Vereinbarung zur Datenverarbeitung (DPA)

Präambel Diese Vereinbarung wird am Tag des Inkrafttretens zwischen der Vonde Technology PLC, Vereinigte Staaten (im Folgenden „Datenverarbeiter“ oder „Auftragnehmer“ genannt) und der unterzeichnenden Vertragspartei (im Folgenden „Auftraggeber“ genannt und als „Datenverantwortlicher“ tätig) geschlossen. Beide Parteien werden gemeinsam als die „Parteien“ bezeichnet.

 

  1. Definitionen Zusätzlich zu den in der Vereinbarung definierten Begriffen gelten die folgenden Definitionen mit den Bedeutungen, die in der DSGVO festgelegt sind:
    • Anwendbare(s) Recht(e): Bezieht sich auf alle relevanten Gesetze, die für die Parteien gelten (einschließlich Verordnungen und Datenschutzgesetze).
    • Datenverantwortlicher: Eine Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
    • Datenverarbeiter: Ein Unternehmen, das personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
    • Datenschutzbeauftragter (DSB): Eine natürliche Person, die dafür verantwortlich ist, dass eine Organisation die Datenschutzgesetze einhält.
    • Betroffene Person: Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
    • GDPR: Die EU-Datenschutzgrundverordnung (EU) 2016/679.
    • Persönliche Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
    • Verarbeitung: Vorgänge, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht.
    • Verletzung des Schutzes personenbezogener Daten: Eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf persönliche Daten führt.
    • Unterauftragsverarbeiter: Eine dritte Partei, die vom Datenverarbeiter beauftragt wurde, die persönlichen Daten des Verantwortlichen für die Datenverarbeitung für bestimmte Zwecke zu verarbeiten.
    • Partei (Parteien): Die Einrichtung(en), die diese Vereinbarung unterzeichnet/unterzeichnen.
    • Vonde Technology Group: Eine wirtschaftliche Einheit, die aus den in Anhang 1 aufgeführten Unternehmen besteht.

 

  1. Art und Zweck der Verarbeitung personenbezogener Daten
    • Die Verarbeitung umfasst die Speicherung personenbezogener Daten und die Verarbeitung für die Bereitstellung von Dienstleistungen für digitale Visitenkarten (Anhang 2) und die Unterstützung auf Anfrage des für die Datenverarbeitung Verantwortlichen.
    • Die Verarbeitung dient ausschließlich der Erbringung von Dienstleistungen im Zusammenhang mit my.vondetechnology.com, business.vondetechnology.com und den mobilen Anwendungen von Vonde Technology (Anhang 1). Jegliche zusätzliche Verwendung der persönlichen Daten des für die Verarbeitung Verantwortlichen ist untersagt, es sei denn, der für die Verarbeitung Verantwortliche hat dies verlangt.
    • Die für die Erbringung von Dienstleistungen verarbeiteten personenbezogenen Daten sind gemäß der von beiden Parteien unterzeichneten Vertraulichkeitsvereinbarung vertraulich.
    • Verarbeitete Datenkategorien: Kontaktdaten, Profile in sozialen Medien und zusätzliche Informationen, die vom für die Datenverarbeitung Verantwortlichen bereitgestellt werden.

 

  1. Rechte und Pflichten des für die Datenverarbeitung Verantwortlichen
    • Der Data Controller entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten.
    • Der Data Controller stellt die Rechtsgrundlage für die Verarbeitung personenbezogener Daten sicher.
    • Der Data Controller sorgt für die Einhaltung der anwendbaren Gesetze.
    • Der Data Controller übermittelt nur rechtmäßig erlangte persönliche Daten für die angegebenen Zwecke.
    • Der Data Controller sorgt für die Richtigkeit und Aktualität der persönlichen Daten.
    • Der für die Datenverarbeitung Verantwortliche ist für die Bereitstellung von Informationen für die betroffenen Personen und die Wahrnehmung ihrer Rechte gemäß den geltenden Gesetzen verantwortlich.

