Page tree

Vereinbarung

zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen dem/der

................................................................................................

- Verantwortliche/r - nachstehend „Auftraggeber(in)“ genannt -

und dem/der

................................................................................................

- Auftragsverarbeiter(in) - nachstehend „Auftragnehmer(in)“ genannt

 

Glossar

Auftraggeber (=Verantwortlicher im Sinne des Art. 4 Z. 7 DSGVO):

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragnehmer (=Auftragsverarbeiter im Sinne des Art. 4 Z. 8 DSGVO):

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen (=Auftraggeber) verarbeitet.

Personenbezogene Daten (Art. 4 Z. 1 DSGVO):

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verarbeitung (Art. 4 Z. 2 DSGVO):

Jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

 

Präambel

Ab dem 25. Mai 2018 stellt diese Vereinbarung einen integrierenden Bestandteil des Leistungsvertrages (bzw. des SLA oder des Werkvertrages) vom … (Datum des Hauptvertrages hier ergänzen) dar und ersetzt ab diesem Zeitpunkt sämtliche bestehenden Vereinbarungen der Vertragsparteien zum Datenschutz (Datenschutzrechtliche Bestimmungen im Leistungsvertrag bzw. „Punkt 12 der Allgemeinen Bedingungen des Landes Tirol für Werkverträge“).

Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten.

I. Anwendungsbereich, Verantwortlichkeit und Pflichten des Auftraggebers

  1.                Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisung des Auftraggebers, soweit nicht gesetzliche Verpflichtungen zur Verarbeitung bestehen (bzw. sofern nicht ein Ausnahmefall im Sinne des Art. 28 Abs. 3a DSGVO vorliegt). In diesem Fall informiert der Auftragnehmer hierüber, soweit zulässig. Diese Verarbeitung umfasst Tätigkeiten, die im oben angeführten Leistungsvertrag und in der Leistungsbeschreibung konkretisiert sind.

2. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Z. 7 DSGVO).

3. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.

4. Der Auftraggeber nennt dem Auftragnehmer einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen sowie eine E-Mail-Adresse zur ausschließlichen Abwicklung des mit dieser Vereinbarung zusammenhängenden Sachverhalts.

 

II. Gegenstand und Dauer des Auftrags

  1.                Gegenstand

Der Gegenstand des Auftrags ergibt sich aus dem oben genannten Leistungsvertrag.

oder

Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer: ………………………… (möglichst genaue Beschreibung der Aufgaben)

  1.                Dauer

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Leistungsvertrages.

oder

Der Auftrag wird zur einmaligen Ausführung erteilt.

oder

Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum ...................

oder

Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von …. (Frist hier eintragen, z.B. 1 Monat) zum .... (Kündigungstermin hier eintragen, z.B. Quartalsende) gekündigt werden.

Die Möglichkeit zur fristlosen Kündigung bei Verstößen des Auftragnehmers gegen datenschutzrechtliche Bestimmungen, gegen Inhalte dieser Vereinbarung, gegen Inhalte des Leistungsvertrages oder aus sonstigen wichtigen Gründen bleibt hiervon unberührt.

Die Vertragsparteien sind dazu berechtigt, den Leistungsvertrag sowie diese Vereinbarung bei Vorliegen eines wichtigen Grundes fristlos aufzulösen. Grundsätzlich berechtigt jeder Verstoß gegen Bestimmungen dieses Vertrages, insbesondere folgende Verstöße zur fristlosen Kündigung dieser Vereinbarung und des Leistungsvertrages: Verstöße gegen die Bestimmungen dieses Vertrages über technische und organisatorische Maßnahmen (Punkt V., 3.) sowie Verstöße gegen die Bestimmungen dieses Vertrages betreffend die Hinzuziehung von Unterauftragnehmern (Punkt VI).

III. Konkretisierung des Auftragsinhalts bzw. Spezifizierung der Auftragsverarbeitung

  1.                Art und Zweck der vorgesehenen Verarbeitung von Daten

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret im vorgenannten Leistungsvertrag beschrieben.

oder

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret im Leistungsvertrag vom  ……. beschrieben.

oder

Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers: ........................................

