Skip to content
TWOxTEN Logo
Contact Us

Vertrag zur Auftragsdatenverarbeitung

abgeschlossen zwischen

dem Kunden bzw. Vertragspartner des Hauptvertrags
Verantwortlicher iSd Art. 4 Z. 7 DSGVO
im Folgenden „Verantwortlicher“ genannt

und

2×10 GmbH
FN 540139 y
Hornbostelgasse 3/H1
1060 Wien

Auftragsverarbeiter iSd Art. 4 Z. 8 DSGVO
im Folgenden „Auftragsverarbeiter“ genannt.

PRÄAMBEL

Dieser Vertrag findet Anwendung auf alle Dienstleistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, welche die Verarbeitung personenbezogener Daten umfassen und daher eine Auftragsdatenverarbeitung nach Art. 28 DSGVO darstellen.

  1. Gegenstand und Dauer des Auftrags, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten und Kategorien der Betroffenen
    • Dieser Vertrag findet Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter gegenüber dem Verantwortlichen auf Grundlage eines „Hauptvertrages“ bzw. mehrerer „Hauptverträge“ erbringt.
    • Der Gegenstand des Auftrags ist die Erbringung von bestimmten Dienstleistungen, die sich aus Anlage 1 zu diesem Vertrag ergeben. Die Art und der Zweck der Datenverarbeitung ergeben sich ebenfalls aus Anlage 1.
    • Der Auftrag beginnt mit Unterzeichnung des Hauptvertrags und wird auf unbestimmte Zeit geschlossen. Die Laufzeit dieses Auftrags (Vertragsdauer) entspricht der Laufzeit des Hauptvertrages bzw. der Hauptverträge und kann nach dessen/deren Maßgabe gekündigt werden. Sofern im Hauptvertrag bzw. in den Hauptverträgen keine Laufzeit oder keine Kündigungsmöglichkeit festgelegt ist, gilt Folgendes: Der Auftrag wird auf unbestimmte Zeit abgeschlossen und ist mit einer Frist von drei Monaten zum Ende eines Kalenderjahres kündbar.
    • Datenarten, die Gegenstand dieses Auftrags sind, ergeben sich aus Anlage 2.
    • Im Wege der Auftragserfüllung erhebt, verarbeitet und nutzt der Auftragsverarbeiter personenbezogene Daten der in Anlage 3 bestimmten Kategorien betroffener Personen.
  2. Technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus
    • Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, Art. 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen (Einzelheiten in Anlage 4).
    • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen.
    • Der Auftragsverarbeiter wird den Verantwortlichen binnen längstens 14 Tagen über wesentliche Änderungen von technischen und organisatorischen Maßnahmen informieren.
  3. Unterauftragsverhältnisse
    • Der Auftragsverarbeiter ist berechtigt, unter Einhaltung der folgenden Bestimmungen Unter-Auftragsverarbeiter hinzuziehen:
      • Im Falle der Unterbeauftragung schließt der Auftragsverarbeiter mit dem Unter-Auftragsverarbeiter einen schriftlichen Vertrag über die Unterbeauftragung ab. Der Vertrag muss unter Beachtung der Vorgaben von Art. 28 Absatz 2 bis 4 DSGVO und auf Grundlage einer wirksamen Vereinbarung nach Art. 28 Absatz 3 DSGVO erfolgen. Der Auftragsverarbeiter wird dem Unter-Auftragsverarbeiter jedenfalls seine Pflichten aus diesem Vertrag schriftlich überbinden.
      • Es werden hinreichende Garantien festgelegt, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Vorgaben der DSGVO erfolgen kann.
      • Sofern der Auftragsverarbeiter Unter-Auftragsverarbeiter einsetzt, hat er die Einhaltung der vom Unter-Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für sämtliche Verstöße seiner Unter-Auftragsverarbeiter verantwortlich.
  1. Berichtigung, Einschränkung und Löschung von Daten
    • Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen binnen längstens 3 Werktagen (Mo-Fr) an den Verantwortlichen weiterleiten.
  2. Pflichten des Auftragsverarbeiters
    • Der Auftragsverarbeiter unterliegt zusätzlich zu den Pflichten aus diesem Vertrag gesetzlichen Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
      • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO.
      • Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen erfolgt gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO (Einzelheiten in Anlage 4).
      • Der Auftragsverarbeiter hat ein Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO zu erstellen.
    • Der Auftragsverarbeiter ergreift die technischen und organisatorischen Maßnahmen, damit der Verantwortliche die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen.
      • Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Verarbeitung hält, hat der Auftragsverarbeiter den Antrag unverzüglich, spätestens nach 10 Werktagen (Mo-Fr), an den Verantwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen.
      • Der Auftragsverarbeiter wird einer Anfrage des Verantwortlichen unverzüglich, spätestens nach 10 Werktagen (Mo-Fr), nachkommen.
  1. Kontrollrechte des Verantwortlichen
    • Der Verantwortliche hat das Recht, im Einvernehmen mit dem Auftragsverarbeiter, Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die zumindest 5 Werktage (Mo-Fr) im Voraus anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
    • Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann.
  2. Mitteilungs- und Unterstützungspflichten des Auftragsverarbeiters
    • Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
  3. Weisungsbefugnis des Verantwortlichen
    • Der Verantwortliche behält sich hinsichtlich des Auftragsgegenstands dieser Vereinbarung ein umfassendes Weisungsrecht im Hinblick auf die Erhebung, Verarbeitung und Nutzung der insoweit relevanten personenbezogenen Daten vor.
    • Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich, spätestens nach 7 Werktagen (Mo-Fr), zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
  4. Löschung und Rückgabe von personenbezogenen Daten
    • Der Auftragsverarbeiter erstellt keine Kopien oder Duplikate der Daten ohne Wissen des Verantwortlichen. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, deren Kopie wegen der Einhaltung gesetzlicher Aufbewahrungspflichten des Auftragsverarbeiters erforderlich sind.
    • Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung des Hauptvertrags – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen binnen 7 Werktagen (Mo-Fr) in einem gängigen, maschinenlesbaren Format nach freier Wahl des Verantwortlichen, einschließlich technischer und fachlicher Beschreibung der Datenstruktur, auszuhändigen oder nach vorheriger schriftlicher Zustimmung datenschutzgerecht zu vernichten.
    • Dokumentation, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dient, ist durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
  5. Haftung
    • Verantwortlicher und Auftragsverarbeiter haften gegenüber den betroffenen Personen entsprechend Art. 82 DSGVO. Die Parteien haben eine etwaige Erfüllung von Haftungsansprüchen gegenüber den betroffenen Personen jedenfalls mit der jeweils anderen Partei abzustimmen.
    • Der Auftragsverarbeiter stellt den Verantwortlichen von Ansprüchen betroffener Personen gemäß Art. 82 DSGVO frei, welche betroffene Personen gegen den Verantwortlichen wegen der schuldhaften Verletzung einer dem Auftragsverarbeiter durch die DSGVO oder diesen Vertrag auferlegten Pflicht oder einer vom Verantwortlichen in diesem Vertrag oder einer gesondert erteilten Weisung geltend machen, sofern der Verantwortliche folgende Bestimmungen einhält:
      • Unverzügliche schriftliche Verständigung des Auftragsverarbeiters in schriftlicher Form, jedoch nicht später als 15 Kalendertage nachdem der Verantwortliche von dem Anspruch informiert wurde, oder früher, falls dies nach geltendem Recht erforderlich ist;
      • Übertragung der alleinigen Kontrolle über die Rechtsverteidigung und aller Vergleichsgespräche an den Auftragsverarbeiter im gesetzlich zulässigen Ausmaß; und
      • Bereitstellung sämtlicher für die Rechtsverteidigung oder Vergleichsverhandlungen erforderlichen und nützlichen Informationen und angemessene Hilfeleistung sowie Erteilung der entsprechenden Vollmacht an den Auftragsverarbeiter.
    • Der Auftragsverarbeiter wird den Verantwortlichen nicht schadlos halten, wenn der Anspruch einer betroffenen Person gemäß Punkt 10.2 darauf zurückzuführen ist, dass der Verantwortliche personenbezogene Daten entgegen den Bestimmungen dieses Vertrags und/oder den gesetzlich anwendbaren Bestimmungen erhoben und an den Auftragsverarbeiter übermittelt hat. In einem solchen Fall wird der Verantwortliche den Auftragsverarbeiter schadlos halten, sofern betroffene Personen den Anspruch gegenüber dem Auftragsverarbeiter geltend machen und der Auftragsverarbeiter gegenüber dem Verantwortlichen die Bestimmungen gemäß Punkt 10.2.1 bis 10.2.3 einhält.
  6. Abschließende Regelungen
    • Sollten einzelne Teile dieses Auftrags unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.
    • Jede Veränderung dieser Vereinbarung einschließlich ihrer Kündigung und dieser Klausel bedarf der Schriftform (§ 886 ABGB). Dies gilt auch für das Abgehen vom Schriftformerfordernis. Mündliche Nebenabreden bestehen nicht.
    • Die Bestimmungen dieses Vertrags haben Vorrang gegenüber den Regelungen in den Hauptverträgen oder etwaigen bestehenden datenschutzrechtlichen Vereinbarungen, sofern dieser Vertrag nicht ausdrücklich etwas anderes vorsieht. Spezielle, im Einzelnen von diesem Vertrag abweichende Regelungen gehen diesem Vertrag nur dann vor, wenn sie ausdrücklich auf diesen Vertrag Bezug nehmen.
    • Die Anlagen zu diesem Vertrag sind ein integraler Vertragsbestandteil.
    • Dieser Vertrag sowie alle Streitigkeiten aus oder in Verbindung mit diesem Vertrag unterliegen ausschließlich österreichischem Recht unter ausdrücklichem Ausschluss des UN-Kaufrechts sowie aller Verweisungsnormen auf ausländische Rechtsordnungen.
    • Ausschließlicher Gerichtsstand für Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist das in Handelssachen sachlich zuständige Gericht in Wien, erster Bezirk.

