top of page
Beidseitige Verpflichtungserklärung
über eine Auftragsverarbeitung gem. Art 28 Abs. 3 EU-DSGVO
zwischen „Auftraggeber“ als Verantwortlicher
und
„Auftragnehmer“ als Auftragsverarbeiter
1. Präambel / Vertragsgegenstand
1.1 Der Auftragnehmer erbringt aufgrund der im Anhang näher bezeichneten Vertrags- bzw.
Rechtsverhältnisse – in der Folge “Basis-Auftrag” – Leistungen, welche zur Gänze oder teilweise in der Verarbeitung personenbezogener Daten (iSv Art 4 Z 2 der EUDatenschutz-Grundverordnung, „DSGVO“) für den Auftraggeber bestehen. Die
vorliegende Vereinbarung bildet die Grundlage gem. Art 28 Abs 3 DSGVO für diese Datenverarbeitung. Der, Auftraggeber ist diesbezüglich (einziger) “Verantwortlicher”, der
Auftragnehmer “Auftragsverarbeiter”.
1.2 Diese Vereinbarung geht dem Basis-Auftrag im Fall von Widersprüchen betreffend die Datenverarbeitung im Zweifel zur Gänze vor.
1.3 Unabhängig von den im Anhang enthaltenen Auflistungen bzw. Definitionen sind von dieser Vereinbarung sämtliche personenbezogenen Daten erfasst, die der Auftragnehmer
in ordnungsgemäßer Erfüllung des Basis-Auftrags in welcher Form auch immer verarbeitet oder auf die er in diesem Kontext zugreift bzw. zugreifen kann.
2. Beschreibung der Datenverarbeitung
2.1 Die Datenverarbeitung erfolgt im Rahmen des Basis-Auftrags, dessen insoweit relevante Teile im Anhang näher als Verweis spezifiziert oder wiedergegeben werden. Alternativ bzw. ergänzend dazu sind dort Gegenstand, Dauer, Art und Zwecke der Verarbeitung(en), sowie diejenigen personenbezogenen Daten, die dem Auftragnehmer zur Auftragserfüllung übermittelt oder zugänglich gemacht werden, und die Kategorien
betroffener Personen beschrieben bzw. zusammengefasst.
2.2 Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich zur Erfüllung seiner Vertragspflichten gegenüber dem Auftraggeber, also wie im Basis-Auftrag
oder hier vereinbart oder vom Auftraggeber angewiesen. Von allfälligen weiteren rechtlichen Verarbeitungspflichten setzt der Auftragnehmer den Auftraggeber im zulässigen Ausmaß vorweg in Kenntnis.
2.3 Der Auftragnehmer darf die Daten keinesfalls für eigene oder fremde Zwecke verwenden oder ohne schriftliche Weisung bzw. Genehmigung des Auftraggebers an Dritte weitergeben. Kopien oder Duplikate von Daten werden ohne gesonderte Zustimmung des Auftraggebers nur insoweit erstellt, als sie zur Gewährleistung ordnungsgemäßer Verarbeitung (Sicherheitskopien) oder im Hinblick auf gesetzliche
Aufbewahrungspflichten erforderlich sind.
2.4 Die Daten sind innerhalb des räumlichen Geltungsbereichs der DSGVO zu verarbeiten, wenn nicht sowohl eine schriftliche Genehmigung des Auftraggebers für eine Übermittlung
in Drittstaaten als auch die Voraussetzungen der Artt. 44 ff DSGVO vorliegen.
2.5 Die Datenverarbeitung hat insgesamt auf eine Weise zu erfolgen, die dem Auftraggeber jederzeit die Erfüllung seiner datenschutzrechtlichen Pflichten gegenüber Betroffenen und
Behörden ermöglicht.
2.6 Nach Abschluss der vereinbarten Leistungserbringung (spätestens mit Vertragsbeendigung) oder bei vorheriger Aufforderung durch den Auftraggeber hat der
Auftragnehmer sämtliche im Zusammenhang mit dem Basis-Auftrag in seinen Besitz gelangten personenbezogenen Daten allein dem Auftraggeber rückauszufolgen bzw. nach dessen vorheriger Zustimmung datenschutzgerecht zu vernichten. Das Protokoll einer solchen Vernichtung ist auf Anforderung vorzulegen.
2.7 Die dem Nachweis auftrags- und ordnungsgemäßer Datenverarbeitung dienenden Dokumentationen sind im erforderlichen Ausmaß über das Vertragsende hinaus
aufzubewahren; der Auftragnehmer kann sie jedoch zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
2.8 Bei jeder Überschreitung des hier definierten Verarbeitungsumfangs, wird der Auftragnehmer insoweit selbst zum Verantwortlichen und hat diesbezüglich selbst
einzustehen (Art 28 Abs 10 DSGVO).
3. Rechte und Pflichten des Auftraggebers
3.1 Der Auftraggeber entscheidet im Rahmen dieser Vertragsbeziehung alleine über Zwecke und Mittel der Verarbeitung der bereit gestellten personenbezogenen Daten.
