Datenschutzerklärung ng.auftrag.at

25.1.2023 V3

1. Allgemeines

Der Wiener Zeitung Digitale Publikationen GmbH (in der Folge als „WZDP“ bezeichnet) ist der Schutz personenbezogener Daten überaus wichtig. In dieser Datenschutzerklärung kommt die WZDP ihrer Verpflichtung nach, VertragspartnerInnen und NutzerInnen der Webanwendung ng.auftrag.at im Detail darüber zu informieren, welche personenbezogenen Daten von der WZDP verarbeitet werden.

Für Fragen zum Schutz personenbezogener Daten sowie für die Übermittlung von Betroffenenbegehren stehen Ihnen die MitarbeiterInnen der WZDP per E-Mail an datenschutz@auftrag.at zur Verfügung.

2. Wesentliche Begriffe

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Verantwortliche sind die natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

AuftragsverarbeiterInnen sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten.

Verarbeiten ist jeder automatisierte oder nicht automatisierte Vorgang wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Unter Profiling versteht man die automatisierte Auswertung personenbezogener Daten hinsichtlich bestimmter persönlicher Aspekte der Betroffenen, insbesondere zur Analyse und Prognose der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben und Interessen, der Zuverlässigkeit, des Aufenthaltsortes oder des Ortswechsel.

3. Verantwortliche und Kontaktdaten

Für im Rahmen von Vertragsverhältnissen erhobene Daten auf ng.auftrag.at oder im Zusammenhang mit der Website verarbeitete personenbezogene Daten ist die WZDP verantwortlich im Sinne der Datenschutz-Grundverordnung (VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG).

Für personenbezogene Daten, die im Rahmen der Durchführung von Vergabeverfahren verarbeitet werden, kommt VertragspartnerInnen der WZDP die Rolle des Verantwortlichen zu. In diesem Bereich agiert die WZDP als Auftragsverarbeiterin und wird im Rahmen einer AuftragsverarbeiterInnenvereinbarung (Anlage I zur Datenschutzerklärung) für die VertragspartnerInnen tätig.

Die Kontaktdaten der WZDP lauten:
Wiener Zeitung Digitale Publikationen GmbH
Maria-Jacobi-Gasse 1, Media Quarter Marx 3.3, A-1030 Wien

datenschutz@auftrag.at

4. Datenverarbeitung, Verarbeitungszwecke

Die WZDP verarbeitet Daten, die im Zuge des Vertragsabschlusses erhoben werden bzw. von VertragspartnerInnen und NutzerInnen auf ng.auftrag.at bei der Durchführung von Vergabeverfahren zur Verfügung gestellt werden.

Es werden ausschließlich personenbezogene Daten verarbeitet, die im Zusammenhang mit der Inanspruchnahme des Angebotes der WZDP bekannt gegeben wurden. Dabei handelt es sich ua. um Daten zur Organisation wie die Rechnungsadresse, Daten zum Nutzer wie Benutzername und Passwort, Rechnungsdaten sowie spezifische Daten zu Vergabeverfahren. Die Verarbeitung personenbezogener Daten ist zur Durchführung vorvertraglicher Maßnahmen auf Anfrage potenzieller VertragspartnerInnen bzw. zur Erfüllung des Vertrages mit VertragspartnerInnen erforderlich.

Sofern die Verarbeitung aufgrund einer erteilten Einwilligung erfolgt, werden personenbezogene Daten zu den in der Einwilligung genannten Zwecken bis zu einem Widerruf der Einwilligung verarbeitet.

5. Rechtliche Grundlagen der Datenverarbeitung

Rechtsgrundlage für die Verarbeitung sind vorvertraglicher Maßnahmen auf Anfrage potenzieller VertragspartnerInnen bzw. die Erfüllung von Verträgen. Weiters kann die Verarbeitung personenbezogener Daten auch auf der Grundlage einer erteilten Einwilligung erfolgen.