  1.                Leistungsort

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

  1.                Art der Daten

Die Art der verwendeten personenbezogenen Daten ist im oben angeführten Leistungsvertrag konkret beschrieben unter .......................

oder

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien: (Aufzählung/Beschreibung der Datenkategorien)

…..

  1.                Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen sind im oben angeführten Leistungsvertrag konkret beschrieben unter: ..................................

oder

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

(Aufzählung der betroffenen Personengruppen)

 

IV. Auskunft, Berichtigung, Einschränkung und Löschung von Daten

  1.                Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter, schriftlicher Weisung des Auftraggebers beauskunften, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer deren Ersuchen unverzüglich an den Auftraggeber weiterleiten bzw. die Person an den Auftraggeber verweisen, sofern eine Zuordnung zum Auftraggeber nach den Angaben der betroffenen Person möglich ist. Der Auftragnehmer unterstützt den Auftraggeber auf Aufforderung im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig, nicht vollständig oder nicht fristgerecht beantwortet wird.

Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialen aufgrund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber heraus.

  1.                Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

 

V. Technisch-organisatorische Maßnahmen, Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1.                Namhaftmachung einer Ansprechperson

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.

Als Datenschutzbeauftragte(r) ist beim Auftragnehmer Herr/Frau [Eintragen: Vorname, Name, Organisationseinheit, Telefon, E-Mail] bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

oder

b) Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird Herr/Frau [Eintragen: Vorname, Name, Organisationseinheit, Telefon, E-Mail] benannt.

  1.                Wahrung der Vertraulichkeit

Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit  (Datengeheimnis) verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden, soweit diese nicht einer gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags bzw. des Vertragsverhältnisses zwischen dem Auftragnehmer und den mit der Verarbeitung betrauten Personen fort.

Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

  1.                Technisch-organisatorische Maßnahmen

Der Auftragnehmer hat technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen und dem Stand der Technik entsprechen.

Vor Abschluss dieser Vereinbarung hat der Auftragnehmer die Umsetzung der von ihm getroffenen technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.

oder

Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.

Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

Der Auftragnehmer gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

Die technischen und organisatorischen Maßnahmen sind jedenfalls für die Dauer der gegenständlichen Vertragsbeziehung zu gewährleisten.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber unaufgefordert zur Kenntnis zu bringen. Wesentliche Änderungen sind solche, die eine Änderung der Angaben in der Anlage 1 erforderlich machen.

  1.                Zusammenarbeit mit der Aufsichtsbehörde

Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

 

VI. Unterauftragsverhältnisse (Unterauftragnehmer oder „weitere Auftragsverarbeiter“)

  1.                Ein Unterauftragsverhältnis liegt vor, wenn die gesamte oder Teile der vertraglich vereinbarten Leistung nicht vom Auftragnehmer selbst, sondern von einem von ihm beauftragten Dritten erbracht werden.

 

  1.                 

 

Eine Unterbeauftragung der vertragsgegenständlichen Leistung ist unzulässig.

oder

Eine Unterbeauftragung der vertragsgegenständlichen Leistung ist nach vorhergehender schriftlicher Zustimmung des Auftraggebers im Sinne der Bestimmungen der folgenden Absätze allenfalls zulässig:

Der Auftragnehmer ist verpflichtet, dem Auftraggeber die geplante Hinzuziehung von Unterauftragnehmern oder den Wechsel bestehender Unterauftragnehmer vorab schriftlich, samt genauer Bezeichnung des Unterauftragnehmers (z.B. unter Anführung der Firma bzw. der Firmenbuchnummer) und der von diesem allenfalls zu erbringenden Leistungen, mitzuteilen. Die Mitteilung hat ausnahmslos an die vom Auftraggeber unter Punkt I. Ziffer 4. dieser Vereinbarung genannte Adresse zu erfolgen. Der Auftragnehmer hat mit dem Unterauftragnehmer schriftlich zu vereinbaren, dass die Weitergabe des gesamten Auftrages oder von Teilen desselben ausnahmslos unzulässig ist.

Erteilt der Auftraggeber nicht binnen 4 Wochen seine ausdrückliche Zustimmung in schriftlicher Form, ist die Hinzuziehung bzw. der Wechsel unzulässig.