Er hat für die Zulässigkeit der beauftragten Datenverarbeitung bzw. Legitimität ihrer Zwecke zu sorgen und gegenüber Dritten die Einhaltung aller Datenschutzvorschriften sowie die Wahrung
der Betroffenenrechte zu gewährleisten und zu vertreten.
3.2 In diesem Sinn steht dem Auftraggeber gegenüber dem Auftragnehmer ein umfassendes Weisungsrecht hinsichtlich Art und Umfang der Datenverarbeitung zu. Sofern eine solche Weisung nach Auffassung des Auftragnehmers gegen geltendes Datenschutzrecht verstoßen könnte, hat er den Auftraggeber unverzüglich zu warnen (Art 28 Abs 3 3. Satz DSGVO) und kann er die Durchführung bis zur Bestätigung oder Abänderung aussetzen; offensichtlich rechtswidrige Weisungen sind nicht zu befolgen.
3.3 Die Entscheidung über eine Einschränkung, Löschung oder Berichtigung vertragsgegenständlicher Datensätze steht ausschließlich dem Auftraggeber zu. Wenden sich betroffene Personen diesbezüglich direkt an den Auftragnehmer, hat dieser solche Ersuchen unverzüglich dem Auftraggeber weiterzuleiten.
3.4 Soweit vom (Basis-)Leistungsumfang umfasst, sind Löschung, Berichtigung, Einschränkung, Datenportabilität und Datenauskunft zwar durch den Auftragnehmer zu ermöglichen/sicherzustellen, die entsprechende Kommunikation mit Dritten obliegt jedoch grundsätzlich dem Auftraggeber (als Verantwortlichem). Mangels expliziter weiterer Ermächtigungen ist der Auftragnehmer nur befugt, an ihn gerichtete Anfragen Betroffener mit dem Hinweis auf die Weiterleitung an den Verantwortlichen zu beantworten.
4. Pflichten des Auftragnehmers
4.1 Der Auftragnehmer ist für die vertragsgemäße Auftragsdatenverarbeitung im Rahmen des geltenden Datenschutzrechts verantwortlich und bestätigt die Kenntnis aller einschlägigen Vorschriften.
4.2 Allfällige konkrete Verpflichtungen bzw. Verhaltensvorgaben, die sich weder direkt aus dem Basis-Auftrag noch aus objektivem Recht ergeben, sind als „Anweisungen zur
Datenverarbeitung“ im Anhang festgehalten. Der Auftraggeber behält sich bedarfsabhängige Anpassungen sowie die jederzeitige Erteilung weiterer/abweichender Weisungen vor. Der Auftragnehmer wird alle Weisungen sorgfältig dokumentieren (Art 28 Abs 3 lit a DSGVO). Im Übrigen gilt die Warnpflicht des Auftragnehmers gemäß Punkt 3.b) Satz 2 dieser Vereinbarung.
4.3 Der Auftragnehmer gewährleistet, dass alle zur beauftragten Datenverarbeitung eingesetzten bzw. befugten Personen entsprechend geeignet sind und zur Vertraulichkeit
verpflichtet wurden oder einer angemessenen – insbesondere gesetzlichen – Verschwiegenheitspflicht unterliegen (Art 28 Abs 3 lit b DSGVO). Die Verschwiegenheitspflicht inkludiert allfällige Daten juristischer Personen und ist bereits vor Beginn der Datenverarbeitung wie auch nach deren Beendigung unbefristet einzuhalten. Der Auftragnehmer hat die betroffenen Mitarbeiter über Datenschutz/-sicherheit und Vertraulichkeit allgemein und in Bezug auf die Verpflichtungen dieses Vertrags hinreichend
zu instruieren, zu schulen sowie konkret anzuleiten und zu überwachen.
4.4 Der Auftragnehmer verpflichtet sich, im Sinn des Art 32 DSGVO alle für die Sicherheit der Datenverarbeitung erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (Art 28 Abs 3 lit c DSGVO). Er wird insbesondere alle Vorkehrungen dafür treffen, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitung sowie eine diesbezüglich regelmäßige Kontrolle (Überprüfung, Bewertung, Evaluierung und bei Bedarf Anpassung) gewährleistet wird. Die vom Auftragnehmer umgesetzten Maßnahmen sind im Anhang angeführt. und auf Verlangen in einem Sicherheitskonzept näher beschrieben, das dem Auftraggeber vorgelegt werden muss.
4.5 Der Auftragnehmer wird den Auftraggeber bei der Umsetzung seiner Informationspflichten und geltend gemachter Betroffenenrechte unter Berücksichtigung der Art der Verarbeitung nach Kräften unterstützen (Art 28 Abs 3 lit e DSGVO). Insbesondere sind im Rahmen seiner (basis-)vertraglichen Tätigkeiten die technischen und organisatorischen Maßnahmen nach Möglichkeit so auszurichten, dass der Auftraggeber seinen Verpflichtungen gegenüber Betroffenen gem. Artt 15 ff DSGVO (Auskunftserteilung, Berichtigung, Löschung/“Vergessenwerden“, Datenportabilität, Widerspruch) Innerhalb der maßgeblichen Fristen nachkommen kann. Der Auftragnehmer liefert dem Auftraggeber hierfür jedenfalls alle notwendigen, dem Auftragnehmer vorliegenden Informationen.
