Inhalt
A. Allgemeine Geschäftsbedingungen (Juni 2024)
B. Ergänzende Bedingungen zur Verarbeitung von Daten im Auftrag (Juni 2024)
b1. Anlage 1 | Technische und organisatorische Maßnahmen zur Datensicherheit (Juni 2024)
b2. Anlage 2 | Kontakt Datenschutzbeauftragte/r (Juni 2024)
b3. Anlage 3 | Liste der Unterauftragsverarbeiter (Juni 2024)
A. Allgemeine Geschäftsbedingungen (Juni 2024)
Inhalt
- Allgemeine Grundlagen
- Umfang der Leistungen, Vertragsabschluss
- Mitwirkungspflichten
- Einsatz von Künstlicher Intelligenz (KI)
- Durchführung der Leistungen
- Nutzungsrechte, Schutz des geistigen Eigentums, Vertraulichkeit
- Datenschutz
- Honorar
- Kündigung
- Haftung
- Loyalität, Abwerbeverbot
- Schlussbestimmungen
1. Allgemeine Grundlagen
1.1. vidulus GmbH (im Folgenden kurz „vidulus“) erbringt sämtliche Leistungen auf Grundlage dieser „Allgemeinen Geschäftsbedingungen“ (kurz „AGB“) und des individuellen schriftlichen Angebots von vidulus.
1.2. Diese AGB gelten auch für alle künftigen Vertragsbeziehungen, auch wenn in einem Angebot von vidulus nicht ausdrücklich darauf verwiesen wird.
1.3. Abweichende Allgemeine Geschäftsbedingungen des Auftraggebers gelten nur dann, wenn vidulus diese ausdrücklich schriftlich anerkannt hat.
1.4. Änderungen dieser AGB bedürfen der Schriftform. Mündliche Nebenabreden und Erklärungen sind nur dann wirksam, wenn vidulus diese schriftlich bestätigt.
2. Umfang der Leistungen, Vertragsabschluss
2.1. Der Umfang der Leistungen richtet sich nach dem schriftlichen Angebot von vidulus.
2.2. Angebote sind vier Wochen gültig, soweit im Angebot nicht anders angegeben.
2.3. Mit der Annahme des Angebotes stimmt der Auftraggeber zu, dass die angebotenen Leistungen von vidulus Empfehlungen beinhalten können, vidulus aber weder für deren Umsetzung noch für Entscheidungen, die auf den Empfehlungen basieren oder deren Umsetzung dienen, verantwortlich oder haftbar ist.
2.4. Der Vertrag kommt mit Annahme des von vidulus übermittelten Angebots zustande. Die Annahme erfolgt mit dem Eingang der dem Angebot beiliegenden, vom Auftraggeber firmenmäßig unterfertigten Auftragsbestätigung bei vidulus.
3. Mitwirkungspflichten
3.1. Der Auftraggeber sorgt dafür, dass vidulus auch ohne besondere Aufforderung alle notwendigen Informationen bzw. Daten zeitgerecht zur Verfügung gestellt und die erforderlichen zuverlässigen, korrekten und vollständigen Auskünfte erteilt werden. Dies gilt auch für alle Informationen, Daten, Vorgänge und Umstände, die erst während der Tätigkeit vorliegen oder bekannt werden.
3.2. Das Vertrauensverhältnis zwischen dem Auftraggeber und vidulus bedingt, dass vidulus über vorher durchgeführte und/oder laufende Beratungen, die in Zusammenhang mit den zu erbringenden Leistungen stehen, umfassend informiert wird.
3.3. Der Auftraggeber stellt sicher, dass alle Voraussetzungen, wie im Angebot festgehalten, richtig sind.
3.4. Der Auftraggeber wird alle Entscheidungen, die zur Erbringung der vereinbarten Leistungen erforderlich sind, zeitnah treffen und allenfalls erforderliche Zustimmungen einholen.
3.5. Der Auftraggeber und seine Vertreter sind unter anderem für Folgendes alleine verantwortlich:
a. alle Managementfunktionen wahrzunehmen und alle Managemententscheidungen zu treffen;
b. ein kompetentes Mitglied des Managements auszusuchen, welches die Dienstleistungen von vidulus beaufsichtigt;
c. die Angemessenheit und Ergebnisse dieser Dienstleistungen im Auftrag des Auftraggebers zu beurteilen;
d. Verantwortung für die Ergebnisse dieser Dienstleistungen zu übernehmen, interne Kontrollen, die u. a. auch die Tätigkeit der vidulus umfassen, ohne Einschränkung einzurichten und zu erhalten.
