Internetdienstleistungen Auftragsdatenverarbeitung gemäß Art. 28 DSGVO

  • Home
  • Internetdienstleistungen Auftragsdatenverarbeitung gemäß Art. 28 DSGVO

1. Definitionen

Hauptvertrag ist jenes Vertragsverhältnis zwischen Auftragnehmer und Auftraggeber, abgeschlossen auf Basis des aufrechten Kundenvertrags und der AGB des Auftragnehmers, über die Erbringung von IT-Dienstleistungen durch den Auftragnehmer und den Bezug dieser Dienstleistungen durch den Auftraggeber.

Personenbezogene Daten sind gemäß Art. 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Datenverarbeitung ist gemäß Art. 4 Z 2 DSGVO jeder Vorgang zur Verarbeitung personenbezogener Daten (mit oder ohne Hilfe automatisierter Verfahren), durch den Auftragnehmer oder Dritte im Auftrag des Auftraggebers.

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist der Auftraggeber.

Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO ist der Auftragnehmer.

Weisung ist eine schriftliche Anordnung des Auftraggebers bezüglich eines konkreten Umgangs (z.B. Herausgabe, Anonymisierung, Sperrung, Löschung, etc.) mit personenbezogenen Daten, welche sich an den Auftragnehmer richtet.

 

2. Vertragsgegenstand, Weisungen und Dauer des Vertrags

Gegenstand des Vertrags sind jene Arbeiten, die vom Auftragnehmer im Zusammenhang mit den durch den Auftraggeber vom Auftragnehmer bezogenen und vom Auftragnehmer an den Auftraggeber erbrachten Dienstleistungen vorgenommen werden, bei welchen Mitarbeiter oder beauftragte Dritte des Auftragnehmers mit Daten des Auftraggebers in Berührung kommen können. Dies gilt für folgende Dienstleistungen:

  • Shared Webhosting-Dienstleistungen

  • Shared E-Mail-Server-Dienstleistungen

  • Betrieb, Hosting und Verwaltung von virtuellen Server-Systemen

  • Registrierung und Verwaltung von Domains

  • Beantragung, Ausstellung, Installation und Verwaltung von SSL-Zertifikaten

  • Transfer von Website-Inhalten, Mailbox-Inhalten und Datenbanken von Drittanbietersystemen

  • sonstige Dienstleistungen, welche auf Basis einer vertraglichen Vereinbarung erbracht/bezogen werden

    Der Auftragnehmer verarbeitet hierbei personenbezogene Daten des Auftraggebers, welche notwendig sind, um die Dienstleistungen zu erbringen. Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen gemäß Art. 24 DSGVO verantwortlich. Insbesondere für die Rechtmäßigkeit der ursprünglichen Datenerhebung, der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung. Die Art der Daten sowie die von der Datenverarbeitung Betroffenen werden vom Auftraggeber vollständig benannt.

    Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können danach vom Auftraggeber auf schriftliche Einzelweisungen hin geändert werden. Sollten diese Einzelweisungen über das vertraglich vereinbarte Ausmaß von Dienstleistungen hinausgehen, werden diese als Leistungsänderung (Bestellung) behandelt. Hierfür anfallende Kosten werden vom Auftragnehmer benannt und sind vom Auftraggeber zu tragen.

    Der Vertrag tritt mit Unterzeichnung in Kraft und wird analog zum Hauptvertrag auf unbestimmte Dauer abgeschlossen (unbefristete Laufzeit). Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
    Ist das Ende des Hauptvertrags zum Zeitpunkt des Vertragsabschlusses zeitlich bestimmt, so endet auch dieser Vertrag automatisch mit Ende des Hauptvertrags und wird im Falle einer Verlängerung automatisch mit diesem verlängert. Der Vertrag endet jedoch jedenfalls mit dem Ende des Hauptvertrags oder aufgrund einer ordentlichen Kündigung durch den Auftraggeber oder den Auftragnehmer. Für Kündigungen gilt die Schriftform als vereinbart.

