Datenschutzerklärung

Diese Website wird betrieben von der Hochzeit.Management GmbH, Robert-Koch-Straße 70, 4600 Wels, Austria, in der Folge als „wir“ und „Kreativ.Management“ bezeichnet, betrieben. In dieser Datenschutzerklärung wird beschrieben, welche Daten wir bei Ihrem Besuch auf der Website https://kreativ.management sowie im Rahmen des Dienstes https://app.kreativ.management erheben und zu welchem Zweck diese genutzt werden.
Wir ersuchen Sie daher die folgende Datenschutzerklärung genau durchzulesen, bevor Sie dieser zustimmen und die Website weiter nutzen.

1. GELTUNGSBEREICH DIESER DATENSCHUTZERKLÄRUNG

Diese Datenschutzerklärung klärt die Nutzer der Website https://kreativ.management sowie des Dienstes https://app.kreativ.management über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Daten – z.B.: Cookies – dieser Website auf.

2. WAS SIND COOKIES?

Ein „Cookie“ ist eine Folge von Textzeichen, die über unseren Web-Server an die Cookie- Datei Ihres Browsers auf die Festplatte Ihres Computers übermittelt wird. Unserer Website wird auf diese Weise ermöglicht, Sie wiederzuerkennen, wenn eine (erneute) Verbindung zwischen unserem Web Server und Ihrem Browser hergestellt wird. Der Hauptzweck eines Cookies ist die Erkennung der Besucher der Website, zudem die analytische Auswertung von nichtpersonenbezogenen Daten, um Informationen über Zeit, geografische Lage und Nutzung unserer Website zu gewinnen. Wir verwenden daher auf unserer Website sowohl sog. „Session Cookies“, die nur temporär bis zum Verlassen unserer Website gespeichert werden, als auch sog. „dauerhafte bzw. tracking Cookies“, die für längere Zeit in der Cookie-Datei Ihres Browsers verweilen, um bei einer Rückkehr auf die Website Informationen an den Server zu übermitteln.

3. WELCHE COOKIES & DATEN WERDEN AUF DIESER WEBSITE GESPEICHERT?

Wir speichern sog. „First Party Cookies“, um anhand von (nicht-)personenbezogenen Daten eine Messung und Optimierung des Nutzerverhaltens auf unserer Website zu ermöglichen.
a. Das von uns zu diesem Zweck verwendete Tool ist „Google Analytics“ (siehe unten Punkt 4.a). Konkret wenden wir folgende Analytics-Cookies in der Standardkonfiguration an:
• _ga • _gat • _gid
Diese Cookies werden von Google Analytics gesetzt und ermöglichen uns, die Nutzung unserer Website zu überwachen und das Nutzererlebnis zu verbessern. Mit deren Hilfe werden Daten
über die Nutzung unserer Website erfasst, die wir zur Erstellung von Berichten und zur Verbesserung der Website verwenden. Gesammelt werden anonyme Daten wie die Besucheranzahl, die von einem Nutzer zuletzt besuchte Website und die von ihm auf unserer Website aufgerufenen Seiten.
b. Seitens Vimeo werden auf unserer Website die folgenden Cookies gesetzt:
• player
• vuid
Diese Cookies ermöglichen es Vimeo Nutzerinformationen für von Vimeo gehostete Videos zu erheben und stehen in Zusammenhang mit Videos welche auf unserer Website eingebettet wurden.
c. Seitens der Websites digistore24 und digimember.de – über welche unsere Verträge abgewickelt werden – wird folgendes Cookie gesetzt:
• ds24u
• ncore_session
• ncore_display_size
Diese Cookies dient als Anbindung zu der Website digistore24 als Zahlungsanbieter.
d. Seitens des Dienstes intercom.com werden auf unserer Website die folgenden Cookies gesetzt:
• intercom-id-y3p9vbif
• intercom-session-y3p9vbif
• intercom-lou-y3p9vbif
Die genannten Cookies werden von dem Tool intercom.com verwendet, durch welches der Websitebetreiber mit dem User über eine Chat-Funktion in Kontakt treten kann.