3.6. Sofern die vereinbarten Leistungen in den Räumlichkeiten des Auftraggebers erbracht werden, wird der Auftraggeber die notwendige Büroinfrastruktur kostenlos bereitstellen und dafür sorgen, dass alle organisatorischen Rahmenbedingungen vorliegen und eine ungestörte Leistungserbringung gewährleistet ist.
3.7. Wenn der Auftraggeber seine Mitwirkungspflichten verletzt oder sonstige Umstände außerhalb der Einflusssphäre von vidulus vorliegen, welche vidulus an der Erbringung der vereinbarten Beratungsleistungen hindern, verschiebt sich ein vereinbarter Terminplan (Meilensteine). Darüber hinaus ist vidulus berechtigt, dem Auftraggeber allfällige Mehrkosten (z. B. Stehzeiten der eingesetzten Mitarbeitenden) in Rechnung zu stellen.
4. Einsatz von Künstlicher Intelligenz (KI)
4.1. vidulus ist berechtigt, im Rahmen der Leistungserbringung Technologien der Künstlichen Intelligenz (KI-Tools) zur Erstellung von Inhalten (z.B. Text, Bild, Ton oder Video) einzusetzen. Alle von einer KI generierten Inhalte werden nach deren Erstellung von einer natürlichen Person geprüft und bei Bedarf angepasst. Der Einsatz von KI-Tools erfolgt nicht, sofern für vidulus ersichtlich ist, dass deren Einsatz berechtigten Interessen des Kunden zuwiderläuft. vidulus wird insbesondere keine sensiblen oder vertraulichen Informationen, die vom Kunden übermittelt wurden, ohne Zustimmung des Kunden in KI-Tools eingeben. Will der Kunde, dass KI-Technologien für bestimmte Projekte oder Teile davon nicht eingesetzt werden, so hat er dies vidulus in Textform eigenständig mitzuteilen.
4.2 vidulus sichert zu, dass Inhalte, die ganz oder teilweise mit KI erstellt wurden, nicht die Rechte von Dritten verletzen. Sofern an Inhalten, die ganz oder teilweise mit Hilfe von KI erstellt wurden, ausschließliche Nutzungsrechte übertragen werden sollen, wird vidulus dafür Sorge tragen, dass eine solche Nutzungsrechteübertragung möglich ist (z.B. indem die KI-generierten Werke so abgewandelt werden, dass Schöpfungshöhe und damit Urheberrechtschutz erreicht wird).
4.3 Eine separate Kennzeichnung von KI-generierten Inhalten ist nur geschuldet, wenn und soweit die Kennzeichnung des Inhaltes gesetzlich vorgeschrieben ist oder sofern bereits zum Zeitpunkt der Leistungserbringung absehbar ist, dass eine Kennzeichnungspflicht in absehbarer Zeit gesetzlich vorgeschrieben sein wird (z.B. aufgrund von Regelungen in der KI-Verordnung). Gleiches gilt für Mitteilungen darüber, dass bestimmte Arbeitsergebnisse unter Zuhilfenahme künstlicher Intelligenz erstellt worden.
5. Durchführung der Leistungen
5.1. vidulus schuldet die Erbringung der im Angebot bezeichneten Leistungen, nicht aber einen bestimmten wirtschaftlichen Erfolg.
5.2. vidulus ist berechtigt, die vom Auftraggeber erteilten Auskünfte und übergebenen Unterlagen als richtig und vollständig anzusehen. Sofern nicht ausdrücklich anders vereinbart, ist vidulus nicht verpflichtet, Unrichtigkeiten festzustellen.
5.3. vidulus wird sich bemühen, dem Wunsch des Auftraggebers nach dem Einsatz bestimmter Mitarbeitender zu entsprechen, behält sich aber ausdrücklich vor, Mitarbeitende nach eigenem Ermessen einzusetzen und neu zuzuordnen, wie es für die Erbringung der Leistungen angemessen, zweckdienlich und möglich ist.