6. Verarbeitete Datenkategorien

Von der WZDP werden E-Mail-Adresse, Passwort, Daten zur Auftraggebereigenschaft, Daten zur Organisation der AuftraggeberInnen, Daten zu den NutzerInnen sowie U-Nummern für NutzerInnen und O-Nummern für Organisationen der AuftraggeberInnen verarbeitet. Weiters werden Daten verarbeitet, die bei der Durchführung von Vergabeverfahren zwischen VertragspartnerInnen und interessierten WirtschaftsteilnehmerInnen bzw. zwischen NutzerInnen ausgetauscht werden.

Durch die WZDP werden grundsätzlich keine besonderen Datenkategorien, wie etwa sensible Daten, verarbeitet.

Als Kategorien von betroffenen Personen kommen MitarbeiterInnen von VertragspartnerInnen und MitarbeiterInnen anderer UnternehmerInnen (BewerberInnen, BieterInnen, AuftragnehmerInnen) bzw. diesen AuftraggeberInnen und UnternehmerInnen zuzurechnende Personen in Betracht.

7. Speicherdauer

Auf Basis eines Vertragsverhältnisses verarbeitete Daten werden spätestens nach dem Ablauf gesetzlicher Aufbewahrungsfristen gelöscht (derzeit betragen die steuer- und unternehmensrechtlichen Aufbewahrungspflichten sieben Jahre).

Im Falle eines nicht abgeschlossenen Registrierungsvorganges erfolgt innerhalb von 22 Stunden eine Löschung der bei der Registrierung verwendeten Daten.

8. EmpfängerInnen der Daten

Als EmpfängerInnen der Daten kommen interne AuftragsverarbeiterInnen, externe AuftragsverarbeiterInnen und externe Verantwortliche in Betracht. Weiters jene EmpfängerInnen, die im Rahmen der elektronischen Kommunikation von VertragspartnerInnen bzw. NutzerInnen kontaktiert werden bzw. für die Daten im Rahmen der Durchführung von Vergabeverfahren bereitgestellt bzw. übermittelt werden.

9. Cookies

Bei Cookies handelt es sich um kleine Textdateien, die über den Browser (ein Programm zur Darstellung von Webseiten) auf einem Speichermedium des vom Webseitenbesucher verwendeten Endgeräts (PC, Notebook, Tablet, Smartphone, etc.) gespeichert werden. Die gespeicherte Information wird bei späteren Besuchen der Webseite wieder aufgerufen und ermöglicht es der Webseite, das Endgerät wiederzuerkennen.

Grundsätzlich kann zwischen technisch erforderlichen und technisch nicht erforderlichen Cookies unterschieden werden, wobei zur Verwendung von technisch nicht erforderlichen Cookies auf der Webseite die Zustimmung der NutzerInnen eingeholt werden müssen.

Technisch erforderliche Cookies sorgen für die Funktionsfähigkeit der Webseite und sind für den Betrieb der Webseite unerlässlich. Für technisch erforderliche Cookies ist keine Zustimmung der NutzerInnen erforderlich.

Bei technisch nicht erforderlichen Cookies handelt es sich um jene, die für den Betrieb der Webseite und die Funktionsfähigkeit nicht erforderlich sind und die anderen Zwecken dienen. Dabei kann es sich beispielsweise um Cookies zur Analyse der Webseite handeln oder um Cookies, mit deren Hilfe personalisierte Werbung präsentiert werden kann.

Auf ng.auftrag.at gelangen keinerlei Cookies zum Einsatz, die eine Zustimmung der NutzerInnen erfordern.

10. Betroffenenrechte

Durch das Datenschutzrecht kommen von einer Datenverarbeitung betroffenen Person folgende Rechte zu:

Auskunftsrecht: Auf Aufforderung wird unentgeltlich Auskunft über den Umfang, die Herkunft und den/die Empfänger der Daten sowie den Zweck der Verarbeitung erteilt. Bei exzessiven Auskunftsbegehren (öfter als zwei Mal pro Jahr) behält sich die WZDP die Verrechnung eines angemessenen Aufwandersatzes vor.