 

3. Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden durch den Auftragnehmer ausschließlich innerhalb der EU bzw. des EWR durchgeführt. Serverstandort ist Wien, Österreich. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

 

4. Pflichten des Auftragnehmers

4.1. Der Auftragnehmer darf die personenbezogenen Daten, deren Umfang vom Auftraggeber konkretisiert ist, nur im Rahmen des Auftrags und der Weisungen des Auftraggebers verarbeiten. Der Auftragnehmer verwendet die personenbezogenen Daten ausschließlich für die Zwecke, welche im Vertrag festgelegt wurden. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
4.2. Erhält der Auftragnehmer einen behördlichen Auftrag (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden), Daten des Auftraggebers herauszugeben, so hat er (sofern gesetzlich zulässig) den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen.
4.3. Der Auftragnehmer trifft branchenübliche technisch-organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten und den besonderen Anforderungen des Datenschutzes, gemäß Art. 32ff DSGVO, gerecht zu werden. Hierbei werden besonders der Stand der Technik, die Art, der Umfang und der Zweck der Daten, die Schwere möglicher Risiken in Bezug auf die Rechte und Freiheiten natürlicher Personen, sowie die Vertraulichkeit und Verfügbarkeit der Systeme berücksichtigt (Art. 32 Abs. 1 DSGVO). Änderungen der Sicherheitsmaßnahmen bleiben dem Auftragnehmer vorbehalten, wobei diese nicht das vereinbarte Schutzniveau unterschreiten dürfen. Die Maßnahmen zur Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme können dem Dokument „TOM“ im Detail entnommen werden. Dem Auftraggeber sind die technischen und organisatorischen Maßnahmen somit bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
4.4. Der Auftragnehmer stellt sicher, dass Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (Art. 32 Abs. 4 DSGVO). Außerdem gewährleistet der Auftragnehmer, dass alle Personen die zur Verarbeitung von persönlichen Daten befugt sind, zur Vertraulichkeit verpflichtet sind, wie dies in §48 DSAG 2018, Abs. 3 Z 2 vorgesehen ist. Der Auftragnehmer erklärt dazu, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
4.5. Der Auftragnehmer verständigt im Falle des Bekanntwerdens einer Verletzung des Schutzes der personenbezogenen Daten, welche ein hohes Risiko für die persönlichen Rechte und Freiheiten Betroffener zur Folge haben könnten, unverzüglich den Auftraggeber (Art. 34 DSGVO).
4.6. Der Auftragnehmer nennt dem Auftraggeber auf Anfrage einen Ansprechpartner (Datenschutzkoordinator) für auftretende Datenschutzfragen im Rahmen des Vertrages.
4.7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. durch Selbstaudits) anzuwenden.
4.8. Der Auftragnehmer berichtigt, löscht oder sperrt vertragsgegenständliche Daten, wenn dies der Auftraggeber anweist und dies vom Weisungsrahmen umfasst ist.
4.9. Sofern im Hauptvertrag die regelmäßige Erstellung von Backups vereinbart wurde, verpflichtet sich der Auftraggeber zur regelmäßigen (z.B. täglichen) Erstellung von Datensicherungen, welche für den vereinbarten Zeitraum (z.B. sieben Tage) gespeichert werden. Der Auftragnehmer ist berechtigt, jedoch nicht verpflichtet, zur Erfüllung allfälliger nachvertraglicher Sorgfaltspflichten, bei der Löschung von Dienstleistungen (z.B. Shared Webhosting- oder Shared E-Mail-Server-Dienstleistungen) ein Löschbackup zu erstellen und dieses für einen Zeitraum von bis zu sechs Monaten sicher aufzubewahren. Backups sind vom Auftragnehmer spätestens nach Ablauf von sechs Monaten zu löschen. Auf schriftlichen Antrag des Auftraggebers und nach vollständiger Freistellung des Auftragnehmers von jeglichen nachvertraglichen Sorgfaltspflichten durch den Auftraggeber hat der Auftragnehmer Löschbackups zu löschen.
4.10. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinen Besitz gelangten Datenbestände, erstellte Verarbeitungsergebnisse sowie Unterlagen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu übergeben oder in dessen Auftrag zu löschen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.
4.11. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, falls er der Ansicht ist, dass eine Weisung des Auftraggebers gegen Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber geändert oder (durch Beleg) als rechtskonform bestätigt wird.
4.12. Kosten für Aufwendungen aufgrund von über die vertraglich vereinbarten Leistungen hinausgehenden Einzelweisungen des Auftraggebers werden vom Auftragnehmer vor Umsetzung solcher Weisungen genannt.

