Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

§ 1 Präambel

Die Datenschutz-Grundverordnung („DSGVO“) verpflichtet Sie als Auftraggeber („verantwortliche Partei“) zum Abschluss einer Vereinbarung mit jedem Auftragnehmer („auftragsverarbeitende Partei“), der personenbezogene Daten für Sie verarbeitet.

Die gesetzlichen Rechte und Pflichten der verantwortlichen Partei und auftragsverarbeitenden Partei müssen gemäß DSGVO in einer Vereinbarung explizit genannt werden (Gegenstand und Zweck, Dauer und Ort der Verarbeitung, Art und Kategorien der personenbezogenen Daten, Vertraulichkeit, Sicherheitsmaßnahmen, Löschung, Aufsichtsrechte).

Zur Entsprechung dieser Anforderungen wird, ergänzend zum aufrechten Nutzungsvertrag zwischen der DRG Services GmbH (auftragsverarbeitende Partei gem. DSGVO) – im Folgenden DRG – und der gegenüber der DRG nutzungsberechtigten Partei (verantwortliche Partei gem. DSGVO) – im Folgenden Nutzer – diese Vereinbarung als integrierender Bestandteil des Nutzungsvertrages abgeschlossen.

Im Weiteren bezeichnet der Begriff

• A. „Produkte“ jegliche Software, welche der Nutzer von DRG bereits erworben hat, in Zukunft noch erworben wird oder nutzt, und zwar jeweils im Umfang der erworbenen Lizenzen.
• B. „DSGVO“ die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 (Datenschutz-Grundverordnung)

Bei Inanspruchnahme von Produkten der DRG werden im Bedarfsfall Daten des Nutzers einsichtig (z. B. im Rahmen der Azure AD-App-Registrierung, Dashboard-Nutzung, Reseller-/Xvantage-Integration) und/oder an die DRG übermittelt. Bei der Verarbeitung dieser Daten handelt es sich um eine vom Nutzer beauftragte Verarbeitung durch die DRG (Auftragsverarbeitung).

DRG ist berechtigt, diese Zusatzbedingungen für die Auftragsverarbeitung an geänderte rechtliche oder geschäftliche Rahmenbedingungen anzupassen (z. B. Änderung von Datenschutznormen, Änderung im Sortiment der angebotenen Dienstleistungen). Solche Änderungen sind dem Nutzer schriftlich, das heißt per Brief oder E-Mail kundzumachen und gelten als angenommen, sofern der Nutzer nicht binnen 4 Wochen ab Kundmachung widerspricht.

§ 2 Gegenstand und Zweck der Verarbeitung

1. Gegenstand der Verarbeitung sind ausschließlich jene Daten, welche für die Erfüllung des jeweiligen Verarbeitungsauftrages (z. B. Auswertung von Nutzerdaten zur Microsoft-365-Lizenz-Optimierung) erforderlich oder zweckdienlich sind. Es werden außer diesen Daten keine weiteren Daten verarbeitet.
2. DRG verarbeitet personenbezogene Daten nur nach der dokumentierten Weisung des Nutzers. Der Nutzer stimmt zu, dass der Nutzungsvertrag zusammen mit der Produktdokumentation und der Verwendung und Konfiguration der Features der Produkte durch den Nutzer die vollständigen und dokumentierten Weisungen des Nutzers gegenüber DRG in Bezug auf die Verarbeitung personenbezogener Daten oder die Dokumentation der Nutzung der Produkte durch den Nutzer darstellen. Produktdokumentation sowie Konfiguration der Features der Produkte stellen als Anlage einen integrierenden Bestandteil dieses Vertrages dar.
3. Zusätzliche oder andere Weisungen des Nutzers bedürfen einer Einigung nach Maßgabe des Verfahrens zur Änderung des Nutzungsvertrages.

§ 3 Dauer der Verarbeitung

Im Einzelfall einer Verarbeitung endet diese grundsätzlich mit Erfüllung des jeweiligen Einzelauftrages. Werden Daten an die DRG übertragen, so wird bereits beim Empfang der Daten die Aufbewahrungsdauer für diese Daten hinterlegt. Die Aufbewahrungsdauer beträgt standardmäßig ein Monat und kann auf höchstens ein Jahr ausgedehnt werden.

§ 4 Ort der Verarbeitung

Die Verarbeitung erfolgt zur Gänze innerhalb Österreichs. Ist der Nutzer außerhalb Österreichs ansässig, so erstreckt sich die Verarbeitung örtlich auch auf den Ansässigkeitsstaat des Nutzers, wobei ausschließlich Staaten innerhalb der EU/des EWR in Betracht kommen.