4.6 Der Auftragnehmer hat den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen auch bei der Erfüllung von dessen Verpflichtungen gemäß Artt 30-36 DSGVO (Verzeichnis von Verarbeitungstätigkeiten, Kooperation mit Aufsichtsbehörden, technisch-organisatorische Schutzmaßnahmen, Datenschutz-Folgeabschätzung und Meldung von Datenpannen) bestmöglich zu unterstützen (Art 28 Abs 3 lit f DSGVO).
4.7 Der Auftragnehmer wird den Auftraggeber (bzw. dessen namhaft gemachten Datenschutzbeauftragten) über jede Verletzung des Schutzes bzw. der Sicherheit vertragsgegenständlicher Daten in seinem Verantwortungsbereich unverzüglich, spätestens aber binnen 24 Stunden ab Kenntnis vom relevanten Ereignis, informieren. Dabei sind insbesondere die Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Datensätze und Personen, die wahrscheinlichen Folgen der Verletzung, die
ergriffenen bzw. geplanten Gegenmaßnahmen zur Behebung der Verletzung bzw. zur Abmilderung der Folgen, sowie die Kontaktdaten einer verantwortlichen Person oder
sonstigen Anlaufstelle des Auftragnehmers für weitere Informationen/Abstimmungen
anzugeben.
4.8 Ebenfalls unverzüglich sind dem Auftraggeber sonstige erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder seiner Mitarbeiter bzw. SubBeauftragten gegen datenschutzrechtliche Verpflichtungen betreffend die gegenständliche Vereinbarung mitzuteilen. Weiters wird der Auftragnehmer dem Auftraggeber sofort über
jegliche die beauftragte Datenverarbeitung betreffende behördliche/gerichtliche Intervention oder Amtshandlung berichten, soweit dies rechtlich zulässig ist.
4.9 Ferner teilt der Auftragnehmer dem Auftraggeber vor einer Datenverarbeitung mit, wenn und diesfalls durch welche rechtliche Anforderung er durch das Recht der EU oder durch
anwendbares nationales Recht eines EU-Mitgliedstaates zur Verarbeitung personenbezogener Daten verpflichtet ist, sofern das betreffende Recht eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses nicht verbietet.
5. Einsatz weiterer (Sub-)Auftragsverarbeiter
5.1 Der Auftragnehmer nimmt keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers – zur Erfüllung dieser
Vereinbarung oder Teilen davon – in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer vor jeder
beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter; der Auftraggeber ist diefalls berechtigt, gegen derartige Änderungen
binnen 14 Tagen Einspruch zu erheben.
5.2 Die allfällige Erteilung von gesonderten oder allgemeinen Genehmigungen zum Einsatz von weiteren (Sub-)Auftragsverarbeitern ist im Anhang – Teil 3 spezifiziert. Sollte dort keine Auswahl getroffen sein, gilt weder eine gesonderte noch allgemeine Genehmigung als erteilt.
Für die im Anhang – Teil 3 gesondert genehmigten Unternehmen sowie bei allgemein genehmigter Sub-Beauftragung gilt diese Genehmigung immer nur bedingt soweit, sobald und solange jeder Sub-Auftragsverarbeiter (i) zur konkreten vertragsgemäßen Tätigkeit objektiv geeignet ist und (ii) in belegbar abgeschlossenen Vereinbarungen gem. Art 28
Abs 4 DSGVO zumindest dieselben Datenschutzpflichten wie in dieser Vereinbarung zusichert, insbesondere hinreichende Garantien zur Umsetzung der geeigneten technischen und organisatorischen Maßnahmen für eine Datenverarbeitung
entsprechend den Anforderungen der DSGVO. Erbringt der Sub-Auftragsverarbeiter die vereinbarte Leistung in einem Drittland iSd DSGVO (außerhalb der EU bzw. des EWR), stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit gem. den Artt. 44 ff DSGVO sicher.
5.3 In jedem Fall hat der Auftragnehmer gegenüber dem Auftraggeber für alle (insbesondere datenschutz-)rechtlich relevanten Handlungen und Unterlassungen der von ihm
hinzugezogenen Sub-Auftragsverarbeiter uneingeschränkt einzustehen.
6. Compliance-Nachweis / Kontrollbefugnisse
6.1 Der Auftragnehmer muss dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten laut dieser Vereinbarung und Art 28 DSGVO
zur Verfügung stellen sowie Überprüfungen – einschließlich Inspektionen – durch den Auftraggeber oder eine andere von diesem beauftragte Person ermöglichen und dazu beitragen. Solche Überprüfungen sind tunlichst in Abstimmung mit dem Auftragnehmer durchzuführen. Ohne besonderen Anlass wird der Auftraggeber diese Befugnisse nicht häufiger als ein Mal pro Vertragsjahr ausüben.
