PULSE ELECTRONICS

AUFTRAGSDATENVERARBEITUNG


 

 

VEREINBARUNG
über die
AUFTRAGSDATENVERARBEITUNG

 

abgeschlossen zwischen

 

 

(im Folgenden „Verantwortlicher“ genannt)

einerseits und

 

EGSTON System Electronics Eggenburg GmbH

Grafenberger Straße 37

3730 Eggenburg

Austria

 

(im Folgenden „Auftragsverarbeiter“ genannt)

andererseits

 

1. Präambel

1.1.        Die Vertragsparteien haben am October 26, 2020 einen Vertrag abgeschlossen (im Folgenden „Hauptvertrag“ genannt). Auf der Grundlage des Hauptvertrages verarbeitet der Auftragsverarbeiter über Auftrag des Verantwortlichen verschiedene personenbezogene Daten.

1.2.        Mit 25.5.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft und wird der Verantwortliche, als Auftraggeber, zum Abschluss einer Vereinbarung mit jedem Auftragsverarbeiter, der personenbezogene Daten für den Verantwortlichen verarbeitet, verpflichtet. Im Rahmen dieser Vereinbarung über die Auftragsdatenverarbeitung sind die gesetzlichen Rechte und Pflichten des Verantwortlichen bzw. des Auftragsverarbeiters im Sinne der DSGVO explizit anzuführen.

Dies vorausgeschickt schließen die Vertragsparteien nachstehende Vereinbarung und bildet diese einen integrierenden Bestandteil des Hauptvertrages:

 

2. Begriffsbestimmungen

Auftragsverarbeiter

Auftragsverarbeiter ist die EGSTON System Electronics Eggenburg GmbH mit dem Sitz in Österreich und der Geschäftsanschrift in Eggenburg, eingetragen im Firmenbuch unter FN 282750i, zuständiges Gericht Registration Court Krems/Donau

Datenverarbeitung / Verarbeitung

Datenverarbeitung / Verarbeitung umfasst jeden Vorgang in Bezug auf die personenbezogenen Daten (insbesondere Speicherung, Anpassung, Verwendung und/oder Veränderung der Daten)

Hauptvertrag

Hauptvertrag ist der zwischen den Vertragsparteien am abgeschlossene Vertrag

personenbezogene Daten

Personenbezogene Daten sind die vom Verantwortlichen an den Auftragsverarbeiter übergebenen bzw. diesem zur Verfügung gestellten Informationen (Daten), welche sich auf eine identifizierte / identifizierbare natürliche Person beziehen.

Verantwortlicher

Auftragsverarbeiter ist

Vertragsparteien

Vertragsparteien sind der Verantwortliche und der Auftragsverarbeiter einzeln und/oder gemeinsam.

 

3. Vertragsgegenstand

Der Auftragsverarbeiter hat sich im Rahmen des Hauptvertrages gegenüber dem Verantwortlichen verpflichtet, die im Anhang ./3 beschriebenen Datenverarbeitungen zu erbringen. Gegenstand der Datenverarbeitungen sind ausschließlich jene Daten, welche für die Erfüllung des Hauptvertrages erforderlich oder zweckdienlich sind und werden darüber hinaus werden keine weiteren Daten verarbeitet.

 

4. Dauer der Verarbeitung

4.1.        Die gegenständliche Vereinbarung ist integrierender Bestandteil des auf unbefristete Dauer abgeschlossenen Hauptvertrages und finden die im Hauptvertrag angeführten Kündigungsbestimmungen auf die gegenständliche Vereinbarung Anwendung.

4.2.        Nach Vertragsbeendigung hat der Auftragsverarbeiter die Verarbeitung der personenbezogenen Daten einzustellen und nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten und Kopien derselben an den Verantwortlichen zurückzustellen oder diese personenbezogenen Daten zu löschen, sofern nicht nach dem Unionsrecht, dem Recht der Mitgliedstaaten oder gegenseitiger zusätzlicher  Vereinbarungen eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Über Verlangen des Verantwortlichen ist diesem binnen einer angemessenen Frist eine schriftliche Bestätigung über die Vernichtung der personenbezogenen Daten zu übermitteln.

 

5. Ort der Verarbeitung  

Der Auftragsverarbeiter nimmt die Verarbeitung personenbezogener Daten auch außerhalb der EU / des EWR, nämlich in [Aufzählung der jeweiligen Staaten], vor. Das in diesen Staaten / in diesem Staat gegebene Datenschutzniveau gilt aus nachstehenden Gründen als angemessen:

-      Angemessenheitsbeschluss gemäß Art. 45 DSGVO

-      Standarddatenschutzklauseln gemäß Art. 46 DSGVO

-      Vorliegen geeigneter Garantien im Sinne von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules gemäß Art. 46 DSGVO)[1]

 

6. Pflichten des Auftragsverarbeiters

6.1.     Der Auftragsverarbeiter verpflichtet sich, die ihm vom Verantwortlichen zur Verfügung gestellten personenbezogenen Daten ausschließlich auf der Grundlage und im Rahmen von dokumentierten Vereinbarungen mit dem Verantwortlichen zu verarbeiten, es sei denn, der Verantwortliche ist nach den gesetzlichen Bestimmungen der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so ist der Auftragsverarbeiter seinerseits verpflichtet, den Verantwortlichen – sofern gesetzlich zulässig – unverzüglich hierüber in Kenntnis zu setzen.

