Auftragsverarbeitungsvertrag (AVV)

Mit Hilfe dieses Formulars stellen wir Ihnen unseren Auftragsverarbeitungsvertrag gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) zur Verfügung. Dieser Vertrag regelt die Erfassung von personenbezogenen Daten auf Ihrer Website. Und so geht es:
  1. Bitte füllen Sie das Formular aus
  2. Klicken Sie am Ende auf "AV nach DSGVO abschließen"
  3. Sie erhalten umgehend eine Bestätigung per Mail
  4. Mit weiterer Mail (manueller Versand) erhalten Sie den digital signierten Auftragsverarbeitungsvertrag (PDF)
Dieser Vertrag kann nur von Vertretungsberechtigten abgeschlossen werden.
  • DATENSCHUTZVEREINBARUNG

    zur Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

    als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO einerseits (im Folgenden: VA)

    zwischen:

  • Name der Kontaktperson
  • und

    Digital-Workshop
    Mario Röder
    Lorystrasse 79/3/69
    1110 Wien

    als Auftragsverarbeiter/in im Sinne des Art 4 Z 8 DSGVO andererseits (im Folgenden: Auftragsverarbeiter)

    1. Gegenstand der Vereinbarung

    Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht eine aufrechte Geschäftsbeziehung. Die nachfolgenden Regelungen sind als Ergänzung zum Hauptvertrag zu verstehen und finden Anwendung, soweit es sich um eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt.

    Im Hauptvertrag sind Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten, Art und Zweck der Vereinbarung dieser Daten und die Kategorien der betroffenen Personen festgelegt.

    Die vorliegende Vereinbarung regelt in Ergänzung zum Hauptvertrag die Kategorien der betroffenen Personen, die zulässigen personenbezogenen Datenarten, die Dauer der Aufbewahrung nach dem Ende der Zusammenarbeit sowie die datenschutzrechtlichen Verpflichtungen bezüglich jener personenbezogenen Daten (nachfolgend nur Daten), die für die Erbringung der Hauptleistung erforderlich sind.

    Mit Unterfertigung der Datenschutzvereinbarung verpflichtet sich der VA zur Einhaltung dieser Bestimmungen und bestätigt, dass er hinreichend Garantien bietet, dass geeignete technische oder organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.

    Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 oder eines genehmigten Zertifizierungsverfahren gemäß Art. 42 kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen. (Art. 28 Abs 5 DSGVO)

    Datenschutzrechtliche Verpflichtungen im Zusammenhang mit der Verwendung von Daten für die Prüfung der widmungsmäßen Verwendung bzw. Abnahme und Abrechnung der Leistung sowie für die damit zusammenhängenden Kontrollzwecke sind im Hauptvertrag geregelt.

    2. Zulässige Datenarten

    (Art. 28 Abs. 3 DSGVO)
    Zur Erfüllung des Hauptvertrages dürfen ausschließlich die darin geregelten Datenarten verarbeitet werden und dies auch nur, soweit sie für die Erbringung der vom VA dem Auftragsverarbeiter vertraglich überbundenen Tätigkeiten im Einzelfall eine wesentliche Voraussetzung bilden.

    3. Umfang und Mittel der Datenverarbeitung

    (Art. 25 und 28 Abs 3 lit a sowie letzter Absatz DSGVO und § 6 Abs 1 DSG)
    Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich zur Erbringung der im unter Punkt 1 angeführten Hauptvertrag vorgesehenen Aufgaben zu verarbeiten.

    Alle im Zusammenhang mit der Erfüllung des Vertrages verwendeten Daten sind vom Auftragsverarbeiter dem VA zu überlassen, falls diese vom VA angefordert werden.

    Die Verarbeitung dieser Daten für andere, als mit dem VA vereinbarte Zwecke („Verwendung für eigene Zwecke“) ist dem Auftragsverarbeiter nicht gestattet.

    Bei der Entwicklung, Gestaltung, Auswahl und Nutzung von Datenanwendungen ist das Recht auf Datenschutz unter gebührender Berücksichtigung des Stands der Technik sicherzustellen (Datenschutz durch Technik - data protection by design, Datenschutz durch datenschutzfreundliche Voreinstellungen - data protection by default).