5.4. vidulus ist berechtigt, vereinbarte Leistungen ganz oder teilweise durch Kooperationspartner oder sachkundige Dritte durchführen zu lassen.
6. Nutzungsrechte, Schutz des geistigen Eigentums, Vertraulichkeit
6.1. Alle von vidulus in Papierform oder in elektronischer Form zur Verfügung gestellten Unterlagen (insbesondere Angebot, Analysen, Stellungnahmen, Gutachten, etc.) sind geistiges Eigentum von vidulus. Der Auftraggeber anerkennt die ausschließlichen Rechte von vidulus an den Unterlagen, mögen die Unterlagen urheberrechtlich, markenrechtlich oder wettbewerbsrechtlich geschützt sein oder nicht.
6.2. Der Auftraggeber darf die überlassenen Unterlagen während und nach Beendigung des Vertragsverhältnisses ausschließlich für jene eigenen geschäftlichen Zwecke verwenden, die vom Vertrag und dem konkret vereinbarten Leistungsumfang erfasst sind. Der Auftraggeber ist nicht berechtigt, Analysen, Stellungnahmen, Gutachten etc. von vidulus abzuändern.
6.3. Ohne die vorherige schriftliche Zusage von vidulus ist es dem Auftraggeber untersagt, die Unterlagen zur Gänze oder auszugsweise an Dritte weiterzugeben, öffentlich wiederzugeben, daraus zu zitieren oder Dritten gegenüber darauf Bezug zu nehmen. Dies gilt auch dann, wenn der Auftraggeber die Zustimmung von vidulus eingeholt hat, wenn sich das wirtschaftliche Umfeld und die relevanten Rahmenbedingungen seit der Einholung der Zustimmung geändert haben und/oder die Leistung mittlerweile überholt ist. Eine Ausnahme hiervon besteht nur dann, wenn anwendbare Gesetze, Bestimmungen, Regeln und berufliche Verpflichtungen einer Einschränkung der Offenlegung entgegenstehen.
6.4. Im Fall einer Verletzung der Punkte 6.2 oder 6.3 ist vidulus von jeder Haftung für allfällige Schäden, die daraus resultieren, frei.
6.5. Das Vertrauensverhältnis zwischen dem Auftraggeber und vidulus erfordert strikte Vertraulichkeit. Bezüglich dieses Vertrages und aller im Zusammenhang mit diesem Vertrag gegebenen Informationen, die von der offenlegenden Partei als vertraulich bezeichnet wurden, verpflichtet sich der Empfänger, die vertraulichen Informationen hinreichend bzw. den geltenden berufsständigen Grundsätzen entsprechend zu schützen, diese lediglich für die Durchführung dieses Vertrages zu verwenden und sie nur insofern zu vervielfältigen, als dies zur Vertragserfüllung erforderlich ist. Die Vertraulichkeit gilt nicht für Informationen, die Dritten oder dem Empfänger bereits bekannt sind.
6.6. vidulus, ihre Mitarbeitenden und die beigezogenen Kooperationspartner verpflichten sich, über alle Angelegenheiten, die ihnen im Zusammenhang mit ihrer Tätigkeit für den Auftraggeber bekannt werden, Stillschweigen zu bewahren.
6.7. vidulus darf Berichte, Gutachten und sonstige Schriftstücke über die Tätigkeit und deren Ergebnisse Dritten nur mit Einwilligung des Auftraggebers aushändigen.
6.8. Die Verpflichtung zur Verschwiegenheit gilt auch für die Zeit nach Beendigung des Vertrags. Ausgenommen sind Fälle, in denen eine gesetzliche Verpflichtung zur Auskunftserteilung besteht oder wenn vidulus vom Auftraggeber ausdrücklich von der Verschwiegenheitsverpflichtung entbunden wurde.
7. Datenschutz
7.1. Die vom Auftraggeber im Rahmen seiner Nutzung von vidulus erbrachten Leistungen erhobenen Daten verarbeiten und nutzen wir zur Begründung, Durchführung und Beendigung des Vertragsverhältnisses. An Dritte geben wir personenbezogene Daten des Auftraggebers nur weiter, wenn und soweit dies zur Durchführung des Vertrages erforderlich ist. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO. Eine Löschung Ihrer personenbezogenen Daten erfolgt, sofern gesetzliche Aufbewahrungsfristen dem nicht entgegenstehen. Für eine Geltendmachung der Ihnen zustehenden Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung oder Widerspruch wenden Sie sich bitte an uns unter e-mail@vidulus.group.
