Termin Buchen

Auftragsdatenverarbeitung

PDF Download

BytePeak Consulting GmbH
Stand: 15. Februar 2025

1. Auftragsdatenverarbeitung

1.1     Dieser Auftragsdatenverarbeitungsvertrag regelt die datenschutzrechtlichen Verpflichtungen der BytePeak Consulting GmbH als Auftragnehmer:in bzw. als Auftragsverarbeiter:in und ihrem/ihrer Auftraggeber:in als Verantwortlicher iSd DSGVO.

1.2     Die Vereinbarungen dieses Vertrages gelten als Zusatzvereinbarung zum Vertrag. Die Dauer dieser Vereinbarung ist auf den Hauptvertrag beschränkt, wogegen die Pflichten darüber hinaus gelten.

1.3     Der/die Auftragnehmer:in verarbeitet im Rahmen der Leistungserbringung unter Umständen auch Daten von Kunden des/der Auftraggeber:in (im Folgenden „Endkunden“), sowie allenfalls personenbezogene Daten von Mitarbeitern des/der Auftraggeber:in.

2. Kategorien von Daten

2.1     Kategorien derart verarbeiteter Daten sind sämtliche folgenden Daten:

– Personendaten: Name, Anschrift, Geburtsdatum

3. Kategorien betroffener Personen

3.1     Betroffene Personen sind:

– Endkunden im Vorvertrags- und Vertragsstadium

– Mitarbeiter des AG

4. Rechte und Pflichten der Vertragsparteien

4.1     Der/die Auftragnehmer:in darf personenbezogene Daten ausschließlich auf dokumentierte Weisung des/der Auftraggeber:in verarbeiten, es sei denn, dass er nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

4.2     Der/die Auftragnehmer:in informiert die/den Verantwortliche:n unverzüglich, falls Grund zur Annahme besteht, dass eine Weisung des/der Auftraggeber:in gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt. Er informiert den/die Auftraggeber:in unverzüglich über allfällige Hausdurchsuchungen bei dem/der Auftragnehmer:in oder am Ort der Datenspeicherung des/der Auftragnehmer:in.

4.3     Nach Möglichkeit unterstützt der/die Auftragnehmer:in den/die Auftraggeber:in mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen (Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierter Entscheidung). Wenn eine betroffene Person einen Antrag an den/die Auftraggeber:in stellen sollte, so wird dieser Antrag an den/die Auftragnehmer:in weitergeleitet.

4.4     Unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen unterstützt der/die Auftragnehmer:in den/die Auftraggeber:in bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen).

4.5     Auf Ansuchen des/der Auftraggeber:in stellt der/die Auftragnehmer:in alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 DSGVO („Auftragsverarbeitung“) niedergelegten Pflichten zur Verfügung. Auf Wunsch ermöglicht der/die Auftragnehmer:in auch Überprüfungen – einschließlich Inspektionen, die von dem/der Auftraggeber:in durchgeführt werden. Den/die Auftraggeber:in trifft die Pflicht, in regelmäßigen Abständen zu prüfen, ob durch geeignete technische und organisatorische Maßnahmen des/der Auftragnehmer:in ein angemessenes Datenschutzniveau gewährleistet ist.

4.6     Der/die Auftragnehmer:in verpflichtet sich dazu, bei Vorliegen der Bedingungen gemäß Artikel 37 DSGVO einen Datenschutzbeauftragten zu bestellen.

4.7     Der/die Auftragnehmer:in ist zur vertraulichen Behandlung der offengelegten bzw. übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. Ebenso sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst.

5. Verschwiegenheit

5.1     Die in den AGB des/der Auftragnehmer:in vereinbarte Geheimhaltungspflicht erstreckt sich auch auf die gegenständliche Datenverarbeitung und sämtliche datenverarbeitende Personen.

