Allgemeine Datenschutzbestimmungen (ADB)

gem. Art 28 DSGVO

Auftragsverarbeitervereinbarung

Die mgm Software Team GesmbH als Auftragnehmerin erbringt Leistungen für ihren Auftraggeber (Kunde) im Rahmen eines aufrechten Vertragsverhältnisses (wie Auftrag, Wartungsvertrag, Lizenzvertrag). Infolge fungiert die mgm Software Team GesmbH als Auftragsverarbeiterin für ihren Auftraggeber, seinerseits Verantwortlicher gemäß DSGVO. Sohin sind beide Parteien gemäß Art. 28 DSGVO dazu angehalten, eine Vereinbarung zur Auftragsverarbeitung (AVV) zu treffen, welche den Gegentand, sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen, sowie die datenschutzrechtlichen Pflichten und die Rechte der Vertragsparteien festhält.

Angesichts dieser vorliegenden Wechselbeziehung und Abhängigkeit von Vertragsverhältnis und Auftragsverarbeitung, durch welche die Auftragnehmerin keinerlei Leistungen für den Auftraggeber erbringen kann, ohne Auftragsverarbeiterin zu sein, gelten die nachfolgenden Bestimmungen der Auftragsverarbeitervereinbarung der mgm Software Team GesmbH ausdrücklich als vereinbart, sofern im Einzelfall keine individuelle AV-Vereinbarung zwischen den Parteien getroffen wird.

§ 1 Gegenstand der Vereinbarung
(1) Auftragsverhältnis
Die Auftragnehmerin erbringt für den Auftraggeber aufgrund eines bestehenden Vertragsverhältnisses (wie Aufträge, Wartungsvertrag, Lizenzvertrag) Leistungen im Zusammenhang mit personenbezogenen Daten. Diese Rahmenvereinbarung regelt die Rechte und Pflichten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten des Auftraggebers durch die Auftragnehmerin im Rahmen der Kundenbeziehung (Auftragsverhältnis). Sie ist als Ergänzung zu den laufenden Verträgen zu verstehen und ersetzt etwaige bereits im Rahmen des Auftragsverhältnisses getroffene Datenschutzvereinbarungen.

(2) Durchführung folgender Aufgaben:
Gegenstand der Auftragsverarbeitung ist die Erbringung von Dienstleistungen bzw. Durchführung von Aufgaben im Zusammenhang mit der Erfüllung des Vertragsverhältnisses und der weiteren Kundenbetreuung. Die Auftragnehmerin verarbeitet hiebei unter anderem auch personenbezogene Daten (z.B. Name, E-Mailadresse etc.) des Auftraggebers und ggf. dessen Kunden, die mit einem Verantwortlichen des Auftraggebers erhoben oder von diesem bekannt gegeben oder zur Verfügung gestellt wurden.

Darunter fallen folgende Aufgaben:
– Abwicklung der Aufträge, laufenden Korrespondenz, Bestellungen, Vorschreibungen, Verrechnungen, Support, Buchhaltung und Zahlungsabwicklung.
– Versand von Informationen zu Programmupdates und Veranstaltungen (Schulungen, Workshops).
– Übergreifende systemzusammenhängende (IT-) Tätigkeiten für den Auftraggeber zur erfolgreichen Implementierung und Erweiterung, oder zur Problembehebung mit sonstigen Lieferanten des Auftraggebers

(3) Art und Zweck der Datenverarbeitung
Bei der Verarbeitung personenbezogener Daten des Auftraggebers und ggf. dessen Kunden im Rahmen der Auftragserfüllung kann es sich insbesondere um Einsichtnahme oder bei Bedarf auch um Speicherung auf Systemen der Auftragnehmerin handeln.

Die Auftragnehmerin erbringt für den Auftraggeber insbesondere folgende Dienstleistungen:
– Erstgespräche und Abhaltung von Workshops
– Implementierung der Software oder Skalierung des Systems
– Schulung anhand des implementierten Systems
– Wartungstätigkeiten bzw. Supportdienstleistungen
– Analysetätigkeiten, wie z.B. auch Fehleranalysen im Zusammenhang des IT-Gefüges
– Sonstige Betreuungsdienstleistungen, welche nicht in die genannten Punkte fallen

(4) Betroffene Datenkategorien
Für die Erbringung der Auftragsleistungen verarbeitet die Auftragnehmerin folgende Daten:
– Auftrags-/Vertragsdaten: Daten von Angeboten, Aufträgen, Verrechnung, Wartungsverträge etc.
– Kundendaten: Firmenwortlaut, Kontakt- & Adressdaten, Branche, Land, Bankdaten, Verrechnungsdaten, UID-Nummer, ggf. Firmenbuchnummer
– Korrespondenzdaten: Daten von Kontaktpersonen / Sachbearbeitern wie Name, Anrede, E-Mailadresse, Telefonnummer, Position im Unternehmen
– Schulungsdaten: Teilnehmerdaten von Schulungen (Akademien, Workshops)
– Mailingdaten: Anrede, Name, E-Mailadresse für den Versand von Informationsmails
– Wartungsdaten: Daten zur Durchführung von Wartungstätigkeiten (zB. via Fernwartung)

