Datenverarbeitung Vereinbarung

DATENVERARBEITUNGSVEREINBARUNG (die „Vereinbarung“), zwischen

1. Jeder Dritte (der „Verantwortliche“); und

1. Fresh Labs FlexCo, Praterstraße 17/1/2, 1020 Wien, Österreich („Auftragsverarbeiter“ und, zusammen mit dem Verantwortlichen, die „Parteien“), als Anbieter der SaaS-Plattform mypaperwork.

Präambel

1. Auftragsverarbeiter. Der Auftragsverarbeiter betreibt eine cloudbasierte Anwendung, die es Benutzern ermöglicht, Dokumente und zugehörige Informationen hochzuladen, zu verwalten und zu verarbeiten. Daten werden an die Server des Auftragsverarbeiters übertragen, wo sie sicher gespeichert und verarbeitet werden, um die Dienste bereitzustellen, die automatisierte Unterstützung, Dokumentenmanagement und KI-gestützte Funktionen umfassen, die auf den Anwendungsfall des Verantwortlichen zugeschnitten sind (die „Dienste“).

2. Hauptvertrag. Die Parteien haben eine Vereinbarung über die Nutzung der Dienste (der „Hauptvertrag“) getroffen. Dieser Vertrag ändert den Hauptvertrag.

3. Gegenstand. Zur Erfüllung des Hauptvertrags verarbeitet der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen und der Kunden, Mitarbeiter, Freiberufler und ähnlicher Inhaltsbeiträger des Verantwortlichen, jeweils im Auftrag des Verantwortlichen. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien bezüglich der Erfüllung des Hauptvertrags.

4. Auftragsverarbeiter. Diese Vereinbarung ist ein Vertrag gemäß Art. 28 der DSGVO. Zusätzlich hält sich diese Vereinbarung an die Anforderungen des California Consumer Privacy Act (CCPA) in Bezug auf die Verarbeitung personenbezogener Daten von Einwohnern Kaliforniens. Der Auftragsverarbeiter verpflichtet sich, alle anwendbaren Verpflichtungen gemäß CCPA einzuhalten und den Verantwortlichen bei der Erfüllung seiner CCPA-Verpflichtungen in Bezug auf die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten zu unterstützen.

• Definitionen

1. In dieser Vereinbarung haben, sofern im Kontext keine andere Auslegung erforderlich ist, großgeschriebene Begriffe die Bedeutung, die ihnen im Abschnitt „Definitionen“ in Anhang § 1.1 zugewiesen ist.

• Details der Verarbeitung

1. Gegenstand. Gegenstand dieser Vereinbarung ist die Bereitstellung der Dienste.

2. Datenkategorien. Für die Bereitstellung der Dienste werden die in Anhang § 2.2 aufgeführten Datenkategorien (die „Daten“) verarbeitet.

3. Art und Zweck. Die Verarbeitung erfolgt auf die in Anhang § 2.3 beschriebene Weise und zu den dort genannten Zwecken.

4. Kategorien betroffener Personen. Die Verarbeitung betrifft Kategorien betroffener Personen, wie in Anhang § 2.4 dargelegt.

5. Dauer. Diese Vereinbarung ist für die Dauer des Hauptvertrags bindend. Während der Dauer des Hauptvertrags kann diese Vereinbarung nur aus wichtigem Grund gekündigt werden. Wird der Hauptvertrag von einer Partei gekündigt, endet diese Vereinbarung automatisch. Die Verpflichtung gemäß § V.2 besteht auch im Falle der Kündigung fort.

• Ort der Verarbeitung

1. Die Verarbeitung von Daten findet teilweise außerhalb der EU und des EWR statt. Länder, in denen die Verarbeitung stattfindet, und die Grundlage für ein angemessenes Datenschutzniveau sind in Anhang § 3.1 aufgeführt.

• Rechte und Pflichten des Verantwortlichen

1. Zuweisung. Der Verantwortliche ist ein Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO und hat den Auftragsverarbeiter mit der Verarbeitung von Daten beauftragt.

2. Recht auf Information. Der Verantwortliche hat das Recht, alle Informationen zu erhalten, die erforderlich sind, um die Einhaltung der in Art. V aufgeführten Pflichten des Auftragsverarbeiters nachzuweisen und Überprüfungen, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer durchzuführen.

• Rechte und Pflichten des Auftragsverarbeiters

1. Verarbeitung.

   1. Der Auftragsverarbeiter verarbeitet Daten ausschließlich gemäß dem Hauptvertrag und gegebenenfalls den zusätzlichen schriftlichen Anweisungen des Verantwortlichen. Dies gilt auch für die Übermittlung von Daten an ein Drittland oder an eine internationale Organisation.

   2. § 5.1(a) gilt nicht für die Verarbeitung von Daten, wenn der Auftragsverarbeiter gesetzlich verpflichtet ist, die Daten auf eine bestimmte Weise zu verarbeiten. In diesen Fällen informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über seine Verpflichtung, sofern kein wichtiges öffentliches Interesse eine solche Information untersagt.