6. Technische und organisatorische Maßnahmen

6.1     Der/die Auftragnehmer:in sichert das Vorliegen folgender technischer und organisatorischer Maßnahmen im eigenen Betrieb zu:

• Zutrittskontrolle: Kontrolle des Zutritts zu Räumlichkeiten des Betriebs unter anderem durch geregelte Schlüsselverwaltung, Sicherheitstüren bzw. Alarmanlagen,

• Zugangskontrolle: Kontrolle des Zugangs zu Datenverarbeitungssystemen (zB: Kennwörter, Fingerabdruckscan und Virtual Private Network (VPN)).

• Zugriffskontrolle: Kontrolle des Zugriffs auf Daten innerhalb des Systems durch ein Berechtigungssystem samt Protokollierung der Zugriffe.

• Schutz der Daten: Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlusts von personenbezogenen Daten durch moderne Backup- und Aktualisierungskonzepte, Firewalls und Virensoftware.

• Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung.

• Eingabekontrolle: Sämtliche Eingaben werden auf Basis einer Dokumentations-Richtlinie nachvollziehbar protokolliert.

• Verfügbarkeit/Wiederherstellbarkeit: Die Wiederherstellung z.B. aufgrund technischer Gebrechen verlorener oder zerstörter Daten ist aufgrund entsprechender Wiederherstellungs-Konzepte innerhalb kürzester Zeit möglich.

• Löschfristen: Bei jeder Datenübertragung sind Löschfristen verpflichtend zu hinterlegen. Die Löschung wird nach Ablauf der Frist automatisch vollzogen.

• Datenschutz-Managementsystem (DSMS): Das bestehende Datenschutzsystem wird laufend evaluiert und angepasst.

7. Sub-Auftragsverarbeitung

7.1     Der/die Auftragsverarbeiter:in informiert der/die Verantwortliche über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter oder Sub- Auftragsverarbeiter (im Folgenden zusammen „Sub-Auftragsverarbeiter“), wodurch der/die Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben und die Hinzuziehung oder die Ersetzung zu untersagen. Erhebt der/die Verantwortliche innerhalb von zwei Wochen keinen Einspruch, so gilt die Hinzuziehung oder Ersetzung als genehmigt.

7.2     Nimmt der/die Auftragsverarbeiter:in einen anderen Sub-Auftragsverarbeiter in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des/der Verantwortlichen auszuführen, so werden diesem Sub-Auftragsverarbeiter im Wege eines Vertrages dieselben Datenschutzpflichten auferlegt, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen des anwendbaren Datenschutzrechts erfolgt.

7.3     Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der/die Auftragsverarbeiter:in gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

8. Erfüllung DSGVO

8.1     Der/die Auftragnehmer:in hat gemäß Artikel 32 DSGVO alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung umgesetzt und passt diese an den technologischen Wandel bzw. an neue Erkenntnisse im Sinne eines selbstlernenden Datenschutzmanagementsystems an.

8.2     Der/die Auftragnehmer:in hat ein Verarbeitungsverzeichnis gemäß Artikel 30 DSGVO sowie eine Datenschutzfolgenabschätzung erstellt und hält dieses stets aktuell. Dieses Verarbeitungsverzeichnis umfasst auch alle Verarbeitungstätigkeiten der gegenständlichen Vereinbarung.

9. Überprüfung

9.1     Der/die Auftragsverarbeiter:in stellt dem/der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die von dem/der Verantwortlichen oder einem anderen von diesem beauftragten Prüfer:in durchgeführt werden. Hierfür gebührt dem/der Auftragsverarbeiter:in kein zusätzliches Entgelt.

9.2     Wird im Rahmen einer Überprüfung eine Verletzung dieses Vertrages durch den/die Auftragsverarbeiter:in festgestellt, so hat der/die Auftragsverarbeiter:in die Kosten des Verantwortlichen für die Durchführung der Überprüfung zu tragen.

10. Löschung

10.1    Sofern personenbezogene Daten nach Vertragsbeendigung noch bei dem/der Auftragnehmer:in gespeichert sind und falls keine rechtliche Verpflichtung zur weiteren Aufbewahrung oder Verarbeitung besteht, werden diese sofort gelöscht.

Linkedin Facebook Instagram

Vorsprung durch digitale Exzellenz.​

Copyright © BytePeak Consulting GmbH

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir Cookies verwenden.

Mehr erfahren
OK