§ 5 Art der Verarbeitung

In der IT-Umgebung der DRG werden übertragene Daten in ein selbstentwickeltes System eingebunden. Dabei wird eine Aufbewahrungsdauer festgelegt. Ein Zugriff auf die eingebundenen Daten ist nur nach vorheriger Anmeldung möglich und wird protokolliert.

Weiteres hierzu in § 10 „Maßnahmen für die sichere Verarbeitung“ ausgeführt.

§ 6 Art der personenbezogenen Daten

Verarbeitet werden Personendaten (Stammdaten) der Nutzer, Benutzerstammdaten und zugewiesene Lizenzen, Aktivitäts- und Nutzungsdaten.

§ 7 Kategorien betroffener Personen

Kategorien betroffener Personen (aus Sicht des Nutzers) sind Mitarbeiter bzw. vom Nutzer beauftragte Dritte und deren Mitarbeiter.

§ 8 Wechselseitige Rechte und Pflichten der Vertragsparteien

1. Die DRG darf personenbezogene Daten ausschließlich auf dokumentierte Weisung des Nutzers verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
2. Die DRG informiert den Verantwortlichen unverzüglich, falls sie der Auffassung ist, dass eine Weisung des Nutzers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
3. Nach Möglichkeit unterstützt DRG den Nutzer mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen nachzukommen (Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierter Entscheidung). Wenn eine betroffene Person einen Antrag an die DRG stellen sollte, so leitet diese den Antrag an den Nutzer weiter.
4. Unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen unterstützt DRG den Nutzer bei der Einhaltung der in den Artikel 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgeabschätzung). Sofern dies die Pflichten aus dem Nutzungsvertrag übersteigt, kann DRG die einhergehenden Aufwendungen auf Basis des von der DRG für IT-Dienstleistungen berechneten Stundensatzes verrechnen.
5. Auf Ansuchen des Nutzers stellt DRG diese alle erforderlichen Informationen zum Nachweis der in Artikel 28 DSGVO („Auftragsverarbeitung“) niedergelegten Pflichten zur Verfügung. Auf Wunsch ermöglicht DRG auch Überprüfungen – einschließlich Inspektionen –, die vom Nutzer oder einem von ihm beauftragten Prüfer durchgeführt werden. In diesem Zusammenhang entstehende Aufwendungen werden von DRG auf Basis des von DRG für IT-Dienstleistungen erbrachten Stundensatzes verrechnet. Dem Nutzer trifft die Pflicht in regelmäßigen Abständen zu prüfen, ob durch geeignete technische oder organisatorische Maßnahmen DRG ein angemessenes Datenschutzniveau gewährleistet ist.
6. DRG verpflichtet sich dazu, bei Vorliegen der Bedingungen gem. Artikel 27 DSGVO einen Datenschutzbeauftragten zu bestellen.
7. DRG ist zur vertraulichen Behandlung der ihr gegenüber offengelegten bzw. ihr übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. Ebenso sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst.

§ 9 Verpflichtung zur Vertraulichkeit

1. Alle der DRG zurechenbare Personen (insbesondere Arbeitnehmer), welche mit der Verarbeitung personenbezogener Daten befasst sind, sind vertraglich zur Geheimhaltung und Vertraulichkeit der ihnen berufsmäßig bekanntgewordenen und bekanntwerdenden Daten sowie zur redlichen Verarbeitung dieser Daten nach Treu und Glauben verpflichtet. Die Vertraulichkeits- und Geheimhaltungspflicht besteht auch nach Beendigung der Tätigkeit für die DRG fort.
2. Darüber hinaus sind alle von der DRG mit der Verarbeitung personenbezogener Daten beauftragten Personen dazu verpflichtet, diese Daten nur aufgrund von Anordnungen zu übermitteln. Des Weiteren wurden diese Personen (und werden neu Eintretende) über die für sie geltenden Übermittlungsanforderungen und über die Folgen einer Verletzung des Datengeheimnisses belehrt.

