Auftragsverarbeitungsvertrag

Allgemeine Angaben

Vertragsparteien

1. Zweck, Gegenstand und Dauer der Verarbeitung

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen zur Erbringung der vertraglich vereinbarten Leistungen, insbesondere Webdesign, technische Umsetzung, Wartung, Hosting, Support und Betreuung.
2. Gegenstand, Art und Zweck der Verarbeitung sowie Kategorien betroffener Personen und Daten ergeben sich aus Anlage 1 dieses Vertrags.
3. Die Verarbeitung beginnt mit dem Zeitpunkt, zu dem der Auftragsverarbeiter Zugriff auf personenbezogene Daten erhält, zum Beispiel durch Admin-Zugang, Datenbankzugriff, Formularzugriff, Backup-Zugriff oder Hosting-Zugriff.
4. Die Verarbeitung endet grundsätzlich mit Beendigung des zugrunde liegenden Vertragsverhältnisses, soweit keine gesetzlichen Pflichten oder berechtigten Gründe einer sofortigen Löschung entgegenstehen.

2. Weisungsgebundenheit

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
2. Weisungen bedürfen der Textform. Textform umfasst insbesondere E-Mail.
3. Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er den Verantwortlichen unverzüglich.
4. Der Auftragsverarbeiter ist nicht verpflichtet, eine rechtliche Prüfung der Weisungen vorzunehmen.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere dazu:

• personenbezogene Daten ausschließlich im Rahmen dieses Vertrags und nach Weisung zu verarbeiten
• Vertraulichkeit zu gewährleisten
• geeignete technische und organisatorische Maßnahmen umzusetzen
• Zugriffe auf personenbezogene Daten auf das erforderliche Maß zu beschränken
• Sicherheitsvorfälle unverzüglich, spätestens binnen 48 Stunden nach Bekanntwerden, zu melden
• den Verantwortlichen im Rahmen der technischen Möglichkeiten bei Betroffenenrechten zu unterstützen
• personenbezogene Daten nach Vertragsende gemäß den Regelungen dieses Vertrags zu löschen oder zurückzugeben

Eine rechtliche Beratung oder Prüfung der datenschutzrechtlichen Zulässigkeit einzelner Maßnahmen erfolgt durch den Auftragsverarbeiter nicht.

4. Pflichten des Verantwortlichen

Der Verantwortliche ist allein verantwortlich für:

• die Rechtmäßigkeit der Datenerhebung
• das Vorliegen geeigneter Rechtsgrundlagen
• erforderliche Einwilligungen
• Informationspflichten gegenüber betroffenen Personen
• die Auswahl und rechtliche Bewertung eingesetzter Tools
• Inhalte der Website, insbesondere Impressum, Datenschutzerklärung und Cookie-Hinweise
• Konfiguration und rechtliche Bewertung von Cookie-, Tracking- und Analyse-Tools

Tracking- oder Analyse-Tools, zum Beispiel Google Analytics, werden ausschließlich auf Weisung des Verantwortlichen implementiert.

5. Unterauftragsverarbeiter

1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.
2. Unterauftragsverarbeiter dürfen eingesetzt werden, soweit dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
3. Der Auftragsverarbeiter stellt sicher, dass mit eingesetzten Unterauftragsverarbeitern geeignete Datenschutzvereinbarungen bestehen, soweit dies gesetzlich erforderlich ist.

Typische Unterauftragsverarbeiter oder eingebundene technische Dienstleister können insbesondere sein:

• Hosting-Provider, zum Beispiel Hostinger oder andere vom Kunden gewählte Anbieter
• Rechenzentrumsbetreiber
• WordPress-Plugin- und Theme-Anbieter, zum Beispiel Elementor
• Google-Dienste, sofern vom Verantwortlichen gewünscht oder aktiviert
• Analyse-, Cookie- oder Marketing-Tools auf Weisung des Verantwortlichen
• sonstige Drittanbieter-Tools, die zur Umsetzung des Projekts erforderlich oder vom Verantwortlichen gewünscht sind

6. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittstaaten erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, zum Beispiel durch einen Angemessenheitsbeschluss, geeignete Garantien oder EU-Standardvertragsklauseln.

