1.1. Die Vertragsparteien stehen in einer Vertragsbeziehung, in deren Rahmen der Auftragsverarbeiter unter anderem personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen zum Zwecke der Durchführung von Subunternehmerleistungen, Dienstleistungen oder Materiallieferungen verarbeitet.
1.2. Gegenstand dieser Vereinbarung sind Regelungen, die gewährleisten sollen, dass die vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten nur im Einklang mit der DSGVO verarbeitet werden und dass die von Art. 28 DSGVO für eine Auftragsbearbeitung vorgegebenen Regelungen sichergestellt werden.
1.3. Die zwischen den Vertragsparteien sonst bestehenden vertraglichen Vereinbarungen bleiben von dieser Vereinbarung unberührt und ergänzen diese.
1.4. Die in dieser Auftragsverarbeitungsvereinbarung verwendeten Begriffe haben die selbe Bedeutung, wie in der DSGVO zugeschrieben. Im Zweifel sind alle Begriffe im Sinne der DSGVO auszulegen.
2.1. Folgende Datenkategorien werden verarbeitet:
Kontaktdaten, Mailadressen, Baustellenadressen, Telefonnummern
2.2. Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
Mitarbeiter, Kunden
3.1. Diese Vereinbarung tritt mit der Unterzeichnung durch die Vertragsparteien in Kraft.
3.2. Die Vereinbarung wird auf unbestimmte Zeit abgeschlossen und endet mit der Auflösung des unter Punkt 1.1 genannten Vertrages, ohne dass es einer gesonderten Kündigung bedarf.
3.3. Das Recht zur (jederzeitigen) außerordentlichen Kündigung aus wichtigem Grund bleibt hiervon unberührt. Kündigungen bedürfen zu Ihrer Wirksamkeit der Schriftform.
Die Verarbeitung der personenbezogenen Daten geschieht ausschließlich zum Zweck der Erbringung der unter Punkt 1.1 näher bezeichneten Leistungen.
5.1. Die Verarbeitung darf nur für den in dieser Vereinbarung festgelegten Zweck erfolgen (siehe Punkt 4).
5.2. Der Auftragnehmer verpflichtet sich, ein Verarbeitungsverzeichnis nach Art 30 DSGVO für alle von ihm durchgeführten Verwaltungstätigkeit zu errichten.
Die Vertragsparteien halten einvernehmlich fest, dass der Auftragsverarbeiter über hinreichende Fachkenntnisse, Verlässlichkeit, Ressourcen und geeignete technische und organisatorische Maßnahmen im Sinne des Artikel 32 DSGVO verfügt, um die auf ihn übertragenen Datenverarbeitungen im Einklang mit den geltenden datenschutzrechtlichen Anforderungen zu erfüllen.
7.1. Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich auf Weisung und im Rahmen der schriftlichen Aufträge des Verantwortlichen zu verarbeiten. Jede Änderung der beauftragten Datenverarbeitungen erfordert eine schriftliche und dokumentierte Weisung des Verantwortlichen.
7.2. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so hat er – sofern gesetzlich zulässig – den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen.
7.3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
8.1. Der Auftragsverarbeiter ist verpflichtet sicherzustellen, dass die ihm aufgrund des Vertragsverhältnisses anvertrauten oder sonst zugänglich gewordenen Daten vertraulich behandelt werden, soweit kein rechtlich zulässiger Grund für eine Übermittlung oder Offenlegung besteht.
8.2. Der Auftragsverarbeiter leistet Gewähr dafür, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen (beruflichen) Verschwiegenheitsverpflichtung unterliegen; die Verschwiegenheitsverpflichtung hat auch nach Beendigung ihrer Tätigkeit beim Auftraggeber aufrecht zu bleiben.
9.1. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, damit dieser seine ihm in Kapitel III DSGVO auferlegten Verpflichtungen, insbesondere seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten, zeitgerecht nachkommen kann. Der Auftragsverarbeiter wird dem Verantwortlichen in einem solchen Fall alle zur Wahrnehmung seiner Verpflichtungen notwendigen Informationen zukommen lassen.
