Vertrag zur Auftragsverarbeitung (Datenverarbeitung)

Gemäß Art. 28 ff EU-Datenschutz-Grundverordnung

iVm dem Datenschutzgesetz 2018

folgend „Vereinbarung“ genannt.

1. Gegenstand der Vereinbarung

(1) Gegenstand

Der Gegenstand dieses Vertrages ergibt sich aus dem Rahmenvertrag, abgeschlossen am [Datum] zwischen dem Auftraggeber und der zadego GmbH, auf den hier verwiesen wird (nachfolgend „Hauptvertrag“). Diese Vereinbarung ist als Ergänzung zum Hauptvertrag zu verstehen.

Gegenstand des Vertrages ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Im Zuge der Leistungserbringung des Auftragnehmers als PMS-System, IT Dienstleister (Erstellung von Webseiten), im Bereich des Hostings, des Supports bzw. der Administration vom PMS-System des Auftraggebers, kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.

(2) Art und Zweck der Verarbeitung von Daten

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben im Hauptvertrag.

Grundsätzlich können folgende Vearbeitungsvorgänge stattfinden:

• Auftragsabwicklung
• Erfüllung nachvertraglicher Pflichten
• Website-Kontaktformular
• Domain-Hosting (siehe Anlage 2)
• E-Mail Hosting (siehe Anlage 2)
• Website-Analyse (siehe Anlage 2)
• Verwendungvon „easybooking“ Systemen (PMS, Channelmanager, Widgets)
• Nutzung von Services zur Verfügung gestellt von Drittanbietern

Soweit nachfolgend von Daten die Rede ist, handelt es sich ausschließlich um personenbezogene Daten im Sinne der DSGVO. Die nachfolgenden Datenschutz- und Datensicherheitsbestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung i.S.d. Art. 28 Abs. 1 DSGVO, die der Auftragnehmer gegenüber dem Auftraggeber erbringt und auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

(3) Art der Daten

Die Art der verwendeten personenbezogenen Daten ist folgend detailliert beschrieben:

Folgende Datenkategorien werden verarbeitet:

• Personenstammdaten
• Kommunikationsdaten(z.B. Telefon, E-Mail)
• Kontaktdaten
• Vertragsdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
• Vertragsabrechnungs- und Zahlungsdaten
• Kundenhistorie
• Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
• IP-Adressen (anonymisiert)

(4) Kategorien betroffener Personen

Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

• Kunden (Benutzer von PMS, Channelmanager, Deskline-Channelmanager, Widgets)
• Beschäftigte
• Gäste
• sonstige Besucher der Website

Die genannten Verarbeitungsvorgänge enthalten personenbezogene Daten zur Kontaktaufnahme und zur Anfragebearbeitung sowie zur Webanalyse.

Bei diesen Verarbeitungsvorgängen besteht für die betroffenen Personen kein Risiko.

2. Dauer der Vereinbarung

Die Dauer dieser Vereinbarung entspricht grundsätzlich der Laufzeit des Hauptvertrages und der in den dortigen enthaltenen AGB hinterlegten Bestimmungen zur Laufzeit.

3. Pflichten des Auftragnehmers

1. Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
2. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
3. Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
4. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich in der Anlage 1 (Technisch-organisatorische Maßnahmen).
5. Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
6. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen).
7. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation.
8. Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat.
9. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
10. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
11. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter bietet für die oben angeführten Verarbeitungsvorgänge hinreichende Garantien durch geeignete, technische und organisatorische Maßnahmen.

Die technischen und organisatorischen Maßnahmen (TOMs) unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren. Einzelheiten sind der Anlage 1 zu entnehmen.

5. Ort der Durchführung der Datenverarbeitung

Die Erbringung der vertraglich vereinbarten Dienstleistungen zur Datenverarbeitung finden ausschließlich in Mitgliedsstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland, welche nicht durch den Hauptvertrag und den dortigen enthaltenen AGB geregelt ist, bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

6. Sub-Auftragsverarbeiter / Unterauftragsverhältnisse

Der Auftragsverarbeiter ist berechtigt zur Verarbeitung der personenbezogenen Daten weitere Subunternehmer als Auftragsverarbeiter zu beschäftigen.