Die Verantwortung für die rechtliche Bewertung eingesetzter Drittland-Tools liegt beim Verantwortlichen, sofern diese Tools auf dessen Weisung eingesetzt werden.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Details ergeben sich aus Anlage 2.

• passwortgeschützte Benutzerkonten
• aktivierte Geräteverschlüsselung, soweit verfügbar
• aktiver Virenschutz
• regelmäßige Sicherheitsupdates
• Zugriff nur nach dem Need-to-know-Prinzip
• keine Speicherung personenbezogener Daten in öffentlichen Cloud-Diensten ohne Vereinbarung
• projektbezogene Trennung von Kundendaten
• regelmäßige Löschung nicht mehr benötigter Backups und Datenbestände

8. Datenschutzverletzungen

1. Der Auftragsverarbeiter meldet dem Verantwortlichen Datenschutzverletzungen ohne unangemessene Verzögerung, spätestens binnen 48 Stunden nach Bekanntwerden.
2. Die Meldung enthält, soweit möglich, Art des Vorfalls, betroffene Datenarten, Anzahl betroffener Personen, wahrscheinliche Folgen und bereits ergriffene oder vorgeschlagene Maßnahmen.
3. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen der technischen Möglichkeiten bei der Erfüllung gesetzlicher Meldepflichten.

9. Betroffenenrechte

1. Erkennt der Auftragsverarbeiter Anfragen betroffener Personen, leitet er diese unverzüglich an den Verantwortlichen weiter.
2. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen der technischen Möglichkeiten bei der Bearbeitung von Betroffenenrechten.
3. Eine eigenständige rechtliche Beantwortung von Betroffenenanfragen erfolgt durch den Auftragsverarbeiter nicht.

10. Löschung und Rückgabe

1. Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen.
2. Backups werden im üblichen technischen Turnus überschrieben.
3. Technisch bedingte Restbestände werden auf das erforderliche Mindestmaß reduziert.
4. Eine weitergehende technische Unterstützung, insbesondere umfangreiche Exporte, Sonderaufbereitungen oder Migrationen, kann nach Aufwand verrechnet werden, sofern sie nicht bereits vertraglich vereinbart ist.

11. Kontrollrechte und Audit

1. Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags in angemessenem Umfang zu überprüfen.
2. Audits erfolgen nach vorheriger Ankündigung mit einer Frist von mindestens 10 Werktagen und unter angemessener Berücksichtigung des Geschäftsbetriebs des Auftragsverarbeiters.
3. Der Auftragsverarbeiter kann geeignete Nachweise bereitstellen, zum Beispiel TOM-Dokumentation oder sonstige relevante Informationen.
4. Vor-Ort-Audits sind auf notwendige Fälle zu beschränken.
5. Unterstützungsleistungen außerhalb des vereinbarten Leistungsumfangs können nach Aufwand verrechnet werden.

12. Vergütung

Unterstützungsleistungen außerhalb des vereinbarten Leistungsumfangs, insbesondere umfangreiche Exporte, Sonderauswertungen, erweiterte Audit-Unterstützung, Datenaufbereitungen oder technische Sondermaßnahmen, können nach Aufwand verrechnet werden.

13. Rangfolge

Dieser Auftragsverarbeitungsvertrag geht datenschutzrechtlich widersprechenden Regelungen aus dem Hauptvertrag vor. Im Übrigen gelten die AGB und individuellen vertraglichen Vereinbarungen fort.

14. Schlussbestimmungen

1. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform.
2. Es gilt österreichisches Recht.
3. Gerichtsstand ist, soweit zulässig, der Sitz des Auftragsverarbeiters.
4. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 1: Gegenstand, Art und Zweck der Verarbeitung

Anlage 2: Technische und organisatorische Maßnahmen