Recht auf Berichtigung: Sollten trotz aller Bemühungen um Datenrichtigkeit und Aktualität falsche Informationen verarbeitet werden, werden diese nach einer entsprechenden Aufforderung berichtigt.

Löschung: Unter bestimmten Voraussetzungen haben Betroffene ein Recht auf Löschung von personenbezogenen Daten. Einem Löschbegehren kann nicht entsprochen werden, sofern ein überwiegendes berechtigtes Interesse der WZDP zur Verarbeitung der Daten besteht, gesetzliche Verpflichtungen zur Aufbewahrung bzw. Datenverarbeitung einer Löschung entgegenstehen und/oder die Aufbewahrung/Speicherung der Daten zur Rechtsverfolgung der WZDP erforderlich ist.

Einschränkung: Aus den Gründen, die einen Löschungsanspruch begründen, kann auch eine Einschränkung der Datenverarbeitung begehrt werden. In diesem Fall bleiben die Daten gespeichert, werden aber nicht mehr anderweitig genutzt.

Widerspruch: Gegen Datenverarbeitung, die gestützt auf ein berechtigtes Interesse vorgenommen wird, kann Widerspruch eingelegt werden. Sofern es sich um eine Datenverarbeitung zu Direktwerbezwecken handelt, steht ein absolutes Widerspruchsrecht zu. Im Falle eines Widerspruchs verarbeitet die WZDP die Daten nicht mehr, es sei denn sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die jenen Interessen, Rechten und Freiheiten der betroffenen Person höherwertig gegenüberstehen oder die Verarbeitung durch die WZDP dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerruf: Sofern eine Einwilligung zur Verarbeitung personenbezogener Daten zu bestimmten Zwecken erteilt wurde, kann diese Einwilligung widerrufen werden.

Datenübertragbarkeit: Sollen von einem Betroffenen bekannt gegebene Daten einem anderen Verantwortlichen übergeben werden, wird die WZDP die Daten in einem elektronisch übertragbaren Format bereitstellen.

Die vorgenannten Rechte können bei der Wiener Zeitung Digitale Publikationen GmbH, Media Quarter Marx 3.3, Maria-Jacobi-Gasse 1, 1030 Wien unter Angabe des Betreffs „Betroffenenrechte“ oder per E-Mail an datenschutz@auftrag.at ausgeübt werden.

Beschwerderecht bei der Datenschutzbehörde: Betroffenen kommt ein Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, wenn der Betroffene der Ansicht ist, dass die Verarbeitung der betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung (VERORDNUNG EU 2016/679) verstößt.

11. Änderungen dieser Datenschutzerklärung

Die Verarbeitung personenbezogener Daten unterliegt der jeweils aktuellen, auf der Webseite abrufbaren, Datenschutzerklärung, doch behält sich die WZDP erforderlichenfalls eine Ergänzung und Aktualisierung dieser Datenschutzerklärung vor.

Anlage I: AuftragsverarbeiterInnenvereinbarung nach Art 28 DSGVO

Die WZDP verarbeitet personenbezogene Daten auch im Auftrag von VertragspartnerInnen. Dabei handelt es sich um personenbezogene Daten, die von VertragspartnerInnen im Rahmen der Durchführung von Vergabeverfahren zur Verarbeitung gelangen. Durch den Abschluss eines Vertrages mit der WZDP stimmen VertragspartnerInnen der gegenständlichen AuftragsverarbeiterInnenvereinbarung nach Art 28 DSGVO zu.

A Präambel

Die vorliegende AuftragsverarbeiterInnenvereinbarung stellt eine Ergänzung zum bestehenden Vertragsverhältnis dar. Soweit im bestehenden Vertragsverhältnis (in der Folge „Hauptvertrag“ genannt) Vereinbarungen zur Verarbeitung getroffen wurden, werden diese durch vorliegende AuftragsverarbeiterInnenvereinbarung ergänzt, wobei im Zweifel die Bestimmungen dieser AuftragsverarbeiterInnenvereinbarung in Bezug auf die Verarbeitung personenbezogener Daten dem Hauptvertrag vorgehen.

