Verantwortlicher (Kunde):
Der jeweils auftraggebende Kunde (nachfolgend „Verantwortlicher“ genannt)
und
Auftragsverarbeiter:
Prechtl CI GmbH
An der B20, Nr. 1
83404 Ainring
(nachfolgend „Auftragsverarbeiter“ genannt)
Durch die Annahme des Angebots des Auftragsverarbeiters erklärt der Verantwortliche, diesen AVV anzuerkennen und zu akzeptieren. Eine gesonderte Unterzeichnung ist nicht erforderlich.
(1) Der Verantwortliche ist verpflichtet, bei der Inanspruchnahme von Leistungen, die eine Verarbeitung
personenbezogener Daten im Sinne der DSGVO einschließen, mit dem Dienstleister einen
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen.
(2) Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen, z. B. E-Mail-Archivierung,
Serverhosting, Cloud-Backups sowie weitere Managed Services, bei denen personenbezogene Daten verarbeitet
werden.
(1) Gegenstand dieses AVV sind sämtliche personenbezogene Daten, die der Verantwortliche im Rahmen der mit
dem Auftragsverarbeiter vereinbarten IT-Dienstleistungen verarbeiten lässt, einschließlich
E-Mail-Archivierung, Serverhosting, Cloud-Backups und sonstiger Managed Services.
(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrundeliegenden Dienstleistungs- oder
Hauptvertrags. Dieser AVV endet automatisch mit Beendigung des Vertragsverhältnisses, sofern nicht
ausdrücklich etwas anderes vereinbart wird.
(1) Die Art der Verarbeitung umfasst sämtliche für die vertraglich vereinbarten Leistungen erforderlichen
Vorgänge wie Erheben (soweit im Auftrag möglich), Speichern, Organisieren, Auslesen, Verwenden, Übermitteln,
Sperren, Löschen von personenbezogenen Daten.
(2) Zweck der Verarbeitung ist die Erfüllung der im Hauptvertrag vereinbarten IT-Dienstleistungen des
Auftragsverarbeiters, insbesondere zur Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit der
Daten.
(1) Es können u. a. folgende Kategorien personenbezogener Daten verarbeitet werden:
(2) Von der Verarbeitung betroffen können Mitarbeiter, Kunden, Lieferanten und sonstige Personen sein, deren
Daten der Verantwortliche im Rahmen seiner Tätigkeit verarbeitet.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (z. B. im Rahmen der vereinbarten Leistungen, per E-Mail oder schriftlich erteilte Weisungen).
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Meinung ist, eine Weisung verstoße gegen geltendes Datenschutzrecht.
(1) Der Auftragsverarbeiter ergreift angemessene technische und organisatorische Maßnahmen gemäß Art. 32
DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:
Zugangskontrollen (physisch, logisch)
Zugriffskontrollen (rollenbasierte Berechtigungen, Authentifizierung)
Weitergabekontrollen (verschlüsselte Übertragungen, Protokollierung)
Eingabekontrollen (Protokollierung von Datenverarbeitungsaktivitäten)
Verfügbarkeitskontrollen (Backups, Notfallpläne, Redundanzen)
Trennungskontrollen (logische oder physische Trennung von Daten verschiedener Auftraggeber)
(2) Die TOMs werden regelmäßig überprüft und den aktuellen Gegebenheiten angepasst.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von
Betroffenenrechten (Art. 12-23 DSGVO), insbesondere bei Auskunfts-, Berichtigungs-, Löschungs- oder
Datenübertragbarkeitsanfragen.
(2) Erhält der Auftragsverarbeiter direkte Anfragen von Betroffenen, leitet er diese unverzüglich an den
Verantwortlichen weiter, ohne selbst inhaltlich darauf zu reagieren, es sei denn, der Verantwortliche hat
ihn hierzu ausdrücklich angewiesen.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung von Datenschutzverletzungen
gemäß Art. 33, 34 DSGVO, bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO) sowie
anderen gesetzlichen Pflichten, soweit dies im Einflussbereich des Auftragsverarbeiters liegt.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle dafür erforderlichen Informationen zur Verfügung
und ermöglicht auf Verlangen Audits, soweit diese unter Wahrung von Betriebs- und Geschäftsgeheimnissen
zumutbar sind.
(1) Die Beauftragung von Unterauftragsverarbeitern (Subunternehmern) durch den Auftragsverarbeiter ist nur
mit Genehmigung des Verantwortlichen zulässig, sofern nicht bereits im Hauptvertrag eine allgemeine
Genehmigung erteilt wurde.
(2) Unterauftragsverarbeiter müssen vertraglich mindestens die gleichen Datenschutzstandards einhalten wie in
diesem AVV vereinbart.
(1) Eine Übermittlung von personenbezogenen Daten in Drittländer erfolgt nur unter Einhaltung der in Art. 44
ff. DSGVO festgelegten Voraussetzungen (z. B. Angemessenheitsbeschlüsse, Standardvertragsklauseln).
(2) Der Verantwortliche wird vorab über geplante Übermittlungen in ein Drittland informiert, sofern dies
nicht bereits im Hauptvertrag geregelt ist.
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden
nach Kenntniserlangung, über alle Verletzungen des Schutzes personenbezogener Daten, die dem
Auftragsverarbeiter bekannt werden und den Verantwortlichen betreffen.
(1) Nach Beendigung des Auftragsverhältnisses oder auf Weisung des Verantwortlichen löscht oder gibt der
Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten
entgegenstehen.
(2) Entsprechendes gilt auch für etwaige vorhandene Sicherungskopien, soweit technisch und organisatorisch
möglich.
(1) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugriff auf personenbezogene Daten haben,
auf Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung unterliegen.
(2) Diese Verpflichtung gilt auch nach Beendigung dieses Vertragsverhältnisses fort.
(1) Die Haftung richtet sich nach den vertraglichen Vereinbarungen des Hauptvertrags sowie den gesetzlichen
Bestimmungen.
(2) Der Auftragsverarbeiter haftet für das Verschulden von Unterauftragsverarbeitern wie für eigenes
Verschulden.
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der
übrigen Bestimmungen unberührt. Anstelle der unwirksamen Regelung tritt eine Regelung, die dem Sinn und
Zweck am nächsten kommt.
(3) Es gilt das im Hauptvertrag festgelegte anwendbare Recht. Der Gerichtsstand richtet sich nach den
Vereinbarungen des Hauptvertrags.
Stand: 12/2024