6.2 Die Einhaltung genehmigter Verhaltensregeln gemäß Art 40 DSGVO, die Zertifizierung nach einem genehmigten Verfahren gemäß Art 42 DSGVO oder aktuelle Testate oder
Berichte unabhängiger Stellen (zB Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Qualitätsauditoren) können als Faktoren für den oben
genannten Nachweis herangezogen werden.
7. Datenschutzbeauftragter / Vertreter
7.1 Bei Vorliegen der Voraussetzungen des Art 37 DSGVO ist der Auftragnehmer verpflichtet, (zumindest für die Laufzeit dieser Vereinbarung) einen Datenschutzbeauftragten zu bestellen und dessen Namen und Kontaktdaten sowie jeden Wechsel unverzüglich dem Auftraggeber mitzuteilen.
7.2 Hat bzw. verlegt der Auftragnehmer seinen Sitz außerhalb des territorialen Geltungsbereichs der DSGVO, wird er dem Auftraggeber einen in Österreich niedergelassenen Vertreter gemäß Art 27 namhaft machen.
7.3 Ansonsten ist dem Auftraggeber zumindest eine für die Umsetzung dieser Vereinbarung zuständige, leicht erreichbare und ausreichend informierte Kontaktperson auf Seiten des
Auftragnehmers zu nennen.
8. Vertragsdauer / Beendigung
8.1. Diese Vereinbarung tritt mit beiderseitiger Unterfertigung oder ausdrücklicher Zustimmung (auch im Wege elektronischer Korrespondenz) in Kraft und gilt akzessorisch zum BasisAuftrag, also jedenfalls solange der Auftragnehmer die darin bezeichneten, datenschutzrechtlich relevanten Dienstleistungen für den Auftraggeber erbringt. Sie endet ohne Bedarf gesonderter Erklärungen mit vollständigem Wegfall des Basis-Auftrages (gleich aus welchem Grund).
8.2. Jede Partei kann diese Vereinbarung bei schwerwiegenden Verstößen der jeweils anderen gegen den Vertrag oder einschlägiges Recht zudem jederzeit vorzeitig und
fristlos aufkündigen (außerordentliche Kündigung), der Auftraggeber insbesondere dann, wenn der Auftragnehmer die Durchführung vereinbarter/zwingend notwendiger
Sicherheitsmaßnahmen oder rechtmäßiger Weisungen bzw. angemessene Kontrollen des Auftraggebers verweigert. Bei anderen, nicht schwerwiegenden Verfehlungen ist der dafür verantwortlichen Partei eine mindestens 14-tägige Behebungsfrist zu setzen, deren fruchtloses Verstreichen zur Vertragslösung wie bei schwerwiegenden Verstößen berechtigt.
8.3. Eine solche außerordentliche Kündigung gilt – ungeachtet der dort vereinbarten Beendigungsmodalitäten – jedenfalls insoweit gleichermaßen für den Basis-Auftrag, als dessen Gegenstand von dieser Vereinbarung erfasst war. Nur in Bezug auf allenfalls (ökonomisch sinnvoll trennbar) verbleibende Leitungskomponenten wird der BasisAuftrag entsprechend seiner sonstigen Bestimmungen fortgesetzt; die kündigende Partei wird ihren diesbezüglichen Willen tunlichst unter einem mit der außerordentlichen Kündigung der anderen Vertragspartei mitteilen.
8.4. Der Auftragnehmer hat bei Vertragsbeendigung alle vertragsgegenständlichen personenbezogenen Daten (sofern nicht nach EU-Recht oder anwendbarem nationalem Recht eine Verpflichtung zur Speicherung besteht), Verarbeitungsergebnisse und Unterlagen je nach Weisung des Auftraggebers zu retournieren oder zu löschen bzw. die
Rückgabe/Löschung durch allfällige Sub-Auftragsverarbeiter zu veranlassen. Die Verpflichtung zur Wahrung der Verschwiegenheit dauert über die Vertragslaufzeit hinaus
unbefristet an.
9. Haftungen
9.1. Soweit der Basis-Auftrag Haftungsprivilegierungen welcher Art auch immer enthält, wird deren Anwendung auf Verstöße gegen diese Vereinbarung ausdrücklich ausgeschlossen.
9.2. Jede Vertragspartei haftet daher im Innenverhältnis allein und uneingeschränkt für alle nachteiligen Folgen der Verletzung datenschutzrechtlicher Pflichten im Rahmen ihres vertraglich und gesetzlich bestimmten eigenen Verantwortungsbereichs und wird die jeweils andere Partei bei Inanspruchnahme durch Dritte insoweit vollumfänglich schadund klaglos halten.
9.3. Diese Schadenersatzpflicht erfasst im gesetzlich zulässigen Ausmaß insbesondere auch behördliche Geldbußen, die einer Vertragspartei wegen eines der jeweils anderen zuzurechnenden Verhaltens auferlegt wurden.
