Vertrag zur Auftragsdatenverarbeitung

VERTRAG ZUR AUFTRAGSDATENVERARBEITUNG

abgeschlossen zwischen Ihnen als unserem Kunden, – nachstehend als „Verantwortlicher“ bezeichnet –

und

RIFFBIRD GmbH
Raiffeisenstraße 12 H
9020 Klagenfurt am Wörthersee
Österreich

– nachstehend als „Auftragsverarbeiter“ bezeichnet –

– und gemeinsam als die „Parteien“ bezeichnet–

schließen den folgenden Vertrag zur Auftragsdatenverarbeitung („ADV“),
der die Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter regelt.

§ 1 Präambel
Der Verantwortliche hat mit dem Auftragsverarbeiter einen Vertrag („Hauptvertrag“) über die Erbringung bestimmter Dienstleistungen geschlossen. Die Parteien schließen den vorliegenden ADV ab, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen nach Maßgabe der geltenden Datenschutzgesetze erfolgt.

§ 2 Begriffsbestimmungen
Sämtliche in dieser ADV verwendeten Begriffe sind im Sinne der EU Datenschutzgrundverordnung (EU/2016/679) zu verstehen, sofern nicht anders ausdrücklich vereinbart.

§ 3 Verarbeitung personenbezogener Daten
• Hosting: Zum Zweck der Vertragserfüllung werden die Verbindungsdaten der Websiteuser des Verantwortlichen sowie die vom Verantwortlichen auf dem Server gespeicherten, personenbezogenen Daten für die Dauer der Vertragsleistung gespeichert. Die Verarbeitung und Speicherung erfolgt in Zusammenarbeit mit unseren Subauftragsverarbeitern der ONEPAGE GmbH, Helmholtzstraße 2-9, 10587 Berlin, Deutschland sowie der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland.
• Recruiting: Zum Zweck der Vertragserfüllung werden die Kontaktdaten und sonstigen im Rahmen der Bewerbung angegebenen Daten der Bewerber für die Dauer der Vertragsleistung verarbeitet. Die Verarbeitung erfolgt in Zusammenarbeit mit unseren Subauftragsverarbeitern der Etison LLC, 3443 W Bavaria St, Eagle, Idaho, 83616, USA, der ONEPAGE GmbH, Helmholtzstraße 2-9, 10587 Berlin, Deutschland sowie der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
• Support/Fernwartung: Zum Zweck der Bearbeitung von Supportanfragen und zur Fehlerbehebung werden via Fernzugriff Verbindungsdaten und personenbezogene Daten von Kunden und Mitarbeitern des Verantwortlichen für die Dauer der jeweiligen Fehlerbehebung verarbeitet. Die Verarbeitung erfolgt in Zusammenarbeit mit unserem Subauftragsverarbeiter der TeamViewer Germany GmbH, Bahnhofsplatz 2, 73033 Göppingen, Deutschland.
• Automatisierungsschnittstelle: Zur Kommunikation und zum Datentransfer zwischen vom Verantwortlichen gewünschten Datenverarbeitungsprozessen werden personenbezogene Daten von Kunden und Mitarbeitern des Verantwortlichen sowie von Bewerbern von unserem Subauftragsverarbeiter der Zapier, Inc. A. 548 Market St. #62411, San Francisco, CA 94104-5401, USA (Schnittstelle) für die Dauer des Vertragsverhältnisses verarbeitet.
• Verwaltung von personenbezogenen Daten im Google-Konto: Zur Vertragserfüllung werden personenbezogene Verbindungsdaten von Websitebesuchern des Verantwortlichen im Google-Konto des Verantwortlichen für die Dauer des Vertragsverhältnisses verarbeitet.
§ 4 Rechte und Pflichten des Verantwortlichen
Es obliegt alleine dem Verantwortlichen, den Inhalt der vertragsgegenständlichen Verarbeitung personenbezogener Daten, die sich daraus ergebenden Risiken, die beauftragten Verarbeitungsvorgänge und das benötigte Schutzniveau vorzugeben. Dies umfasst insbesondere:
a) die Beurteilung der Zulässigkeit der vertragsgegenständlichen Verarbeitungsprozesse
b) die Erteilung und Dokumentation von Weisungen an den Auftragsverarbeiter
c) die Durchführung von Überprüfungen – einschließlich Inspektionen – zur Kontrolle der Einhaltung der dem Auftragsverarbeiter auferlegten vertraglichen Verpflichtungen sowie Verpflichtungen gemäß den Datenschutzgesetzen
d) die Kontrolle, Überprüfung und Abnahme und laufende Evaluierung der vom Auftragsverarbeiter getroffenen Technisch Organisatorischen Maßnahmen
e) die Erfüllung der Betroffenenrechte gemäß den Datenschutzgesetzen

Der Verantwortliche verpflichtet sich, personenbezogene Daten ausschließlich im Einklang mit den geltenden Datenschutzgesetzen zu verarbeiten.

