PROPUP

PROPUP Plattform

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO

Dieses Dokument bildet die Grundlage der Auftragsverarbeitungsvereinbarung zwischen dem Kunden (Verantwortlicher) und PROPUP (Auftragsverarbeiter) im Rahmen der Nutzung der PROPUP Plattform. Es wird ergänzend zu den Plattform-Nutzungsbedingungen mit Vertragsabschluss wirksam.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet jeden Auftraggeber (Verantwortlichen) zum Abschluss einer Vereinbarung mit jedem Auftragnehmer (Auftragsverarbeiter), der personenbezogene Daten für ihn verarbeitet. Die gesetzlichen Rechte und Pflichten der Parteien müssen gemäß DSGVO in einer Vereinbarung explizit genannt werden (Gegenstand und Zweck, Dauer und Ort der Verarbeitung, Art und Kategorien der personenbezogenen Daten, Vertraulichkeit, Sicherheitsmaßnahmen, Löschung, Auskunftsrechte).

Bei Inanspruchnahme der Dienstleistungen bzw. Services von PROPUP durch den Kunden, insbesondere bei der Nutzung der von PROPUP betriebenen Plattform, werden im Bedarfsfall Daten des Verantwortlichen (Kunde) einsichtig und/oder an PROPUP (Auftragsverarbeiter) übermittelt. Bei der Verarbeitung dieser Daten handelt es sich um eine vom Verantwortlichen beauftragte Verarbeitung durch PROPUP.

Begriffsdefinitionen

  • PROPUP: PROPUP GmbH, protokolliert zu FN 553458i des Handelsgerichts Wien, Althanstraße 4/OG 6, Top 6.3, 1090 Wien.
  • „Plattform“ oder „PROPUP Plattform“: das von PROPUP zur Verfügung gestellte digitale Service.
  • „Kunde“: jede natürliche oder juristische Person, welche einen Zugang zur Plattform erhält.
  • „Auftragsverarbeiter“: PROPUP
  • „Verantwortlicher“: Kunde

1. Auftrag an den Auftragsverarbeiter

Die Zurverfügungstellung und Aufrechterhaltung der Nutzungsmöglichkeiten der Plattform, welche derzeit insbesondere folgende Funktionalitäten, bei welchen personenbezogene Daten verarbeitet werden, beinhaltet: Anlage und Änderung von Kundendaten im Zusammenhang mit Funktionalitäten zur automatisierten Abwicklung einer Immobilientransaktion. Weitere, in Zukunft hinzukommende Funktionalitäten der Plattform sowie zukünftig angebotene Dienste sind umfasst, soweit diese genutzt werden.

2. Verarbeitungsgegenstand

Die Vereinbarung betrifft die Verarbeitung jener personenbezogener Daten durch den Auftragsverarbeiter, welche in der Vereinbarung über die Nutzung der Plattform sowie in der Beschreibung der Funktionalitäten dargestellt sind. Die Art der personenbezogenen Daten variiert je nach Aufgabe; insbesondere können umfasst sein: Name, Adress-, Kontakt- und Abrechnungsdaten des Auftraggebers sowie Name, Kontakt- und Adressdaten von Kunden des Auftraggebers ebenso wie Daten von Immobilienobjekten, welche zur Vermittlung eines Kauf- oder Mietvertrages zur Verfügung stehen.

Folgende Kategorien von Personen sind von der Datenverarbeitung betroffen: der Auftraggeber, seine Kunden, gegebenenfalls Mitarbeiter sowie Eigentümer bzw. Verfügungsberechtigte über Immobilienobjekte.

3. Dauer der Verarbeitung

Eine Verarbeitung gemäß diesem Vertrag erfolgt für die Dauer des aufrechten Bestandes des zwischen den Vertragsparteien abgeschlossenen Nutzungsvertrages betreffend die Plattform.

4. Ort der Verarbeitung

Der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU/des EWR durch.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich, ausschließlich aufgrund von Weisungen des Verantwortlichen und des gegenständlichen Vertrages personenbezogene Daten zu verarbeiten und dabei sämtliche Datenschutzvorschriften einzuhalten. Sofern der Auftragsverarbeiter eine Weisung als rechtswidrig erachtet, hat er den Verantwortlichen hierüber umgehend schriftlich zu informieren.