Wird die Zustimmung erteilt, verpflichtet sich der Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag im Rahmen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO auf den/die Unterauftragnehmer zu überbinden.

  1.                Der Auftragnehmer verpflichtet sich, mit weiteren Auftragnehmern im erforderlichen Umfang angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Informationssicherheit der Daten des Auftraggebers nach dem jeweils aktuellen Stand der Technik zu gewährleisten. Diese Verpflichtung besteht auch hinsichtlich ausgelagerter Nebenleistungen.
  2.                Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
  3.                Der Auftragnehmer haftet für den Unterauftragnehmer wie für eigenes Verhalten (Art. 28 Abs. 4 letzter Satz).

 

  1.                Dem   Unterauftragnehmer ist es ausnahmslos untersagt, die gesamte oder Teile der vertraglich vereinbarten Leistung an weitere Unterauftragnehmer weiter zu geben.

 

VII. Kontrollrechte des Auftraggebers

  1.                Der Auftraggeber hat das Recht, im Einvernehmen mit dem Auftragnehmer Überprüfungen bzw. Inspektionen durchzuführen oder durch im Einzelfall zu benennende (interne oder externe) Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Inspektionen werden zu den üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs, nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.

  1.                Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO, insbesondere auch unter Durchführung von Datenschutzaudits,  überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen mit geeigneten Mitteln nachzuweisen sowie alle sonst zur Überprüfung der Einhaltung der Verpflichtungen nach der DSGVO erforderlichen Informationen zur Verfügung zu stellen.
  2.                Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit wird auf die

genehmigten Verhaltensregeln nach Art. 40 DSGVO verwiesen, denen sich der Auftragnehmer am ……… unterworfen hat und deren Einhaltung am …… geprüft und bestätigt wurde (vgl. Anlage ……..).

oder

vorliegende Zertifizierung nach einem genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO verwiesen, deren Einhaltung durch den Auftragnehmer am ……. geprüft und bestätigt wurde (vgl. Anlage ………..).

oder

vorliegende Zertifizierung durch die [Zertifizierungsstelle] verwiesen, deren Vorlage dem Auftraggeber für den Nachweis geeigneter Garantien ausreicht (vgl. Anlage ……….).

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann überdies unterstützt werden durch

  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren),
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz),
  • die Durchführung eines Selbstaudits,
  • unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung oder
  • ein Zertifikat zu Datenschutz und/oder Datensicherheit (z.B. ISO 27.001).

 

VIII. Mitteilung bei Verstößen des Auftragnehmers

  1.                Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen einschließlich von Datensicherheitsmaßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,

b) die Verpflichtung, Verletzungen personenbezogener Daten (Data Breach) unverzüglich in schriftlicher Form an den Auftraggeber zu melden (Art. 33 und 34). Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab,

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen und der Gewährleistung der Rechte des Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich und unentgeltlich zur Verfügung zu stellen und

d) die Unterstützung des Auftraggebers im Rahmen der Durchführung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO und im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde nach Art. 36 DSGVO.

 

IX. Weisungsbefugnis des Auftraggebers

  1.                Weisungen können vom Auftraggeber nachträglich in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
  2.                Mündliche Weisungen sind unverzüglich schriftlich bzw. in Textform zu bestätigen.
  3.                Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen die DSGVO oder sonstige Normen des anwendbaren Rechts. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

 

X. Löschung und Rückgabe von personenbezogenen Daten

  1.                Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2.                Nach Abschluss der vertraglich vereinbarten Arbeiten bzw. nach Aufforderung durch den Auftraggeber, jedoch spätestens mit Beendigung des Leistungsvertrages, hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, Daten und Datenträger, nach Wahl des Auftraggebers entweder diesem zurückzugeben oder nach vorheriger Zustimmung datenschutzkonform (Ö-Normen S 2109-1 bzw. S 2109-4) zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Gesetzliche Aufbewahrungsfristen bleiben von dieser Bestimmung unberührt.
  3.                Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

 

XI. Haftung, Schadenersatz und Kündigung

  1.                Haftung

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Im Fall der Inanspruchnahme des Auftraggebers durch eine betroffene Person verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr von Ansprüchen nach Art. 82 DSGVO im Rahmen seiner Möglichkeiten zu unterstützen.

oder

Individuelle Vereinbarung zwischen Auftragnehmer und Auftraggeber, die den spezifischen Umständen und Interessen beider Parteien entspricht. (z.B.: Eine zwischen den Parteien im Leistungsvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, außer es wird ausdrücklich etwas anderes vereinbart.)

