viscan gmbh

Auftragsverarbeitungsvertrag (AVV)

VEREINBARUNG über die Auftragsverarbeitung

zur Einhaltung 
des Datengeheimnisses, der Datensicherheit und des Datenschutzes gemäß den geltenden nationalen und internationalen Datenschutzvorschriften, sowie der Verschwiegenheit betreffend interner Informationen.

 

1.     Einleitung

Diese Vereinbarung beinhaltet sowohl die nach Art 28 DSGVO abzuschließende Vereinbarung einer Auftragsverarbeitung als auch die Verpflichtungserklärung zur Einhaltung des Datengeheimnisses und der Datensicherheit.

 

2.     Gegenstand der Vereinbarung

(1)  Gegenstand des Auftrages ist die Durchführung folgender Aufgaben:

  • Bereitstellung von Hardware, mobilen Apps und Software zur digitalen Baubegleitung. In Form eines GNSS Handheld inkl. Zubehör. Bezieht sich auch auf alle von Drittanbietern eingesetzten Systeme.
  • Eine Webapp, welche es ermöglicht Daten zu erfassen, auszuwerten und über Dashboards intern, wie extern zur Verfügung zu stellen. Über diese Webapp können auch die lizenzierten Zugänge verwaltet und somit der Zugriff auf Auftraggeberseite gelenkt werden.
  • Die Webapp ist über einen Anmeldebildschirm gesichert und kann nur mit den freigeschalteten Lizenzen geöffnet werden. Ein Zugriff auf unternehmensfremde Daten ist nicht möglich.
  • Es können Dashboards sowohl intern als auch extern geteilt werden. Es wurden die Mitarbeiter darauf aufmerksam gemacht, dass beim Teilen der Dashboards ein permanente Zugriffsmöglichkeit auf diese erfolgt und somit auch auf aktuelle Daten des Projekts. Ein Teilen ist somit grundsätzlich nicht erwünscht, da diese Links natürlich auch weitergeteilt werden könnten.
  • Es werden neben den Identifikationsdaten, wie Benutzername, Passwort, Name und E-Mail-Adresse, auch Fotos von der bearbeiten Umgebung gemacht. In diesen Fotos werden Menschen, Logos und andere DSGVO relevante Inhalte vor Absenden verpixelt.
  • In der Sodex-Cloud werden Log-Daten angelegt, welche Timestamps und Beschreibung der Inhalte enthalten, sowie Koordinatensysteme, Punktewolken, Korrekturdaten abgelegt. Ebenfalls können externe Daten (Punktwolken, Bilder, Dateien, Referenzgelände) hochgeladen werden.
  • Ein Rückschluss auf Mitarbeiter und Unternehmen ist bei gängiger Handhabung nicht möglich.

(2)  Folgende personenbezogenen Datenkategorien werden verarbeitet: 

  • Identifikationsdaten (Benutzername, Passwort, Name und E-Mail-Adresse)
  • Grundstücksdaten (Grundstücksnummer, Lageplan, Adresse, Wohnort)
  • Bildaufnahmen (Fotos von der bearbeiten Umgebung; Personen)
    • Werden vor dem Absenden verpixelt
  • Log-Daten (Timestamps und Beschreibungen der Inhalte)
  • Externe Daten (Bilder, Dateien)

(3)  Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: 

  • Mitarbeiter
  • Grundstückseigentümer

(4)  Im Zuge dieser Tätigkeit erhält der Auftragnehmer Kenntnis über personenbezogenen Daten und eventuell auch sonstige interne Informationen des Auftraggebers, dessen Kunden oder Geschäftspartner sowie über dessen Mitarbeiter. Interne Informationen sind vor allem Dokumente und Unterlagen betreffend kaufmännischer und rechtlicher Angelegenheiten, Betriebsgeheimnissen und technischem Wissen, die dem Auftragnehmer direkt oder indirekt im Zuge seiner Tätigkeit für den Auftraggeber zugänglich werden. Dies betrifft sowohl Informationen in elektronischer, schriftlicher, aber auch mündlicher Form, gleichgültig ob sie als intern, vertraulich oder Ähnliches gekennzeichnet oder nur vom Inhalt her als firmenintern erkennbar sind.

 

3.     Dauer der Vereinbarung

Die Vereinbarung ist unbefristet. Wir behalten uns vor diese jederzeit zu aktualisieren. 

