Bedingungen der Auftragsverarbeitung
Diese Bedingungen der Auftragsverarbeitung samt DPA Anhang gelten für die Verarbeitung personenbezogener Daten durch IXOPAY als "Auftragsverarbeiter" im Auftrag des Kunden, und bilden gemeinsam den Auftragsverarbeitervertrag gemäß Art 28 DSGVO ("DPA"). Das DPA unterliegt den Bedingungen der Vereinbarung. Sofern nicht ausdrücklich abweichend geregelt gilt die Reihenfolge: 1. DPA Anhang, 2. diese Bedingungen der Auftragsverarbeitung, 3. die Vereinbarung. Im DPA verwendete, aber nicht definierte datenschutzrechtliche Begriffe (zB "Verarbeitung", "Betroffene Person") haben die in der DSGVO festgelegte Bedeutung. Im Rahmen dieses DPA bezieht sich der Begriff Verantwortlicher auf den Kunden und der Begriff Auftragsverarbeiter auf IXOPAY, unabhängig davon, ob der Kunde als Verantwortlicher handelt (und IXOPAY als Auftragsverarbeiter) oder als Auftragsverarbeiter für eienen anderen Verantwortlichen (und IXOPAY als ein weiterer (Sub-)Auftragsverarbeiter), sofern sich aus dem Kontext nichts anderes ergibt.
1. Verarbeitung
Gegenstand, Art und Zweck der Verarbeitung ergeben sich aus der Erbringung der Leistungen des Auftragsverarbeiters wie im Auftragsdokument samt einer allfälligen Leistungsbeschreibung beschrieben und im DPA Anhang ergänzt ("Services"). Sofern nicht im Auftragsdokument oder im DPA Anhang abweichend geregelt, ist die Dauer der Verarbeitung an die im Auftragsdokument festgelegte Laufzeit der Vereinbarung gekoppelt und endet mit dieser.
2. Rechte und Pflichten des Auftragsverarbeiters und des Verantwortlichen
2.1
Der Kunde bestätigt, alleiniger Verantwortlicher iSd Art 4 Z 7 DSGVO hinsichtlich jeglicher Informationen zu sein, die sich auf identifizierte oder identifizierbare Personen iSd Art 4 Z 1 DSGVO beziehen, die vom Auftragsverarbeiter im Rahmen der Erbringung des Services verarbeitet werden. Sofern weitere Verantwortliche existieren oder der Kunde selbst als Auftragsverarbeiter von Verantwortlichen agiert, haben diese den Kunden angewiesen und ihn bevollmächtigt, der Verarbeitung durch den Auftragsverarbeiter zuzustimmen.
2.2.
Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung zu entscheiden. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, die vom Auftragsverarbeiter als Weisungen für Zwecke des DPA bestätigt wurden, sowie nur soweit, als dies zur Erbringung der Leistungen erforderlich ist. Sofern Änderungen zu einer erheblichen Erweiterung der Verarbeitung durch den Auftragsverarbeiter führen, gilt Punkt 2.13.
2.3.
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung und für die vollständige Einhaltung der Vorschriften der DSGVO, anderer anwendbaren Datenschutzbestimmungen der EU oder deren Mitgliedstaaten („Anwendbare Datenschutzvorschriften") und dieses DPA verantwortlich. Wenn die Weisungen des Verantwortlichen dazu führen, dass personenbezogene Daten einem Verantwortlichen, gemeinsam Verantwortlichen oder Auftragsverarbeiter in einem Drittland oder einer internationalen Organisation übermittelt oder offengelegt werden, hat der Verantwortliche die Einhaltung der Vorschriften des Kapitels V der DSGVO zu gewährleisten. Der Verantwortliche hält den Auftragsverarbeiter schad- und klaglos für alle Ansprüche Dritter und/oder Sanktionen einer Aufsichtsbehörde, die mit einer unrechtmäßigen Verarbeitung des Verantwortlichen im Rahmen des Auftragsverarbeitervertrags in Zusammenhang stehen.
2.4.
Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen Anwendbare Datenschutzvorschriften verstößt, wird er den Verantwortlichen unverzüglich darüber informieren und kann die Erfüllung der Weisung aussetzen, bis der Verantwortliche entweder deren Rechtmäßigkeit per E-Mail an [email protected] bestätigt oder diese ändert.
2.5.
Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen Zugriff nur im jeweils notwendigen Umfang („need to know “) erhalten und sich diese zur Vertraulichkeit, insbesondere im Sinne des Art 28 Abs 3 lit b DSGVO und des § 6 DSG 2018, verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
2.6.
