Auftragsverarbeitungsvertrag nach Art 28 DSGVO
abgeschlossen zwischen dem
Auftraggeber (Kunde)
und nachstehend genannt dem
Auftragsverarbeiter
Hetych Kontaktlinsen KG
Ortsstraße 277
A-2331 Vösendorf
Telefonnummer: +43 1 699 86 48
Fax: +43 1 699 42 07
E-Mail: office@hetych.at
Datenschutzbeauftragte: Frau Elisabeth Hetych
1. Gegenstand der Vereinbarung
1.1 Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: Anlage sämtlicher Daten des Verantwortlichen wie Name, Adresse, Telefonnummer, Faxnummer, E-Mail-Adresse, Bankdaten, UID-Nummer. Hetych Kontaktlinsen druckt und versendet Lieferscheine mit Bestellware über Transmed oder Post, kuvertiert und verschickt Rechnungen des Verantwortlichen. Sämtliche Daten des Endkunden (Keratographen Bilder und/oder Topographen Daten) werden ausschließlich zur Berechnung von Kontaktlinsen genutzt. Alle anderen Daten des Endkunden (Name, Adresse, Geburtsdatum, …) werden von uns nicht weiterverarbeitet oder für andere Zwecke genutzt.
1.2 Diese Vereinbarung ist als Ergänzung zur normalen Leistungsvereinbarung zu verstehen. Es gelten die AGB von Hetych Kontaktlinsen KG in der derzeit gültigen Fassung.
1.3 Folgende Arten von personenbezogenen Daten werden verarbeitet:
– Kontaktdaten (Vor- und Nachname falls vom Verantwortlichen gewünscht)
– Geburtsdatum (Keratographen Bilder und/oder Topographen Daten falls diese vom Verantwortlichen zwecks Kontaktlinsenberechnung übermittelt werden)
1.4 Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
– Kundendaten (Vor- und Nachname falls vom Verantwortlichen gewünscht)
1.5 Die Verarbeitung ist folgender Art:
Bestellung formstabiler, oder weicher Kontaktlinsen und Pflegemittel via Telefon, E-Mail, online, oder per Post.Berechnung formstabiler, oder weicher Kontaktlinsen mittels vorgegebenen Berechnungsformular und/oder Keratographen Bilder und/oder Topographen Daten und/oder Fotos und/oder Video Dateien.
2. Dauer der Vereinbarung
2.1 Unbefristete Laufzeit
Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von 1 Monat, zum Monatsende gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Pflichten und Rechte des Auftragsverarbeiters
3.1 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, sofern er nicht hierzu rechtlich verpflichtet ist. In solch einem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern eine solche Mitteilung nicht rechtlich verboten ist.
3.2 Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen.
Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung
beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim
Auftragsverarbeiter aufrecht.
3.3 Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (siehe Punkt 7, sowie Einzelheiten sind der Anlage 1 zu entnehmen).
3.4 Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den
Verantwortlichen nach Möglichkeit, mit geeigneten technischen und organisatorischen
Maßnahmen, damit der Verantwortliche seine Pflicht zur Beantwortung von Anträgen auf
Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person
(z.B.: Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragsverarbeiter gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Verantwortlichen der von ihm betriebenen Datenanwendung hält, hat der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiterzuleiten und dies dem Antragsteller mitzuteilen.
3.5 Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Vereinbarung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (z.B.: Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personen-bezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
3.6 Der Auftragsverarbeiter hat für die vorliegende Auftragsverarbeitung ein
Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten.
3.7 Dem Verantwortlichen wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung stellt und Überprüfungen (einschließlich Inspektionen) die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.Anlage 1 technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO.
3.8 Der Auftragsverarbeiter ist nach Beendigung dieser Vereinbarung verpflichtet (sofern nicht eine rechtliche Verpflichtung zur Speicherung besteht) alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Verantwortlichen zu übergeben / in dessen Auftrag zu vernichten.
3.9 Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen
datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit.Meldungen nach Art. 33 oder 34 DSGVO (Datenschutzverletzung) für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung des Verantwortlichen durchführen.
4. Ort der Durchführung der Datenverarbeitung
4.1 Verarbeitung in der EU: Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt.
5. Sub-Auftragsverarbeiter
5.1 Der Auftragsverarbeiter ist berechtigt, einen Sub-Auftragsverarbeiter hinzuzuziehen.
Der Auftragsverarbeiter kann, wenn notwendig Sub-Auftragsverarbeiter hinzuziehen. Er hat den Verantwortlichen von der beabsichtigten Hinzuziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragsverarbeiter schließt den erforderlichen Vertrag im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieses Vertrages obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen
Voraussetzungen der Art 44 ff DSGVO erfüllt sind (z.B.: Angemessenheitsbeschluss
der Kommission, genehmigte Verhaltensregeln). Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig. (Betrifft Berechnungen der Hetych-KSI-Kontaktlinsen).
6. Technische und organisatorische Maßnahmen
6.1 Der Auftragsverarbeiter hat die Sicherheit gem. Art 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art 5 Abs 1, Abs 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko an gemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art 32 DSGVO zu berücksichtigen. [Einzelheiten in Anlage 1 *2]
*2 technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO
6.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und zuvor dem Verantwortlichen mitzuteilen.
6.3 Der Auftragsverarbeiter hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art 32 Abs 1 lit d DS-GVO). Das Ergebnis ist dem Verantwortlichen mitzuteilen.
7. Berichtigung, Einschränkung und Löschung von Daten
7.1 Der Auftragsverarbeiter darf die Daten, die aufgrund dieses Vertrages verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen, oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
7.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessen-werden, Berichtigung, Daten Portabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.
8. Haftung und Schadenersatz
8.1 Verantwortlicher und Auftragsverarbeiter haften gegenüber betroffenen Personen entsprechend der in Art 82 DSGVO getroffenen Regelungen.
9. Sonstiges
9.1 Änderungen und Ergänzungen dieses Vertrages (einschließlich etwaiger Zusicherungen des Auftragsverarbeiters) bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
9.2 Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertrages im Übrigen unberührt.
9.3 Es gilt österreichisches Recht