Auftrag gemäß § 11 BDSG zur Auftragsdatenverarbeitung

Wir legen allergrößten Wert auf den Schutz und die Sicherheit Ihrer Daten.

Vereinbarung

zwischen

Vereinen, Organisationen, Interessenten, Kunden und selbständige Geschäftspartner der GASPER GROUP®
ordentlicher Wohnsitz in einem der EU-Mitgliedsstaaten

– nachstehend Auftraggeber genannt –

und der

Kurt Gasper GmbH, Dienersdorf 11, 8224 Kaindorf, AT

– nachstehend Auftragnehmer genannt –

1. Gegenstand und Dauer des Auftrags
1.1. Der Gegenstand des Auftrags ergibt sich aus der aktuellen Leistungsvereinbarung, auf die hier verwiesen wird (im folgenden Leistungsvereinbarung). Diese ist einsehbar unter: https://fedor.at/austragsdatenverarbeitung/
1.2. Die Dauer dieses Auftrags (Laufzeit) entspricht der unbeschränkten Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts
2.1. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Datenschutzerklärung des Auftragnehmers. Diese ist einsehbar unter: https://fedor.at/datenschutz-und-agb-2/
2.2. Wir übermitteln Ihre Daten an externe Dienstleister, die uns beifolgenden Tätigkeiten unterstützen: Speicherung und Verwaltung von Daten, IT-Support, Durchführung von Veranstaltungen (einschließlich Webinare oder digitale Medien wie Hörbücher oder Downloads), Setzen und Auswerten der tags. Hierbei stellen wir sicher, dass diese Dienstleister sorgfältig ausgewählt, datenschutzkonform vertraglich gebunden und regelmäßig überprüft werden. Unter diesen Dienstleistern sind auch Unternehmen, die Ihre Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten bzw. dort ihren Sitz haben. Bei diesen Unternehmen wählen wir nur Unternehmen aus, die die Daten an Orten verarbeiten, für die es einen Angemessenheitsbeschluss der Kommission (Artikel 45 DSGVO) gibt. Ist diese Voraussetzung nicht erfüllt, beauftragen wir diese Dienstleister nur, sofern sie hinreichende Sicherheitsgarantien (Artikel 46 DSGVO) abgeben, etwa durch Vereinbarung der EU-Standardvertragsklauseln.

2.3. Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind folgende Datenarten / -kategorien: Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Kontakt-ID, E-Mail-Adresse, Status, Bounce-Status, Eintragungsdatum, IP-Adresse der Eintragung, Bestätigungsdatum, IP-Adresse der Bestätigung, Austragungsdatum, IP-Adresse Austragung, Referrer, Website, Mobilfunknummer, Telefonnummer, Betreff, Nachricht und alle darin enthaltenen Informationen, sowie laut dem Finanzgesetz verpflichtender aufzubewahrender Daten.

2.4. Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst Kunden, Interessenten, Partner und Abonnenten.

3. Technisch-organisatorische Maßnahmen
3.1. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren.
3.2. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische Maßnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots (vgl. Allgemeine technische und organisatorische Maßnahmen nach § 9 BDSG und Anlage als Bestandteil dieses Vertrages) sowie andererseits um auftragsspezifische Maßnahmen, insbesondere im Hinblick auf die Art des Datenaustauschs, Bereitstellung von Daten, Art und Umstände der Verarbeitung und der Datenhaltung sowie Art und Umstände beim Output / Datenversand, die – soweit sie sich nicht aus der zugrundeliegenden Leistungsvereinbarung ergeben – wie folgt gesondert beschrieben werden: SSL-Verschlüsselung der gesamten Website Nutzung des Dienstes des Anbieters nur mit E-Mail-Adresse und Eingabe eines persönlichen Codes der Endnutzer möglich (Gebot der Datensparsamkeit)
3.3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Auftraggeber zur Verfügung zu stellen.

4. Berichtigung, Sperrung und Löschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich veranlassen. Ausgenommen sind gesetzlich geforderte Daten im Bezug der gesetzlichen Aufbewahrungsfrist insbesondere im Sinne des Finanzgesetzes.

5. Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach § 11 Abs. 4 BDSG folgende Pflichten: Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage. Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.

6. Unterauftragsverhältnisse
6.1. Der Auftragnehmer bedient sich Unterauftragnehmern wie beispielsweise Rechenzentrumsbetreibern, Softwareentwicklern und Systemadministratoren. Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden müssen, wird dies hiermit durch den Auftraggeber genehmigt.
6.2. Der Auftragnehmer verpflichtet sich bei der Auswahl seiner Unterauftragnehmer zur Einhaltung der folgenden Anforderungen: Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den Unterauftragnehmer/n so gestaltet, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen.
6.3. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

7. Kontrollrechte des Auftraggebers
7.1. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.
7.2. Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Für die Aufwände, die der Auftragnehmer bei der Durchführung von Kontrollmaßnahmen hat, werden dem Auftraggeber pauschal pro Stunde 300 Euro zzgl. USt. in Rechnung gestellt.