7.2. vidulus ist berechtigt, personenbezogene Daten, welche vidulus anvertraut wurden, im Rahmen der Beratungstätigkeit zu verarbeiten, in elektronisch verwalteten Dateien zu speichern und durch Dritte, mit denen eine entsprechende Auftragsverarbeitervereinbarung im Sinn des Art. 28 DSGVO abgeschlossen wurde, verarbeiten zu lassen. vidulus überlassene Materialien (Papier und Datenträger) werden grundsätzlich nach Beendigung der diesbezüglichen Leistungserbringung dem Auftraggeber oder an vom Auftraggeber namhaft gemachte Dritte übergeben oder wenn dies gesondert vereinbart ist von vidulus verwahrt oder vernichtet. vidulus ist berechtigt Kopien davon aufzubewahren soweit sie diese zur ordnungsgemäßen Dokumentation ihrer Leistungen benötigt oder es rechtlich geboten oder berufsüblich ist.
7.3. Unsere ergänzenden Bedingungen zur Verarbeitung von Daten im Auftrag sind Teil der Allgemeinen Geschäftsbedingungen und gelten als angenommen, wenn die AGB angenommen werden.
7.4. vidulus verpflichtet sich und seine Mitarbeitenden zur Wahrung des Datengeheimnisses gemäß den jeweils geltenden Bestimmungen der DSGVO sowie des Datenschutzgesetzes in seiner jeweils geltenden Fassung und wird allfällige beigezogene Dritte gleichfalls hierzu verpflichten.
7.5. vidulus verwendet zur Sicherung der verarbeiteten Daten unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen geeignete und stets an den aktuellen Stand der Technik angepasste technische und organisatorische Maßnahmen, um sicherzustellen, dass die Datenverarbeitung gemäß den Vorgaben der DSGVO erfolgt. In Ermangelung einer abweichenden schriftlichen Vereinbarung im Einzelfall erfolgt die elektronische Kommunikation zwischen dem Auftraggeber und vidulus bzw. vice versa in unverschlüsselter und unsignierter Form, womit das Mitlesen oder die Manipulation durch Dritte nicht mit Sicherheit ausgeschlossen ist.
7.6. Weitere Details zum Datenschutz und insbesondere zu den Informationspflichten nach Art. 13 und 14 DSGVO sind der Datenschutzerklärung zu entnehmen.
8. Honorar
8.1. Die Höhe des Honorars von vidulus richtet sich nach Art und Umfang der vereinbarten Leistungen und ist im Angebot von vidulus angegeben. Bei Fehlen einer ausdrücklichen Vereinbarung wird ein angemessenes Honorar geschuldet.
8.2. Allfällige Reisespesen der Mitarbeitenden von vidulus und Barauslagen werden gesondert verrechnet.
8.3. Die Rechnungslegung erfolgt – sofern nicht anders vereinbart – monatlich im Nachhinein.
8.4. Die Rechnungen sind sofort ohne Abzug zur Zahlung fällig.
8.5. Allfällige Einwendungen gegen Rechnungen müssen innerhalb von sieben Tagen nach Erhalt schriftlich gegenüber vidulus geltend gemacht werden. Die Unterlassung von Einwendungen innerhalb dieser Frist gilt als Anerkenntnis der Rechnung.
8.6. Bei Zahlungsverzug ist vidulus berechtigt, Verzugszinsen in Höhe von 5 % über dem dann geltenden Basiszinssatz der EZB zu verrechnen. Weiters ist vidulus berechtigt, laufende Leistungen vorläufig einzustellen und nach erfolgloser Mahnung vom Vertrag zurückzutreten. Der Auftraggeber übernimmt alle angefallenen und zur zweckentsprechenden Rechtsverfolgung notwendigen Mahn- und Inkassospesen sowie Rechtsverfolgungskosten.
8.7. Es wird ausdrücklich Wertbeständigkeit der Forderung plus Nebenforderung vereinbart. Als Maß zur Berechnung der Wertbeständigkeit dient der von Statec veröffentlichte Verbraucherpreisindex (NCPI) oder ein an seine Stelle tretender Index. Als Bezugsgröße für die jeweilige Vereinbarung dient der Anwendungswert der gleitenden Lohnskala, welcher zum Zeitpunkt des Inkrafttretens der jeweiligen Vereinbarung in Kraft ist.