10. Schlussbestimmungen
10.1. Änderungen und Ergänzungen zu diesem Vertrag, einschließlich des einvernehmlichen Abgehens vom Erfordernis der Schriftlichkeit, bedürfen der Schriftform, wobei die Übermittlung elektronischer Nachrichten an die zuletzt angegebenen Kontaktadressen der Parteien genügt.
10.2. Die Parteien werden über Bestehen und Inhalt dieser Vereinbarung sowie des BasisAuftrags gegenüber Dritten insoweit Stillschweigen bewahren, als keine gesetzlichen
Auskunfts- bzw. Offenlegungspflichten bestehen. Zudem werden im Zweifel alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Unternehmensinterna, betrieblichen Prozessen und Datensicherheitsmaßnahmen der jeweils anderen Partei
auch über die Beendigung des Vertrages hinaus vertraulich behandelt.
10.3. Sollten einzelne Teile dieses Vertrags ungültig sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen und sind diese Teile durch diejenigen zulässigen bzw. gültigen Bestimmungen zu ersetzen, die dem wirtschaftlichen Gehalt bzw. von den Parteien verfolgten Zweck am nächsten kommt. Gleiches gilt für Vertragslücken.
10.4. Die Vereinbarung unterliegt allein österreichischem materiellen Recht sowie sachlich relevantem Unionsrecht, insbesondere der DSGVO. Ausschließlicher Gerichtsstand ist
Wien.
……………………………………………. …………………………………………….
Ort/Datum Auftragnehmer
……………………………………………. …………………………………………….
Ort/Datum Auftraggeber
Anhang
Anhang – Teil 1:
Datenverarbeitungsspezifikationen
Hauptleistungspflichten des Basis-Auftrags
BASIS-VERTRAG/-VERTRÄGE (Titel, Datum):
Angebot XY vom TT.MM.JJ sowie entsprechende Erweiterungen
Von der Verarbeitung laut dieser Vereinbarung umfasste Datenarten [Kreuzen Sie hier bitte Zutreffendes an oder ergänzen Sie Fehlendes]:
□ rassische oder ethische Herkunft
□ politische Meinungen oder Parteizugehörigkeit
□ religiöse oder weltanschauliche Überzeugungen
□ Zugehörigkeit zu Gewerkschaften oder anderen
arbeitsrechtlichen Interessenvertretungen
□ Genetische Daten
□ Biometrische Daten
□ Gesundheitsdaten
□ Sexualleben sowie sexuelle Orientierung
□ Daten von Kindern
□ Namensdaten
□ Persönliche Detailangaben wie Alter, Geschlecht,
Geburtsdatum/-ort, Familienstand, Staatsangehörigkeit
□ Ausweisdaten (z.B. Pass-, Personalausweis-,
Führerscheindaten), Unterschrift oder Paraphe
□ Betriebliche Kontaktdaten (Arbeitsadresse, betriebliche
Telefon-/Faxnummer oder Emailadresse)
□ Private Kontaktdaten (Wohnsitz, Privatadresse, private
Telefon-/Faxnummer oder Emailadresse
□ Bank- oder Kreditkartendaten
□ Kfz-Daten (Marke/Modell, Kennzeichen, Zulassungsdaten,
Schadensdaten)
□ Bild-, Video- oder Tonaufzeichnungen
□ Zutrittsdaten (Chipnummer, Zeitstempel)
□ Daten zu Lieferungen oder Leistungen (z.B. Bestelldaten,
Rechnungsnummer, Mahn- /Inkassodaten
□ Kundenidentifikationsdaten (z.B. Vertragsnummer,
Kundennummer, Benutzername, ID)
□ Kundenprofil (z.B. Bestell-/Support-/Verlaufshistorie,
Bonuspunkte, Gutscheindaten)
□ Finanzgeschäfte (z.B. Offene Posten, Zahlungsweise,
Zahlungshistorie)
□ Compliance (z.B. Einträge in Robinson-/RTR-Liste oder
sonstige Blacklists, gesetzliche Meldepflichten,
Geldwäscheprävention, Steueransässigkeit, FATCA-/CRS-
Daten, Prozessdaten)
□ Beruf und Karriere-Daten (Historie, ehem. Arbeitgeber oder
Tätigkeiten, Arbeitslosigkeit, Militär-/Zivildienst)
□ Betriebliche Einordnung (z.B. Plan-/Kostenstellen,
Organisationseinheit, Funktion, Arbeitsmodalität)
□ Ausbildung (Titel, Ausbildungsweg, Fortbildungen,
Schulungen, Zertifizierungen)
□ Personaldaten (z.B. Stamm-, Vertrags-, Abrechnungs-
Anwesenheits- oder Mitarbeitervorsorgedaten)
□ Daten von Medien oder Kommunikationsmitteln (z.B. IP-
Adresse, Telefonverbindungsdaten, Cookies,
An-/Abmeldungen, Anschlusszeiten, Internet- oder Email-
Nutzungsdaten)
□ Sonstige (andere
Datenkategorien):
____________________________________
Die davon betroffenen Personen sind in Bezug auf den Verantwortlichen [Kreuzen Sie hier bitte Zutreffendes an oder ergänzen Sie Fehlendes]
□ Eigene Mitarbeiter
□ Freie Dienstnehmer
□ Leasing-Personal
□ Bewerber
□ Angehörige von eigenen Mitarbeitern (z.B. Vater, Mutter,
Geschwister)
□ Firmenkunden (B2B) und deren Ansprechpartner (z.B.