4. WEITERGABE UND VERWENDUNG DER DATEN

a. Übermittelte Daten
Die von Ihnen übermittelten Daten werden von uns nicht an Dritte weitergegeben, dies ausgenommen jener personenbezogenen Daten, welche von gesetzten Cookies und Plugins – Ihre Zustimmung vorausgesetzt – erhoben werden. Darüber hinaus können wir Ihre Daten jedoch dann an Dritte weitergegeben, wenn dies notwendig ist, um einen gerichtlichen oder behördlichen Auftrag zu erfüllen oder wenn dies von Ihnen selbst gewünscht wird.
b. Aufbewahrung von Daten
Wir bewahren Ihre Daten – sofern nicht an anderer Stelle dieser Datenschutzerklärung für bestimmte Datensätze etwas anderes bestimmt wird – solange auf, als dies für unsere Geschäftszwecke bzw. allenfalls aufgrund rechtlicher Bestimmungen notwendig ist. Für Daten, die im Zusammenhang mit Steuern und Buchhaltung stehen sind dies nach der BAO zumindest 7 Jahre. Daten, die im Zusammenhang mit der Erfüllung unserer vertraglichen Pflichten stehen, werden von uns jedenfalls zumindest 3 Jahre nach dem Ende der Vertragsbeziehung gespeichert. Daten, welche aufgrund Ihrer Zustimmung erhoben und verarbeitet werden, können unsererseits nur solange verarbeitet werden, bis Sie diese Zustimmung widerrufen.
c. Personenbezogenen Daten
Die personenbezogenen Daten, die Sie uns bei Ihrem Aufenthalt auf der Website https://kreativ.management und bei der Nutzung des Dienstes https://app.kreativ.management übermitteln, nutzen wir einerseits zu dem Zweck, Ihre Erfahrung während des Aufenthalts auf unserer Website zu verbessern, andererseits zur Verwaltung, zur Fehlerbehebung und um Ihnen – jeweils nur bei separater Zustimmung – Marketingmaterial, Newsletter oder sonstige Informationen zuzusenden. Ansonsten erfolgt die Verarbeitung Ihrer personenbezogenen Daten lediglich im Rahmen der Erfüllung unserer vertraglichen und/oder gesetzlichen Pflichten. Zudem verwenden wir Ihre Daten, um das Nutzerverhalten auf unserer Website zu erfassen und auszuwerten.
d. Google Analytics
Wir verwenden Google Analytics, einen Webanalysedienst der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Dieser Dienst verwendet sog. „Cookies“ (s.o.) Die durch Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Sofern auf dieser Website die IP-Anonymisierung aktiviert wird, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vorweg gekürzt. Nur in bestimmten Fällen wird die volle IP-Adresse an einen Server von Google in den USA oder einem sonstigen Drittstaat übertragen und dort gekürzt.
In unserem Auftrag benutzt Google diese Informationen, um Ihre Nutzung unserer Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit
der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Die Speicherung der von Google Analytics benötigten Cookies kann durch eine entsprechende Einstellung Ihrer Browser-Software verhindert werden; allerdings kann dies dazu führen, dass Sie gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) sowie deren Übermittlung und Verarbeitung durch Google können Sie verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de
Sollten Sie weiterführende Informationen zu Art, Umfang und Zweck der von Google erhobenen Daten informieren wollen, empfehlen wir Ihnen, deren Datenschutzbestimmungen zu lesen.
e. Google Mail (Gmail)
Zusätzliche Einschränkungen bei der Verwendung Ihrer Google-Nutzerdaten
Ungeachtet aller anderen Bestimmungen in dieser Datenschutzrichtlinie unterliegt unsere Verwendung dieser Daten diesen zusätzlichen Einschränkungen, wenn Sie uns Zugriff auf die folgenden Arten Ihrer Google-Daten gewähren:
