Auftragsverarbeitungsvertrag (AVV)
Auftragsverarbeitung
Gegenstand und Dauer der Verarbeitung
Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch NWS IT GmbH (nachfolgend Auftragnehmer) als Auftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
Die Dauer der Verarbeitung entspricht der im Vertrag vereinbarten Laufzeit.
Art und Zweck der Verarbeitung
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.
Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung (siehe hierzu auch Anhang 1 Leistungsbeschreibung), insbesondere im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support, erforderlichen Zwecke.
Art der personenbezogenen Daten und Kategorien von Betroffenen
Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung Anhang 1.
Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. Siehe hierzu auch die Leistungsbeschreibung Anhang 1.
Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).
Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere bei Shared Services vor.
Die vertraglich vereinbarte Datenverarbeitung findet in der Regel überwiegend in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Für den Fall einer Übermittlung in einen Drittstaat stellt der Auftragnehmer sicher, dass die Voraussetzungen nach Art. 44 ff. DSGVO erfüllt sind.
Rechte des Auftraggebers, Pflichten des Auftragnehmers
Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Weisungen sind durch den Auftraggeber zu dokumentieren und mindestens für die Dauer des Auftragsverhältnisses aufzubewahren.
Der Auftragnehmer unterstützt den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, hierfür eine angemessene Vergütung zu verlangen.
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung befassten Mitarbeitern untersagt ist, die Daten außerhalb der Weisung zu verarbeiten, und dass sich die befugten Personen zur Vertraulichkeit verpflichtet haben. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrages fort.
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden, und trifft die erforderlichen Maßnahmen zur Sicherung der Daten.
Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten gemäß Art. 38 und 39 DSGVO. Eine Kontaktmöglichkeit wird auf der Website veröffentlicht.
Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie zurück, sofern nicht eine gesetzliche Speicherpflicht besteht. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart.
Machen betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten.
Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.
Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet.
Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind unter dem entsprechenden Link einsehbar. Es handelt sich dabei lediglich um Beschreibungen technischer Art, welche nicht als Bestandteil dieser Vereinbarung anzusehen sind.
Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 lit. d) DSGVO.
Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
Nachweis und Überprüfung
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Sollte im Einzelfall eine Inspektion erforderlich sein, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer durchgeführt, den der Auftragnehmer benennt.
Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen, soweit die Kontrolle nicht wegen eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde.
Haftung und Schadensersatz
Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO.
Vertragslaufzeit, Sonstiges
Die Vereinbarung beginnt mit dem Abschluss durch den Auftraggeber. Sie endet mit Ende des letzten Vertrages unter der jeweiligen Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen bis zum tatsächlichen Ende der Verarbeitung.
Der Auftragnehmer kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern, sofern sich wesentliche rechtliche Änderungen ergeben. Der Auftragnehmer räumt dem Auftraggeber eine angemessene Frist zur Erklärung eines Widerspruchs ein. Im Falle eines Widerspruchs steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
Der Auftraggeber erkennt diese Vereinbarung als Teil der AGB über die/das von ihm gebuchte/n Produkt/e an. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung den Regelungen des Hauptvertrages vor.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Republik Österreich.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.
Anhang 1 — Leistungsbeschreibung
Domain
Wenn Sie bei uns eine Domain bestellen, kümmern wir uns um die Konnektierung und die Registrierung Ihrer Domain bei der zuständigen Registry. Zudem ist die Aufrechterhaltung der Registrierung, Domainumzüge und Abmeldung Vertragsbestandteil. Gleiches gilt für auf Ihren Domains basierenden SSL-Zertifikaten.
| Art der Daten | Domain, Stammdaten (Name, Adresse, E-Mail, Telefonnummer) |
| Betroffene | Kunden |
Wenn Sie bei uns ein Mailprodukt bestellen, erhalten Sie eine oder mehrere E-Mail-Adressen. Wir legen für Sie die entsprechenden Postfächer an, auf die Sie mittels Web zugreifen oder die Sie in verschiedene Clients einbinden können. Des Weiteren können Sie im Web-Client Termine und Aufgaben erstellen und Kontakte verwalten. Zudem gehört auch ein konfigurierbarer Spamfilter zum Produkt.
| Art der Daten | Mails, Kontakte, Termine, Domain |
| Betroffene | Mitarbeiter |
Cloud-Speicher
Unser Cloud-Speicher NWS IT-Cloud ermöglicht die Speicherung Ihrer Daten in unserem Rechenzentrum, sodass Sie von überall und jederzeit auf die Daten zugreifen können. Sie können Freigaben auf bestimmte Ordner erteilen und diese verwalten.
| Art der Daten | Daten, die Sie in der Cloud speichern |
| Betroffene | Mitarbeiter |
Hosting
Wenn Sie bei uns ein Hosting-Paket bestellen, gehören zu unserer Leistung die Registrierung und Konnektierung der Domain sowie die Zurverfügungstellung des Webspaces und der Datenbanken. Inbegriffene Leistungen sind SSL-Zertifikate und Mail. Mit den Easy.Install Apps können Sie verschiedene Applikationen zum Aufbau und zur Verwaltung von Websites verwenden. Zusätzlich erhalten Sie Zugriff auf das Tool marketingRadar.
| Art der Daten | Inhaltsdaten der Website, Domain, Daten E-Mail (siehe Mailprodukt), Daten Ihrer Websitebesucher |
| Betroffene | Mitarbeiter, Besucher der Website |
Hosting für WooCommerce & WordPress
Wenn Sie eines unserer Webhosting-Pakete, die speziell auf die Verwendung für das CMS WordPress bzw. WordPress mit dem WooCommerce Plug-In ausgerichtet sind, bestellen, erhalten Sie die Registrierung und Konnektierung der Domain sowie die Zurverfügungstellung des Webspace mit direkt installierten Datenbanken. Zusätzlich enthalten sind SSL-Zertifikate, das Online-Marketing-Tool marketingRadar, mehrere E-Mail-Adressen und Zugriff auf die NWS IT Cloud.
| Art der Daten | Inhaltsdaten der Website, Domain, Daten E-Mail (siehe Mailprodukt), Daten Ihrer Websitebesucher |
| Betroffene | Mitarbeiter, Besucher der Websites |
Server
Sie können virtuelle Server bei uns bestellen. Wir stellen Ihnen hierfür einen geteilten Speicherplatz auf einem Server zur Verfügung.
| Art der Daten | Daten, die Sie auf dem Server speichern |
| Betroffene | Mitarbeiter, Besucher der Website |
Weitere SaaS-Produkte
Wir bieten zudem noch weitere Software-as-a-Service Produkte an. Hierzu gehören z. B. – aber nicht abschließend – Online-Marketing-Tools, die Möglichkeit, sich eine Website mittels Homepage-Baukastens zu erstellen, oder auch der Vertrieb von Office-Anwendungen.
| Art der Daten | Daten, die Sie in den Diensten speichern |
| Betroffene | Mitarbeiter, Kunden, Besucher der Website |