Privacy policy

I. Gegenstand der Vereinbarung

  1. Diese Vereinbarung ist als Ergänzung zum bestellten Service oder abgeschlossenen Vertrag zu verstehen. Gegenstand des Auftrages ist somit die Durchführung der im jeweiligen Vertrag vereinbarten Leistungen.

  2. Folgende Datenkategorien werden verarbeitet: z.B. Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten etc.

  3. Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: z.B. Kunden, Interessenten, Lieferanten, Ansprechpartner, Beschäftigte etc.

II. Dauer der Vereinbarung

Sofern im o.a. Vertrag nicht anders vereinbart, ist die Vereinbarung auf unbestimmte Zeit geschlossen und endet automatisch im Falle der Kündigung des o.a. Vertrags bzw. mit dessen Vertragsende. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

III. Pflichten des Auftragnehmers

  1. Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

  2. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

  3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat.

  4. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

  5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

  6. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

  7. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

IV. Ort der Durchführung der Datenverarbeitung

Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt. Das angemessene Datenschutzniveau ergibt sich aus einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.

V. Sub-Auftragsverarbeiter

Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen.

  1. Aufträge an Subunternehmer durch den Auftragnehmer dürfen nur mit schriftlicher Genehmigung des Auftraggebers vergeben werden. Dies und die nachfolgenden Regelungen gelten auch für den Subunternehmer.

  2. Der Auftragnehmer hat den Auftraggeber ohne gesonderte Aufforderung über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer zu informieren. Gegen solche Änderungen steht dem Auftraggeber ein Widerspruchsrecht zu.

  3. Der Auftragnehmer hat den Subunternehmer sorgfältig auszuwählen. Er hat sich vor Beginn der Datenverarbeitung durch den Subunternehmer und sodann regelmäßig von der Einhaltung der beim Subunternehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und die Ergebnisse zu dokumentieren. Dem Auftraggeber ist auf Verlangen der Prüfdokumentation zur Verfügung zu stellen.

  4. Die Auftragsvergabe an Subunternehmer muss mittels eines schriftlichen Vertrages erfolgen. Die vertraglichen Vereinbarungen sind so zu gestalten, dass sie den Anforderungen dieser Vereinbarung entsprechen, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DS-GVO erfolgt.

  5. Sofern der Subunternehmer außerhalb eines in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stammt oder die Datenverarbeitung dort stattfindet, ist durch den Auftragnehmer darüber hinaus sicherzustellen, dass die Voraussetzungen der Art. 44 bis 49 DS-GVO erfüllt sind. Dies ist dem Auftraggeber gegenüber schriftlich vor Aufnahme der Tätigkeiten des Subunternehmers nachzuweisen.

  6. Die Genehmigung zur Einschaltung der Dienstleister in Anlage Pkt.5 (nachfolgende Tabelle) gilt als erteilt, sofern die vorstehenden Anforderungen erfüllt sind.

  7. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten eines jeden Subunternehmers.

  8. Sub-Auftragsverarbeiter, die für YOUR OFFICE tätig sind:

abaton EDV-Dienstleistungs GmbH | Österreich | Hosting Website/Content Management System

easybill GmbH | Deutschland | Billing-Tool

Ewald Schneemann | Österreich | Buchhaltung

Nexudus | GB | FM Tool, CRM, Billing-Tool & Service App | Buchungssystem

Microsoft Corporation | USA | E-Mail und File-Server

Notifii LLC | USA | Post-Tool

Survey Monkey Inc. | USA | Umfrage-Tool