Der Auftragsverarbeiter setzt alle gemäß Art. 32 DSGVO vorgesehenen geeigneten technischen und organisatorischen Maßnahmen im Sinne der Sicherheit der Datenverarbeitung.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen und bei der Wahrnehmung seiner Pflichten nach Art. 32 bis 36 DSGVO – insbesondere bei der Setzung von Sicherheitsmaßnahmen, bei Meldungen von Datenschutzverletzungen sowie bei der Erstellung einer Datenschutz-Folgenabschätzung. Anträge, die an den Auftragsverarbeiter gerichtet werden, leitet dieser umgehend an den Verantwortlichen weiter.

Nach Beendigung der Verarbeitung sowie auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die vorliegenden personenbezogenen Daten zu löschen. Wenn der Verantwortliche es verlangt, sind die Daten an ihn zurückzugeben.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Ersuchen alle Informationen zur Verfügung, welche zur Nachweisführung nach Art. 28 DSGVO erforderlich sind, und unterstützt Prüfungen bzw. Einsichtnahmen. Er führt ein schriftliches bzw. elektronisches Verzeichnis über alle Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO und bestellt, soweit nach Art. 37 DSGVO geboten, einen Datenschutzbeauftragten.

Der Auftragsverarbeiter behandelt die ihm offengelegten personenbezogenen Daten vertraulich. Alle mit der Verarbeitung befassten Personen werden zur Vertraulichkeit verpflichtet, sofern nicht bereits eine gesetzliche Verschwiegenheitspflicht besteht. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Tätigkeit fort. Mitarbeiter werden über die für sie geltenden Übermittlungsanordnungen und die Folgen einer Verletzung des Datengeheimnisses belehrt.

6. Technische und organisatorische Maßnahmen – Sicherheit der Verarbeitung

  • Kontrolle des Zutritts zu Datenverarbeitungsanlagen, z. B. durch geregelte Schlüsselverwaltung, Sicherheitstüren, Sicherheitspersonal.
  • Kontrolle des Zugangs zu Datenverarbeitungssystemen, z. B. durch Kennwörter und automatische Sperrmechanismen.
  • Kontrolle des Zugriffs auf Daten innerhalb des Systems, z. B. durch Standard-Berechtigungsprofile auf „need to know“-Basis, Teilzugriffsberechtigungen und Protokollierung von Zugriffen.
  • Pseudonymisierung von personenbezogenen Daten, soweit möglich.
  • Klassifizierung von Daten (geheim, vertraulich, intern, öffentlich).
  • Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlusts von Daten, z. B. Speichernetzwerke, Software- und Hardwareschutz.
  • Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen bei Datenübertragungen, z. B. durch Verschlüsselung, VPN, Content-Filter.
  • Überprüfung, ob und durch wen personenbezogene Daten eingegeben, verändert oder gelöscht wurden, z. B. durch Protokollierung und Zugriffsberechtigungen.
  • Trennung von Datenverarbeitungen zu unterschiedlichen Zwecken durch Trennung der Daten, z. B. durch Zugangsbeschränkungen im System.

7. Sub-Auftragsverarbeitung

Der Auftragsverarbeiter darf im Zuge seiner Tätigkeit auf Grundlage dieses Vertrages Sub-Auftragsverarbeiter beauftragen. Vor Beauftragung eines Sub-Auftragsverarbeiters hat der Auftragsverarbeiter den Verantwortlichen rechtzeitig zu verständigen, sodass der Verantwortliche die Möglichkeit wahrnehmen kann, zu widersprechen. Der Sub-Auftragsverarbeiter wird ausschließlich auf Grundlage eines gemäß Art. 28 Abs. 4 DSGVO abzuschließenden Vertrages tätig. Ihm sind dieselben Verpflichtungen aufzuerlegen, welche für den Auftragsverarbeiter nach dem vorliegenden Vertrag gelten. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für den Fall, dass der Sub-Auftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht wahrnimmt.

8. Datenschutzverletzung

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich benachrichtigen, nachdem er Kenntnis von einem Verstoß gegen die Verpflichtungen zum Schutz personenbezogener Daten erlangt.

Stand: April 2026

Wir verwenden Google Analytics, um unsere Website zu verbessern. Mehr erfahren