B Interpretation

Diese AuftragsverarbeiterInnenvereinbarung ist unter Berücksichtigung der Begriffsdefinitionen des Artikel 4 der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (in der Folge „DSGVO“ genannt) sowie (nachgeordnet) nach den Begriffsdefinitionen des Hauptvertrages zu interpretieren.

C Gegenstand

Gegenstand dieser AuftragsverarbeiterInnenvereinbarung sind Verarbeitungstätigkeiten, die AuftragsverarbeiterInnen für den Verantwortlichen im Rahmen der Erfüllung des Vertrages durchführen. Die AuftragsverarbeiterInnen ermöglichen dem Verantwortlichen durch die Zurverfügungstellung der Webapplikation ng.auftrag.at die elektronische Kommunikation in Vergabeverfahren. VertragspartnerInnen sowie interessierte WirtschaftsteilnehmerInnen haben die Möglichkeit, Dokumente über die Webapplikation ng.auftrag.at zur Verfügung zu stellen.

Im Zusammenhang mit der Verarbeitungstätigkeit kommt es zu einer Verarbeitung personenbezogener Daten. Zweck der Verarbeitungstätigkeit ist die Erfüllung des Vertrages, somit die vertragskonforme Zurverfügungstellung der Webapplikation ng.auftrag.at. Es kommen personenbezogene Daten in Betracht, die von der Vertragspartnerin bzw. von Verantwortlichen oder von NutzerInnen bekannt gegeben werden bzw. in den zur Verfügung gestellten Dokumenten enthalten sind.

D Beendigung

Im Fall der Beendigung des Hauptvertrages, bleibt die gegenständliche AuftragsverarbeiterInnenvereinbarung für die Dauer der weiteren Verarbeitung durch die AuftragsverarbeiterInnen in Geltung. Die Bestimmungen zur „Vertraulichkeit“ unter Punkt E.5 bleiben auch über die Beendigung der AuftragsverarbeiterInnenvereinbarung in Geltung.

E Pflichten der Auftragsverarbeiterin

E.1 Weisungsgebundenheit

Die Verarbeitung personenbezogene Daten durch die AuftragsverarbeiterInnen erfolgt im Rahmen der Erfüllung des Hauptvertrages in Übereinstimmung mit den Bestimmungen dieser AuftragsverarbeiterInnenvereinbarung.

Der Verantwortliche verpflichtet sich, ausschließlich gesetzmäßige Weisungen zu erteilen und hält die AuftragsverarbeiterInnen bei Inanspruchnahme wegen Erfüllung nicht gesetzmäßiger Weisungen vollständig schad- und klaglos. Soweit Weisungen des Verantwortlichen unklar sein sollten, sind AuftragsverarbeiterInnen berechtigt, eine schriftliche Klarstellung des Verantwortlichen zu verlangen.

E.2 Zusammenarbeit mit der Aufsichtsbehörde

Die AuftragsverarbeiterInnen ermöglichen eine ordnungsgemäße behördliche Kontrolle durch die zuständige Aufsichtsbehörde und erteilt dieser richtig, vollständig und rechtzeitig Auskunft.

Die AuftragsverarbeiterInnen wird den Verantwortlichen unverzüglich informieren, falls sich die Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an die AuftragsverarbeiterInnen wenden sollte.

E.3 Mitwirkungspflichten

De AuftragsverarbeiterInnen stellen sicher, dass der Verantwortliche gesetzliche Ansprüche Betroffener gemäß den Artikeln 12 bis 22 DSGVO erfüllen kann, soweit sich diese auf die Verarbeitung der AuftragsverarbeiterInnen beziehen.

Insbesondere wird die AuftragsverarbeiterInnen den Verantwortlichen darin unterstützen, Ansprüche Betroffener auf Löschung personenbezogener Daten gemäß Artikel 17 DSGVO zu erfüllen.