8. Mitteilung bei Verstößen des Auftragnehmers
8.1. Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.
8.2. Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen.

9. Weisungsbefugnis des Auftraggebers
9.1. Der Auftragnehmer stellt dem Auftraggeber standardisierte, webbasierte Softwareprogramme für Freundschaftswerbung, Empfehlungsmarketing bzw. Affiliate-Marketing sowie eMail-Marketing-Software mit fest definierten Funktionalitäten, die je nach gebuchtem Paket freigeschaltet werden, zur Verfügung. In diesem Rahmen hat der Auftraggeber die Möglichkeiten, die Datenverarbeitung vollumfänglich selbst zu steuern (Weisungserteilung). Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Erteilung der Weisung des Auftraggebers (vgl. § 11 Abs. 3 Satz 1 BDSG). Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen innerhalb seines Cockpit-Benutzerkontos, z.B. durch entsprechende Konfiguration, konkretisieren kann. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
9.2. Weisungen wird der Auftraggeber durch die Einstellungsmöglichkeiten innerhalb seines GASPER GROUP®-Benutzerkontos oder per Mail an die Kurt Gasper GmbH erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
9.3. Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

10. Löschung von Daten und Rückgabe von Datenträgern
10.1. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Einblick in Ihre persönlichen Daten
Ihre eigenen Daten können Sie jederzeit im Bereich „Mein Profil“ – unter Verwendung Ihrer Benutzernummer und Ihres Passwortes – einsehen, bearbeiten und löschen. Haben Sie einmal Ihr Passwort vergessen, bieten wir Ihnen einen speziellen Service: Im Bereich „https://shop.fedor.at/login“ finden Sie auf der Log-In-Seite den Link „Passwort vergessen?“, der Sie zur Passwort-Hilfe führt. Bitte tragen Sie einfach Ihre uns bekannte Benutzernummer oder E-Mail-Adresse ein und senden das Formular ab. Wir senden Ihnen dann ein Ersatz-Passwort an Ihre E-Mail-Adresse. Dieses Vorgehen ist auch dann risikolos, wenn eine dritte Person versucht, Zugriff auf Ihre Daten zu erlangen. Denn: Die Versendung erfolgt in jedem Fall an Ihre E-Mail-Adresse, auf die nur Sie Zugriff haben.

12. Ihr Auskunfts- und Widerrufsrecht
Sie sind berechtigt, eine unentgeltliche schriftliche Auskunft darüber zu verlangen, welche personenbezogenen Daten die Kurt Gasper GmbH über Sie gespeichert hat. Nach der Auskunftserteilung etwaige notwendige Berichtigungen, Sperrungen oder Löschungen werden wir – sofern gesetzlich zugelassen – unverzüglich vornehmen. Sie können Ihre Einwilligung(en) für die Verwendung Ihrer personenbezogenen Daten jederzeit mit zukünftiger Wirkung widerrufen. Liebe Kunden, Partner und Besucher unserer Webseite, wir wissen Ihr Vertrauen sehr zu schätzen! Daher ist uns der Schutz Ihrer Daten, Ihrer Persönlichkeitsrechte sowie die Beachtung Ihres Rechts auf informationelle Selbstbestimmung bei der Erhebung, Verarbeitung und Nutzung Ihrer persönlichen Daten ein wichtiges Anliegen. Unsere Datenschutzpraxis steht im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO).

13. Betrieblicher Datenschutz
Die Kurt Gasper GmbH trägt den gesetzlichen Verpflichtungen Rechnung. Alle unsere Mitarbeiter sind dazu verpflichtet worden, die einschlägigen Vorschriften und Richtlinien zu Datenschutz und Datensicherheit einzuhalten sowie das Datengeheimnis zu schützen. Zudem werden die Mitarbeiter regelmäßig auf diesen Gebieten geschult.

14. Gerichtsstand
Soweit zulässig, vereinbaren die Parteien den Gerichtsstand am Sitz des Auftragnehmers.

15. Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertrages im Übrigen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der wirtschaftlichen Zielsetzung am nächsten kommen, die die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.

Gerne sind wir für Sie da! Sie erreichen uns unter der Telefonnummer +43 3334 32440 oder per E-Mail. Bei Fragen zögern Sie nicht auf uns zuzukommen! Wir sind gerne für Sie da!

Liebe Grüße
und ein herzliches
WauWauMiau
Ihr Fedor® Team