 

  1. Pflichten des Datenverarbeiters
    • Der Datenverarbeiter verarbeitet personenbezogene Daten gemäß den Anweisungen des Datenverantwortlichen und den geltenden Gesetzen.
    • Der Datenverarbeiter korrigiert, ändert, sperrt oder löscht personenbezogene Daten auf Anweisung.
    • Der Datenverarbeiter implementiert und unterhält Sicherheitsmaßnahmen zum Schutz personenbezogener Daten (Anhang 3).
    • Der Datenverarbeiter testet die implementierten Maßnahmen regelmäßig.
    • Der Datenverarbeiter erlaubt dem Datenverantwortlichen nach vorheriger Ankündigung Einsichtnahme.
    • Der Datenverarbeiter stellt sicher, dass das Personal die Anforderungen an das Datengeheimnis erfüllt.
    • Der Zugang zu persönlichen Daten wird eingeschränkt und überwacht.
    • Der Datenverarbeiter benachrichtigt den für die Datenverarbeitung Verantwortlichen über alle Verstöße gegen seine Verpflichtungen.
    • Der Datenverarbeiter informiert den Data Controller über alle Beschwerden oder Mitteilungen bezüglich der Verarbeitung personenbezogener Daten.
    • Der Datenverarbeiter informiert den Data Controller über alle widersprüchlichen Anweisungen.
    • Die Einhaltung dieser Vereinbarung ist für den Datenverarbeiter obligatorisch.

 

  1. Unterstützung für den für die Datenverarbeitung Verantwortlichen
    • Der Datenverarbeiter hilft bei der Erfüllung der Verpflichtungen des Datenverantwortlichen in Bezug auf die Rechte der betroffenen Person.
    • Der Datenverarbeiter hilft bei der Einhaltung der Verpflichtungen zur Meldung von Datenschutzverletzungen und zur Datenschutzfolgenabschätzung.

 

  1. Verstöße gegen personenbezogene Daten und Meldeverfahren
    • Der Datenverarbeiter benachrichtigt den Data Controller unverzüglich über Verstöße.
    • Der für die Datenverarbeitung Verantwortliche informiert die betroffenen Personen bei Bedarf über Verstöße.
    • Der Datenverarbeiter unterstützt Sie bei der Bearbeitung von Verstößen.
    • Der Datenverarbeiter stellt dem Datenverantwortlichen detaillierte Informationen über Verstöße zur Verfügung.

 

  1. Aufbewahrungsfrist und Löschung von persönlichen Daten
    • Der Datenverarbeiter speichert personenbezogene Daten, soweit dies für die Erbringung von Dienstleistungen oder für gesetzliche Verpflichtungen erforderlich ist.
    • Auf Anfrage liquidiert der Datenverarbeiter die persönlichen Daten nach Abschluss der Dienstleistung oder auf Anweisung des Datenverantwortlichen.
    • Der Datenverarbeiter gibt die persönlichen Daten auf Anweisung des Datenverantwortlichen zurück oder vernichtet sie in Übereinstimmung mit geltendem Recht.
    • Nach der Löschung bestätigt der Datenverarbeiter die Aktion dem Data Controller.

 

  1. Aufbewahrung von Unterlagen
    • Der Datenverarbeiter führt Aufzeichnungen über die Aktivitäten zur Verarbeitung personenbezogener Daten.
    • Der Datenverarbeiter bietet die notwendige Unterstützung für Informationsanfragen der betroffenen Person.
    • Die Aufzeichnungen werden in schriftlicher oder elektronischer Form geführt.
    • Die Aufzeichnungen sind für die Aufsichtsbehörde einsehbar.
    • Der Data Controller behält sich das Recht vor, die Unterlagen einzusehen.

