Vereinbarung über eine Auftragsverarbeitung gem. Art 28 DSGVO

Die Datenschutz – Grundverordnung (DSGVO) verpflichtet jeden Auftraggeber (Verantwortlichen) zum Abschluss einer Vereinbarung mit jedem Auftragnehmer (Auftragsverarbeiter), der personenbezogene Daten für ihn verarbeitet.
Die gesetzlichen Rechte und Pflichten der Parteien müssen gemäß DSGVO in einer Vereinbarung explizit genannt werden (Gegenstand und Zweck, Dauer und Ort der Verarbeitung, Art und Kategorien der personenbezogenen Daten, Vertraulichkeit, Sicherheitsmaßnahmen, Löschung, Auskunftsrechte).


Bei Inanspruchnahme der Dienstleistungen bzw. Services von PROPUP durch den Kunden, also insbesondere bei der Nutzung der von PROPUP betriebenen Plattform werden im Bedarfsfall Daten des Verantwortlichen (Kunde) einsichtig und/oder an PROPUP (Auftragsverarbeiter) übermittelt. Bei der Verarbeitung dieser Daten handelt es sich um eine vom Verantwortlichen beauftragte Verarbeitung von Daten durch PROPUP.


Zur Entsprechung dieser Anforderung wird vorliegende Vereinbarung ergänzend zum aufrechten Vertragsverhältnis zwischen PROPUP und dem Kunden über die Nutzung der Plattform abgeschlossen.


Für gegenständliche Vereinbarung gelten folgende Begriffsdefinitionen:


PROPUP: PROPUP GmbH, protokolliert zu FN 553458i des Handelsgerichts Wien
Marxergasse 17, 1030 Wien
„Plattform“ oder „PROPUP Plattform“: das von PROPUP zur Verfügung gestellte digitale Service
„Kunde“: jede natürliche oder juristische Person, welche einen Zugang zur Plattform erhält.
„Auftragsverarbeiter“: PROPUP
„Verantwortlicher“: Kunde

  1. Auftrag an den Auftragsverarbeiter

    • Die Zurverfügungstellung und Aufrechterhaltung der Nutzungsmöglichkeiten der Plattform, welche derzeit insbesondere folgende Funktionalitäten, bei welchen personenbezogene Daten verarbeitet werden, beinhaltet: Anlage und Ändern von Kundendaten im Zusammenhang mit Funktionalitäten zur automatisierten Abwicklung einer Immobilientransaktion.

    • Weitere, in Zukunft hinzukommende Funktionalitäten der Plattform sowie zukünftig angebotene Dienste, soweit diese genutzt werden

2. Verarbeitungsgegenstand

​Die Vereinbarung betrifft die Verarbeitung jener personenbezogener Daten durch den Auftragsverarbeiter, welche in der Vereinbarung über die Nutzung der Plattform sowie in der Beschreibung der Funktionalitäten der Plattform dargestellt sind. Die Art der personenbezogenen Daten variiert je nach Aufgabe; insbesondere können Name, Adress-, Kontakt- und Abrechnungsdaten des Auftraggebers sowie Name, Kontakt- und Adressdaten von Kunden des Auftraggebers ebenso wie Daten von Immobilienobjekten, welche zur Vermittlung eines Kauf- oder Mietvertrages zur Verfügung stehen, umfasst sein.
Die folgenden Kategorien von Personen sind von der Datenverarbeitung betroffen:
Der Auftraggeber, seine Kunden, gegebenenfalls Mitarbeiter sowie Eigentümer, bzw. Verfügungsbe-rechtigte über Immobilienobjekte.

3. Dauer der Verarbeitung

Eine Verarbeitung gemäß diesem Vertrag erfolgt auf Dauer des aufrechten Bestandes des zwischen den Vertragsparteien abgeschlossenen Nutzungsvertrages betreffend die Plattform.

4. Ort der Verarbeitung

Der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU/des EWR durch.

 