E.4 Informationspflichten

AuftragsverarbeiterInnen stellen dem Verantwortlichen hinsichtlich der Auftragsverarbeitung für den Verantwortlichen alle Informationen zur Verfügung, die benötigt werden, um die Einhaltung der Vorschriften zur Auftragsverarbeitung gemäß Artikel 28 DSGVO dokumentieren und nachweisen zu können.

E.5 Vertraulichkeit

AuftragsverarbeiterInnen behandelen personenbezogene Daten der Verantwortlichen streng vertraulich. Alle zur Datenverarbeitung befugten Personen werden von AuftragsverarbeiterInnen vor Aufnahme der Tätigkeit mit den Anforderungen des Datenschutzes vertraut gemacht und schriftlich zur Vertraulichkeit und Verschwiegenheit verpflichtet. Diese Verpflichtung sieht auch vor, dass die Vertraulichkeits- beziehungsweise Verschwiegenheitspflichten auch nach Beendigung des Hauptvertrages und auch nach der Beendigung der zwischen diesen Personen und AuftragsverarbeiterInnen geschlossenen Verträgen fortbestehen.

Personenbezogene Daten dürfen von AuftragsverarbeiterInnen nur solchen Personen zugänglich gemacht werden, die diese personenbezogenen Daten zur Durchführung der Auftragsdatenverarbeitung oder des Hauptvertrages kennen oder sonst zu ihnen Zugang haben müssen.

E.6 Datenexport

Die Datenverarbeitung findet ausschließlich im Bereich der Republik Österreich, einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein sonstiges Land („Drittland“) erfolgt nur, wenn die besonderen Voraussetzungen für Datenexporte in Drittländer (Artikel 44 bis 50 DSGVO) erfüllt sind.

F Technische und organisatorische Schutzmaßnahmen

F.1 Schutzmaßnahmen

AuftragsverarbeiterInnen gewährleisten die Umsetzung der im Rahmen der ordnungsgemäßen Durchführung der Auftragsdatenverarbeitung erforderlichen Sicherheitsmaßnahmen. Sie treffentechnische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten, die den Anforderungen der DSGVO, insbesondere deren Artikel 32, genügen.

G Rechte und Pflichten des Verantwortlichen

G.1 Einhaltung datenschutzrechtlicher Vorschriften

Der Verantwortliche ist im Rahmen der Umsetzung dieser Auftragsverarbeitervereinbarung für die Einhaltung der Vorgaben der DSGVO sowie anderer einschlägiger Vorschriften zum Datenschutz sowie dafür verantwortlich, dass die gesetzlichen Ansprüche von Betroffenen im Hinblick auf ihre personenbezogenen Daten gewahrt werden.

G.2 Weisungsrecht

Der Verantwortliche hat ein umfassendes Weisungsrecht. Weisungen sind schriftlich zu erteilen, das Risiko der erfolgreichen Übermittlung liegt bei den AbsenderInnen. Weisungen können vom Verantwortlichen jederzeit geändert, ergänzt oder ersetzt werden. Schriftliche Weisungen sind entweder per Einschreiben an die AuftragsverarbeiterInnen oder einem Schreiben, versehen mit einer elektronischen Signatur einer vertretungsberechtigten Person, per E-Mail an datenschutz@auftrag.at zu richten.

H Kontrollrechte der Verantwortlichen und Duldungs- und Mitwirkungspflichten der Auftragsverarbeiterin

H.1 Prüfungen

Die Verantwortlichen sind berechtigt, während der Laufzeit dieser AuftragsverarbeiterInnenvereinbarung die bei AuftragsverarbeiterInnen getroffenen technischen und organisatorischen Maßnahmen sowie die sonstigen, gemäß dieser AuftragsverarbeiterInnenvereinbarung zu treffenden Maßnahmen zum Datenschutz zu prüfen oder prüfen zu lassen. Der Verantwortliche hat Prüfungen rechtzeitig, jedoch mindestens zwei Wochen im Vorfeld, anzukündigen.

