Weisung des Auftraggebers, d.h. des Partners. Dieser Vertrag ergänzt den Hauptvertrag „Vertrag Sendungsbehandlung“ von ATF. Dem Auftragnehmer ATF wird Zugriff auf folgende Kategorien von Daten gewährt, beziehungsweise wird ihm erlaubt folgende Kategorien von Daten zu ermitteln:
- Personalstammdaten
- Kundendaten
- Kundenhistorie
- Lieferantendaten
- Ansprechpartner
- Kontaktdaten
- Auskunftsangaben
- Vertragsabrechnungs-/Zahlungsdaten
- Planungs-/Steuerdaten
- Kommunikationsdaten

Durch den Auftragnehmer ATF werden folgende Prüf-/Wartungstätigkeiten und Aufgaben der Systemadministration durchgeführt, bei denen ein Zugriff auf personenbezogene Daten möglich sein könnte:

Systemadministration, Software Prüfung/Wartung über Fernzugriff für folgende Produkte: ATF „Korrekt 2005“

Der Auftragsverarbeiter ATF erbringt folgende Leistungen für den Verantwortlichen:

Systemadministration, Sendungshandling, EDV-unterstützte Abrechnung;

 

1.2) Dauer:

Die Laufzeit dieses Vertrages endet mit der Laufzeit des in 1.1) bezeichneten „Vertrag Sendungsbehandlung“ von ATF, sofern sich aus den Bestimmungen dieses Vertrages nicht etwas anderes ergibt.

Der Vertrag kann unter Einhaltung einer monatlichen Kündigungsfrist zum Ende des Kalendermonats durch Einschreiben schriftlich aufgekündigt werden.

Die Vertragsparteien verfügen über das Wissen, dass ohne einen gültigen Vertrag über die Auftragsverarbeitung (z.B. nach Kündigung) keine weitere Verarbeitung im Sinne der DSGVO durchgeführt werden darf.

 

1.3) Art und Kategorie der personenbezogenen Daten:

 

Kategorie der Daten	Zweck der Verarbeitung	Betroffene Personen
Name	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Adresse	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Telefonnummer	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Faxnummer	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Ansprechperson	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Mailadresse	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Bankverbindung	Verrechnung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Auskunftsangaben	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)
Kundenhistorie	Auftragsverarbeitung	(Kunden, Beschäftigte, Lieferanten, Ansprechpartner)

 

 

2) Subauftragsverarbeiter: Art 28 Abs 2, Abs 3 lit d, Abs 4

Der Auftragnehmer ATF ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Verantwortliche (Partner) erteilt dem Auftragsverarbeiter ATF eine allgemeine Genehmigung, weitere Auftragsverarbeiter (Subauftragsverarbeiter) zu beauftragen.

 

3) Weisungen: Art 28 Abs 3 lit.a

Der Auftragsverarbeiter ATF stellt sicher, dass sich der Auftraggeber (Partner) von der Einhaltung der Pflichten des Auftragnehmers nach Art.28 DS-GVO überzeugen kann. Der Auftragsverarbeiter ATF verpflichtet sich, dem Auftraggeber (Partner) auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Dieser Nachweis erfolgt durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren).

 

4) Vertraulichkeit: Art 28 Abs 3 lit b

Der Auftragsverarbeiter ATF gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen vom Auftragsverarbeiter zur Vertraulichkeit verpflichtet haben, bzw. einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Um dies zu gewährleisten, müssen alle Personen[3], die auf personenbezogene Daten des Verantwortlichen (Partners) Zugriff haben, zum Datengeheimnis (iSd §6 ÖDSG 2018) verpflichtet werden und sind über diese Verpflichtung zu belehren.

 

5) Maßnahmen zur Sicherheit der Verarbeitung: Art 28 Abs 3 lit c

Der Auftragsverarbeiter ATF ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art 32 DSGVO, um ein dem Risiko (Schwere und Eintrittswahrscheinlichkeit) angemessenes Schutzniveau zu gewährleisten. Dies geschieht unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, sowie der Umstände und der Zwecke der Verarbeitung.

 

6) Unterstützung des Verantwortlichen:

6.1) Unterstützung bezüglich Kapitel III: Art 28 Abs 3 lit e

Der Auftragsverarbeiter ATF verpflichtet sich dazu, den Verantwortlichen (Partner) nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen seinen Pflichten zur Beantwortung von Anträgen und Verpflichtungen aus Kapitel III der VO nach-zukommen. Das bedeutet, der Auftragsverarbeiter ATF unterstützt den Verantwortlichen (Partner) bei:

-          Der Informationspflicht bei der Erhebung von personenbezogenen Daten (Art 13)

-          Der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden (Art 14)

-          Dem Recht auf Auskunft (Art 15)

-          Dem Recht auf Berichtigung (Art 16)

-          Dem Recht auf Löschung (Art 17)

-          Dem Recht auf Einschränkung der Verarbeitung (Art 18)

-          Der Mitteilungspflicht nach Art 19

-          Dem Recht auf Datenübertragbarkeit (Art 20)

-          Bei der Wahrnehmung des Widerspruchsrechtes von betroffenen Personen (Art 21)

 

6.2) Unterstützung bezüglich Art 32 bis 36: Art 28 Abs 3 lit f

Der Auftragsverarbeiter ATF unterstützt den Verantwortlichen (Partner) unter Berücksichtigung der Art der Verarbeitung und der ihm zu Verfügung stehenden Informationen bei der Einhaltung folgender Bestimmungen:

-          Art 32: Sicherheit der Verarbeitung

-          Art 33: Meldung von Verletzungen an die Aufsichtsbehörde

-          Art 34: Benachrichtigung  der von einer Verletzung betroffenen Personen

-          Art 35: Datenschutz-Folgeabschätzung:

-          Art 36: Vorherige Konsultation

 

7) Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden innerhalb der EU bzw. des EWR durchgeführt.

 

8) Beendigung/Erfüllung des Auftrages: Art 28 Abs 3 lit g

Nach Beendigung beziehungsweise Erfüllung des Vertragsverhältnisses verpflichtet sich der Auftragsverarbeiter ATF zur Löschung aller personenbezogenen Daten, die er im Rahmen dieses Auftragsverhältnisses in irgendeiner Form verarbeitet hat, soweit diese nicht einer gesetzlichen Aufbewahrungspflicht unterliegen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

 

9) Kontrollen: Art 28 Abs 3 lit h

Der Auftragsverarbeiter ATF ist verpflichtet, dem Verantwortlichen (Partner) die erforderlichen Auskünfte zu seinen Verpflichtungen nach Art 28 DSGVO zu erteilen und die Umsetzung dieses Vertrages und seiner Pflichten aus der Grundverordnung insbesondere der technischen und organisatorischen Maßnahmen nachzuweisen.

 

10) Haftung:

Der Auftragsverarbeiter ATF haftet für den Schaden, der durch eine DSGVO-widrige Verarbeitung, welche in der Sphäre des Auftragsverarbeiters lag, verursacht wurde.

 

11) Gerichtsstand:

Die Parteien vereinbaren als Gerichtsstand den Sitz des Auftragsverarbeiters ATF, 8046 Graz.  

Anwendbare Rechtsordnung ist das österreichische Recht.

 

12) Über die App:

Die Bezeichnung der APP lautet: ATFScan 

 

13) Entwickler:

Medianova eBusinness GmbH 

 

Erzherzog Johann Gasse 1 

8200 Gleisdorf 

 

E-Mail: office@medianova.at