 

4.      Anwendungsbereich und Verantwortlichkeit

(1)  Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in den Leistungsvereinbarungen beschrieben sind. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzvorschriften, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ iSd Art 4 Abs 7 DSGVO).

(2)  Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle im angemessenen und notwendigen Ausmaß, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

(3)  Der Auftraggeber ist dazu berechtigt, sich im Zweifel an den vom Auftragnehmer bekanntgegebenen Datenschutzverantwortlichen oder Datenschutzbeauftragten zu wenden. 

 

5.     Pflichten des Auftragnehmers

(1)  Der Auftragnehmer ist verpflichtet, die im Zusammenhang mit seiner Tätigkeit erworbenen internen Informationen als Geschäftsgeheimnis zu behandeln, sie ohne ausdrückliche schriftliche Zustimmung des Auftraggebers weder offenzulegen, noch zu veröffentlichen, kommerziell zu verwenden oder Unbefugten – die nicht vom Auftraggeber mit dem Auftrag betraut wurden – zu überlassen oder auf sonstige Art und Weise zugänglich zu machen. Diese Geheimhaltungspflicht bleibt auch nach Beendigung des Auftrags für den Auftragnehmer aufrecht.

(2)  Bei der Erfüllung des Auftrages verpflichtet sich der Auftragnehmer, bei der Verarbeitung der personenbezogenen Daten die Bestimmungen der internationalen und nationalen Datenschutzvorschriften zu beachten und widrigenfalls den Auftraggeber im Fall von Verletzungen in voller Höhe schad- und klaglos zu halten. 

(3)  Der Auftragnehmer verpflichtet sich, personenbezogene Daten, interne Informationen und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten (Zweckgebundenheit). Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

(4)  Das Anfertigen von Aufzeichnungen, Abschriften oder Kopien von personenbezogenen Daten und internen Informationen, insbesondere von geschäftlichen Unterlagen sowie das Entfernen von Geschäftspapier und -unterlagen aus den Räumlichkeiten des Auftraggebers für Zwecke, die keinen Zusammenhang mit dem Auftrag aufweisen, ist dem Auftragnehmer ohne vorherige Zustimmung des Auftraggebers streng untersagt. Mitgenommene Geschäftspapiere und –unterlagen bleiben im Eigentum des Auftraggebers. Sie dürfen Unbefugten nicht überlassen werden und müssen so aufbewahrt werden, dass die Einhaltung dieser Vereinbarung gewährleistet ist. 

(5)  Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Dafür müssen alle befugten Dienstnehmer des Auftragnehmers zumindest die Anlage ./2 „verpflichtende Information an die befugten Dienstnehmer des Auftragnehmers“ gelesen haben. Dadurch erhalten diese Dienstnehmer Kenntnis der gegenständlichen Verpflichtungsvereinbarung und verpflichten sich zur Einhaltung dieser. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. 

(6)  Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen).

(7)  Der Auftragnehmer hat sämtliche Informationen, die ihm zur Umsetzung des Auftrages übergeben wurden, unabhängig ob in Papier oder elektronischer Form nach dem Stand der Technik zu schützen und alle erforderlichen Informationssicherheitsmaßnahmen zu treffen.

(8)  Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

(9)  Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

(10)  Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

(11)  Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, nach den gesetzlichen Aufbewahrungspflichten zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.

(12)  Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen internationale oder nationale Datenschutzbestimmungen.

 

6.     Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt. Die Daten werden bei dem Unternehmen Amazon Web Services (aws) in Frankfurt, Deutschland verarbeitet.  Ein Wechsel des Betreibers oder Orts der Datenverarbeitung ist dem Auftraggeber unverzüglich mitzuteilen.

 

7.     Sub-Auftragsverarbeiter

Für den Fall, dass sich der Auftragnehmer Erfüllungsgehilfen bedient, verpflichtet sich der Auftragnehmer gegenüber dem Auftraggeber, dass diesen Erfüllungsgehilfen vor Offenlegung von Informationen ebenfalls die Anlage ./2  „verpflichtende Information an die befugten Dienstnehmer des Auftragnehmers“ vorgelegt wird. Dabei sind unter dem Begriff „Dienstnehmer“ auch alle anderen Erfüllungsgehilfen des Auftragnehmers zu verstehen.
Der Auftragnehmer garantiert die Einhaltung der Bestimmungen dieser Vereinbarung durch diese Erfüllungsgehilfen. 

Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: 

Amazon Web Services (aws) in Frankfurt, Deutschland Microsoft Azure Deutschland als Cloudanbieter.

Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

 

8.     Sonstiges

(1)  Diese Verpflichtungsvereinbarung unterliegt österreichischem Recht. Die Anwendbarkeit des UN-Kaufrechtes sowie internationaler Verweisungsnormen wird ausgeschlossen. Die Vertragssprache ist deutsch. Zur Entscheidung aller aus dieser Erklärung entstehenden Streitigkeiten wird das sachlich in Betracht kommende Gericht in Vorarlberg vereinbart.

(2)  Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.

(3)  Die unterschriebene Vereinbarung ist vom Auftraggeber in Papier oder elektronisch aufzubewahren, eine Kopie ist dem Auftragnehmer zu übergeben. 

Anlage ./1 ­– Technisch-organisatorische Maßnahmen

Vertraulichkeit

  • Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;
  • Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insbesondere von administrativen Benutzerkonten;

 

Integrität

  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

 

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/ Ausscheiden von Mitarbeitern;
  • Rasche Wiederherstellbarkeit;

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Datenschutzfreundliche Voreinstellungen;
  • Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.

 

Anlage ./2 ­– verpflichtende Information an die befugten Dienstnehmer des Auftragnehmers

Anlage zur Vereinbarung zur Einhaltung des Datengeheimnisses, der Datensicherheit und des Datenschutzes gemäß den geltenden nationalen und internationalen Datenschutzvorschriften, sowie der Verschwiegenheit betreffend interner Informationen.

 

1.       Allgemein

1.1.   Diese verpflichtende Information wird durch den Auftragnehmer allen mit der Datenverarbeitung beauftragten Personen (Dienstnehmer) vor Aufnahme der Tätigkeit vorgelegt. Alle befugten Dienstnehmer des Auftragnehmers müssen diese Information gelesen haben. Eine Kopie dieser Information ist dem Dienstnehmer zu übergeben. 

1.2.   Durch diese Information erhalten die Dienstnehmer Kenntnis der gegenständlichen Vereinbarung über die Auftragsverarbeitung und verpflichten sich zur Einhaltung dieser. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

1.3.   Der Dienstnehmer wurde über die von seinem Dienstgeber unterfertigte Vereinbarung zur Einhaltung des Datengeheimnisses, der Datensicherheit und des Datenschutzes vollinhaltlich in Kenntnis gesetzt. 

1.4.   Die Verpflichtungen aus dieser Information gelten auch nach Beendigung der Tätigkeit für den Auftraggeber oder mit ihm verbundener Unternehmen bzw. nach Auflösung des jeweiligen Dienstverhältnisses.

 

2.       Pflichten des Dienstnehmers

2.1.   Der Dienstnehmer muss die einschlägigen gesetzlichen nationalen und internationalen Datenschutzvorschriften in der jeweils gültigen Fassung einhalten. 

2.2.   Jede nicht auftragsgemäße Verarbeitung von im Rahmen seiner Tätigkeit für den Auftraggeber oder mit ihm verbundenen Unternehmen erhaltenen Informationen, Zugangs- und Zugriffsberechtigungen ist dem Dienstnehmer untersagt. Darunter fällt auch die nicht autorisierte Weitergabe von Zugangs- oder Zugriffsberechtigungen innerhalb des Unternehmens des Auftragnehmers.

2.3.   Die Nutzung der IT Infrastruktur des Auftraggebers ist nur für den geschäftlichen Gebrauch im Rahmen des Auftrages gestattet. Die Hardware und Software dürfen nur bestimmungsgemäß eingesetzt werden. Die Nutzung externer Datenträger ist untersagt. Die Inbetriebnahme von eigener Hardware oder Software im Datennetz des Auftraggebers ist untersagt, sofern nicht vom Auftraggeber ausdrücklich erlaubt.

2.4.   Arbeiten an IT-Systemen des Auftraggebers sind mit dem Auftraggeber jeweils vorab einvernehmlich festzulegen, andernfalls der Einsatz der Hardware oder der Software nicht als bestimmungsgemäß bzw. als für den geschäftlichen Gebrauch gestattet angesehen wird und der Auftragsnehmer für den allenfalls eingetretenen Schaden zu haften hat.