H.2 Ablauf

Die Prüfung erfolgt nach vorheriger Ankündigung durch den Verantwortlichen in der Betriebsstätte der AuftragsverarbeiterInnenzu den üblichen Geschäftszeiten. Sie hat tunlichst ohne Störung des Betriebsablaufs zu erfolgen.

H.3 Mitwirkungspflichten AuftragsverarbeiterInnen

AuftragsverarbeiterInnen werden den Verantwortlichen bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung der Kontrollen mitwirken.
AuftragsverarbeiterInnen trifft hinsichtlich der Einhaltung der Artikel 32 bis 36 DSGVO Mitwirkungspflichten gegenüber dem Verantwortlichen.

I Sub-AuftragsverarbeiterInnen

I.1 Zustimmungserfordernis

AuftragsverarbeiterInnen darf Sub-AuftragsverarbeiterInnen ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen.

I.2 Auswahl und Kontrolle

Sub-AuftragsverarbeiterInnen sind sorgfältig auszuwählen, insbesondere unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz im Sinne von Artikel 32 DSGVO. Sie sind vor der Beauftragung und während der Vertragslaufzeit auf die Einhaltung der gesetzlichen und vertraglichen datenschutzrechtlichen Vorschriften sowie der vereinbarten technischen und organisatorischen Schutzmaßnahmen hin zu kontrollieren. Die Ergebnisse dieser Kontrolle sind zu dokumentieren und auf Anfrage den Verantwortlichen zu übermitteln.

I.3 Unterauftragsverarbeitungsvertrag

Vertragliche Vereinbarungen zwischen den AuftragsverarbeiterInnen und Sub-AuftragsverarbeiterInnen haben den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser AuftragsdatenverarbeiterInnenvereinbarung zu entsprechen. Die Übermittlung von personenbezogenen Daten an die Sub-AuftragsverarbeiterInnen ist erst zulässig, wenn die Sub-AuftragsverarbeiterInnen die Verpflichtungen aus Artikel 28 DSGVO erfüllen. Die Beauftragung von Sub-AuftragsverarbeiterInnen haben schriftlich zu erfolgen.

J Rechte an Daten, Datenträgern und Unterlagen

Der Verantwortliche behält im Verhältnis zur AuftragsverarbeiterInnen sämtliche Rechte an den personenbezogenen Daten, Datenträgern und Unterlagen.

K Berichtigung, Löschung und Herausgabe

K.1 Dauer der Aufbewahrung

AuftragsverarbeiterInnen werden die personenbezogenen Daten nur solange aufbewahren, wie von dem Verantwortlichen angewiesen. Sämtliche wesentliche Verfahrensinhalte sind von VertragspartnerInnen nach Abschluss des Verfahrens auf eigene Speichermedien zu übertragen bzw. in der Sphäre der VertragspartnerInnen vorzuhalten.

K.2 Pflichten des Auftragsverarbeiters bei Aufbewahrung

AuftragsverarbeiterInnen haben die ihnen zur vertragsgemäßen Vernichtung überlassenen personenbezogenen Daten (insbesondere Datenträger und Unterlagen) unverzüglich zu vernichten und bis zu diesem Zeitpunkt sorgfältig zu verwahren und vor dem unberechtigten Zugriff deren MitarbeiterInnen wie auch Dritter zu schützen.

K.3 Rückgabe- und Löschpflicht

Auf Verlangen des Verantwortlichen sowie nach Beendigung dieser AuftragsverarbeiterInnenvereinbarung werden die AuftragsverarbeiterInnen sämtliche personenbezogenen Daten, überlassene Datenträger und Unterlagen, die im Zusammenhang mit dieser Auftragsverarbeitung stehen und personenbezogene Daten des Verantwortlichen enthalten, sowie etwaige Kopien davon unverzüglich, spätestens jedoch binnen eines Monats nach Aufforderung und Weisung des Verantwortlichen löschen bzw. auf sichere Weise vernichten.