Wir verwenden den Zugriff nur zum Lesen, Schreiben, Ändern oder Steuern von Google Mail-Nachrichtentexten (einschließlich Anhängen), Metadaten, Kopfzeilen und Einstellungen, um einen Web-E-Mail-Client bereitzustellen, mit dem Benutzer E-Mails erstellen, senden, lesen und verarbeiten können Übertragen Sie diese Google Mail-Daten an andere, es sei denn, dies ist erforderlich, um diese Funktionen bereitzustellen und zu verbessern, geltendes Recht einzuhalten oder im Rahmen einer Fusion, eines Erwerbs oder eines Verkaufs von Vermögenswerten.
Wir werden diese Google Mail-Daten nicht für die Schaltung von Werbung verwenden.
Wir erlauben Menschen nicht, diese Daten zu lesen, es sei denn, wir haben Ihre Zustimmung zu bestimmten Nachrichten. Dies ist zu Sicherheitszwecken wie der Untersuchung von Missbrauch, zur Einhaltung geltender Gesetze oder für unsere internen Abläufe und auch dann nur dann erforderlich, wenn die Daten vorliegen wurde aggregiert und anonymisiert.
Die Verwendung von Kreativ.Management von den Informationen, die von Google APIs erhalten wurden, entspricht den Benutzerdatenrichtlinien von Google API Services, einschließlich der Anforderungen für die eingeschränkte Nutzung.
Die (App-) Verwendung von Informationen, die von Google APIs empfangen wurden, entspricht den Benutzerdatenrichtlinien von Google API Services, einschließlich der Anforderungen für die eingeschränkte Nutzung.
(App’s) use of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.
f. Facebook und Facebook Pixel
Unser Internetauftritt verwendet Social Plugins („Plugins“) des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird („Facebook“). Die Plugins sind an einem der Facebook Logos erkennbar (weißes „f“ auf blauer Kachel oder ein „Daumen hoch“-Zeichen) oder sind mit dem Zusatz „Facebook Social Plugin“ gekennzeichnet. Die Liste und das Aussehen der Facebook Social Plugins kann hier (http://developers.facebook.com/docs/plugins) eingesehen werden. Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Wir haben daher keinen Einfluss auf den Umfang der Daten, die Facebook mit Hilfe dieses Plugins erhebt und informieren Sie daher entsprechend unserem Kenntnisstand: Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt, kann Facebook den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den Like Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert. Falls Sie kein Mitglied von Facebook sind, besteht trotzdem die Möglichkeit, dass Facebook Ihre IP-Adresse in Erfahrung bringt und speichert. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen (http://www.facebook.com/policy.php) von Facebook. Wenn Sie Facebook-Mitglied sind und nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt und mit Ihren bei Facebook gespeicherten Mitgliedsdaten verknüpft, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen. Ebenfalls ist es möglich Facebook-Social-Plugins mit Add-ons für Ihren Browser zu blocken, zum Beispiel mit dem „Facebook Blocker“.
In diesem Zusammenhang werden seitens Facebook folgende Cookies auf unserer Website gesetzt:
• datr • Sb
• fr
Überdies setzen wir auf unserer Website das Facebook Pixel:
Das Facebook-Pixel ist ein Analysetool, mit die Effektivität der Werbung gemessen werden kann. Es hilft uns dabei, zu verstehen, welche Handlungen Personen auf unserer Webseite ausführen. Pixel-Daten können für die folgenden Zwecke verwendet werden:
Sicherstellung, dass unsere Werbung nur interessierten Nutzern angezeigt wird
Zielgruppen für unsere Werbung aufzubauen
Weitere Werbetools für Facebook zu erschließen
e. E-Mail Header
Im Rahmen der eMail-Kommunikation werden die Header-Daten dieser eMails gespeichert, zum Zweck der Nachvollziehbarkeit der Kontakte und zum Schutz vor Spam und/oder Phishing-Mails. Dies geschieht aus berechtigtem Interesse im Sinne von Art 6 Abs 1 lit f DSGVO.

5. LINKS ZU ANDEREN WEBSITES

Auf unserer Website setzen wir ggf. Links zu anderen Websites; dies erfolgt lediglich zu Informationszwecken. Diese Websites stehen nicht unter unserer Kontrolle und fallen daher nicht unter die Bestimmungen dieser Datenschutzerklärung. Sollten Sie einen Link aktivieren ist es möglich, dass der Betreiber dieser Website Daten über Sie erhebt und diese gemäß seiner Datenschutzerklärung, die von unserer abweichen kann, verwendet.

6. BETROFFENENRECHTE

Sie haben das Recht auf Auskunft seitens Kreativ.Management über Ihre personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit. Ebenso haben Sie das Recht der Beschwerde bei der Datenschutzbehörde (https://www.dsb.gv.at).
Sie können die uns übermittelten Daten auch zu jedem Zeitpunkt per Mail an support@kreativ.management oder per Einschreiben abändern.

7. INFORMATION UND KONTAKT

Wenn Sie Auskünfte über die zu Ihrer Person gespeicherten Daten, deren Herkunft, Empfänger und den Zweck der Speicherung wünschen, oder sonstige Fragen, Anmerkungen oder Anfragen zu der von uns betriebenen Website haben, kontaktieren Sie uns bitte an der unten angeführten Adresse:
Hochzeit.Management GmbH
Geschäftsführer: Andreas Schwarzlmüller
Robert-Koch-Straße 70, 4600 Wels,
E-Mail: support@kreativ.management

Anhang 1: Vertrag über eine Auftragsverarbeitung

gem Art 28 DSGVO zwischen der Hochzeit.Management GmbH, Robert-Koch-Straße 70, 4600 Wels (im Folgenden: Auftragsverarbeiter) und Usern, die [Leistungen] des Auftragsverarbeiters beziehen (im Folgenden: Verantwortlicher)

Anhang 1: Vertrag über eine Auftragsverarbeitung

gem Art 28 DSGVO

zwischen 

der Hochzeit.Management GmbH, Robert-Koch-Straße 70, 4600 Wels (im Folgenden: Auftragsverarbeiter) 

und Usern, die [Leistungen] des Auftragsverarbeiters beziehen (im Folgenden: Verantwortlicher) 

PRÄAMBEL 

Dieser Vertrag ist ein integraler Bestandteil des Vertragswerks zwischen Auftragsverarbeiter und Verantwortlichen (Hauptvertrag), wird mit Abschluss des Hauptvertrags wirksam und ersetzt sämtliche bestehende Verträge zur Auftragsdatenverarbeitung zwischen den Parteien. 

1. GELTUNGSBEREICH, DEFINITIONEN 

1.1. Dieser Vertrag regelt die Rechte und Pflichten von Verantwortlichem und Auftragsverarbeiter (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten. 

1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragsverarbeiters oder durch ihn beauftragte Unter-Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten. 

1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung (Verordnung [EU] 2016/679 – DSGVO) zu verstehen. 

2. GEGENSTAND UND DAUER DER VERARBEITUNG 

2.1. Aufgaben 

Gegenstand dieser Vereinbarung ist die Durchführung der folgenden Aufgaben durch den Auftragsverarbeiter: 

• Zurverfügungstellung der App / Plattform 

2.2. Verarbeitungsgegenstand 

Die Vereinbarung betrifft die Verarbeitung der folgenden Kategorien personenbezogener Daten durch den Auftragsverarbeiter: 

• Name 
• Kontaktdaten, E-Mail-Adresse 
• Postanschrift 
• Vertragsgegenständliche Daten (zB Verträge, Preis) 
• Kommunikation zwischen User und Kunden 
• Von Kunden oder User übermittelte Informationen 

Die folgenden Kategorien von Personen sind von der Datenverarbeitung betroffen: 

• Mitarbeiter der User 
• Kunden der User 

2.3. Verarbeitungszweck 

Personenbezogene Daten werden für folgende Zwecke durch den Auftragsverarbeiter verarbeitet: 

• Vorvertragliche Kommunikation 
• Vertragserfüllung 

2.4. Ort der Verarbeitung 

Der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU/des EWR durch.

2.5. Dauer 

Soweit nicht ausdrücklich anders vereinbart, richtet sich die Laufzeit dieses Vertrages nach der Laufzeit des Hauptvertrages. 

3. PFLICHTEN DES AUFTRAGSVERARBEITERS 

3.1. Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. 

3.2. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich aufgrund von Weisungen des Verantwortlichen und des gegenständlichen Vertrages zu verarbeiten und dabei sämtliche Datenschutzvorschriften einzuhalten. 

3.3. Sofern der Auftragsverarbeiter eine Weisung des Verantwortlichen als rechtswidrig erachtet, hat er den Verantwortlichen hierüber umgehend schriftlich zu informieren. 

3.4. Der Auftragsverarbeiter setzt alle gem Art 32 DSGVO vorgesehenen geeigneten technischen und organisatorischen Maßnahmen im Sinne der Sicherheit der Datenverarbeitung. 

3.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen hinsichtlich der Wahrung ihrer Rechte. Sofern ein solcher Antrag an den Auftragsverarbeiter gerichtet wird, leitet dieser ihn umgehend an den Verantwortlichen weiter. 

3.6. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der ihn gem Art 32 bis 36 DSGVO treffenden Pflichten, wovon insbesondere, jedoch nicht ausschließlich, die Setzung von Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen sowie die Erstellung einer Datenschutz-Folgenabschätzung umfasst ist. 

3.7. Nach Beendigung der Verarbeitung sowie auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die ihm vorliegenden personenbezogenen Daten zu löschen. Wenn der Verantwortliche dies verlangt, sind die personenbezogenen Daten an ihn zurückzugeben. 

3.8. Der Auftragsverarbeiter verpflichtet sich dazu, den Verantwortlichen über sämtliche Details zu informieren, welche benötigt werden, um die Einhaltung der gem Art 28 DSGVO bestehenden Pflichten nachzuweisen. Zudem verpflichtet sich der Auftragsverarbeiter dazu, den Verantwortlichen bei den von ihm vorzunehmenden Prüfungen zu unterstützen und ihm jederzeitige Einsichtnahme zu gewähren. 

3.9. Der Auftragsverarbeiter hat ein schriftliches bzw elektronisches Verzeichnis über alle Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gem Art 30 Abs 2 DSGVO zu führen. 

3.10. Der Auftragsverarbeiter verpflichtet sich, bei Vorliegen der Bedingungen gem Art 37 DSGVO eine fachkundige und zuverlässige Person als Datenschutzbeauftragten zu bestellen. 

3.11. Der Auftragsverarbeiter ist zur vertraulichen Behandlung der ihm gegenüber offengelegten bzw ihm übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. Ebenso sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst. 

3.12. Der Auftragsverarbeiter hat sämtliche ihm zurechenbare Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, zur Vertraulichkeit zu verpflichten, sofern diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort. 

3.13. Der Auftragsverarbeiter hat alle mit der Verarbeitung personenbezogener Daten beauftragten Personen zu verpflichten, diese Daten nur aufgrund von Anordnungen zu übermitteln, sofern eine derartige Verpflichtung nicht schon kraft Gesetzes besteht. Zudem hat der Auftragsverarbeiter seine Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. 

3.14. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Verantwortlichen angewiesen, es sei denn, der Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Der Auftragsverarbeiter verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 

3.15. Der Auftragsverarbeiter stellt dem Verantwortlichen bei Bedarf alle erforderlichen Informationen, insbesondere erstellte Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung. 

3.16. Wird der Verantwortliche durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragsverarbeiter den Verantwortlichen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. 

3.17. Auskünfte an Dritte oder den Betroffenen wird der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Verantwortlichen erteilen, außer ihn trifft eine gesetzliche oder rechtliche Verpflichtung. Direkt an ihn gerichtete Anfragen leitet er unverzüglich an den Verantwortlichen weiter. 

3.18. Der Verantwortliche ist berechtigt, nach mindestens 7-tägiger Vorankündigung und in Bezug auf die Verarbeitungstätigkeiten die dieser Vereinbarung zugrundeliegen, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragsverarbeiter in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu den Geschäftszeiten des Auftragsverarbeiters, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragsverarbeiter soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragsverarbeiter ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind 

4. PFLICHTEN DES VERANTWORTLICHEN 

4.1. Der Verantwortliche ist für die rechtmäßige Erhebung und Verarbeitung der Betroffenendaten verantwortlich sowie der rechtmäßigen Übermittlung an den Auftragsverarbeiter und hält den Auftragsverarbeiter diesbezüglich vollumfänglich schad- und klaglos. 

5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

5.1. Die in der Anlage 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragsverarbeiter geschuldete Minimum. 

5.2. Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus setzen. 

5.3. Der Verantwortliche ist über die jeweils gesetzten Maßnahmen vor Beginn der Verarbeitungstätigkeit des Auftragsverarbeiters zu informieren. 

5.4. Den Auftragsverarbeiter trifft die Pflicht, in regelmäßigen Abständen zu prüfen, ob durch geeignete technische und organisatorische Maßnahmen des Auftragsverarbeiters ein angemessenes Datenschutzniveau gewährleistet ist. 

5.5. Der Auftragsverarbeiter ist dazu verpflichtet, den Verantwortlichen bei der Errichtung geeigneter technischer und organisatorischer Maßnahmen zu unterstützen. 

5.6. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen. Änderungen sind dem Verantwortlichen unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren. 

5.7. Soweit die getroffenen Sicherheitsmaßnahmen den vom Verantwortlichen mitgeteilten Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich. 

5.8. Kopien oder Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist. 

5.9. Datenträger, die vom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert. 

6. REGELUNGEN ZUR BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN 

6.1. Im Rahmen des Auftrags verarbeitete Daten wird der Auftragsverarbeiter nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Verantwortlichen berichtigen, löschen oder sperren. 

6.2. Den entsprechenden Weisungen des Verantwortlichen wird der Auftragsverarbeiter jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. 

7. SUB-AUFTRAGSVERARBEITER 

7.1. Sofern der Auftragsverarbeiter die Hinzuziehung eines anderen Sub-Auftragsverarbeiters beabsichtigt, hat der den Verantwortlichen schriftlich davon zu verständigen. Die Verständigung hat rechtzeitig vorab zu erfolgen, sodass der Verantwortliche die Möglichkeit eines Widerspruchs gegen die beabsichtigte Änderung wahrnehmen kann. 

7.2. Der Sub-Auftragsverarbeiter wird ausschließlich aufgrund des zwischen ihm und dem Auftragsverarbeiter gem Art 28 Abs 4 DSGVO abzuschließenden Vertrages tätig. 

7.3. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für den Fall, dass der Sub-Auftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht wahrnimmt. 

7.4. Sub-Auftragsverarbeiter werden vertraglich mindestens Datenschutzpflichten auferlegt, die den in diesem Vertrag vereinbarten gleichwertig sind. Der Verantwortliche erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragsverarbeiter und Sub-Auftragsverarbeiter. 

7.5. Die Verantwortlichkeiten des Auftragsverarbeiters und des Sub-Auftragsverarbeiters sind eindeutig voneinander abzugrenzen. 

7.6. Der Auftragsverarbeiter wählt den Sub-Auftragsverarbeiter unter besonderer Berücksichtigung der Eignung der vom Sub-Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus. 

7.7. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Sub-Auftragsverarbeiter ist erst zulässig, wenn sich der Auftragsverarbeiter in dokumentierter Weise davon überzeugt hat, dass der Sub-Auftragsverarbeiter seine Verpflichtungen vollständig erfüllt hat. Der Auftragsverarbeiter hat dem Verantwortlichen die Dokumentation auf Aufforderung vorzulegen. 

7.8. Es werden nur Sub-Auftragsverarbeiter mit Sitz und Datenverarbeitung innerhalb der EU oder des EWR beauftragt. 

7.9. Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Sub-Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang betraut und durch den Verantwortlichen genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragsverarbeiters gegenüber Sub-Auftragsverarbeiter bleiben unberührt. 

7.10. Sub-Auftragsverarbeiter-Verhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragsverarbeiters, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt. 

8. MITTEILUNGSPFLICHTEN 

8.1. Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat mindestens die Angaben nach Art. 33 Abs. 3 DSGVO zu enthalten. 

8.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen. 

8.3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. 

8.4. Der Auftragsverarbeiter sichert zu, den Verantwortlichen bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen. 

9. WEISUNGEN 

9.1. Der Verantwortliche hat hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht. 

9.2. Verantwortlicher und Auftragsverarbeiter benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen. 

9.3. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen. 

9.4. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. 

9.5. Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. 

10. BEENDIGUNG DES AUFTRAGS 

10.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die im Auftrag verarbeiteten Daten nach Wahl des Verantwortlichen entweder zu vernichten oder an den Verantwortlichen zu übergeben und sodann zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. 

10.2. Der Auftragsverarbeiter ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Sub-Auftragsverarbeitern herbeizuführen. 

10.3. Der Auftragsverarbeiter hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Verantwortlichen auf Verlangen vorzulegen. 

10.4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende 

hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Verantwortlichen bei Vertragsende übergeben. 

11. VERGÜTUNG 

11.1. Der Auftragsverarbeiter hat das Recht, Leistungen in Zusammenhang mit dieser Vereinbarung zum geltenden Stundensatz gesondert zu verrechnen. 

12. VERTRAULICHKEIT 

12.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. 

13. SONSTIGES 

13.1. Sollte Eigentum des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen. 

13.2. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für die Abbedingung der Schriftform. 

13.3. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 

13.4. Dieser Vertrag unterliegt österreichischem Recht unter Ausschluss seiner nicht zwingenden Verweisnormen. Die Bestimmungen des UN-Kaufrechts finden keine Anwendung. 

13.5. Als ausschließlicher Gerichtsstand wird für alle sich mittelbar oder unmittelbar aus oder im Zusammenhang mit diesem Vertrag ergebenden Streitigkeiten – einschließlich über sein Bestehen oder Nichtbestehen – das für den Auftragsverarbeiter sachlich zuständige Gericht vereinbart. 

ANLAGE 1 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Der Auftragsverarbeiter hat insbesondere folgende technische und organisatorische Maßnahmen umzusetzen: 

• Informationen und IT-Systeme sollen so verfügbar sein, dass davon abhängige Prozesse ohne wesentliche Beeinträchtigung betrieben und notfalls kurzfristig wiederaufgenommen werden können; 
• Die Störungsfreiheit von IT-Systemen und die Integrität von Daten sind nach Möglichkeit jederzeit zu gewährleisten; 
• Vertrauliche Informationen müssen stets vor unbefugtem Zugriff geschützt sein; 
• Kontrolle des Zutritts zu Datenverarbeitungsanlagen zB durch geregelte Schlüsselverwaltung, Sicherheitstüren oder Sicherheitspersonal; 
• Kontrolle des Zugangs zu Datenverarbeitungssystemen zB durch Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern, Virtual Private Network (VPN) oder Protokollierung von Benutzeranmeldungen; 
• Kontrolle des Zugriffs auf Daten innerhalb des Systems zB durch Standard-Berechtigungsprofile auf „need to know-Basis“, Netzsegmentierung, Teilzugriffsberechtigungen oder Protokollierung von Zugriffen; 
• Pseudonymisierung von personenbezogenen Daten; 
• Klassifizierung von Daten als geheim, vertraulich, intern oder öffentlich; 
• Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlusts von personenbezogenen Daten zB durch Verwahrung in Tresor oder Sicherheitsschräken, Speichernetzwerke, Software- und Hardwareschutz; 
• Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen bei Datenübertragungen zB durch Verschlüsselung, Virtual Private Networks (VPN), ISDN Wall, Content Filter für ein- und ausgehende Daten oder elektronische Signatur sowie verschließbare Transportbehälter; 
• Überprüfung, ob und durch wen personenbezogene Daten in Datenverarbeitungssystemen eigegeben, verändert oder gelöscht worden sind zB durch Protokollierung, Verwendung von elektronischen Signaturen, Regelung der Zugriffsberechtigungen; 
• Trennung von Datenverarbeitungen zu unterschiedlichen Zwecken zB durch die Verwendung getrennter Datenbanken, Mandantentrennung, Trennung von Kundenservern; 
• Aktuelle Verarbeitungsübersicht bzw. Verfahrensverzeichnisse sind vorhanden; 
• Soweit gesetzlich gefordert, werden Verfahren vor ihrer Inbetriebnahme auf Basis vordefinierter Risikokriterien und –stufen identifiziert und den Schutzmaßnahmen gegenübergestellt. Die so getroffenen datenschutzrechtlichen Bewertungen fließen in die Umsetzung der Maßnahmen ein und werden dokumentiert; 
• Mitarbeiter werden regelmäßig in Fragen des Datenschutzes geschult und sensibilisiert.

ANLAGE 2 – ZUGELASSENE SUB-AUFTRAGSVERARBEITER 

ALL-INKL.COM – Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68
02742 Friedersdorf
Deutschland

furtmüller & strauß GmbH
Furth 3
4702 Wallern an der Trattnach
Österreich

„powerCUBE“ Rechenzentrum der Energie AG Oberösterreich Telekom GmbH
Böhmerwaldstraße 3
4020 Linz
Österreich