9.2. Anfragen, Beschwerden und Anträge, die von betroffenen Personen direkt an den Auftragsverabeiter gerichtet werden, sind in Abstimmung mit dem Verantwortlichen zu beantworten.
9.3. Der Auftragsverarbeiter hat den Verantwortlichen zudem unter Berücksichtigung der von ihm vorgenommen Art der Verarbeitung und der ihm zur Verfügung stehenden Information bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen.
9.4. Dem Verantwortlichen und von diesem beauftragten Dritten wird hinsichtlich der Verarbeitung der vom Verantwortlichen überlassenen Daten das Recht der jederzeitigen Einsichtnahme und Kontrolle eingeräumt. In diesem Zusammenhang ist der Auftragsverarbeiter verpflichtet dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
10.1. Als Sub-Auftragsverhältnisse sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.
10.2. Der Verantwortliche erteilt hiermit seine allgemeine Zustimmung, dass der Auftragsverarbeiter berechtigt ist, Dienste weiterer Auftragsverarbeiter (im Folgenden „Sub-Auftragsverarbeiter“) in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten im Rahmen der vom Verantwortlichen beauftragten Datenverarbeitungen auszuführen.
10.3. Nimmt der Auftragsverarbeiter Dienste eines Sub-Auftragsverarbeiters in Anspruch, verpflichtet sich der Auftragsverarbeiter, dem Sub-Auftragsverarbeiter vertraglich dieselben Pflichten aufzuerlegen, die ihn selbst nach Maßgabe dieser Vereinbarung treffen. Der Auftragsverarbeiter haftet dem Verantwortlichen für den Fall der nicht oder nicht ordnungsgemäßen Einhaltung dieser Verpflichtungen durch den Sub-Auftragsverarbeiter.
11.1. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, damit dieser seine ihm in Kapitel III DSGVO auferlegten Pflichten, insbesondere der Beantwortung von Anträgen auf Wahrnehmung von betroffenen Rechten, zeitgerecht nachkommen kann. Der Auftragsverarbeiter wird dem Verantwortlichen in einem solchen Fall alle zur Wahrnehmung seiner Verpflichtungen notwendigen Informationen zukommen lassen.
11.2. Anfragen, Beschwerden und Anträge, die von betroffenen Personen direkt an den Auftragsverarbeiter gerichtet werden, sind in Abstimmung mit dem Verantwortlichen zu beantworten.
11.3. Der Auftragsverarbeiter hat den Verantwortlichen unter Berücksichtigung der von ihm vorgenommen Art der Verarbeitung und der ihm zur Verfügung stehenden Information bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen.
11.4. Dem Verantwortlichen und von ihm beauftragten Dritten wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht der jederzeitigen Einsichtnahme und Kontrolle eingeräumt. In diesem Zusammenhang ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
Der Auftragsverarbeiter hat dem Verantwortlichen die im Rahmen der Auftragsverarbeitungstätigkeit verarbeiteten, personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen bzw. nach Auflösung gegenständlicher Vereinbarung entweder gegen angemessenes Entgelt auf einem gängigen elektronischen Format zu übergeben und/oder diese zu löschen, sofern für den Auftragsverarbeiter keine gesonderten rechtlichen Verpflichtungen zur weiteren Aufbewahrung bzw. Speicherung der personenbezogenen Daten bestehen.
13.1. Für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung vereinbaren die Vertragsparteien hiermit die Zuständigkeit des örtlich und sachlich zuständigen Bezirksgerichtes am Sitz des Auftragsverarbeiters.
13.2. Alle vom Auftragsverarbeiter vorgenommenen Verarbeitungsvorgänge werden ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes durchgeführt; es findet kein Datenaustausch mit einem Drittland statt.
13.3. Auf diese Vereinbarung wird die Anwendung des materiellen Rechts der Republik Österreich ohne Verweisungsnormen) im Sinn einer ausdrücklichen Rechtswahl vereinbart.
13.4. Sollte eine Bestimmung dieser Auftragsverarbeitungsvereinbarung unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.