(5) Kategorien betroffener Personen
Die Auftragnehmerin verarbeitet Daten folgender Betroffenenkategorien:
– Interessenten
– Kunden (Auftraggeber)
– Mitarbeiter und Lieferanten des Auftraggebers
– Mitarbeiter von assoziierten Unternehmen des Auftraggebers
– Kunden und Interessenten des Auftraggebers
– Beschäftigte, Lieferanten und Partner
– Beschäftigte, Lieferanten und Partner von assoziierten Unternehmen

§ 2 Dauer der Vereinbarung
Die Dauer dieser Auftragsverarbeitervereinbarung wird auf unbestimmte Zeit abgeschlossen und richtet sich nach der Laufzeit des zugrundeliegenden Vertragsverhältnisses (mit oder ohne Wartungsvertrag), sofern sich aus den Bestimmungen dieses Vertrages nicht etwas anderes ergibt. Sie endet mit genereller Aufkündigung des Vertragsverhältnisses. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

§ 3 Pflichten der Auftragnehmerin
(1) Die Auftragnehmerin verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge mit dem Auftraggeber zu verarbeiten. Erhält die Auftragnehmerin einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat sie – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an die-sen zu verweisen. Desgleichen bedarf eine Verarbeitung für eigene Zwecke der Auftragnehmerin eines schriftlichen Auftrages. 

(2) Die Auftragnehmerin ist zur vertraulichen Behandlung der ihr zugänglich gemachten Daten und von Verarbeitungsergebnissen verpflichtet. Sie erklärt rechtsverbindlich, dass sie alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden bei der Auftragnehmerin aufrecht.

(3) Die Auftragnehmerin trifft alle gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Einzelheiten sind der Anlage /1 zu entnehmen). Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.

(4) Die Auftragnehmerin ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und über-lässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an die Auftragnehmerin gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat die Auftragnehmerin den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

(5) Die Auftragnehmerin unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (unter anderem insbesondere das Setzen von Sicherheitsmaßnahmen, Meldungen und Benachrichtigung von Datenschutzverletzungen, sowie Datenschutz-Folgeabschätzung und vorherige Konsultation).

(6) Die Auftragnehmerin wird darauf hingewiesen, dass sie für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu errichten hat.

(7) Hinsichtlich der Verarbeitung der vertragsgegenständlichen Daten gewährt die Auftragnehmerin dem Auftraggeber gegen Voranmeldung und innerhalb der üblichen Geschäfts- und Betriebs-stunden das Recht der Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen, sei es auch durch ihn beauftragte Dritte. Die Auftragnehmerin verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

(8) Die Auftragnehmerin hat den Auftraggeber unverzüglich zu informieren, falls sie der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. 

(9) Rückgabe und Löschung personenbezogener Daten
Die Auftragnehmerin ist nach Beendigung dieser Vereinbarung oder nach Weisung des Auftraggebers dazu verpflichtet, alle personenbezogenen Daten und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten, sofern dem keine gesetzlichen Pflichten und kein berechtigtes Interesse der Auftragnehmerin entgegenstehen. Dies gilt auch für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen. In jedem Fall ist Vertraulichkeit zu gewährleisten.
Wenn die Auftragnehmerin die Daten in einem speziellen technischen Format verarbeitet, ist sie verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem sie die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Für die Konvertierung können ggf. Kosten entstehen.

§ 4 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes gemäß DSGVO zu treffen. Er ist die verantwortliche Stelle für die Verarbeitung von Daten im Auftrag durch die Auftragnehmerin. Die Beurteilung der Zulässigkeit der Datenverarbeitung obliegt allein dem Auftraggeber.

(2) Der Auftraggeber ist verantwortlich für die Wahrung der Betroffenenrechte. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen. 

(3) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich vom Auftraggeber schriftlich zu bestätigen. 

(4) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern Daten der besonderen Kategorie von der Auftragnehmerin für den Auftraggeber verarbeitet werden, wird der Auftraggeber weisungsberechtigte Personen konkret benennen. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies der Auftragnehmerin schriftlich oder in Textform mitteilen. 

(5) Den Auftraggeber hat in regelmäßigen Abständen zu prüfen, ob durch geeignete technische und organisatorische Maßnahmen ein angemessenes Datenschutzniveau gewährleistet ist. Der Auftraggeber informiert die Auftragnehmerin unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Auftragnehmerin feststellt.