§ 10 Maßnahmen für eine sichere Verarbeitung

1. DRG hat sehr umfangreich technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung ergriffen. Diese sind unter anderem:
   • Zutrittskontrolle: Kontrolle des Zutritts zu Räumlichkeiten des Betriebes, unter anderem durch geeignete Schlüsselverwaltung, Sicherheitstüren und Alarmanlagen mit zwingender Code-Angabe;
   • Zugangskontrolle: Kontrolle des Zugangs zu Datenverarbeitungssystemen, unter anderem durch Kennwörter, Fingerabdruckscan und Virtual Private Network (VPN);
   • Zugriffskontrolle: Kontrolle des Zugriffes auf Daten innerhalb des Systems durch ein Berechtigungssystem samt Protokollierung der Zugriffe;
   • Schutz der Daten: Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlustes von personenbezogenen Daten durch moderne Backup- und Aktualisierungskonzepte, Firewalls und Virensoftware;
   • Separation: Trennung von Datenverarbeitung durch separate Speicherung und separate Zugangssicherung (Nutzertrennung);
   • Weitergabe, Kontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung;
   • Eingabekontrolle: Sämtliche Eingaben werden auf Basis einer Dokumentations-Policy nachvollziehbar protokolliert;
   • Verfügbarkeit/Wiederherstellbarkeit: Die Wiederherstellung z. B. aufgrund technischer Gebrechen, verlorener oder zerstörter Daten ist aufgrund entsprechender Recovery-Konzepte innerhalb kürzester Zeit möglich;
   • Löschfristen: Bei jeder Datenübertragung sind Löschfristen verpflichtend zu hinterlegen. Die Löschung wird nach Ablauf der Frist automatisch vollzogen;
   • Datenschutz-Managementsystem: Das bestehende Datenschutzsystem wird laufend evaluiert und angepasst;
   • Auftragskontrolle: Es erfolgt keine Verarbeitung ohne dokumentierte Anweisung des Nutzers.

§ 11 Erfüllung der DSGVO durch DRG

1. DRG hat gem. Art. 32 DSGVO alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit umgesetzt und passt diese an den technologischen Wandel bzw. neue Erkenntnisse im Sinne eines selbstlernenden Datenschutzmanagementsystems an.
2. DRG hat ein Verarbeitungsverzeichnis gem. Art. 30 DSGVO erstellt und hält dieses stets aktuell. Dieses Verarbeitungsverzeichnis umfasst auch alle Verarbeitungstätigkeiten der gegenständlichen Vereinbarung.

§ 12 Sub-Auftragsverarbeitung und Verarbeitung aufgrund von Rechtsvorschriften

1. Sämtliche Verarbeitungen werden ausschließlich von DRG vorgenommen. Es werden von DRG keine weiteren Auftragsverarbeiter (Sub-Auftragsverarbeiter) hinzugezogen. Sofern es erforderlich oder vom Nutzer gewünscht ist, sind vom Nutzer beauftragte Dritte (z. B. EDV-Betreuer) in die Verarbeitung eingebunden.
2. DRG ist berechtigt Sub-Auftragsverarbeiter hinzuziehen, wenn dies zur Optimierung der Abläufe, insbesondere im Zusammenhang mit dem technologischen Fortschritt, dient. Über eine solche Hinzuziehung ist der Nutzer so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. DRG schließt die erforderlichen Vereinbarungen im Sinne des Art. 28 Abs. 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, welche DRG aufgrund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet DRG gegenüber dem Nutzer für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

§ 13 Löschung nach Vertragsbeendigung

1. Sofern personenbezogene Daten nach Vertragsbeendigung noch bei der DRG gespeichert sind und falls keine rechtliche Verpflichtung zur weiteren Aufbewahrung oder Verarbeitung besteht, werden diese sofort gelöscht. Wenn der Nutzer es wünscht, kann auch eine Rückgabe aller an DRG übermittelten und noch gespeicherten Daten erfolgen.
2. Wenn der Nutzer E-Mails oder Supportanfragen an DRG übermittelt, so dürfen diese keine personenbezogenen Daten beinhalten. Diese Daten werden nämlich als Teil der internen Supportdokumentation dauerhaft aufbewahrt. Erforderlichenfalls sollen personenbezogene Daten geschwärzt werden. Auf Verlangen des Nutzers löscht DRG die vollständige, den Nutzer betreffende Supportdokumentation, vorausgesetzt, dass der Nutzer eine Enthaftungsvereinbarung zu Gunsten DRG unterzeichnet, worin er sich verpflichtet, die DRG in jeder Hinsicht schad- und klaglos zu halten.

Anlage: Systembeschreibung

Technische und organisatorische Einzelheiten ergeben sich aus der Produktdokumentation und der vereinbarten Konfiguration.

Zur Datenschutzerklärung und den Cookie-Hinweisen.