Anzeigenkunden)
□ Endkunden (B2C) (z.B. Abonnenten, Online-User)
□ Potentialkunden/Interessenten
□ Kooperationspartner
□ Mitbewerber, Konkurrenten
□ Lieferanten (z.B. Presse- oder Mediaagenturen)
□ Mieter
□ Aktionäre, Gesellschafter
□ Investoren
□ Kinder
□ Sonstige (andere Kategorien von Betroffenen): …………………………………………………………
Die konkrete Verarbeitung der Daten besteht in deren [Kreuzen Sie hier bitte Zutreffendes an oder ergänzen Sie Fehlendes]
□ Erhebung/Erfassung
□ Speicherung
□ Organisation/Ordnung
□ Anpassung/Berichtigung/Ergänzung
□ Auslese
□ Übermittlung/Offenlegung/Verbreitung
□ Abgleich/Verknüpfung
□ Einschränkung
□ Löschung/Vernichtung
□ sonstiger Verwendung: …………………………
zu folgenden Zwecken [Kreuzen Sie hier bitte Zutreffendes an oder ergänzen Sie Fehlendes]
□ Direktmarketing
□ Sonstige kommerzielle Kommunikation
□ Post-Werbung
□ telefonische Werbung
□ Newsletter-Versand
□ sonstige elektronische Werbung
□ Abo-Vertragserfüllung (Hauszustellung)
□ IT-Services
□ Druckerei-Leistung
□ sonstige Medienhilfsdienste
□ Statistische Auswertung/Archivierung
□ Ausspielung personalisierten Online-Contents
□ Erstellung von Verhaltens- oder Personenprofilen
□ Personalverwaltung
□ Verrechnung/Finanzverwaltung
□ Sonstige: ……………………………………….
Anhang – Teil 2:
Technisch-organisatorische Maßnahmen (Art 32 Abs 1 DSGVO)
Der Auftragnehmer bietet hinreichende Garantien dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass Verarbeitungen im Einklang mit den Anforderungen der DSGVO erfolgen und einen angemessenen Schutz der Rechte der Betroffenen (unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfanges der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen) gewährleisten, insbesondere hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie hinsichtlich der Belastbarkeit von Systemen. Soweit für die Vertragserfüllung relevant, sind dahingehend bereits (oder werden noch rechtzeitig vor Beginn der Datenverarbeitung) folgende Maßnahmen durch den Auftragnehmer gesetzt: [Kreuzen Sie hier bitte Zutreffendes an oder ergänzen Sie Fehlendes]
Zutrittskontrolle
□ Personenkontrolle durch Portier oder
Sicherheits-/Wachdienst
□ Bewachung an Wochenenden/Feiertagen
□ Alarmanlage/Einbruchsmeldesystem
□ Videoüberwachung der Zugänge
□ Zugangsbeschränkung für Büro- und Geschäftsräume
□ Sicherheitsschlösser
□ Absicherung von Gebäudeschächten, Hintertüren,
Nebeneingängen etc.
□ Bewegungsmelder/Lichtschranken
□ Chipkarten-/Transponderregelung
□ Schlüsselregelung
□ manuelles Schließsystem
□ biometrische Zugangssperren
□ Protokollierung von Schlüssel-/Chipkarten-
/Transponderausgaben
□ Generalschlüsselregelung
□ Regelung des Besucherzutritts (Anmeldung, Protokollierung)
□ Berechtigungsausweis-Tragepflicht
□ spezielle Sicherung/Zutrittsbeschränkung für Serverräume
und Archive
Zugangskontrolle
□ sichere Aufbewahrung von Datenträgern
□ „clean desk” (digitaler Arbeitsplatz, Reinigung des virtuellen
Desktop)
□ Absicherung interner Schnittstellen (WLAN, Bluetooth etc.)
□ Sperre externer Schnittstellen (USB-Port, Disketten-/CD-
Laufwerke etc.)