§ 5 Ort der Durchführung der Datenverarbeitung
Alle Datenverarbeitungstätigkeiten werden überwiegend innerhalb der EU bzw. des EWR durchgeführt. Es erfolgt keine aktive Übermittlung von Daten in ein Drittland. Explizite Ausnahmen, die zur Erbringung der vertraglichen Pflichten notwendig werden, werden bekannt gemacht und sind in Anlage /2 bei den Sub-Auftragsverarbeitern angeführt.

§ 6 Sub-Auftragsverarbeiter
(1) Die Auftragnehmerin ist befugt, Sub-Auftragsverarbeiter in Anspruch zu nehmen. Sie hat dabei den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters derart rechtzeitig zu verständigen, dass dieser dies allenfalls untersagen kann. Die Auftragnehmerin schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die der Auftragnehmerin auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet die Auftragnehmerin gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

(2) Es wird schon jetzt ausdrücklich vereinbart, dass die Auftragsverarbeiterin berechtig ist, die in Anlage /2 angeführten Unternehmen als Sub-Auftragsverarbeiter hinzuzuziehen. Die Liste der Sub-Auftragsverarbeiter wird quartalsweise aktualisiert und ggf. auf der Webseite oder per E-Mail bekannt gemacht. Die Auftragnehmerin hat über Änderungen zu informieren.

(3) Legt der Auftraggeber schriftlich Einspruch gegen eine Auslagerung ein, wird dies als ordentliche Kündigung mit Wirksamkeit zum nächstmöglichen Termin gewertet. Der Auftraggeber wird dann ab Wirksamwerden der Auslagerung bis zum Vertragsende die Verarbeitung durch den Sub-Auftragsverarbeiter dulden oder keine personenbezogenen Daten mehr über die Auftragnehmerin verarbeiten. 

(4) Wenn die Auftragnehmerin Nebenleistungen, wie beispielsweise externes Personal, Post- und Versanddienstleistungen, Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer, die Entsorgung von Datenträgern, Wartung der Infrastruktur etc. bei Subunternehmen in Auftrag gibt, liegt hiebei kein zustimmungspflichtiges Subunternehmerverhältnis vor. Es erfolgt keine Nennung in Anhang /2. Der Auftragnehmer wird bei solchen Subunternehmern Maßnahmen zur Gewährleistung des Datenschutzes treffen.

§ 7 Haftung
Auftraggeber und Auftragnehmerin haften gegenüber betroffenen Personen entsprechend den Bestimmungen in Art. 82 DSGVO.

§ 8 Schlussbestimmungen
(1) Diese Datenschutzbestimmungen gemäß Art. 28 Auftragsverarbeitervereinbarung ersetzen allfällige frühere Datenschutzverträge und konkretisieren die Rechte und Pflichten von Auftraggeber und Auftragnehmerin. 

(2) Sollten Teile dieser Vereinbarung oder Inhalte hier integrierter Beilagen ungültig sein oder werden, so berührt dies die Wirksamkeit der übrigen Regelungen dieser Vereinbarung nicht. Unwirksame Bestimmungen werden ferner durch wirksame ersetzt, die dem gewollten Zweck der ursprünglichen Bestimmungen möglichst nahekommen.

(3) Nebenabreden wie Änderungen, Zusicherungen oder Ergänzungen dieser Vereinbarung bedürfen zu ihrer Rechtswirksamkeit der Schriftform. Dies gilt auch für das Abgehen von dieser Schriftformklausel. Diesem Schriftformerfordernis wird auch Rechnung getragen, wenn die Vereinbarung in einem elektronischen Format (Textform) erfolgen kann, jedoch bedarf es hiefür eines ausdrücklichen Hinweises, dass es sich um eine Nebenabrede wie angeführt handelt.

(4) Diese Vereinbarung zur Datenverarbeitung verpflichtet die Auftragnehmerin nur insoweit, als dies zur Erfüllung der gesetzlichen Pflichten gem. Art. 28 DSGVO erforderlich ist. 

(5) Es wird darauf hingewiesen, dass die Auftragnehmerin keinerlei telefonische Auskünfte erteilen kann, da eine eindeutige Identifizierung nicht in der Kürze zweifelsfrei möglich ist. Anfragen in Datenschutzangelegenheiten werden daher ausschließlich über folgende E-Mailadresse bearbeitet: datenschutz@mgm.at.

(6) Die Auftragnehmerin unterliegt österreichischem Recht. Als Gerichtsstand gilt das sachlich zu-ständige Gericht in Innsbruck für den Geschäftssitz der Auftragnehmerin als vereinbart.

Stand: Dezember 2019
Für die Auftragnehmerin: mgm Software Team GesmbH | Ing. Mario Mühlegger, Geschäftsführer