Gegenstand, Art und Zweck der Datenverarbeitung

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten zum Zweck und im Zusammenhang mit der Erbringung der im Hauptvertrag vereinbarten Leistungen.


Verarbeitete Datenarten

Persönliche Daten:
Name, Beruf, Telefonnummern, E-Mail-Adresse; bei Webshops zusätzlich Bankverbindungsdaten (IBAN und BIC) sowie Anschrift

Vertrags- und Abrechnungsdaten:
Vertragsdaten, Bestelldaten, Rechnungsinformationen, Bankverbindungen

Kommunikationsdaten:
E-Mails, Schriftverkehr, Anrufprotokolle, Messenger-Dienste (z. B. WhatsApp, Facebook, Instagram)

Nutzungsdaten:
Daten zur Nutzung von IT-Systemen, Protokolldaten, Nutzungsverhalten auf Webseiten.

Bild- und Videodaten:
Fotos (z. B. bei Veranstaltungen)


Kategorien von Betroffenen

Der Auftrag betrifft folgende Kategorien von Betroffenen:

Beschäftigte, Auszubildende und Praktikanten, ehemalige Arbeitnehmer, freie Mitarbeiter, Gesellschafter, Lieferanten, Berater, Kunden, Webseitenbesucher, App-Nutzer und Testpersonen.

 

Festlegung der technischen und organisatorischen Maßnahmen

 

  1. Organisationskontrolle

Diese Maßnahmen sollen gewährleisten, dass der Auftragsverarbeiter eine den datenschutzrechtlichen Grundanforderungen genügende Organisation gewährleistet.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Organisationskontrolle ergriffen:

☒ Bestellung eines Ansprechpartners in Angelegenheiten des Datenschutzes

☒ Verpflichtung der Mitarbeiter auf Vertraulichkeit 

☒ Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten

☒ Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit

☒ Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung (Pflicht ab Mai 2018)

 

  1. Zutrittskontrolle

Der Auftragsverarbeiter verhindert, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Zutrittskontrolle ergriffen:

☒ Schlüsselverwaltung/Dokumentation der Schlüsselvergabe

☒ Spezielle Schutzvorkehrungen des Serverraums

☒ Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen     
     Datenträgern

☒ Nicht-reversible Vernichtung von Datenträgern

 