6.2.     Ergänzend dazu hat der Auftragsverarbeiter den Verantwortlichen schriftlich darüber zu informieren, sofern der Auftragsverarbeiter eine Weisung des Verantwortlichen als rechtswidrig erachtet.

6.3.     Der Auftragsverarbeiter gewährleistet, dass er alle gemäß Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung der personenbezogenen Daten ergriffen hat. In diesem Zusammenhang unterstützt der Auftragsverarbeiter den Verantwortlichen – soweit dies möglich ist – durch die Ergreifung geeigneter technischer und organisatorischer Maßnahmen bei der Wahrnehmung der dem Verantwortlichen gemäß Art. 32 bis 36 DSGVO obliegenden Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffener Personen etc.).

6.4.     Ebenso wird der Auftragsverarbeiter den Verantwortlichen – soweit dies möglich ist – bei der Erfüllung der dem Verantwortlichen obliegenden Pflichten bei Anträgen auf Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO (Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierter Entscheidung) unterstützen. Wird ein derartiger Antrag an den Auftragsverarbeiter gerichtet, so leitet dieser den Antrag an den Verantwortlichen zur weiteren Bearbeitung weiter.

6.5.      Der Auftragsverarbeiter verpflichtet sich, über gesondertes Ersuchen des Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten zur Verfügung zu stellen. In gleicher Weise verpflichtet sich der Auftragsverarbeiter dazu, den Verantwortlichen im Falle von Überprüfungen (einschließlich Inspektionen) zu unterstützen und dem Verantwortlichen jederzeitige Einsicht zu gewähren.

6.6.      Unbeschadet der eigenen Verpflichtung des Verantwortlichen hat der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten betreffend die von ihm im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen und dem Verantwortlichen dieses Verzeichnis über dessen schriftliches Verlangen innerhalb von 14 Tagen nach Einlangen des Ersuchens zu übermitteln.

6.7.      Der Auftragsverarbeiter ist zur vertraulichen Behandlung der ihm gegenüber offengelegten bzw. an ihn übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. In gleicher Weise sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst.

Ergänzend dazu hat der Auftragsverarbeiter sämtliche ihm zurechenbaren Personen, welche mit der Verarbeitung personenbezogener Daten befasst sind, vertraglich zur Vertraulichkeit / Geheimhaltung der ihnen bekanntgewordenen und bekanntwerdenden Daten, sowie zur redlichen Verarbeitung dieser Daten verpflichtet. Die Vertraulichkeit bzw. Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort.

6.8.      Der Auftragsverarbeiter hat sämtliche mit der Verarbeitung personenbezogener Daten beauftragten Personen dazu verpflichtet, diese Daten ausschließlich im Rahmen des gewöhnlichen Geschäftsbetriebes an Dritte zu übermitteln. Des Weiteren hat der Auftragsverarbeiter diese Personen (und neu eintretende Personen) über die für sie geltenden Übermittlungsanordnungen und die Folgen einer Verletzung des Datengeheimnisses zu informieren.

 

7. Technische und organisatorische Maßnahmen für die sichere Verarbeitung der personenbezogenen Daten

Der Auftraggeber hat umfangreiche technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung der personenbezogenen Daten ergriffen (Anhang ./7).

 

8. Sub-Auftragsverarbeitung

8.1.      Die Vertragsparteien halten fest, dass der Auftragsverarbeiter zum Zeitpunkt der Vertragsunterfertigung keine weiteren Auftragsverarbeiter (Sub-Auftragsverarbeiter) zur Verarbeitung der personenbezogenen Daten beigezogen hat.

8.2.      Der Auftragsverarbeiter ist berechtigt, im Rahmen seiner Tätigkeit zur Erfüllung dieser Vereinbarung Sub-Auftragsverarbeiter zu beauftragen. Vor der Hinzuziehung eines Sub-Auftragsverarbeiters ist der Verantwortliche so rechtzeitig zu verständigen.

In diesem Zusammenhang verpflichtet sich der Auftragsverarbeiter mit dem Sub-Auftragsverarbeiter alle notwendigen Vereinbarungen im Sinne des Art. 28 Abs. 4 DSGVO abzuschließen und sind dem Sub-Auftragsverarbeiter dieselben Verpflichtungen aufzuerlegen, welche dem Auftragsverarbeiter nach der gegenständlichen Vereinbarung obliegen.

