Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)
zwischen
KASU Digital Solutions OG
Karl-Metz Gasse 1a
3430 Tulln
Österreich
FN677557h
E-Mail: office@kasu-verein.at
– nachfolgend „Auftragsverarbeiter“ oder „KASU“ –
und
jenem Nutzer beziehungsweise Verein, der die Plattform von KASU nutzt und diesen Vertrag elektronisch akzeptiert,
– nachfolgend „Verantwortlicher“ –
wird folgender Auftragsverarbeitungsvertrag abgeschlossen:
1. Gegenstand des Vertrags
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch KASU im Auftrag des Verantwortlichen im Zusammenhang mit der Nutzung der von KASU bereitgestellten Softwarelösungen, Plattformen und digitalen Dienstleistungen.
KASU verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen im Sinne von Art. 28 DSGVO.
2. Dauer der Verarbeitung
Die Dauer der Verarbeitung richtet sich nach der Dauer des zwischen den Parteien bestehenden Nutzungsverhältnisses.
Dieser Vertrag endet automatisch mit Beendigung des zugrunde liegenden Nutzungsverhältnisses, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
3. Art und Zweck der Verarbeitung
KASU verarbeitet personenbezogene Daten zur Bereitstellung, Wartung und technischen Durchführung der Plattformdienste.
Die Verarbeitung umfasst insbesondere:
- Speicherung personenbezogener Daten
- Verwaltung von Benutzer- und Mitgliederdaten
- Bereitstellung von Kommunikationsfunktionen
- Termin- und Veranstaltungsverwaltung
- Datei- und Dokumentenspeicherung
- Hosting und Datensicherung
- technische Administration und Supportleistungen
Die Verarbeitung erfolgt ausschließlich zu den vom Verantwortlichen festgelegten Zwecken.
4. Kategorien personenbezogener Daten
Je nach Nutzung der Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
- Stammdaten
- Kontaktdaten
- Mitgliederdaten
- Kommunikationsdaten
- Nutzungsdaten
- Veranstaltungs- und Termindaten
- Dokumente und Dateiinhalte
- Protokoll- und Systemdaten
- Zahlungsinformationen
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO werden nur verarbeitet, sofern diese durch den Verantwortlichen selbst in die Plattform eingegeben werden.
5. Kategorien betroffener Personen
Von der Datenverarbeitung können insbesondere folgende Personengruppen betroffen sein:
- Vereinsmitglieder
- Funktionäre
- Mitarbeiter
- Nutzer der Plattform
- Veranstaltungsteilnehmer
- Interessenten
- sonstige durch den Verantwortlichen verwaltete Personen
6. Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich.
Der Verantwortliche verpflichtet sich insbesondere:
- personenbezogene Daten ausschließlich rechtmäßig zu verarbeiten,
- betroffene Personen gemäß DSGVO zu informieren,
- erforderliche Einwilligungen einzuholen,
- Weisungen an KASU ausschließlich im Rahmen der DSGVO zu erteilen,
- unzulässige oder rechtswidrige Datenverarbeitungen zu unterlassen.
7. Pflichten von KASU
KASU verpflichtet sich:
- personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten,
- sämtliche Daten vertraulich zu behandeln,
- geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen,
- Personen mit Zugang zu personenbezogenen Daten zur Vertraulichkeit zu verpflichten,
- den Verantwortlichen bei datenschutzrechtlichen Anfragen angemessen zu unterstützen,
- den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren,
- personenbezogene Daten nicht unbefugt an Dritte weiterzugeben.
KASU ist berechtigt, Daten zu verarbeiten, soweit dies zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.
8. Technische und organisatorische Maßnahmen (TOMs)
KASU trifft angemessene technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus gemäß Art. 32 DSGVO.