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich dazu, ausschließlich aufgrund von Weisungen des Verantwortlichen und des gegenständlichen Vertrages personenbezogene Daten zu verarbeiten und dabei sämtliche Datenschutzvorschriften einzuhalten.
Sofern der Auftragsverarbeiter eine Weisung des Verantwortlichen als rechtswidrig erachtet, hat er den Verantwortlichen hierüber umgehend schriftlich zu informieren.
Der Auftragsverarbeiter setzt alle gem. Art 32 DSGVO vorgesehenen geeigneten technischen und organisatorischen Maßnahmen im Sinne der Sicherheit der Datenverarbeitung.
Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit bei der Beantwortung von Anträgen betroffener Personen hinsichtlich der Wahrung ihrer Rechte. Sofern ein solcher Antrag an den Auftragsverarbeiter gerichtet wird, leitet dieser ihn umgehend an den Verantwortlichen weiter.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der ihn gem. Art 32 bis 36 DSGVO treffenden Pflichten, wovon insbesondere, jedoch nicht ausschließlich, die Setzung von Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen sowie die Erstellung einer Datenschutz-Folgenabschätzung umfasst ist.
Nach Beendigung der Verarbeitung sowie auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die ihm vorliegenden personenbezogenen Daten zu löschen. Wenn der Verantwortliche dies verlangt, sind die personenbezogenen Daten an ihn zurückzugeben.
Der Auftragsverarbeiter stellt dem Verantwortlichen über Ersuchen alle Informationen zur Verfügung, welche er benötigt, um die Einhaltung der gem. Art 28 DSGVO bestehenden Pflichten nachzuweisen. Zudem verpflichtet sich der Auftragsverarbeiter dazu, den Verantwortlichen bei den von ihm vorzunehmenden Prüfungen zu unterstützen und ihm jederzeitige erforderliche Einsichtnahme zu gewähren.
Der Auftragsverarbeiter hat ein schriftliches bzw elektronisches Verzeichnis über alle Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gem. Art 30 Abs 2 DSGVO zu führen.
Der Auftragsverarbeiter verpflichtet sich dazu, bei Vorliegen der Bedingungen gem. Art 37 DSGVO ei-nen Datenschutzbeauftragten zu bestellen.
Der Auftragsverarbeiter ist zur vertraulichen Behandlung der ihm gegenüber offengelegten bzw ihm übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. Ebenso sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst.
Der Auftragsverarbeiter hat sämtliche ihm zurechenbare Personen, welche mit der Verarbeitung personenbezogener Daten befasst sind, zur Vertraulichkeit zu verpflichten, sofern diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort.
Der Auftragsverarbeiter hat alle mit der Verarbeitung personenbezogener Daten beauftragten Personen zu verpflichten, diese Daten nur aufgrund von Anordnungen zu übermitteln, sofern eine derartige Verpflichtung nicht schon kraft Gesetzes besteht. Zudem hat der Auftragsverarbeiter seine Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.

6. Technische und Organisatorische Maßnahmen - Sicherheit der Verarbeitung

  1. Kontrolle des Zutritts zu Datenverarbeitungsanlagen z.B. durch geregelte Schlüsselverwaltung, Sicherheitstüren sowie Sicherheitspersonal;

  2. Kontrolle des Zugangs zu Datenverarbeitungssystemen z.B. durch Kennwörter und automatische Sperrmechanismen;

  3. Kontrolle des Zugriffs auf Daten innerhalb des Systems z.B. durch Standard-Berechtigungsprofile auf „need to know-Basis“, Teilzugriffsberechtigungen und Protokollierung von Zugriffen;

  4. Pseudonymisierung von personenbezogenen Daten soweit als möglich;

  5. Klassifizierung von Daten als geheim, vertraulich, intern oder öffentlich;

  6. Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlusts von personenbezogenen Daten z.B. durch Speichernetzwerke, Software- und Hardwareschutz;

  7. Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen bei Datenübertragungen z.B. durch Verschlüsselung, Virtual Private Networks (VPN), ISDN Wall, Content Filter für ein- und ausgehende Daten;

  8. Überprüfung, ob und durch wen personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder gelöscht worden sind z.B. durch Protokollierung und Regelung der Zugriffsberechtigungen;

  9. Trennung von Datenverarbeitungen zu unterschiedlichen Zwecken durch die Trennung von Daten z.B. durch Zugangsbeschränkungen im System.

7. sub-Auftragsverarbeitung

Der Auftragsverarbeiter darf im Zuge seiner Tätigkeit auf Grundlage dieses Vertrages Sub-Auftragsverarbeiter beauftragen. Vor Beauftragung eines Sub-Auftragsverarbeiters hat der Auftragsverarbeiter den Verantwortlichen hiervon rechtzeitig zu verständigen, sodass der Verantwortliche die Möglichkeit wahrnehmen kann, dem zu widersprechen. Der Sub-Auftragsverarbeiter wird ausschließlich aufgrund des zwischen ihm und dem Auftragsverarbeiter gem. Art 28 Abs 4 DSGVO abzuschließenden Vertrages tätig. Dem Sub-Auftragsverarbeiter sind dieselben Verpflichtungen aufzuerlegen, welche für den Auftragsverarbeiter nach dem vorliegenden Vertrag gelten. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für den Fall, dass der Sub-Auftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht wahrnimmt.

 

8. Datenschutzverletzung

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich benachrichtigen, nachdem er Kenntnis von einem Verstoß gegen die Verpflichtungen zum Schutz personenbezogener Daten erlangt.