Der Auftragsverarbeiter hat in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen ("TOMs") ergriffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und hält diese aufrecht. Die konkret getroffenen Datensicherheitsmaßnahmen können - je nach konkreter Verarbeitung - durch den Auftragsverarbeiter im eigenen Ermessen und im Rahmen der gesetzlichen Bestimmungen angepasst und zukünftig abgeändert bzw aktualisiert werden, sofern die Sicherheit und Funktionalität der Verarbeitungen nicht negativ beeinträchtigt werden. Der Verantwortliche kann vom Auftragsverarbeiter die aktuellen TOMs jederzeit per E-Mail an [email protected] anfordern.
Der Verantwortliche bestätigt, angemessene TOMs in dessen Verantwortungsbereich getroffen zu haben und aufrecht zu erhalten.
2.7.
Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung gemäß Art 28 Abs 2 DSGVO, dass der Auftragsverarbeiter andere Unternehmen zur Durchführung von Verarbeitungen heranziehen kann ("Sub-Auftragsverarbeiter"). Der Auftragsverarbeiter verständigt den Verantwortlichen rechtzeitig von jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters. Der Verantwortliche kann gegen diese Änderung binnen 30 Tagen nach Erhalt der Mitteilung des Auftragsverarbeiters per E-Mail an [email protected] Widerspruch gemäß Art 28 Abs 2 DSGVO einlegen. Der Verantwortliche muss seine berechtigten Gründe für den Widerspruch zusammen mit etwaigen Abhilfemöglichkeiten angeben. Im Falle eines Widerspruchs werden die Parteien zusammenarbeiten, um eine praktikable Lösung zu finden. Der Auftragsverarbeiter schließt mit dem Sub-Auftragsverarbeiter einen Vertrag im Sinne des Art 28 Abs 4 DSGVO, in welchem dem Sub-Auftragsverarbeiter im Wesentlichen gleiche datenschutzrechtliche Verpflichtungen wie in diesem DPA auferlegt werden.
2.8.
Auf Anfrage des Verantwortlichen per E-Mail an [email protected] unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen dabei, dass dieser die Rechte der betroffenen Personen gemäß Kapitel III DSGVO (zB Recht auf Auskunft, Richtigstellung oder Löschung der Daten, Widerspruch) oder ähnliche Anfragen gemäß der Anwendbaren Datenschutzvorschriften wahren kann. Dies erfolgt, indem der Auftragsverarbeiter die Funktionalitäten des Services bereitstellt und dem Verantwortlichen alle für die Anfrage notwendigen Informationen überlässt. Sollte der Auftragsverarbeiter direkt von betroffenen Personen hinsichtlich ihrer datenschutzrechtlichen Ansprüche und Rechte kontaktiert werden, wird er diese Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Für die Beantwortung der Anfragen ist der Verantwortliche zuständig. Der Auftragsverarbeiter wird Begehren von betroffenen Personen nur behandeln, wenn der Verantwortliche eine entsprechende dokumentierte Weisung per E-Mail an [email protected] erteilt.
2.9.
Macht eine betroffene Person einen Anspruch gegenüber dem Auftragsverarbeiter wegen der Verletzung ihrer Betroffenenrechte geltend, entschädigt der Verantwortliche den Auftragsverarbeiter für den Teil der mit dem Anspruch zusammenhängenden Schäden, insb. Kosten, Gebühren, Schäden, Aufwendungen oder Verluste, der dem Anteil des Verantwortlichen entspricht. Entsprechend dem Anteil des Auftragsverarbeiters an der Verantwortung für einen Schaden, und nach Maßgabe der Haftungsbeschränkungen der Vereinbarung, kann der Verantwortliche vom Auftragsverarbeiter jene Beträge zurückzufordern, die er an eine betroffene Person bezahlt hat, deren Betroffenenrechte der Auftragsverarbeiter durch einen Verstoß gegen seine Pflichten aus der DSGVO verursacht hat.
Ersatzansprüche nach diesem Punkt bestehen nur, sofern die von der betroffenen Person in Anspruch genommene Partei die andere Partei über den Anspruch informiert und ihr die Zusammenarbeit bei dessen Abwehr und Beilegung ermöglicht hat.
2.10.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art 32 bis 36 DSGVO genannten Pflichten in angemessenem Umfang unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
Insbesondere meldet der Auftragsverarbeiter dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten in Bezug auf die Verarbeitung unverzüglich, sobald ihm diese bekannt werden. Der Verantwortliche bleibt gegenüber der Aufsichtsbehörde und den betroffenen Personen allein im Sinne der Art 33, 34 DSGVO verantwortlich und entscheidet alleine, ob aufgrund der ihm vom Auftragsverarbeiter zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss. Jede Haftung des Auftragsverarbeiters ist ausgeschlossen, sofern der Verantwortliche eine erforderliche Meldung trotz unverzüglicher Information durch den Auftragsverarbeiter nicht (fristgerecht) erstattet.