2.5.  Passwörter sind geheim zu halten und dürfen weder schriftlich noch mündlich weiter gegeben werden.

2.6.   Der Dienstnehmer muss von einem vom Auftraggeber für ihn nominierten Betreuer bei Bedarf in die Räumlichkeiten des Auftraggebers eingeführt werden. Der Dienstnehmer darf die Räumlichkeiten nur innerhalb der Bürozeiten des Auftraggebers und nur durch den Haupteingang betreten und verlassen und muss auf direktem Weg seinen ihm zugewiesenen Arbeitsplatz aufsuchen und sämtliche sonstigen Ausgänge geschlossen halten.

2.7.   Jedes Betreten und Verlassen der Räumlichkeiten ist aus Sicherheitsgründen an den Zugangskontrollen ordnungsgemäß zu verbuchen (soweit an der betreffenden Örtlichkeit vorgesehen, wird eine Zutrittskarte vom Verantwortlichen (z.B. Projektleiter Auftraggeber) organisiert bzw. ist als Besucherkarte beim Portier abzuholen).

2.8.   Ist der Dienstnehmer in der Funktion eines System- oder Netzwerkadministrators tätig, kann die Situation entstehen, dass er aufgrund planmäßiger Arbeiten an Systemen oder Netzwerken bzw. im Rahmen von Fehleranalysen an Servern, Clients oder Netzwerkkomponenten Kenntnis von Inhaltsdaten erlangt. Dem Erklärenden ist bewusst, dass er derartige Informationen keinesfalls weitergeben oder auf andere Weise verwenden darf. Außerdem ist dem Erklärenden ausdrücklich untersagt, sich unberechtigten Zugang zu Systemen, Daten oder Informationen zu verschaffen.
Der zuständige Administrator des Auftraggebers übergibt an den Dienstnehmer des Auftragnehmers die Administrationsrichtlinie mit den detaillierten Vorgaben für Arbeiten beim Auftraggeber. Diese Richtlinie ist integraler Bestandteil der vorliegenden Vereinbarung.

2.9.   Remote-Wartungsaktivitäten dürfen ausschließlich von Arbeitsgeräten aus erfolgen, die eine aktuelle Antivirensoftware installiert haben und die einen aktuellen sicherheitstechnischen Patch-Level aufweisen und nur via der zentralen vom Auftraggeber vorgesehenen Remote Access Lösung. Weiters wird der Dienstnehmer hiermit darüber informiert, dass sämtliche Remote-Zugriffe protokolliert werden.

 

3.       Rechte des Auftraggebers

Der Auftraggeber kann zum Schutz seines Eigentums und der Mitarbeiter per Video überwachte Bereiche haben. Der Dienstnehmer wird hiermit über eine solche Videoüberwachung informiert.

Bei Fragen zu der Videoüberwachung kann sich der Dienstnehmer an den Auftraggeber wenden. 

Data Processing Agreement (DPA)

AGREEMENT on order processing

to comply with 
data secrecy, data security and data protection in accordance with the applicable national and international data protection regulations, as well as confidentiality regarding internal information.

 

1.     Introduction

This agreement includes both the agreement on commissioned processing to be concluded in accordance with Art. 28 GDPR and the declaration of commitment to comply with data secrecy and data security.

 

2.     Subject of the agreement

(1)  The subject of the contract is the execution of the following tasks:

  • Provision of hardware, mobile apps and software for digital construction monitoring. In the form of a GNSS handheld incl. accessories. Also applies to all systems used by third-party providers.
  • A web app that enables data to be recorded, analyzed and made available internally and externally via dashboards. This web app can also be used to manage licensed access and thus control access on the client side.
  • The web app is secured via a login screen and can only be opened with the activated licenses. Access to non-company data is not possible.
  • Dashboards can be shared both internally and externally. Employees have been made aware that sharing dashboards means that they can be accessed permanently and therefore also access current project data. Sharing is therefore generally not desired, as these links could of course also be passed on.
  • In addition to the identification data, such as user name, password, name and e-mail address, photos of the edited environment are also taken. People, logos and other GDPR-relevant content are pixelated in these photos before they are sent.
  • Log data containing timestamps and descriptions of the content as well as coordinate systems, point clouds and correction data are stored in the Sodex cloud. External data (point clouds, images, files, reference terrain) can also be uploaded.
  • It is not possible to draw conclusions about employees and companies if the data is handled in the usual way.