  1.                Kündigung und Ersatzvornahme

Für Verstöße des Auftragnehmers gegen datenschutzrechtliche Bestimmungen oder Inhalte dieser Vereinbarung, behält sich der Auftraggeber die Möglichkeit der fristlosen Kündigung des Leistungsvertrages und dieser Vereinbarung vor.

Darüber hinaus behält sich der Auftraggeber die Möglichkeit vor, auf Kosten des Auftragnehmers die von diesem geschuldeten Handlungen bzw. Leistungen durch Dritte im Wege der Ersatzvornahme durchführen zu lassen.

  1.                Schad- und Klagloshaltung, Schadenersatz

Allfällig bestehende Haftungsbestimmungen im Leistungsvertrag werden durch die folgenden Bestimmungen nicht berührt bzw. nur ergänzt:

 

  1.                Verstößt der Auftragnehmer oder ein vom Auftragnehmer beauftragter Unterauftragnehmer gegen die Bestimmungen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679), deren nationale Umsetzung im Datenschutz-Anpassungsgesetz 2018 idgF., der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (Richtlinie (EU) 2016/680), das Tiroler Datenschutzgesetz idgF. oder gegen vertragliche Vereinbarungen zwischen dem Auftragnehmer und Auftraggeber, so haftet der Auftragnehmer für alle dadurch verursachten Schäden, Folgeschäden und immateriellen Schäden, die dem Auftraggeber oder Dritten (z.B. betroffenen Personen) entstehen und verpflichtet sich der Auftragnehmer den Auftraggeber im Falle einer Inanspruchnahme durch Dritte (z.B. betroffenen Personen) vollkommen schad- und klaglos zu halten. Dies gilt auch für alle Vertretungs- und Prozesskosten.
  2.                Für jeden einzelnen Verstoß des Auftragnehmers gegen vertragliche, gesetzliche oder unionsrechtliche Datenschutzbestimmungen, ist der Auftraggeber zur Geltendmachung einer Vertragsstrafe in der Höhe von gegen den Auftragnehmer berechtigt.

Die Vertragsstrafe ist von einem Verschulden sowie einem tatsächlichen Schadenseintritt unabhängig und kann diese auch neben der Erfüllung oder allen anderen Ansprüchen gefordert werden. Der Auftraggeber ist zur Geltendmachung eines den Betrag der Vertragsstrafe übersteigenden Schadenersatzes berechtigt.

Eine Vertragsstrafe kann auch dann geltend gemacht werden, wenn der Vertrag durch Rücktritt, Kündigung oder aus anderen Gründen aufgehoben wurde. Ein allfälliges richterliches Mäßigungsrecht ist, sofern einem solchen Ausschluss nicht zwingende gesetzliche Bestimmungen entgegenstehen, ausgeschlossen.

Die Geltendmachung weiterer Rechtsbehelfe, insbesondere aus den Rechtsgründen der Erfüllung, der Gewährleistung oder des Schadenersatzes, des Rücktrittes oder der Kündigung bleiben dem Auftraggeber vorbehalten.

XII. Informationspflichten, Schriftformklausel, Anwendbares Recht

  1.                Die Hoheit über die und das Eigentum an den Daten liegen ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der Datenschutz-Grundverordnung.
  2.                Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang beteiligte Dritte unverzüglich darüber informieren, dass die Hoheit über die und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der Datenschutz-Grundverordnung liegen.
  3.                Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die von beiden Parteien unterfertigt werden muss. Außerdem bedarf es des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  4.                Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Leistungsvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der restlichen Bestimmungen dieser Vereinbarung nicht.
  5.                Als Gerichtsstand wird das sachlich zuständige Gericht in Innsbruck vereinbart.
  6.                Es gilt österreichisches Recht unter Ausschluss von Verweisnormen.

Ort, Datum Ort, Datum

 

___________________________ ____________________________

Unterschrift Auftraggeber Unterschrift Auftragnehmer