□ Gehäuseverriegelungen
□ Passworteingabe zur Anmeldung
□ Richtlinie zur Passwortsicherheit
□ Berechtigungskonzept
□ Erstellung von Benutzerprofilen
□ Zuordnung von Benutzerprofilen zu
Datenverarbeitungssystemen
□ Authentifizierung über eindeutige User-ID
□ Authentifizierung über Benutzername und Passwort
□ Authentifizierung mit biometrischem Verfahren
□ gesicherte Verbindung bei Fernwartung
□ Protokollierung der Zugänge (An- und Abmeldung) zu
Datenverarbeitungssystemen
□ Kontosperre bei fehlerhaften Zugangsversuchen
□ automatische Rechnersperre bei vorübergehender
Abwesenheit
□ regelmäßiger erzwungener Passwortwechsel
□ unverzügliche Sperre der Berechtigung ausgeschiedener
Benutzer
□ Verwaltung der Rechte durch Systemadministrator
□ sichere Aufbewahrung des Administrator-Passworts
□ Angriffserkennungssystem/Anti-Viren-Software
□ Viren-Scanner für Server und Arbeitsplatzrechner
□ Abschottung durch Firewall
□ Daten-/Festplattenverschlüsselung von mobilen Endgeräten
(Blackberry, Notebook, USBStick etc.)
□ Einsatz von Schutzprogrammen und Administrationssoftware
auf Smartphone und Tablet
PC
□ Verbot privater Speichermedien
□ Verbot der ungenehmigten Installation von Soft- und
Hardware
□ regelmäßige Aktualisierung der Schutzprogramme (Update
etc.)
Zugriffskontrolle
□ Zugriffsbeschränkung für Computersysteme und
Netzlaufwerke auf berechtigte Benutzer
□ Zugriffsbeschränkung für Backup-Datenträger auf
Systemadministratoren
□ Berechtigungskonzept
□ Prozess zur Beantragung, Genehmigung, Vergabe und
Rückgabe von Zugriffsberechtigungen
□ Berechtigungsminimierung nach Zweckbindungsprinzip
□ differenzierte Berechtigungen (Lesen, Ändern, Profile, Rollen,
Transaktionen, Objekte)
□ Berechtigungsverwaltung durch Systemadministrator
□ Meldung und Auswertung erfolgter/versuchter
Sicherheitsverletzungen
□ Überschreibung der Datenträger mit geeigneter Software vor
Wiederverwendung
□ ordnungsgemäße Datenträgervernichtung
□ Einsatz geeigneter Datenschutzbehälter zur Verhinderung
unbefugter Entnahmen
□ Protokollierung der Entsorgung von Daten
(Vernichtungszertifikat etc.)
□ Verschlüsselung von Datenträgern
Weitergabekontrolle
□ Datenübermittlung in anonymisierter oder pseudonymisierter
Form
□ Monitoring des Datenverkehrs
□ Email-Verschlüsselung
□ Verschlüsselung von Anhängen (zB AES-256)
□ verschlüsselte programmgesteuerte Übermittlung von Daten
□ kryptographisches Verschlüsselungsverfahren (zB PGP, GPG)
□ Datentransfer über gesicherte Verbindungen (zB https/SFTP)
□ Protokollierung von Abruf- und Übermittlungsvorgängen
□ Einrichtung von Standleitungen bzw. VPN-Verfahren
□ Empfängerkontrolle/Adresscheck vor Versand
□ Nachweis der Empfänger-Identität
□ Einsatz sicherer Transportbehälter
□ Aus-/Eingangsprotokolle
□ Einsatz von Passwörtern und Passwortsicherheit
□ getrennte Wege zur Passwortübermittlung
Eingabekontrolle
□ Nachvollziehbarkeit der Zugriffe anhand individueller
Benutzernamen
□ Nachvollziehbarkeit der Zugriffe anhand der Benutzergruppen
□ Revisionsfähigkeit (Ermittelbarkeit von Urheber, Inhalt und
Zeitpunkt der Datenverarbeitung)
□ Protokollierung von Eingabe, Änderung und Löschung von
Daten
□ Kontrolle von Protokollinformationen
□ Authentizität (jederzeitige Datenzuordenbarkeit zu ihrem
Ursprung)
□ Anti-Datenmanipulationsverfahren
□ Aufbewahrung der Formulare, aus denen Daten digitalisiert
wurden
□ Übersicht der Applikationen, mit denen Daten
eingegeben/geändert/gelöscht werden
Auftragskontrolle
□ Auswahl weiterer (Sub-)Auftragnehmer, zB CallCenter, nach
Datensicherheitsgarantien
□ Verpflichtung aller Auftragnehmer gemäß Art 28 Abs 3 DSGVO
□ sorgfältige Auswahl von IT-, Wach-, Reinigungs-, Entsorgungs,
Transport- u.a. Dienstleister
□ Datenschutz-Zertifizierung des Auftragnehmers durch neutrale
Stelle
□ Datenschutz-Audits beim Auftragnehmer
□ Vertragsstrafen für weitere (Sub-)Auftragnehmer bei
Verstößen
□ Sicherstellung der Rückgabe/ordnungsmäßen Vernichtung
aller Daten bei Vertragsbeendigung