    Der Auftragsverarbeiter hat den VA unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des VA verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

    4. Vertraulichkeitsverpflichtung

    (Art 28 Abs 3 lit b und 29 DSGVO sowie § 6 DSG)
    Der Auftragsverarbeiter darf zur Erfüllung des Vertrages und der damit zusammenhängenden Aufträge nur solche Mitarbeiterinnen und Mitarbeiter heranziehen, die sich ihm gegenüber zur Wahrung des Datengeheimnisses verpflichtet haben und über die einschlägigen – insbesondere datenschutzrechtlichen und strafrechtlichen – Bestimmungen nachweislich informiert wurden.

    Darüber hinaus hat sich der Auftragsverarbeiter von seinen MitarbeiterInnen vertraglich ausdrücklich zusichern zu lassen, dass sie Daten nur aufgrund von ausdrücklichen schriftlichen Anordnungen des Auftragsverarbeiters übermitteln und das Datengeheimnis auch nach Beendigung ihres Vertragsverhältnisses zum Auftragsverarbeiter einhalten werden. Der Auftragsverarbeiter ist für die Vollständigkeit und die Zulässigkeit der Anordnungen verantwortlich sowie darüber hinaus auch dafür, dass die MitarbeiterInnen über die für sie geltenden Anordnungen ausreichend informiert sind. (§ 6 Abs. 2 und 3 DSG)

    Die unterfertigte Verpflichtungserklärung hat der Auftragsverarbeiter – nach Aufforderung - unverzüglich dem VA in Kopie oder elektronisch zur Verfügung zu stellen.

    MitarbeiterInnen, die keine oder keine ausreichende Verpflichtungserklärung abgegeben haben, dürfen vom Auftragsverarbeiter für die Erbringung der Leistungen aus dem Vertrag nicht herangezogen werden. Derartigen Untersagungserklärungen des VA hat der Auftragsverarbeiter unverzüglich zu entsprechen.

    5. Sicherheit der Verarbeitung

    (Art. 28 Abs 3 lit c iVm Art 32 DSGVO)
    Der Auftragsverarbeiter hat alle gemäß Artikel 32 DSVGO erforderlichen Maßnahmen zu ergreifen. Es ist ein Datensicherheitskonzept mit den technischen und organisatorischen Maßnahmen (TOM) zur Gewährleistung der Datensicherheit detailliert zu erstellen und umzusetzen. Auf Verlagen des VA sind die TOM dem VA unmittelbar vorzulegen. Der VA hat das Recht, die Einhaltung der TOM zu überprüfen.

    6. Subauftragsverarbeiter

    (Art 28 Abs 3 lit d iVm Art 28 Abs 2 und Abs 4 sowie Art. 44 ff DSGVO)
    Der Auftragsverarbeiter kann Subauftragsverarbeiter hinzuziehen. Er hat den VA so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann.

    Der Auftragsverarbeiter schließt die erforderlichen Vereinbarungen im Sinne das Art. 28 Abs. 4 DSGVO mit dem Subauftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Subauftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen.

    Kommt der Subauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem VA für die Einhaltung der Pflichten des Subauftragsverarbeiters.

    7. Ort der Durchführung der Datenverarbeitung

    (Art 44 – 50 DSGVO)
    Datenverarbeitungstätigkeiten sind im Regelfall ausschließlich innerhalb der EU bzw. des EWR durchzuführen. Jede Übermittlung an ein Drittland (auch an weitere Auftragsverarbeiter z.B. bei Cloud-Lösungen) bedarf der vorherigen Zustimmung des VA und darf nur erfolgen, wenn sich ein angemessenes Datenschutzniveau ergibt aus: einem Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO;
    dem Vorliegen geeigneter Garantien gemäß Art. 46 DSGVO;
    einer Ausnahme für den Einzelfall gemäß Art. 49 DSGVO

    8. Gewährleistung der Betroffenenrechte

    (Art. 28 Abs 3 lit e iVm Kapitel III der DSGVO)
    Der Auftragsverarbeiter ergreift die technischen und organisatorischen Maßnahmen, damit der VA die Rechte der betroffenen Person nach Kapitel III der DSGVO (insbesondere Information, Recht auf Auskunft zu personenbezogenen Daten, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem VA alle dafür notwendigen Informationen.

    Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der/die Antragsteller/in ihn irrtümlich für den VA der von ihm betriebenen Datenanwendung hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den VA weiterzuleiten und dies dem/der Antragsteller/in mitzuteilen.

    Der Auftragsverarbeiter ist nicht ermächtigt, Betroffenen, die ihre Identität aktenkundig nachgewiesen haben, Einsicht über die von ihm zu dieser Person verarbeiteten Daten zu geben.

    9. Unterstützungsverpflichtungen des Auftragsverarbeiters

    (Art. 28 Abs 3 lit f iVm Art. 32 – 36 DSGVO)
    Der Auftragsverarbeiter ist verpflichtet, den VA bei der Einhaltung der in den Artikel 32 bis 36 genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Datenschutz-Folgenabschätzung und damit verbundene Konsultationen) zu unterstützen.

    Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem VA unverzüglich. (Art. 33 Abs. 2 DSGVO)

    10. Datenaufbewahrung / Datenvernichtung

    (Art. 28 Abs 3 lit g DSGVO)
    Der Auftragsverarbeiter ist nach Beendigung des Hauptvertrages gemäß Punkt 1 verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten. Dies betrifft sowohl vom VA übermittelte bzw. bereitgestellte Daten, sowie zur Erfüllung des Vertrages selbst erhobenen Daten. Der Zeitpunkt der Löschungsverpflichtung ergibt sich aus dem Hauptvertrag.

    Der Auftragsverarbeiter hat während der Aufbewahrungsfrist die Daten unter strikter Einhaltung des Art. 32 DSGVO vor unbefugter Einsicht gesichert aufzubewahren.

    Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen bzw. zu vernichten. Diese Verpflichtung erfasst automationsunterstützt und manuell verarbei-tete Daten gleichermaßen. Der VA ist über die erfolgte Löschung bzw. Vernichtung der Daten schriftlich zu informieren.

    Sofern gesetzliche Regelungen (z.B. arbeits-, sozial-, steuerrechtliche Bestimmungen, Ärztegesetz) eine längere Aufbewahrungsfrist festlegen, wird die Pflicht zur Vernich-tung der davon erfassten Daten mit Ablauf dieser gesetzlichen Fristen schlagend.

    11. Kontrolle durch den VA

    (Art. 28 Abs 3 lit h DSGVO)
    Der Auftragsverarbeiter verpflichtet sich, dem VA alle erforderlichen Informationen zum Nachweis der Einhaltung der im Artikel 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen — einschließlich Inspektionen –, die vom VA oder einem anderen von diesem beauftragten Prüfer oder vom Auftraggeber des VA durchgeführt werden, zu ermöglichen und dazu beizutragen.

    12. Auflagen

    Der Auftragsverarbeiter hat etwaige ihn ganz oder teilweise betreffende Auflagen der Datenschutzbehörde (DSB) zu erfüllen. Eine Weigerung, den einschlägigen Auflagen der DSB nachzukommen, stellt für den VA einen Grund zur Auflösung des dieser Vereinbarung zu Grunde liegenden Hauptvertrages aus wichtigem Grund dar.

    Die Datenschutzvereinbarung ist bei Änderungen des dieser Vereinbarung zu Grunde liegenden Hauptvertrages sowie bei gesetzlichen oder unionsrechtlichen Änderungen entsprechend anzupassen.

    13. Anzuwendendes Recht

    Diese Vereinbarung ersetzt alle allfälligen früheren Datenschutzvereinbarungen. Sie unterliegt österreichischem Recht unter Ausschluss des UN-Kaufrechts sowie der Verweisnormen. Für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung werden die sachlich zuständigen Gerichte in Wien vereinbart.

    14. Salvatorische Klausel

    Sollten Bestimmungen dieser Vereinbarung ungültig sein oder ungültig werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen. Die Vertragsparteien werden sich bemühen, die ungültige Regelung durch eine solche zu ersetzen, die dem Zweck der ungültigen Regelung in rechtskonformer Weise am nächsten kommt.

    Verantwortlicher: Mario Röder
    Digital-Workshop
    Auftragsverarbeiter

    Wien, am 18/07/2019

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.