2. Datenvertraulichkeit. Der Auftragsverarbeiter und seine Mitarbeiter sind gemäß Art. 6 des österreichischen Datenschutzgesetzes in der Fassung vom 25. Mai 2018 zur Wahrung der Datenvertraulichkeit verpflichtet. Der Auftragsverarbeiter muss seine Mitarbeiter vertraglich zur Wahrung der Datenvertraulichkeit verpflichten, sofern sie nicht bereits gesetzlich dazu verpflichtet sind. Diese Verpflichtung muss auch nach Beendigung des Arbeitsverhältnisses bestehen bleiben. Der Auftragsverarbeiter erklärt, diese Verpflichtungen einzuhalten.

3. Technische und Organisatorische Maßnahmen.

   1. Der Auftragsverarbeiter erklärt ausdrücklich, die notwendigen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung gemäß Art. 32 DSGVO getroffen zu haben. Eine vollständige Liste dieser Maßnahmen ist in Anhang § 5.3(a) (die „Maßnahmen“) zu finden.

   2. Sollte eine Änderung der Maßnahmen den Sicherheitsstandard bezüglich der Datenverarbeitung mindern, wird der Auftragsverarbeiter diese Änderungen mit dem Verantwortlichen abstimmen.

   3. Der Verantwortliche hat das Recht, über die Aktualität der Maßnahmen informiert zu werden und eine Kopie der aktuellen Version dieser Maßnahmen vom Auftragsverarbeiter zu erhalten.

4. Unterstützung des Verantwortlichen.

   1. Der Auftragsverarbeiter unterstützt den Verantwortlichen so weit wie möglich durch geeignete technische und organisatorische Maßnahmen, um die Verpflichtung des Verantwortlichen zur Beantwortung von Anfragen betroffener Personen gemäß Art. 3 DSGVO zu erfüllen. Sollte eine solche Anfrage versehentlich an den Auftragsverarbeiter statt an den Verantwortlichen gesendet worden sein, leitet der Auftragsverarbeiter diese unverzüglich an den Verantwortlichen weiter und informiert den Antragsteller über dieses Vorgehen.

   2. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei der Erfüllung seiner Pflichten gemäß Art. 32 bis 36 DSGVO (Gewährleistung der Sicherheit der Verarbeitung, Meldungen oder Mitteilungen an die Aufsichtsbehörde oder betroffene Personen, Datenschutz-Folgenabschätzung einschließlich vorheriger Konsultation).

5. Verarbeitung nach Beendigung. Wenn die Verarbeitung von Daten abgeschlossen ist, hat der Auftragsverarbeiter, je nach Entscheidung des Verantwortlichen, alle Daten entweder zurückzugeben oder zu löschen. Dies gilt nicht, wenn der Auftragsverarbeiter gesetzlich zur Speicherung der Daten verpflichtet ist.

6. Informationspflicht. Der Verantwortliche stellt die Ausübung des Auskunftsrechts gemäß § IV.2 sicher.

7. Unrechtmäßige Anweisungen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er eine Anweisung nach der Datenschutzgesetzgebung der EU oder dem anwendbaren Recht der Mitgliedstaaten für unrechtmäßig hält.

8. Verzeichnis der Verarbeitungstätigkeiten. Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

• Unterauftragsverarbeiter

1. Recht zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter hat das Recht, einen anderen Auftragsverarbeiter für den Betrieb des Produkts (einen „Unterauftragsverarbeiter“), einschließlich der Verarbeitung von Daten, ohne vorherige Zustimmung des Verantwortlichen zu beauftragen. Im Falle einer beabsichtigten Änderung bezüglich des Unterauftragsverarbeiters wird der Auftragsverarbeiter den Verantwortlichen rechtzeitig informieren.

2. Liste der Unterauftragsverarbeiter. Eine Liste aller derzeit beauftragten Unterauftragsverarbeiter ist in Anhang § 6.2 zu finden.

3. Pflichten. Im Falle der Beauftragung eines neuen Unterauftragsverarbeiters schließt der Auftragsverarbeiter alle erforderlichen Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO mit dem Unterauftragsverarbeiter ab. Diese Vereinbarungen müssen die Unterauftragsverarbeiter an dieselben Datensicherheitsverpflichtungen binden, wie sie in dieser Vereinbarung festgelegt sind, insbesondere hinsichtlich der Garantien für angemessene technische und organisatorische Maßnahmen.

4. Haftung. Wenn ein Unterauftragsverarbeiter seinen Datensicherheitsverpflichtungen nicht nachkommt, ist der Auftragsverarbeiter gegenüber dem Verantwortlichen vollumfänglich für die Einhaltung dieser Pflichten verantwortlich.

• Schlussbestimmungen

1. Die Klauseln in Anhang § 7.1 bezüglich des anwendbaren Rechts, der Form und anderer dort genannter Bestimmungen sind anwendbar.
   