§ 5 Rechte und Pflichten des Auftragsverarbeiters

a) Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf schriftliche und dokumentierte Weisung des Verantwortlichen und nur nach Maßgabe der geltenden Datenschutzgesetze. Zudem verarbeitet der Auftragsverarbeiter die diesem zu Verfügung gestellten Datensätze nur in dem Umfang, welcher notwendig ist, um seine Verpflichtungen aus diesem ADV sowie dem Hauptvertrag zu erfüllen. Sollte der Auftragsverarbeiter zur Verarbeitung der Ihm im Rahmen des Vertragsverhältnisses zur Verfügung gestellten Datensätze aufgrund von Datenschutzgesetzen verpflichtet sein, ist eine Verarbeitung ohne dokumentierter Weisung ausnahmsweise zulässig. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, außer das betreffende Recht verbietet eine solche Mitteilung aufgrund eines wichtigen öffentlichen Interesses.

b) Vertraulichkeit der Daten
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zudem stellt der Auftragsverarbeiter sicher, dass diese Geheimhaltungspflicht über die Beendigung von Beschäftigungsverträgen und Dienstleistungsverträgen fortgilt.

c) Mitteilungspflicht
Der Auftragsverarbeiter unterliegt einer umfassenden Mitteilungspflicht. Diese umfasst insbesondere:
(i) die Mitteilung von Datenschutzverletzungen
Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen sowie begründete Verdachtsfälle des Schutzes personenbezogener Daten unverzüglich mit. Diese Mitteilung hat zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen), die betroffenen Kategorien der personenbezogenen Daten, die ungefähre Zahl der betroffenen Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(ii) die Mitteilung bei Störungen der Verarbeitung personenbezogener Daten sowie Verstöße gegen datenschutzrechtliche Bestimmungen
Unverzüglich mitzuteilen sind dem Verantwortlichen erhebliche Störungen bei der Verarbeitung personenbezogener Daten sowie Verstöße des Auftragsverarbeiter oder beauftragten Subauftragsverarbeitern gegen datenschutzrechtliche Bestimmungen oder die in diesem ADV getroffene Rechte und Pflichten.
(iii) die Mitteilung sofern Weisungen gegen Datenschutzgesetze verstoßen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, sofern dieser der Ansicht ist, dass Weisungen des Verantwortlichen gegen geltende Datenschutzgesetze verstoßen.
(iv) die Mitteilung der Kommunikationsaufnahme von Betroffenen
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen umgehend über Anfragen, Beschwerden, Nachrichten, Ersuchen oder eine wie auch immer geartete Kommunikationsaufnahme einer betroffenen Person soweit diese Bezüge zur Auftragsdatenverarbeitung aufweisen.
(v) die Mitteilungspflicht bei Behördenermittlungen
Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

d) Sicherheit der Verarbeitung
Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

e) Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Eine Übersicht über die zum Zeitpunkt der Unterzeichnung dieser ADV umgesetzten Maßnahmen ist unter https://www.riffbird.com/tom einsehbar. Diese technischen und organisatorischen Maßnahmen wurden vom Verantwortlichen überprüft und als hinreichende Garantien abgenommen. Für die laufende Evaluierung und Aktualisierung der Maßnahmen ist der Verantwortliche verantwortlich. Nur soweit dies, z.B. im Hauptvertrag, schriftlich vereinbart ist, hat der Auftragsverarbeiter diese Maßnahmen im vereinbarten Ausmaß zu evaluieren und zu aktualisieren.

f) Betroffenenrechte
Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in den Datenschutzgesetzen gewährleisteten Rechten der betroffenen Personen (Auskunftsrecht, Recht auf Berichtigung und Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Datenübertragbarkeit, Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht) nachzukommen. Insbesondere wird der Auftragsverarbeiter dem Verantwortlichen Informationen und Dokumente in Form von Datensätzen zur Verfügung zu stellen, die notwendig sind, damit der Verantwortliche diese Anfragen innerhalb der in den Datenschutzgesetzen jeweils festgelegten gesetzlichen Fristen beantworten kann. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.