□ Beachtung der Voraussetzungen der DSGVO bei
Auftragsdatenverarbeitung in Drittstaaten
□ Ausschluss von Auftragsdatenverarbeitungen in Drittstaaten
Verfügbarkeitskontrolle
□ Datensicherungskonzept
□ betriebsexterne sichere Verwahrung der Backup-Datenträger
□ Führen von Backup-Verzeichnissen bzw. einer Backup-
Verzeichnisstruktur
□ Notfallplan/Recovery-Konzept
□ Backup-Rechenzentrum
□ Datenwiederherstellungstests
□ Einsatz spezieller Schutzprogramme
□ Unterbrechungsfreie Stromversorgung (USV)
□ Feuer- und Rauchmeldeanlagen
□ Feuerlöschgeräte
□ besonderer Brand-/Wassereintrittsschutz für Serverräume und
Archive
□ Temperatur-/Feuchtigkeitsüberwachung/Klimaanlage in
Serverräumen und Archiven
□ Alarmanlage in Serverräumen und Archiven
□ Schutzsteckdosenleisten in Serverräumen und Archiven
□ zeitgerechte Datenverfügbarkeit und -verarbeitbarkeit
□ Minimierung der Eintrittspunkte für Schadsoftware
(Abschaltung verzichtbarer Dienste)
Trennungsprinzip
□ keine Mitbenutzung der Büroräume, Archive und Server durch
Fremdfirmen
□ physisch getrennte Datenspeicherung auf gesonderten
Systemen, Laufwerken und Datenträgern
□ logische Mandantentrennung
□ Zweckattribute für Datensätze
□ Festlegung von Datenbankrechten (Zugriffsschranken für
einzelne Ordner, Datensätze, Felder)
□ Rollentrennung von Benutzern
□ Berechtigungskonzept
□ Verwaltung der Berechtigungen durch Systemadministrator
□ getrennte Speicherung besonders sensibler Daten (zB
Personalbereich)
□ Trennung von Entwicklungs-, Test- und Produktivsystemen
□ Trennung von Erfassungs- und Originaldaten (zB bei
anonymisierten Daten)
□ informationelle Gewaltenteilung
Organisation
□ Bestellung eines Datenschutzbeauftragten
□ Verpflichtung der Mitarbeiter zur Wahrung des
Datengeheimnisses
□ Verpflichtung des Fremdpersonals zur Wahrung des
Datengeheimnisses
□ Datenschutz-Schulungen für Mitarbeiter
□ Administratorkontrolle
□ Regelungen für Zugriffsbefugnisse auf erstellte
Protokolldaten
□ Löschungsregelungen für Protokolldaten
□ Warnhinweise in videoüberwachten Bereichen
□ IT-Richtlinien
□ Regelung privater Nutzung betrieblicher
Kommunikationstechnik
□ Verbot privater Nutzung betrieblicher Kommunikationstechnik
□ Direkt-/Adressmarketing nach datenschutzrechtlichen
Vorgaben
□ kein Adressmarketing
□ Einsatz von Cloud Computing nach datenschutzrechtlichen
Vorgaben
□ kein Einsatz von Cloud Computing
□ IPv6-Sicherheit □ kein Einsatz von IPv6
□ dokumentiertes Datenschutzkonzept
Internetauftritt/mobile Dienste
□ Datenschutzerklärungen
□ Anbieterkennzeichnung
□ Kennzeichnung kommerzieller Kommunikation/Inhalte
□ Einsatz von Tracking-Software gemäß datenschutzrechtlicher
Vorgaben
□ kein Einsatz von Tracking-Software
□ Cookie-Sicherheit (HttpOnly Flag, Secure Cookie etc.)
□ kein Einsatz von Cookies
□ Widerspruchsmöglichkeiten gegen Tracking
□ Einsatz von Google Analytics unter folgenden
Voraussetzungen:
□ schriftlicher Vertrag zur Auftragsdatenverarbeitung
□ Hinweis in Datenschutzerklärungen
□ Widerspruchsmöglichkeit
□ Einbindung der Anonymisierungsfunktion im Quellcode
□ kein Einsatz von Google Analytics
□ Social Media Guidelines für den Umgang mit Facebook,
Google+, Twitter etc.
□ kein Einsatz von Social Media
Anhang – Teil 3:
Subunternehmen (weitere Auftragsverarbeiter)
3.1 Der Einsatz folgender Sub-Auftragsverarbeiter gilt unter den Voraussetzungen des Pkt. 5 der Vereinbarung als gesondert genehmigt:
a) Name/Firma: ………………………………………..……………………………..
FN/Geb-Datum: ………………………………………..…………………………..
Adresse: ………………………………………..…………………………………..
b) Name/Firma: ………………………………………..……………………………..
FN/Geb-Datum: ………………………………………..…………………………..
Adresse: ………………………………………..…………………………………..
[Führen Sie hier bitte weitere Subunternehmen an]
3.2 Der Einsatz von Sub-Auftragsverarbeitern wird (im Übrigen, auch zusätzlich zu allfälligen gesonderten Genehmigungen laut oben 3.1) unter den Voraussetzungen des Pkt. 5 der Vereinbarung bis auf weiteres allgemein genehmigt.
Auftragsverarbeitung

bottom of page