9. Kündigung
9.1. Der Vertrag kann – soweit nicht anders vereinbart (etwa bei Beauftragung von abgrenzbaren Projekten oder Projektteilen) – von beiden Seiten schriftlich unter Einhaltung einer Kündigungsfrist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
9.2. vidulus behält sich vor, die Geschäftsbeziehung mit sofortiger Wirkung ganz oder teilweise, mittels schriftlicher Mitteilung, zu beenden, wenn sich herausstellt, dass (i) auf Grund einer Änderung von Gesetzen, der Rechtsprechung oder sonstiger Vorschriften oder (ii) auf Grund der Änderung sonstiger Umstände (unter anderem Änderungen der Eigentumsverhältnisse am Unternehmen des Auftraggebers oder verbundenen Unternehmen des Auftraggebers) eine Fortführung unseres Auftrags rechtswidrig wäre.
9.3. Der Auftraggeber vergütet vidulus die bis zum Ablauf des Vertragsverhältnisses erbrachten Leistungen und entstandenen Aufwendungen und entschädigt vidulus für alle im Zusammenhang mit der Kündigung entstandenen Kosten und Aufwendungen.
10. Haftung
10.1. Im Falle von abgrenzbaren Projekten haftet vidulus nur für den Endbericht im nachstehend vereinbarten Umfang und keinesfalls für Zwischenberichte einschließlich E-Mails und sonstige Kommunikation, die während der Projektlaufzeit mitgeteilt werden.
10.2. vidulus haftet für Schäden nur, soweit Vorsatz oder grobe Fahrlässigkeit nachgewiesen wird. Die Haftung für leichte Fahrlässigkeit ist jedenfalls ausgeschlossen. Dies gilt gleichermaßen, wenn sich vidulus zur Vertragserfüllung Dritter bedient.
10.3. Für entgangenen Gewinn, Mangelfolgeschäden, mittelbare und indirekte Schäden sowie reine Vermögensschäden jeder Art haftet vidulus keinesfalls.
10.4. Die Haftung von vidulus ist darüber hinaus der Höhe nach mit der Auftragssumme beschränkt, jedoch maximal mit 25.000,00 Euro. Als einzelner Schadensfall ist die Summe der Schadenersatzansprüche aller Anspruchsberechtigten zu verstehen, die sich aus einer einheitlichen Leistung ergeben. Für Schäden, die im Rahmen mehrerer gleichartiger, einheitlicher Leistungen aufgrund mehrerer auf dem gleichen fachlichen Fehler beruhenden Verstöße entstanden sind, haftet vidulus gleichfalls nur bis zur Auftragssumme bzw. bis maximal 25.000,00 Euro.
10.5. Falls nach Auffassung des Auftraggebers das mögliche Schadensvolumen den vorgenannten Betrag übersteigt, wird vidulus auf Verlangen des Auftraggebers versuchen, eine Zusatzversicherung zur bestehenden Haftpflichtversicherung abzuschließen, die dieses Risiko abdeckt, sofern der Auftraggeber die hierfür anfallende Versicherungsprämie übernimmt.
10.6. Allfällige Schadenersatzansprüche müssen bei sonstigem Ausschluss innerhalb von drei Monaten ab Kenntnis des Schadens, spätestens jedoch drei Jahre nach dem anspruchsbegründenden Ereignis gerichtlich geltend gemacht werden.
10.7. Zieht vidulus zur Erbringung ihrer Leistungen einen Dritten, z.B. ein datenverarbeitendes Unternehmen oder einen Rechtsanwalt bei und hat sie den Auftraggeber hiervon schriftlich benachrichtigt, so wird vidulus von der Haftung frei und haftet dem Auftraggeber gegenüber nur mehr der beigezogene Dritte für den von ihm zu vertretenden Schaden.