Anhang I

Definitionen

Anhang § 2.2

Datenkategorien

1. Kunden: Kontaktdaten, Vertragsdetails, Rechnungsdetails, Kommunikationsdetails

2. Autorisierte Benutzer: E-Mail-Adresse, Passwort, Name, Adresse (optional), Geburtsdatum (optional), Telefonnummer (optional), Plan- und Konfigurationsdaten, Benutzereinstellungen, Anmeldeland, letzter Zugriff, anonymisierte IP, Informationen zur Systemnutzung, alle in hochgeladenen Dateien enthaltenen oder über die Dienste übermittelten Daten, statistische Daten über hochgeladene Dateien.

Anhang § 2.3

Art und Zweck

1. Arten der Verarbeitung:

   1. Erhebung und Speicherung

   2. Organisation

   3. Übermittlung

   4. Zerstörung

2. Zwecke der Verarbeitung:

   1. Erfüllung des Hauptvertrags

Anhang § 2.4

Kategorien betroffener Personen

1. Kunden, autorisierte Benutzer

Anhang § 3.1

Liste der Länder für die Datenverarbeitung inkl. Grundlagen

1. Europäische Union

Anhang § 5.3(a)

Maßnahmen

1. Vertraulichkeit.

   1. Elektronische Zugangskontrolle: Alle Computer und Zugangspunkte sind passwortgeschützt. Der Zugriff auf unsere Cloud-Infrastrukturanbieter wird einzelnen, klar definierten Mitarbeitern nach dem Need-to-know-Prinzip gewährt. Sobald ein Benutzer das Unternehmen verlässt, werden sein Konto und alle anderen Zugangsoptionen deaktiviert.

1. Löschfristen.

   1. Benutzerdaten & Kundendaten, die in unser System hochgeladen wurden: Alle Daten werden automatisch innerhalb von 30 Tagen nach Kündigung des Kontos/Vertrags gelöscht.

   2. Protokolle: halbautomatische Löschung nach 90 Tagen.

   3. Kundenaufzeichnungen werden 7 Jahre nach der letzten Transaktion mit dem Kunden gelöscht.

2. Testen, Bewertung und Evaluierung.

   1. Netzwerkarchitektur und -designs werden stets von Fachkollegen überprüft.

   2. Das Vier-Augen-Prinzip ist bei Netzwerkänderungen mit mittlerem und hohem Einfluss anzuwenden.

Anhang § 6.2

Liste der Unterauftragsverarbeiter

1. AWS

2. Hubspot

3. Google Gemini

4. Google Workspace

5. Calendly

Anhang § 7.1

Schlussbestimmungen

1. Vertraulichkeit. Die Parteien vereinbaren, alle im Zusammenhang mit dieser Vereinbarung erhaltenen Informationen auf unbestimmte Zeit vertraulich zu behandeln und diese Informationen ausschließlich zur Erfüllung dieser Vereinbarung zu verwenden. Diese Informationen dürfen nur für die genannten Zwecke verwendet und nicht an Dritte weitergegeben werden. Dies gilt nicht, wenn (a) die verpflichtete Partei Informationen nachweislich von einem Dritten erhält, dem sie nicht zur Vertraulichkeit verpflichtet ist, (b) wenn die Informationen öffentlich zugänglich waren oder (c) die Offenlegung gesetzlich vorgeschrieben oder von den Behörden verlangt wurde.

2. Inkrafttreten. Diese Vereinbarung tritt mit der Unterzeichnung durch beide Parteien in Kraft und ist auf unbestimmte Zeit bindend.

3. Schriftform. Jegliche Anpassungen, Änderungen oder ein Widerruf des Vertrages bedürfen der Schriftform. oder, wenn diese Vereinbarung auf elektronischem Wege geschlossen wurde, einer ähnlichen Form wie der Abschluss dieser Vereinbarung. Dies gilt auch für jede Regelung, die die Schriftformerfordernis ändern soll.

4. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchsetzbar sein oder werden, bleiben alle anderen Bestimmungen in vollem Umfang in Kraft und wirksam. Die Parteien vereinbaren, die unwirksame oder undurchsetzbare Klausel durch eine gültige und durchsetzbare Klausel zu ersetzen, die denselben wirtschaftlichen Sinn hat. Diese Regel gilt auch im Falle einer Regelungslücke.

5. Rechtsgrundlage. Es gelten ausschließlich die Bestimmungen dieser Vereinbarung und ergänzend die gesetzlichen Bestimmungen.

6. Anwendbares Recht. Diese Vereinbarung und alle korrelierenden Vertragsbeziehungen und Rechtsstreitigkeiten unterliegen österreichischem Recht, unter Ausschluss der Kollisionsnormen des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf.

7. Gerichtsstand. Für alle Rechtsstreitigkeiten im Zusammenhang mit dieser Vereinbarung ist, soweit gesetzlich zulässig, ausschließlich das Gericht in Wien, Österreich, zuständig.