Einzelheiten sind der Anlage 2 zu entnehmen.

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu, da diese zur unmittelbaren Erbringung der Hauptdienstleistung benötigt werden.

• Zahlungsdienstleister
• Meldewesen Anbieter
• Channel Partner
• Reiseversicherungsanbieter
• Sonstige Schnittstellenpartner

Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

1. der Auftraggeber nicht gegenüber dem Auftragnehmer schriftlich Einspruch gegen die geplante Auslagerung erhebt und die erforderlichen Vereinbarungen zwischen dem Auftragnehmer und dem Sub-Auftragsverarbeiter gemäß des Art. 28 Abs. 4 DSGVO abgeschlossen werden. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
2. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
3. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
4. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

7. Schlussbestimmungen

1. Änderungen, Ergänzungen oder die Aufhebung dieser Vereinbarung oder allfälliger sonstiger Zusatzvereinbarungen zwischen den Vertragspartnern bedürfen der Schriftform. Dies gilt auch für eine gänzliche oder teilweise Abänderung oder Aufhebung dieses Schriftformerfordernisses.
2. Folgende Anlagen sind Teil dieser Vereinbarung:
   
   Anlage 1: Technisch-organisatorische Maßnahmen
   
   Anlage 2: Subunternehmer
3. Sollte eine Bestimmung dieser Vereinbarung ungültig oder undurchsetzbar sein oder durch besondere Gründe werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Die Vertragspartner vereinbaren, die ungültige oder undurchsetzbare Bestimmung durch eine gültige und durchsetzbare Bestimmung zu ersetzen, welche wirtschaftlich der Zielsetzung der Vertragspartner am nächsten kommt. Das Gleiche gilt im Falle einer Regelungslücke.
4. Für etwaige Streitigkeiten bezogen auf die vorangegangen Vereinbarung wird Innsbruck als Gerichtsstand vereinbart.
5. Diese Vereinbarung wird in zwei Ausfertigungen erstellt. Diese sind vorgesehen für Auftraggeber und Auftragnehmer.
6. Diese Vereinbarung wird mit dem Datum der Unterzeichnung wirksam.

Ich erkläre mich damit einverstanden, dass ich Informationen zu Leistungen und Produkten der zadego GmbH (z.B. wichtige Datenschutzinformationen, neueste Trends, ...) per Post oder per E-Mail zugesandt bekomme (bitte zutreffendes ankreuzen).

 Ja

Nein

___________, am ___________			Innsbruck, am ___________
Für den Verantwortlichen:			Für den Auftragsverarbeiter:
..............................................................			..............................................................
[Firmenstempel / Name samt Funktion]

Anlage 1

Technisch-organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer (mindestens) einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

• Zutrittskontrolle
  Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;
• Zugangskontrolle
  Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
• ZugriffskontrolleKein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
• TrennungskontrolleGetrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;
• Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
  Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;
• Klassifikationsschema für Daten
  Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;
  • zadego vergibt an Kunden Benutzerzugänge mit eingeschränktem Zugriff auf bestimmte Administrationsbereiche
  • Je Anwenderbereich gibt es unterschiedliche Benutzergruppen mit entsprechenden Berechtigungen
  • Änderungen werden protokolliert

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

• Weitergabekontrolle
  Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
• Eingabekontrolle
  Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

• Verfügbarkeitskontrolle
  Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;
• Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
• Verfügbarkeitskontrolle
  Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, durch Backup-Strategie, unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne:
  • Wird durch Zertifizierung des Rechenzentrums gewährleistet
  • Mehrmaliges Backup/Tag, rückwirkend für mehrere Tage verfügbar sowie monatliche Archivierung der Daten des Monatsersten auf mehrere Monate rückwirkend
  • USV, Virenschutz etc. ist durch Zertifizierung gewährleistet

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

• Datenschutz-Management;
• Incident-Response-Management;
  Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO); Das System ist so konfigurierbar, dass nur die für den Zweck der Verarbeitung nötigen Daten erhoben und gespeichert werden. Checkboxen („ich bin einverstanden...“) sind vorhanden und nicht vorausgewählt. Datenschutzinformationstext kann hinterlegt und eingeblendet werden.
• Auftragskontrolle
  Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

Anlage 2

Subunternehmer