8.3.     Kommt der Sub-Auftragsverarbeiter den ihm obliegenden Datenschutzverpflichtungen nicht ordnungsgemäß nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

 

8. Anhänge

Anhang ./3                  Aufstellung der vertragsgegenständlichen Datenverarbeitungen

Anhang ./7                  Aufstellung der technische und organisatorische Maßnahmen

 

Anhang ./3

  1. Kategorien der betroffenen Personen

 Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

-    [z.B. Mitarbeiter etc.]

  1. Kategorien der personenbezogenen Daten

 

Die Vereinbarung betrifft die Verarbeitung der folgenden Kategorien personenbezogener Daten durch den Auftragsverarbeiter:

 

-      [z.B. Personenstandsdaten, Anschrift, etc.].

 

  1. Gegenstand der Verarbeitung und Verarbeitungsmaßnahmen

 

Die übermittelten personenbezogenen Daten werden folgenden Verarbeitungsmaßnahmen unterzogen:

 

[Definition des Auftrages samt genauer Darstellung der Verarbeitungstätigkeiten]

 

  1. Verarbeitungszwecke

 

Die übermittelten personenbezogenen Daten werden zu folgenden Zwecken des Verantwortlichen verarbeitet:

 

-      [z.B. Marketing, Werbung und Marktforschung; Buchhaltung etc.]

 

 

 

Anhang ./7

 

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung:

 

1. Zutrittskontrolle

Kontrolle des Zutritts zu den Räumlichkeiten des Unternehmens durch geregelte Schlüsselverwaltung, Sicherheitstüren und Alarmanlagen

 

2. Zugangskontrolle

Kontrolle des Zugangs zu Datenverarbeitungssystemen durch Kennwörter, automatische Sperrmechanismen, Verschlüsselung von Datenträgern, Protokollierung von Benutzeranmeldungen und VPN-Verbindungen

 

3. Zugriffskontrolle

Kontrolle des Zugriffs auf Daten innerhalb des Systems durch ein Berechtigungssystem samt Protokollierung von Zugriffen

 

4. Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlustes von personenbezogenen Daten

Backup und Aktualisierungskonzepte, Firewalls  und Virensoftware, Verwahrung der Datensätze (Papierform, Datenträger etc.) in einem Tresor oder Sicherheitsschränken

 

5. Kontrolle der Datenweitergabe

Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung durch VPN, Verschlüsselung, Content-Filter für ein- und ausgehende Daten oder elektronische Signatur sowie verschließbare Transportbehälter

 

6. Verfügbarkeit / Wiederherstellbarkeit der Daten

Eine Wiederherstellung von verlorenen oder zerstörten Daten (z.B. aufgrund technischer Gebrechen) ist aufgrund der getroffenen Recovery-Konzepte innerhalb kurzer Zeit möglich

 

7. Datenschutz-Managementsystem

Das derzeit bestehende Datenschutzsystem wird laufend evaluiert und angepasst

 

8. Auftragskontrolle

keine Verarbeitung ohne dokumentierte Anweisung des Verantwortlichen[2]

[1]          Alternative: Der Auftragsverarbeiter nimmt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU / des EWR vor.

[2]          Es handelt sich hierbei um eine beispielhafte Aufstellung. Ich ersuche daher um kritische Durchsicht der angeführten technischen und organisatorischen Maßnahmen und allenfalls um Ergänzung bzw. Streichung.

Leave this empty:

Signature arrow

Unterschrieben Frank Wolfinger und Thomas Schuh
Unterschrieben October 18, 2018

PULSE ELECTRONICS https://pulseelectronics.eu
Zertifikat
Document name: AUFTRAGSDATENVERARBEITUNG
lock iconUnique Document ID: d9efb8f36ee7368ffa6fa69597e5d8ce9523cc16
Timestamp Audit
June 6, 2018 2:24 pm CETAUFTRAGSDATENVERARBEITUNG Uploaded by Frank Wolfinger und Thomas Schuh - info@studioms.at IP 62.99.214.46
June 18, 2018 12:45 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 12:50 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 12:54 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 1:31 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 1:32 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 1:37 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 2:07 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 2:45 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 2:46 pm CETStudio MS - info@studioms.at added by Admin First Name Admin Last Name - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 2:52 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 2:56 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:00 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:05 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:13 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:20 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:21 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
June 18, 2018 3:24 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
October 9, 2018 7:20 pm CETStudio MS - info@studioms.at added by Christian Lentschig - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
October 18, 2018 4:25 pm CETStudio MS - info@studioms.at added by Frank Wolfinger und Thomas Schuh - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
October 18, 2018 4:42 pm CETStudio MS - info@studioms.at added by Frank Wolfinger und Thomas Schuh - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46
October 18, 2018 4:45 pm CETStudio MS - info@studioms.at added by Frank Wolfinger und Thomas Schuh - info@studioms.at as a CC'd Recipient Ip: 62.99.214.46