 

  1. Vertraulichkeit
    • Der Zugang zu persönlichen Daten ist auf die Personen beschränkt, die dem Datenverarbeiter unterstellt sind und sich zur Vertraulichkeit verpflichtet haben.
    • Der Datenverarbeiter weist die Einhaltung der Vertraulichkeitsanforderungen nach.

 

  1. Unterauftragsverarbeiter
    • Der Datenverarbeiter kann Mitglieder der Vonde Technology Group als Unterauftragsverarbeiter einsetzen.
    • Der Datenverarbeiter kann mit der informierten Zustimmung des Datenverantwortlichen weitere Unterauftragsverarbeiter beauftragen.
    • Data Processor nutzt Amazon Web Services für das Hosting der Infrastruktur.
    • Die Übermittlung personenbezogener Daten außerhalb der EU/des EWR erfordert einen Antrag des Data Controller.

 

  1. Rechte des für die Datenverarbeitung Verantwortlichen zur Überwachung und Prüfung
    • Der für die Datenverarbeitung Verantwortliche hat nach vorheriger Ankündigung ein Audit-Recht.
    • Der Datenverarbeiter kooperiert mit den Überprüfungsanfragen des Datenverantwortlichen.
    • Audit-Kosten werden vom Data Controller getragen.

 

  1. Übertragung von Daten
    • Die Übertragung persönlicher Daten ist auf bestimmte Dienste und Hosting-Standorte beschränkt.
    • Die Übertragungen erfolgen auf Anfrage des Data Controllers zu Supportzwecken.

 

  1. Notizen
    • Mitteilungen müssen wie in dieser Vereinbarung angegeben adressiert werden.
    • Der für die Datenverarbeitung Verantwortliche kontaktiert den Datenschutzbeauftragten des Datenverarbeiters für Datenschutz- und Sicherheitsfragen.
    • Die Kontaktdaten der Parteien sind in der Vereinbarung aufgeführt.
  1. Änderungen des anwendbaren Rechts
    • Die Parteien werden den Vertrag bei Bedarf ändern, um Änderungen der Datenschutzgesetze zu erfüllen.

 

  1. Schlussbestimmungen
    • Der Data Controller kann diesen Vertrag mit vorheriger Ankündigung kündigen.
    • Diese Vereinbarung stellt die gesamte Vereinbarung zu diesem Thema dar.
    • Änderungen müssen schriftlich erfolgen und von beiden Parteien unterzeichnet werden.
    • Ungültige Bestimmungen berühren den Rest des Vertrages nicht.
    • Der Data Controller kann den Vertrag durch schriftliche Mitteilung ändern.
    • Diese Vereinbarung unterliegt den österreichischen Gesetzen und der GDPR.

 

  1. Anhänge
    • Anhang 1: Vonde Technology Group
    • Anhang 2: Servicebeschreibung
    • Anhang 3: Technische und organisatorische Maßnahmen

Anhang 1 – Vonde Technology Group Die Vonde Technology Group besteht aus strategischen und technologischen Partnern, die die gleichen Prinzipien der Informationssicherheit und des Datenschutzes teilen. Die Mitglieder der Gruppe sind:

  • Vonde Technologie US
  • Vonde Technologie EU

Die Daten werden auf Amazon Web Service gehostet und nur von Mitarbeitern der Gruppe unter strengen Datenschutzregeln eingesehen.

 

Anhang 2 – Servicebeschreibung Vonde Technology for Business bietet digitale Networking-Tools für den Austausch beruflicher Kontaktdaten. Die Dienstleistungen umfassen die Erstellung digitaler Profile und Visitenkarten, die über die Web- und Mobilplattformen von Vonde Technology verwaltet werden.

 

Anhang 3 – Technische und organisatorische Maßnahmen Der Auftragnehmer wendet Best-Practice-Rahmenwerke und GDPR-konforme Maßnahmen für die Datensicherheit an, einschließlich Richtlinien für die Informationssicherheit, Asset Management, Zugriffskontrolle und Strategien zur Reaktion auf Vorfälle.