 

5. Pflichten des Auftraggebers

5.1. Der Auftraggeber ist verpflichtet, den Auftragnehmer im Falle eines Fehlers oder von Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen im Auftragsergebnis unverzüglich zu informieren.
5.2. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.
5.3. Der Auftraggeber ist sich der aus Art. 33, 34 DSGVO resultierenden Informationspflicht bewusst.
5.4. Es obliegt dem Auftraggeber, Sicherungskopien der Daten zu erstellen und diese umzuziehen, da diese nach Ende des Vertrages gelöscht werden. Der Auftrag zur Datenlöschung gilt bei Kündigung durch den Auftraggeber als erteilt, sofern der Auftraggeber hierzu keine anderslautende Weisung erteilt.
5.5. Kosten für die Umsetzung von Weisungen und Aufträgen an den Auftragnehmer sind vom Auftraggeber zu tragen.
5.6. Der Auftraggeber wird dem Auftragnehmer allfällige Aufwendungen aus Ansprüchen Betroffener auf Basis des Art. 82 DSGVO ersetzen. Dies schließt Gerichtskosten und alle Kosten in Verbindung mit einer gerichtlichen Verfahrensführung (rechtliche Vertretung, Gutachterkosten, Fahrtkosten, Zeitversäumnis, etc.) und Schadensersatzzahlungen mit ein.
5.7. Der Auftraggeber stimmt der Speicherung seiner Kontaktdaten und aller Details dieser vertraglichen Vereinbarung im Verarbeitungsverzeichnis gemäß Art. 30 DSGVO des Auftragnehmers ausdrücklich zu.
5.8. Der Auftraggeber verpflichtet sich dem Auftragnehmer Änderungen seiner Kontaktdaten unverzüglich mitzuteilen.
5.9. Der Auftraggeber benennt Weisungsbefugte natürliche Personen gegenüber dem Auftragnehmer schriftlich.

 

6. Anfragen Betroffener

6.1. Wendet sich ein Betroffener mit dem Wunsch auf Auskunft oder einer Forderung zur Berichtigung oder Löschung von personenbezogenen Daten an den Auftraggeber, so wird der Auftragnehmer ihn dabei unterstützen. Voraussetzung dafür ist eine Weisung vom Auftraggeber an den Auftragnehmer. Der Auftraggeber ist verpflichtet, dem Auftragnehmer die dadurch entstandenen Bearbeitungskosten zu erstatten.
6.2. Wendet sich ein Betroffener mit Forderungen zur Berichtigung oder Löschung oder mit einem Ersuchen um Auskunft direkt an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist.
6.3. Der Auftragnehmer haftet nicht, wenn Ersuchen Betroffener gemäß 6.1. und 6.2. vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet werden.

 

7. Kontrollpflichten

7.1. Der Auftragnehmer ist auf Weisung des Auftraggebers verpflichtet, diesem Auskünfte und Nachweise, die zur Durchführung der Kontrolle der technischen und organisatorischen Maßnahmen dienen, zur Verfügung zu stellen.
7.2. Der Auftraggeber kann sich auf seine Kosten jederzeit, auch bereits vor der Aufnahme der Datenverarbeitung und sodann regelmäßig, über die technischen und organisatorischen Maßnahmen des Auftragnehmers informieren und diese prüfen. Prüfungen sind grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Diese sind während der Geschäftszeiten, ohne Störung des Betriebsablaufs vorzunehmen und terminlich zu vereinbaren. In jedem Fall muss ein Mitarbeiter des Auftragnehmers anwesend sein. Jeder Schritt einer Prüfung ist mit diesem Mitarbeiter abzuklären. Weiters ist es dem Auftraggeber gestattet, die Prüfung durch einen sachkundigen Dritten durchführen zu lassen, sofern dieser in keinem Wettbewerbsverhältnis zum Auftragnehmer steht und der Prüfer eine Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen unterzeichnet. Alle Kosten des Auftragnehmers (inkl. jene für den beizustellenden Mitarbeiter) sind durch den Auftraggeber zu tragen.
7.3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Prüfung vornehmen, gilt grundsätzlich Punkt 7.2. entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichts- behörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

 