  1. Zugangskontrolle

Der Auftragsverarbeiter stellt sicher, dass Unbefugte keinen Zugang zu den Datenverarbeitungssystemen haben.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Zugangskontrolle ergriffen:

☒ Persönlicher und individueller User-Log-In bei Anmeldung am System bzw.
     Unternehmensnetzwerk

☒ Autorisierungsprozess für Zugangsberechtigungen

☒ Begrenzung der befugten Benutzer

☒ Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und
     Aktualisierungsintervall)

☒ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor
     unbefugtem Zugriff

☒ Personalisierte Chipkarten, Token, PIN-/TAN, etc.

☒ Zusätzlicher System-Log-In für bestimmte Anwendungen

☒ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch
     passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

☒ Multi-Faktor Authentifizierung

 

  1. Zugriffs-, Benutzer- und Datenträgerkontrolle

Der Auftragsverarbeiter stellt sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben (Benutzerkontrolle) und dass Berechtigte ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle). Der Auftragsverarbeiter verhindert das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Datenträgern (Datenträgerkontrolle).

Der Auftragsverarbeiter hat folgende Maßnahmen zur Zugriffs-, Benutzer- und Datenträgerkontrolle ergriffen:

☒ Verwaltung und Dokumentation von differenzierten Berechtigungen

☒ Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung
     und Reparatur von Datenverarbeitungsanlagen

☒ Genehmigungsroutinen

☒ Profile/Rollen

☒ Funktionstrennung „Segregation of Duties“

☒ Nicht-reversible Löschung von Datenträgern

☒ Verschlüsselung von mobilen Speichermedien (CD/DVD- ROM, externen Festplatten)

 

  1. Weitergabekontrolle

Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten bei der Übertragung, Übermittlung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Weitergabekontrolle ergriffen:

☒ Gesicherter Datentransport (z.B. SSL, FTPS, TLS)

☒ Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks (z.B. True
     Crypt, Safe Guard Easy, PGP)

☒ Verpackungs- und Versandvorschriften

☒ Gesichertes WLAN

☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

 

  1. Eingabekontrolle

Der Auftragsverarbeiter stellt sicher, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Eingabekontrolle ergriffen:

☒ Zugriffsrechte

☒ Systemseitige Protokollierungen

☒ Dokumenten Management System (DMS) mit Änderungshistorie

☒ Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

 

  1. Auftragskontrolle

Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Auftragskontrolle ergriffen:

☒ Schriftlicher Vertrag zur Auftragsdatenverarbeitung mit Regelungen zu den Rechten und
     Pflichten des Auftragsverarbeiters und Verantwortlichen

☒ Prozess zur Erteilung und/oder Befolgung von Weisungen

☒ Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

☒ Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

☒ Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragsverarbeiter

☒ Verpflichtung der Mitarbeiter auf Datenschutz-Vertraulichkeit 

 

  1. Verfügbarkeitskontrolle, Wiederherstelllung, Zuverlässigkeit und Datenintegrität

Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Verantwortlicher stets verfügbar sind. Es wird gewährleistet, dass die eingesetzten Systeme im Störungsfall wiederhergestellt werden können.

Zudem stellt der Auftragsverarbeiter sicher, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktion des Systems beschädigt werden können (Datenintegrität).

Der Auftragsverarbeiter hat folgende Maßnahmen zur Verfügbarkeitskontrolle und Wiederherstellung ergriffen:

☒ Sicherheitskonzept für Software- und IT-Anwendungen

☒ Back-Up Verfahren

☒ Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt,
     etc.)

☒ Gewährleistung der Datenspeicherung im gesicherten Netzwerk

☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates

 

  1. Trennungskontrolle

Der Auftragsverarbeiter stellt sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.

Der Auftragsverarbeiter hat folgende Maßnahmen zur Trennungskontrolle ergriffen:

☒ Zugriffsberechtigungen nach funktioneller Zuständigkeit

☒ Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

☒ Verwendung von Testdaten

☒ Trennung von Entwicklungs- und Produktionsumgebung

We’re ready when you are!

Follow us on

Schedule a call

Contact us

We’re ready when you are!

Follow us on

Contact us