10.8. Eine Haftung von vidulus gegenüber anderen Personen als dem Auftraggeber wird ausdrücklich ausgeschlossen. Werden Unterlagen von vidulus mit deren Zustimmung an Dritte weitergegeben, wird eine Haftung von vidulus dem Dritten gegenüber dadurch nicht begründet. Sollte vidulus ausnahmsweise gegenüber einem Dritten haften, so gelten die oben angeführten Haftungsbeschränkungen nicht nur im Verhältnis zwischen vidulus und dem Auftraggeber, sondern auch gegenüber dem Dritten. In jedem Fall der Geltendmachung von Schadenersatzforderungen eines Dritten gegenüber vidulus wird der Auftraggeber vidulus vollkommen schad- und klaglos halten.
11. Loyalität, Abwerbeverbot
11.1. Während der Laufzeit dieses Vertrages und während einer weiteren Frist von sechs Monaten nach Beendigung der Beratungsleistungen ist es dem Auftraggeber untersagt, Mitarbeitende von vidulus, die mit der Erfüllung des Vertrages befasst waren, zu beschäftigen. Im Falle eines Verstoßes gegen diese Verpflichtung hat der Auftraggeber eine Konventionalstrafe in Höhe von 50.000,00 Euro zu bezahlen.
12. Schlussbestimmungen
12.1. vidulus ist berechtigt, das Unternehmen des Auftraggebers und ggf. das Projekt in seine Referenzliste aufzunehmen d.h. Unternehmensname, Unternehmenskennzeichen bzw. Marken und eine allgemeine Beschreibung über das Projekt Dritten gegenüber zu erwähnen oder aufzulisten. Der Auftraggeber erklärt sich in angemessenem Umfang bereit, nach vorheriger Mitteilung über vidulus Auskünfte zu geben.
12.2. Der Auftraggeber ist nicht berechtigt, Rechte oder Pflichten aus diesem Vertrag ohne vorherige schriftliche Zustimmung von vidulus auf Dritte zu übertragen. vidulus ist berechtigt, Rechte und Pflichten aus diesem Vertrag ohne gesonderte Zustimmung des Auftraggebers einem Konzernunternehmen mit schuldbefreiender Wirkung zu übertragen.
12.3. vidulus verwendet hochwertige Technologie, um unerwünschte E-Mails (Spam) zu erkennen und herauszufiltern. Dennoch kann es vorkommen, dass ein E-Mail irrtümlich als Spam qualifiziert wird. vidulus kann daher nicht garantieren, dass E-Mails des Auftraggebers beim gewünschten Empfänger auch tatsächlich ankommen.
12.4. Erfüllungsort ist Kordel.
12.5. Die Beziehung unter dieser Vereinbarung unterliegt deutschem Recht, und alle Verfahren, die sich daraus ergeben, sind vor den deutschen Gerichten zu verhandeln. Wenn ein Begriff eine spezifische englische rechtliche Bedeutung hat, die - ins Deutsche übersetzt - von den Gesetzen in deutscher Sprache abweicht oder sich nicht in diesen widerspiegelt, wird diese Bedeutung außer Acht gelassen. Stattdessen ist die deutsche Bedeutung eines solchen Begriffs maßgebend.
12.6. Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird.
12.7. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht. Anstelle der unwirksamen Bestimmungen gilt diejenige zulässige Regelung, deren wirtschaftlicher Gehalt den unwirksamen Bestimmungen am nächsten kommt.
B. Ergänzende Bedingungen zur Verarbeitung von Daten im Auftrag (Juni 2024)
i.S.v. Art. 28 Abs. 3 EU-Datenschutzgrundverordnung („DSGVO“) („AV-Vereinbarung“) zwischen vidulus GmbH, Amselweg 4, 54306 Kordel (nachfolgend: Auftragnehmer genannt) und dem Kunden (nachfolgend: Auftraggeber genannt) (gemeinsam nachfolgend: „die Parteien“)
Inhalt
- Gegenstand und Dauer des Auftrags
- Technisch Organisatorische Maßnahmen
- Berichtigung, Einschränkung und Löschung von Daten
- Qualitätssicherung und sonstige Pflichten des Auftragnehmers
- Unterauftragsverhältnisse
- Kontrollbefugnisse
- Rechte und Pflichten des Auftraggebers
- Haftung
- Beendigung
- Schlussbestimmungen
§ 1 Gegenstand und Dauer des Auftrags
(1) Gegenstand
Der Gegenstand des Auftrags im Sinne der Vereinbarung ergibt sich aus dem Hauptvertrag in seiner Ausformung durch die Allgemeinen Geschäftsbedingungen. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben im Hauptvertrag. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Gegenstand der Verarbeitung personenbezogener Daten sind die Datenarten/-kategorien, welche dem Auftragnehmer im Rahmen seiner Dienstleistung bekannt werden können. Betroffen von der Verarbeitung sind insbesondere, aber nicht zwingend Kunden, Beschäftigte, Lieferanten, Handelsvertreter und Ansprechpartner. Die konkreten Umstände ergeben sich aus dem Hauptvertrag.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
(2) Dauer
Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Sofern keine Laufzeit im Hauptvertrag bestimmt wurde oder der Hauptvertrag in einer einmaligen Ausführung besteht, gilt der Vertrag als unbefristet und kann von beiden Parteien mit einer Frist von 4 Wochen zum Monatsende gekündigt werden. Die Möglichkeiten zur fristlosen Kündigung bleiben hiervon unberührt.