2.11.
Nach Abschluss der Erbringung der Verarbeitungsleistungen wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle in seinem Besitz befindlichen personenbezogenen Daten entweder löschen oder zurückgeben, sofern nicht nach dem anwendbaren Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Der Verantwortliche erteilt dem Auftragsverarbeiter die ausdrückliche Genehmigung, nach vorheriger Anonymisierung, im Auftrag des Verantwortlichen verarbeitete Daten für nicht personenbezogene Auswertungen zum Zweck der Verbesserung der eigenen Dienste des Auftragsverarbeiters zu verwenden.
2.12.
Der Auftragsverarbeiter unterstützt den Verantwortlichen gemäß Art 28 Abs 3 lit h DSGVO und stellt ihm oder einem von diesem beauftragten Prüfer (sofern dieser einer ausreichenden gesetzlichen oder vertraglichen Verschwiegenheitsverpflichtung gegenüber dem Auftragsverarbeiter unterliegt) wie folgt jene Informationen zur Verfügung, die zur Kontrolle der Einhaltung der Pflichten des DPA notwendig sind:
(i) Der Auftragsverarbeiter übermittelt dem Verantwortlichen oder einem von diesem beauftragten Prüfer vorrangig die aktuellsten Sicherheitsdokumentationen und Zertifizierungen und/oder zusammenfassenden Prüfberichte Dritter, die zur Beurteilung und Evaluierung der Wirksamkeit der TOMs durchgeführt wurden, und unterstützt den Verantwortlichen auf dessen Anfrage, indem er ihm ergänzende Informationen zur leichteren Nachvollziehbarkeit der Unterlagen zur Verfügung gestellt.
(ii) Der Auftragsverarbeiter wird weitere Informationen und angemessene Unterstützung auf Anfrage des Verantwortlichen zur Verfügung stellen, sofern und soweit diese nachweislich erforderlich sind, damit der Verantwortliche seine Auditpflichten erfüllen oder den Aufträgen einer zuständigen Aufsichtsbehörde entsprechen kann.
(iii) Sofern und soweit es unmöglich ist, einer gesetzlich zwingenden Auditverpflichtung im Wege der Maßnahmen nach (i) und (ii) nachzukommen, kann der Verantwortliche einen unabhängigen Prüfer beauftragen, der angemessene Fähigkeiten und Erfahrungen zur Durchführung des relevanten Audits besitzt, um Inspektionen der für die Serviceerbringung genutzten Betriebsstätten während der üblichen Geschäftszeiten des Auftragsverarbeiters und unter möglichster Schonung seiner Betriebsabläufe durchzuführen. Eine solche Inspektion darf, sofern es keinen gesondert begründeten Anlassfall gibt, nicht mehr als einmal im Jahr durchgeführt werden, es sei denn dies ist gesetzlich vorgeschrieben. Vor einer solchen Inspektion stimmen sich die Parteien über einen angemessenes Zeitpunkt der Inspektion sowie zu Sicherheits- und Verschwiegenheitsmaßnahmen ab, um Risiken für andere Kunden des Auftragsverarbeiters zu reduzieren. Hierfür behält sich der Auftragsverarbeiter das Recht vor, dem Verantwortlichen im Einzelfall angemessene Beschränkungen aufzuerlegen und/oder zusätzliche Verpflichtungen einzufordern.
Die Parteien tragen ihre Kosten nach Unterpunkt (i) jeweils selbst. Für die Unterstützung gemäß den Unterpunkten (ii) und (iii) gilt Punkt 2.13, unbeschadet der Rechte des Verantwortlichen nach Art 28 Abs 3 lit h DSGVO.
2.13.
Der Auftragsverarbeiter hat für seine Leistungen und gewährte Unterstützung im Rahmen des DPA sowie für erhebliche Erweiterung der Verarbeitung (siehe Punkt 2.2 dieses DPA) Anspruch auf eine angemessene Vergütung auf Basis der aktuellen, schriftlich vereinbarten Stundensätze. Alle Weisungen, Anfragen für benötigte Unterstützung, Anträge und sonstige Kommunikation im Rahmen des DPA hat der Verantwortliche gegenüber dem Auftragsverarbeiter per E-Mail an [email protected] zu richten.
2.14.
Der DPA unterliegt materiellem österreichischen Recht unter Ausschluss seiner Verweisungsnormen.
Stand: 21.09.2023