Hierzu zählen insbesondere:
- Zugriffsbeschränkungen und Benutzerberechtigungen
- Verschlüsselung geeigneter Datenübertragungen
- Datensicherungen und Backup-Systeme
- Schutz vor unbefugtem Zugriff
- Firewall- und Sicherheitsmechanismen
- Protokollierung sicherheitsrelevanter Vorgänge
- Maßnahmen zur Wiederherstellung der Verfügbarkeit von Daten
KASU ist berechtigt, technische und organisatorische Maßnahmen laufend weiterzuentwickeln, sofern das Sicherheitsniveau nicht unterschritten wird.
9. Unterauftragsverarbeiter
Der Verantwortliche erteilt KASU die allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern.
KASU verpflichtet sich, Unterauftragsverarbeiter sorgfältig auszuwählen und datenschutzrechtlich entsprechend zu verpflichten.
Der Verantwortliche kann aus sachlichen datenschutzrechtlichen Gründen gegen den Einsatz eines bestimmten Unterauftragsverarbeiters Einwände erheben.
Eine aktuelle Übersicht eingesetzter Unterauftragsverarbeiter kann dem Verantwortlichen auf Anfrage zur Verfügung gestellt werden.
10. Unterstützungspflichten
KASU unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen angemessen bei:
- der Erfüllung datenschutzrechtlicher Betroffenenrechte,
- Datenschutz-Folgenabschätzungen,
- Meldungen von Datenschutzverletzungen,
- datenschutzrechtlichen Prüfungen oder Anfragen von Behörden.
Soweit hierdurch erheblicher zusätzlicher Aufwand entsteht, kann KASU hierfür ein angemessenes Entgelt verlangen.
11. Datenschutzverletzungen
KASU informiert den Verantwortlichen unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.
Die Information erfolgt unter Angabe der verfügbaren Informationen über:
- Art der Verletzung,
- betroffene Daten,
- mögliche Auswirkungen,
- bereits gesetzte oder geplante Gegenmaßnahmen.
12. Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages sowie der gesetzlichen Datenschutzbestimmungen in angemessenem Umfang zu überprüfen.
Kontrollen haben unter Berücksichtigung der Betriebs- und Geschäftsgeheimnisse von KASU sowie ohne unverhältnismäßige Beeinträchtigung des Geschäftsbetriebs zu erfolgen.
KASU kann Nachweise geeigneter Zertifizierungen, Dokumentationen oder Sicherheitsmaßnahmen zur Verfügung stellen, sofern diese geeignet sind, den Nachweis der DSGVO-Konformität zu erbringen.
13. Löschung und Rückgabe von Daten
Nach Beendigung des Nutzungsverhältnisses wird KASU personenbezogene Daten des Verantwortlichen nach Ablauf gesetzlicher Aufbewahrungsfristen löschen oder anonymisieren, sofern keine gesetzliche Verpflichtung zur weiteren Speicherung besteht.
Sofern technisch möglich und wirtschaftlich zumutbar, kann dem Verantwortlichen vor Löschung eine Möglichkeit zum Datenexport bereitgestellt werden.
14. Haftung
Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der DSGVO sowie den zwischen den Parteien vereinbarten Nutzungsbedingungen.
15. Vertraulichkeit
KASU verpflichtet sich, sämtliche im Rahmen dieses Vertragsverhältnisses erhaltenen Informationen vertraulich zu behandeln.
Diese Verpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.
16. Schlussbestimmungen
Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform oder einer elektronischen Zustimmung innerhalb der Plattform.
Sollten einzelne Bestimmungen dieses Vertrags unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Es gilt österreichisches Recht unter Ausschluss der Kollisionsnormen des internationalen Privatrechts.
Soweit gesetzlich zulässig, gilt das sachlich zuständige Gericht am Sitz der KASU Digital Solutions OG als vereinbarter Gerichtsstand.
17. Elektronischer Vertragsabschluss
Der Verantwortliche erklärt seine Zustimmung zu diesem Auftragsverarbeitungsvertrag durch elektronische Bestätigung innerhalb der Plattform.
Mit der elektronischen Zustimmung gilt dieser Vertrag als rechtsverbindlich abgeschlossen.