(2)  The following categories of personal data are processed: 

  • Identification data (user name, password, name and e-mail address)
  • Property data (property number, site plan, address, place of residence)
  • Photographs (photos of the edited environment; people)
    • Are pixelated before sending
  • Log data (timestamps and descriptions of the content)
  • External data (images, files)

(3)  The following categories of persons concerned are subject to processing: 

  • Employees
  • Property owner

(4)  In the course of this activity, the contractor obtains knowledge of personal data and possibly also other internal information of the client, its customers or business partners and its employees. Internal information is above all documents and records relating to commercial and legal matters, trade secrets and technical knowledge that become accessible to the contractor directly or indirectly in the course of its work for the client. This applies to information in electronic, written or verbal form, regardless of whether it is marked as internal, confidential or similar or is only recognizable as internal from its content.

 

3.     Duration of agreement

The agreement is open-ended. We reserve the right to update it at any time. 

 

4.      Scope of application and responsibility

(1)  The contractor processes personal data on behalf of the client. This includes activities that are described in the service agreements. Within the scope of this agreement, the client is solely responsible for compliance with the statutory provisions of the data protection regulations, in particular for the lawfulness of the transfer of data to the contractor and for the lawfulness of the data processing (“controller” within the meaning of Art. 4 para. 7 GDPR).

(2)  With regard to the processing of the data provided by the client, the client shall be granted the right to inspect and control the data processing facilities at any time to the extent reasonable and necessary, including by third parties commissioned by the client. The contractor undertakes to provide the client with the information necessary to monitor compliance with the obligations specified in this agreement.

(3)  In case of doubt, the client is entitled to contact the data protection officer  designated by the contractor. 

 

5.     Obligations of the contractor

(1)  The contractor is obliged to treat the internal information acquired in connection with its activities as a business secret, not to disclose it without the express written consent of the client, nor to publish it, use it commercially or provide it to unauthorized persons – who have not been entrusted with the order by the client – or make it accessible in any other way. This confidentiality obligation shall remain in force for the contractor even after termination of the order.

(2)  When fulfilling the order, the contractor undertakes to comply with the provisions of international and national data protection regulations when processing personal data and otherwise to indemnify and hold the client fully harmless in the event of violations. 

(3)  The contractor undertakes to process personal data, internal information and processing results exclusively within the scope of the client‘s written orders (earmarking). If the contractor receives an official order to disclose the client‘s data, it must – if legally permissible – inform the client immediately and refer the authority to the client. Similarly, processing of the data for the contractor's own purposes requires a written order.

(4)  The contractor is strictly prohibited from making records, copies or duplicates of personal data and internal information, in particular of business documents, and from removing business papers and documents from the client‘s premises for purposes unrelated to the order without the client‘s prior consent. Any business papers and documents taken away shall remain the property of the client. They may not be handed over to unauthorized persons and must be stored in such a way as to ensure compliance with this agreement. 

(5)  The contractor declares in a legally binding manner that it has obligated all persons entrusted with data processing to maintain confidentiality before commencing work or that they are subject to an appropriate statutory confidentiality obligation. To this end, all authorized employees of the contractor must at least have read Annex ./2 “Mandatory information for the contractor‘s authorized employees”. This means that these employees are aware of the present obligation agreement and undertake to comply with it. In particular, the confidentiality obligation of the persons entrusted with data processing shall remain in force even after termination of their employment and departure from the contractor. 

(6)  The contractor declares in a legally binding manner that it has taken all necessary measures to ensure the security of processing in accordance with Art 32 GDPR (details can be found in Annex ./1).

(7)  The contractor shall protect all information provided to it for the implementation of the order, whether in paper or electronic form, in accordance with the state of the art and shall take all necessary information security measures.

(8)  The contractor shall take the technical and organizational measures to ensure that the client can fulfill the rights of the person concerned under chapter III of the GDPR (information, access, rectification and erasure, data portability, objection, and automated decision-making in individual cases) at any time within the statutory time limits and shall provide the client with all information necessary for this purpose. If a corresponding request is addressed to the contractor and the contractor reveals that the applicant mistakenly believes it to be the client of the data application operated by it, the contractor must forward the request to the client without delay and inform the applicant of this.

(9)  The contractor shall support the client in complying with the obligations set out in Art. 32 to 36 GDPR (data security measures, notification of personal data breaches to the supervisory authority, notification of the person affected by a personal data breach, data protection impact assessment, prior consultation).