8. Subunternehmen

8.1. Der Auftragnehmer kann Sub-Auftragsverarbeiter zur unmittelbaren Erbringung der Hauptdienstleistung hinzuziehen. Die Auslagerung auf Sub- Auftragsverarbeiter und künftige Wechsel solcher Sub-Auftragsverarbeiter sind zulässig, soweit der Auftragnehmer dies dem Auftraggeber eine angemessene Zeit vorab anzeigt oder in Anhang 2 ausweist, der Auftraggeber nicht gegenüber dem Auftragnehmer schriftlich Einspruch gegen die Auslagerung erhebt und die erforderlichen Vereinbarungen zwischen dem Auftragnehmer und dem Sub-Auftragsverarbeiter gemäß des Art. 28 Abs. 4 DSGVO abgeschlossen werden. Dabei ist vom Auftragnehmer sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen.
Legt der Auftraggeber schriftlich Einspruch gegen eine Auslagerung ein, wird dies als ordentliche Kündigung mit Wirksamkeit zum nächstmöglichen Termin gewertet. Der Auftraggeber wird dann ab Wirksamwerden der Auslagerung bis zum Vertragsende die Verarbeitung durch den Sub- Auftragsverarbeiter dulden oder keine personenbezogenen Daten mehr über den Auftragnehmer verarbeiten.
8.2. Wenn der Auftragnehmer Nebenleistungen, wie beispielsweise externes Personal, Post- und Versanddienstleistungen, Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer, die Entsorgung von Datenträgern, Wartung der Infrastruktur etc. bei Subunternehmen in Auftrag gibt, liegt hierbei kein zustimmungspflichtiges Subunternehmerverhältnis vor. Es erfolgt keine explizite Nennung. Der Auftragnehmer wird bei solchen Subunternehmern Maßnahmen zur Gewährleistung des Datenschutzes treffen.

 

9. Schlussbestimmungen

9.1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch jegliche Ereignisse gefährdet werden, so hat dieser den Auftraggeber unverzüglich zu informieren und die vorgesehene Meldung gemäß Art. 33 DSGVO durchzuführen.
9.2. Jegliche Änderungen und Ergänzungen dieses Vertrages und dessen Anhängen sind ausschließlich durch schriftliche Vereinbarung und den ausdrücklichen Hinweis darauf, dass eine Änderung bzw. Ergänzung vorgenommen wird, zulässig. Änderungen, Streichungen und Ergänzungen am Vertragstext sind außerhalb der dafür vorgesehenen Eingabemöglichkeiten unwirksam.
9.3. Bei Widersprüchen dieses Vertrags und des Hauptvertrags gehen im Hinblick auf den Datenschutz Regelungen aus diesem Vertrag vor. Bei anderen Regelungen haben Bestimmungen des Hauptvertrags Vorrang.
9.4. Auftraggeber und Auftragnehmer sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des jeweils anderen Vertragspartners, auch über die Beendigung des Vertragsverhältnisses hinaus, als vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch den anderen Vertragspartner als vertraulich zu behandeln.
9.5. Es obliegt dem Auftraggeber für die Umsetzung von Web-Projekten und -Anwendungen ausschließlich aktuelle Software-Versionen und Software zu verwenden. Wird hingegen vom Auftraggeber (ggf. auch durch den Auftragnehmer zur Verfügung gestellte) Alt-Software („Legacy-Software“) verwendet, erlischt diese Vereinbarung aufgrund nicht mehr zu gewährleistender Anwendungssicherheit automatisch. Der Auftraggeber wird solche Software erst bzw. nur nutzen, wenn er keine Verarbeitung von personenbezogenen Daten (mehr) vornimmt.
9.6. Sollten einzelne Teile dieses Vertrags unwirksam sein, so gilt dies nicht für den Rest des Vertrags.
9.7. Die definierten technischen und organisatorischen Maßnahmen unterliegen einem regelmäßigen Evaluierungsprozess. Verbindlich ist jeweils die aktuellste Fassung. Der Auftragnehmer stellt im Rahmen seiner Onlineangebote die jeweils aktuellste Fassung des Subauftragnehmer zur Verfügung. Eine Benachrichtigung des Auftraggebers durch den Auftragnehmer bei Verfügbarkeit einer aktualisierten Fassung erfolgt nicht. Der Auftraggeber wird regelmäßig prüfen, ob eine neue Fassung des Dokuments verfügbar ist. Dies wird der Auftraggeber entsprechend in seinem Verarbeitungsverzeichnis, seinem Datenschutz-Management-System oder in geeigneter Form dokumentieren und in Evidenz halten. Die Kenntnis der jeweils gültigen Fassung durch den Auftraggeber ist als gegeben anzusehen.
9.8. Im Übrigen gelten die allgemeinen Geschäftsbedingungen (AGB) des Auftragnehmers.
9.9. Auf dieses Vertragsverhältnis findet ausschließlich österreichisches Recht Anwendung, da die Datenverarbeitung beim Auftragnehmer ausschließlich in Österreich erfolgt.
9.10. Als Gerichtsstand wird das BG Korneuburg oder das am Sitz des Auftragnehmers zuständige Gericht vereinbart.