K.4 Aufbewahrung von Dokumentationen

Dokumentationen, die dem Nachweis der Auftrags- und ordnungsgemäßen Datenverarbeitung dienen, werden durch AuftragsverarbeiterInnen entsprechend den jeweiligen gesetzlichen oder vertraglich vereinbarten Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt. AuftragsverarbeiterInnen können sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

K.5 Nachweis der Löschung

AuftragsverarbeiterInnen weisen dem Verantwortlichen die Löschung und Zerstörung auf Verlangen schriftlich nach.

L Haftung

L.1 Außen- und Innenverhältnis

Der Verantwortliche und AuftragsverarbeiterInnen haften im Außenverhältnis nach Artikel 82 Abs 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Im Innenverhältnis gilt folgende Regelung: Sind sowohl der Verantwortliche als auch AuftragsverarbeiterInnen für einen Schaden gemäß Artikel 82 Abs 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung, die AuftragsverarbeiterInnen jedoch beschränkt auf Fälle von durch sie zu vertretendem vorsätzlichem oder grob fahrlässigem Verhalten. Nimmt eine dritte Person eine Partei ganz oder überwiegend wegen Verletzung datenschutzrechtlicher Bestimmungen in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit dies dem von ihr zu tragenden Anteil an der Verantwortung entspricht.

L.2 Sub-Auftragsverarbeiter

AuftragsverarbeiterInnen haften dem Verantwortlichen gegenüber auch für die Einhaltung der datenschutzrechtlichen Pflichten ihrer Sub-AuftragsverarbeiterInnen, die sie zur Erfüllung seiner Aufgaben einsetzen. Verschulden von Sub-AuftragsverarbeiterInnen sind den AuftragsverarbeiterInnen wie eigenes Verschulden zuzurechnen.

L.3 Enthaftung gegenüber Dritten

AuftragsverarbeiterInnen sind zum Zwecke der Enthaftung gemäß Artikel 82 Abs 3 DSGVO dazu befugt, Details zu Weisungen des Verantwortlichen und zur erfolgten Datenverarbeitung offenzulegen. Der Verantwortliche ist dazu verpflichtet, AuftragsverarbeiterInnen bestmöglich zu unterstützen, damit sich AuftragsverarbeiterInnen gegenüber dem Dritten nach Artikel 82 Abs 3 DSGVO enthaften können.

M Verschwiegenheitspflicht

Die Parteien verpflichten sich, alle gegenseitig mitgeteilten Vorgaben, Daten, Unterlagen, eigene oder gemeinsame Entwicklungsergebnisse, oder sonstige entwicklungs- oder betriebsbezogenen Informationen, während der Vertragsdauer und nachvertraglich zeitlich unbegrenzt, vertraulich zu behandeln und Dritten nicht zugänglich zu machen.

N Sonstige Bestimmungen

N.1 Gesetzliche Verpflichtungen oder Anordnungen

Verpflichtungen der AuftragsverarbeiterInnen aufgrund gesetzlicher Vorschriften oder behördlicher oder gerichtlicher Anordnungen bleiben von dieser Auftragsverarbeiterinvereinbarung unberührt.

N.2 Kosten

Für zusätzliche Aufwände im Zusammenhang mit der Erfüllung seiner Pflichten unter dieser AuftragsverarbeiterInnenvereinbarung, insbesondere Mitwirkung hinsichtlich Betroffenenrechten und Kontrollen der Datenschutzbehörde sowie für die Erfüllung der Kontrollrechte des Verantwortlichen und Mitwirkung bei der Durchführung von Kontrollen des Verantwortlichen können AuftragsverarbeiterInnen ein angemessenes Entgelt verrechnen.

N.3 Kollisionsregel und salvatorische Klausel

Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser AuftragsverarbeiterInnenvereinbarung geht diese Vereinbarung vor, soweit die Regelung die Verarbeitung personenbezogener Daten betrifft. Sollten einzelne Teile dieser AuftragsverarbeiterInnenvereinbarung unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Regelung der AuftragsverarbeiterInnenvereinbarung nicht.

N.4 Recht und Gerichtsstand

Es gelten die Bestimmungen des Hauptvertrages.