g) Nachweis der Einhaltung der Audit

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht dem Verantwortlichen Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Verantwortliche hat den Auftragsverarbeiter zumindest drei Wochen im Voraus über eine Inspektion zu informieren. Der Auftragsverarbeiter hat bei Überprüfungen kooperativ beizutragen, ist jedoch berechtigt dem Verantwortlichen ein entsprechendes Entgelt für den Zeitaufwand in Rechnung stellen.

h) Erfüllung datenschutzrechtlicher Verpflichtungen
Der Auftragsverarbeiter versichert die Einhaltung der für Ihn in den Datenschutzgesetzen normierten Pflichten. Zudem versichert der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Datenschutzgesetze zu unterstützen und diesem sämtliche Daten und Informationen zur Verfügung zu stellen, welcher der Verantwortliche zur Einhaltung der Datenschutzgesetze benötigt jedoch selbst nicht besitzt. Der Auftragsverarbeiter kann für die Zurverfügungstellung der Datensätze ein angemessenes Entgelt verlangen.

§ 6 Sub-Auftragsverarbeiter
Der Auftragsverarbeiter ist generell berechtigt, zur Verarbeitung der personenbezogenen Daten weitere Subunternehmer als Auftragsverarbeiter in Anspruch zu nehmen. Die Heranziehung von Subunternehmern ist jedoch in jedem Einzelfall dem Verantwortlichen so zeitgerecht mitzuteilen, dass dieser dagegen Einspruch erheben kann. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auferlegt, die in dem Vertrag zwischen den Parteien festgelegt sind. Insbesondere müssen hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

Die unter § 3 angeführten Subauftragsverarbeiter gelten als genehmigt.
§ 7 Internationaler Datenverkehr
Der Auftragsverarbeiter darf Geschäftsdaten nur an Dritte innerhalb des Europäischen Wirtschaftsraums (EWR) oder in ein Land übertragen, das ein angemessenes Datenschutzschutzniveau gemäß geltender Datenschutzgesetze gewährleistet. Die Übermittlung von Geschäftsdaten an Drittländer bedarf einer vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung des Verantwortlichen. Darüber hinaus darf die Datenübermittlung nur unter Einhaltung der geltenden Datenschutzgesetze (z.B. durch Abschluss von EU Standardvertragsklauseln) erfolgen. Sofern der Auftragsverarbeiter nach Abschluss dieser ADV eine Datenweitergabe außerhalb des EWR („internationaler Datenverkehr“) oder in Länder ohne angemessenem Datenschutzniveau plant, ist er verpflichtet, dem Verantwortlichen unverzüglich schriftlich darüber in Kenntnis zu setzen.

§ 8 Laufzeit und Beendigung
(1) Im Falle einer Beendigung des Hauptvertrages, bleibt die vorliegende ADV solange bestehen, als der Auftragsverarbeiter Geschäftsdaten für den Datenverantwortlichen verarbeitet.
(2) Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragsverarbeiter kann für den Aufwand, der ihm im Zusammenhang mit der Rückgabe der Datensätze entsteht, ein angemessenes Entgelt verlangen.
(3) Nach Beendigung der ADV bleibt die umfassende Vertraulichkeitsverpflichtung des Auftragsverarbeiters weiterhin unbeschränkt in Geltung.

§ 9 Schlussbestimmungen
(1) Es gelten die Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters.
(2) Alle Formen von Zusatzvereinbarungen, sowohl vor Abschluss dieses ADV als auch während der Vertragslaufzeit bedürfen zu ihrer Gültigkeit der Schriftform. Das gilt auch für das Abweichen vom Schriftformerfordernis.
(3) Sollten einzelne Bestimmungen des Vertrages unwirksam oder undurchführbar sein, so ist die unwirksame Bestimmung durch eine wirksame Bestimmung, die dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt, zu ersetzen.
(4) Auf alle Rechtsbeziehungen und Sachverhalte zwischen den Parteien ist ausschließlich österreichisches Recht unter Ausschluss der internationalen Verweisungsnormen anzuwenden.
(5) Als Gerichtsstand für alle Streitigkeiten zwischen den Parteien wird das sachlich zuständige österreichisches Gericht für Klagenfurt am Wörthersee vereinbart.

Datenschutzinformation
Der datenschutzrechtliche Verantwortliche (RIFFBIRD GmbH, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: