Datenschutz
EU-DATENSCHUTZ-GRUNDVERORDNUNG
Vereinbarung
über eine
Auftragsverarbeitung nach Art 28 DSGVO
Der Verantwortliche: Der Auftragsverarbeiter:
Peitler Werbeagentur
Flurweg 24, 6912 Hörbranz
(im Folgenden Auftraggeber) (im Folgenden Auftragnehmer)
1. GEGENSTAND DER VEREINBARUNG
(1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:
[Werbeshootings, universelle Werbeanzeigen, Bestellung und Organisation von
Werbeartikel, Erstellung von individuellen Websites und Webdesigns sowie Werbespots
aller Art. Auch sind gesonderte Wünsche des Auftraggebers inkludiert.
Diese Vereinbarung ist als Ergänzung zu [Vertrag, etc samt Datum ergänzen] zu
verstehen.
(2) Folgende Datenkategorien werden verarbeitet: Kontaktdaten, Vertragsdaten,
Verrechnungsdaten, Bestelldaten, Entgeltdaten, usw].
(3) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Kunden,
Interessenten, Lieferanten, Ansprechpartner, Beschäftigte, usw.]
2. DAUER DER VEREINBARUNG
{Einmalige Durchführung} Die Vereinbarung endet mit einmaliger Durchführung der
Arbeiten.
{Befristete Laufzeit} Die Vereinbarung ist befristet abgeschlossen und endet mit [Fristende
eintragen]
{Unbefristete Laufzeit} Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann
von beiden Parteien mit einer Frist von einem Monat zum Monatsultimo gekündigt werden.
Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. PFLICHTEN DES AUFTRAGNEHMERS
(1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich
im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der
Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben,
so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu
informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine
Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen
Auftrages.
(2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung
beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat
oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung
unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der
Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und
Ausscheiden beim Auftragnehmer aufrecht.
(3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen
zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat
(Einzelheiten sind der Anlage ./1 zu entnehmen).
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit
der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO
(Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit,
Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der
gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür
notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer
gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den
Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer
den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem
Antragsteller mitzuteilen.
(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32
bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von
Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde,
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten
betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
(6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende
Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten
hat.
(7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten
das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm
beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der
Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung
zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten
Verpflichtungen notwendig sind.
(8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle
Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu
übergeben / in dessen Auftrag zu vernichten 1 . Wenn der Auftragnehmer die Daten in
einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach
Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des
Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder
in einem anderen, gängigen Format herauszugeben.
(9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der
Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen
der Union oder der Mitgliedstaaten.
Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des
EWR durchgeführt. Das angemessene Datenschutzniveau
ergibt sich aus
einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.
einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO.
verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b
DSGVO.
Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.
genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e iVm Art 40 DSGVO.
einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42
DSGVO.
von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a
DSGVO.
einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO.
5. SUB-AUFTRAGSVERARBEITER 4
Der Auftragnehmer kann Sub-Auftragsverarbeiter z.B. für Fotoshootings hinzuziehen.
Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-
Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen
kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28
Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-
Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund
dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen
Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem
Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.