§ 2 Technisch Organisatorische Maßnahmen
Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftraggeber und der Auftragsverarbeiter sind sich in Bezug auf Anlage 1 einig, dass die in der Anlage definierten TOMs ausreichend im Sinne der DSGVO sind. Die Dokumentation der TOMs beinhaltet auf Aufforderung des Auftraggebers auch Nachweise über das nach Art. 32 Abs. 1 lit. d) einzurichtende Verfahren zur regelmäßigen Überprüfung, Bewertung und Evalu-ierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
§ 3 Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen. Für geringfügige Ersuchen fallen keine Mehrkosten an. Darüberhinausgehende Aufwendungen hat der Auftraggeber mit einem angemessenen Entgelt entsprechend der konkreten Aufwendungen des Auftragnehmers zu vergüten.
§ 4 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Soweit gesetzlich erforderlich, schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Die Kon-taktdaten des Datenschutzbeauftragten ergeben sich aus Anlage 2.
- Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten in Anlage 1).
- Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
- Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Der Auftragnehmer unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten.
§ 5 Unterauftragsverhältnisse
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Eine Liste der aktuell vom Auftragnehmer in Anspruch genommenen weiteren Auftragsverarbeitern wird der Auftragnehmer in Anlage 3 niederlegen. Der Auftraggeber ermächtigt den Auftragnehmer, die dort aufgeführten Unternehmen in Anspruch zu nehmen. Die Hinzuziehung oder Ersetzung eines weiteren Auftragsdatenverarbeiters gilt als genehmigt, wenn der Auftragnehmer den Auftraggeber hierüber informiert hat und wenn der Auftraggeber innerhalb von 4 Wochen nach dieser Information keine Einwände gegenüber in schriftlicher oder elektronischer Form erhebt. Im Fall des Einspruchs kann vidulus nach eigener Wahl die Leistung, ohne die beabsichtigte Änderung erbringen, oder – wenn die Erbringung der Leistung ohne die beabsichtigte Änderung vidulus nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.
Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
Zieht der Auftragnehmer einen weiteren Auftragsverarbeiter in einem Drittland (außerhalb der EU/EWR) hinzu, wird der Auftragsverarbeiter insbesondere die Vorgaben gemäß Art. 44 ff. DSGVO beachten. Der Auftragnehmer wird hinreichende Garantien dafür vorsehen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt, den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen und Übermittlungen in ein Drittland und Schutzvorkehrungen gemäß Art. 30 Abs. 2 DSGVO dokumentiert werden.
§ 6 Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, sofern die Betriebsabläufe des Auftrag-nehmers durch die Kontrollen gestört werden.
(4) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber nach Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.
§ 7 Rechte und Pflichten des Auftraggebers
Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte zu kontrollieren, sowie Nachweise über die Einhaltung der in diesem Vertrag niedergelegten Pflichten anzufordern. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Gegen die Auswahl von Dritten hat der Auftragnehmer ein Widerspruchsrecht, insofern es sich um einen Mitbewerber des Auftragnehmers handelt. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie in diesem Vertrage vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
§ 8 Haftung
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelungen.
§ 9 Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben und die vorhandenen Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Die Löschung oder Sperrung ist in geeigneter Weise zu dokumentieren.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe, Löschung oder Sperrung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden und hat in analoger Anwendung der Grenzen des § 7 zu erfolgen.
§ 10 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung des UN-Kaufrechts ausgeschlossen wird.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht. Anstelle der unwirksamen Bestimmungen gilt diejenige zulässige Regelung, deren wirtschaftlicher Gehalt den unwirksamen Bestimmungen am nächsten kommt.
b1. Anlage 1 | Technische und organisatorische Maßnahmen zur Datensicherheit (Juni 2024)
Alle Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzziel und -zweck steht.
Der Auftragsverarbeiter erfüllt diesen Anspruch durch folgende Maßnahmen:
1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO
1.1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu unterstützen.
Technische Maßnahmen:
- manuelles Schließsystem
Organisatorische Maßnahmen:
- Besucher in Begleitung durch Mitarbeiter
1.2. Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung, 2-Faktorauthentifizierung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).
Technische Maßnahmen:
- Login mit Benutzername + Passwort
- Login mit biometrischen Daten
- Anti-Viren-Software Server
- Anti-Virus-Software Clients
- Firewall
- Einsatz VPN bei Remote-Zugriffen
- Verschlüsselung von Datenträgern
- BIOS Schutz (separates Passwort)
- automatische Desktopsperre
Organisatorische Maßnahmen:
- Richtlinie „sicheres Passwort“
- Richtlinie „Clean Desk“
- Anleitung „manuelle Desktopsperre“
1.3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
Technische Maßnahmen:
- Aktenschredder (mind. Stufe 3, cross cut)
- physische Löschung von Datenträgern
Organisatorische Maßnahmen:
- minimale Anzahl an Administratoren
1.4. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
Technische Maßnahmen:
- Mandantenfähigkeit relevanter Anwendungen
Organisatorische Maßnahmen:
- Festlegung von Datenbankrechten
1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
Technische Maßnahmen:
- nicht anwendbar
Organisatorische Maßnahmen:
- nicht anwendbar
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Networks eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
Technische Maßnahmen:
- Bereitstellung über verschlüsselte Verbindungen wie sftp, https
Organisatorische Maßnahmen:
- Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen
- persönliche Übergabe mit Protokoll
2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
Technische Maßnahmen:
- nicht anwendbar
Organisatorische Maßnahmen:
- nicht anwendbar
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.
Technische Maßnahmen:
- Feuerlöscher Serverraum
- USV
Organisatorische Maßnahmen:
- Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
- Existenz eines Notfallplans
- getrennte Partitionen für Betriebssysteme und Daten
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1. Datenschutz-Management
Technische Maßnahmen:
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …)
Organisatorische Maßnahmen:
- Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
- regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
- Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
- Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
- formalisierter Prozeß zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
4.2. Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
Technische Maßnahmen:
- Einsatz von Firewall und regelmäßige Aktualisierung
- Einsatz von Spamfilter und regelmäßige Aktualisierung
- Einsatz von Virenscanner und regelmäßige Aktualisierung
Organisatorische Maßnahmen:
- nicht anwendbar
4.3. datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
Privacy by design / Privacy by default
Technische Maßnahmen:
- Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
Organisatorische Maßnahmen:
- nicht anwendbar
4.4. Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
Technische Maßnahmen:
- nicht anwendbar
Organisatorische Maßnahmen:
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
- Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
b2. Anlage 2 | Kontakt Datenschutzbeauftragte/r (Juni 2024)
Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen.
Wir weisen darauf hin, dass eine Person, die in einen Interessenkonflikt geraten könnte oder sich am Ende selbst kontrolliert, nicht zum Datenschutzbeauftragten bestellt werden darf. Dies sind insbesondere Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren.
Für eine Geltendmachung der Ihnen zustehenden Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung oder Widerspruch wenden Sie sich bitte an uns unter e-mail@vidulus.group.
b3. Anlage 3 | Liste der Unterauftragsverarbeiter (Juni 2024)
Name/Firma | Adresse | Beschreibung der Verarbeitungstätigkeit |
---|---|---|
Amazon Web Services EMEA SARL | Avenue John F. Kennedy 38 1855 Luxemburg Luxemburg |
Rechenzentrum Hosting der verwendeten physikalischen Server (Webserver) betreffend: vidulus.group |
form.taxi Reinhard Söllradl Geschäftsbezeichnung: wrkt*biz |
4070 Pupping Brandstatt 9/3 Österreich |
Kontaktformular: Übertragung, Speicherung, Spam-Filterung und E-Mail-Benachrichtigung |