Rahmenvertrag Auftragsverarbeitung



Rahmenvertrag zur Auftragsverarbeitung

gemäß DSGVO

 

von Hycom Data Lackner & Lackner OG, im Folgenden kurz Hycom Data genannt.

 

1. Auftragsverarbeitung.

1.1. Geltung. Für den Fall, dass Hycom Data im Verhältnis zum Auftraggeber datenschutzrechtlich als Auftragsverarbeiterin zu qualifizieren ist, tritt dieser Rahmenvertrag automatisch in Kraft.

1.2. Verarbeitung, Daten, Betroffene. Gegenstand (z.B. Newsletterversand), Zweck (z.B. Versand von Werbe-E-Mails), Art (mit einem Versandtool) und Dauer (befristet, unbefristet) der Verarbeitung, die Art der personenbezogenen Daten (z.B. Kontaktdaten) sowie die Kategorien betroffener Personen (z.B. Mitarbeiter, Interessenten, Kunden, Lieferanten, Websitebesucher) ergeben sich aus der schriftlichen Leistungsbeschreibung von Hycom Data.

1.3. Standardverarbeitungstätigkeiten. Für den Fall, dass die vertragsgegenständlichen Verarbeitungstätigkeiten

  • nur im geringen Ausmaß personenbezogene Daten über Strafdaten und strafrechtliche Verurteilungen bzw. besondere Kategorien von personenbezogenen Daten beinhalten und
  • auch sonst nur kein oder nur ein geringes Risiko aufweisen und
  • von Hycom Data für die jeweilige Verarbeitungstätigkeit technische und organisatorische Standardmaßnahmen vordefiniert sind,

liegt eine Standardverarbeitungstätigkeit vor.

Für die jeweiligen Standardverarbeitungstätigkeiten gelten die technischen und organisatorischen Standardmaßnahmen, welche in der jeweils gültigen Fassung unter www.hycom-data.at/tom/ zu finden sind.

1.4. Spezielle Verarbeitungstätigkeiten. Für alle anderen Verarbeitungstätigkeiten sind technische und organisatorische Spezialmaßnahmen zur Erzielung hinreichender Garantien zum Schutz der Daten zu vereinbaren.

1.5. Verantwortlicher. In jedem Fall obliegt es dem Auftraggeber als datenschutzrechtlich Verantwortlichen, den Inhalt der vertragsgegenständlichen Verarbeitung personenbezogener Daten, die sich daraus ergebenden Risiken, die beauftragten Verarbeitungsvorgänge und das benötigte Schutzniveau vorzugeben.

1.6. Hinreichende Garantien. Die technischen und organisatorischen Maßnahmen wurden dem Auftraggeber mitgeteilt, von diesem überprüft und als hinreichende Garantien abgenommen.

1.7. Evaluierung und Aktualisierung. Soweit dies, z.B. im Rahmen eines Wartungsvertrages, schriftlich vereinbart ist, hat Hycom Data diese Maßnahmen im angemessenen Ausmaß zu evaluieren und zu aktualisieren. Ansonsten ist der Auftraggeber für die Evaluierung und Aktualisierung der Maßnahmen verantwortlich.

Die jeweils aktuellen technischen und organisatorischen Standardmaßnahmen sind auf der Website von Hycom Data zu finden. Der Auftraggeber hat diese in geeigneten Abständen zu überprüfen und abzunehmen.

Darüber hinausgehende Spezialmaßnahmen werden dem Auftraggeber von im Fall der späteren Aktualisierung zumindest einmal jährlich zur Überprüfung und Abnahme übermittelt.

 

2. Besondere Bestimmungen

2.1. Rechtskonformität. Es sind insbesondere Artikel 28 Absätze 2, 3 und 4 DSGVO sowie die darin enthaltenen Verweisungen zu beachten.

2.2. Weisungsgebundenheit. Hycom Data verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem Hycom Data unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt Hycom Data dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.3. Einbindung der Mitarbeiter. Hycom Data gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

2.4. Technische und organisatorische Maßnahmen. Hycom Data ergreift alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen.

2.5. Betroffenenrechte. Hycom Data unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

2.6. Sicherheit der Verarbeitung. Hycom Data unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

2.7. Abschluss der Verarbeitung. Hycom Data hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

2.8. Nachweis- und Informationspflicht. Hycom Data stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, bei. Hycom Data informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

2.9. Subunternehmer. Hycom Data ist generell berechtigt, zur Verarbeitung der personenbezogenen Daten weitere Subunternehmer als Auftragsverarbeiter zu beschäftigen. Die Heranziehung von Subunternehmern ist jedoch in jedem Einzelfall dem Verantwortlichen so zeitgerecht mitzuteilen, dass dieser dagegen Einspruch erheben kann. Nimmt Hycom Data die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auferlegt, die in dem Vertrag zwischen dem Verantwortlichen und Hycom Data festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet Hycom Data gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

 

3. Schlussbestimmungen.

3.1. AGB. Es gelten die Allgemeinen Geschäftsbedingungen von Hycom Data.