(10)  The contractor is advised that it must set up a processing directory in accordance with Art. 30 GDPR for the present order processing.

(11)  After termination of this agreement, the contractor shall be obliged to destroy all processing results and documents containing data in accordance with the statutory retention obligations. If the contractor processes the data in a special technical format, it shall be obliged to return the data after termination of this Agreement either in this format or, at the client‘s request, in the format in which it received the data from the client or in another common format.

(12)  The contractor must inform the client immediately if it believes that an instruction from the client violates international or national data protection regulations.

 

6.     Place of data processing

All data processing activities are carried out exclusively within the EU or the EEA. The data is processed by the company Amazon Web Services (aws) in Frankfurt, Germany.  The client must be informed immediately of any change of operator or place of data processing.

 

7.     Sub-processors

In case that the contractor uses vicarious agents, the contractor undertakes to the client that these vicarious agents will also be presented with Annex ./2 “Mandatory information to the contractor‘s authorized employees” prior to the disclosure of information. The term “employees” shall also include all other vicarious agents of the contractor.
The contractor guarantees compliance with the provisions of this agreement by these vicarious agents. 

The Contractor is authorized to engage the following company as a sub-processor: 

Amazon Web Services (aws) in Frankfurt, Germany Microsoft Azure Germany as a cloud provider.

The client shall be notified in writing of any intended changes to the sub-processor in good time so that it can prohibit them if necessary. The contractor shall conclude the necessary agreements within the meaning of Art. 28 (4) GDPR with the sub-processor. It must be ensured that the sub-processor enters into the same obligations that are incumbent on the contractor on the basis of this agreement. If the sub-processor does not comply with its data protection obligations, the contractor shall be liable to the client for compliance with the obligations of the sub-processor.

 

8.     Other

(1)  This obligation agreement is subject to Austrian law. The applicability of the UN Convention on Contracts for the International Sale of Goods and international conflict of laws rules is excluded. The contractual language is German. All disputes arising from this declaration shall be settled by the competent court in Vorarlberg.

(2)  Amendments and supplements to this agreement must be made in writing.

(3)  The signed agreement must be kept by the client on paper or electronically, and a copy must be given to the contractor. 

Annex ./1 - Technical and organizational measures

Confidentiality

  • Access control: Protection against unauthorized access to data processing systems, e.g. keys: Keys, magnetic or chip cards, electric door openers, doormen, security personnel, alarm systems, video systems;
  • Access control: Protection against unauthorized system use, e.g: Passwords (including corresponding policy), automatic locking mechanisms, two-factor authentication, encryption of data carriers;
  • Access control: No unauthorized reading, copying, modification or removal within the system, e.g: Standard authorization profiles on a “need to know basis”, standard process for assigning authorizations, logging of access, periodic review of assigned authorizations, especially of administrative user accounts;

 

Integrity

  • Transmission control: No unauthorized reading, copying, modification or removal during electronic transmission or transport, e.g. encryption, virtual private networks (VPN), electronic signature: Encryption, Virtual Private Networks (VPN), electronic signature;

 

Availability and resilience

  • Availability control: Protection against accidental or willful destruction or loss, e.g: Backup strategy (online/offline; on-site/off-site), uninterruptible power supply (UPS, diesel generator), virus protection, firewall, reporting channels and emergency plans; security checks at infrastructure and application level, multi-level backup concept with encrypted outsourcing of backups to a backup data center, standard processes when employees change/leave;
  • Rapid recoverability;

 

Procedures for regular review, assessment and evaluation

  • Privacy-friendly default settings;
  • Order control: No commissioned data processing within the meaning of Art. 28 GDPR without corresponding instructions from the client, e.g.: clear contract design, formalized order management, strict selection of the processor (ISO certification, ISMS), obligation to convince in advance, follow-up checks.

 

Annex ./2 - Mandatory information to the Contractor's authorized employees

Annex to the agreement on compliance with data secrecy, data security and data protection in accordance with the applicable national and international data protection regulations, as well as confidentiality regarding internal information.

 

1.       In general

1.1.   This mandatory information shall be presented by the contractor to all persons (employees) entrusted with data processing prior to commencing work. All authorized employees of the contractor must have read this information. A copy of this information must be given to the employee. 

1.2.   Through this information, the employees receive knowledge of the present agreement on commissioned processing and undertake to comply with it. In particular, the confidentiality obligation of the persons entrusted with data processing shall remain in force even after termination of their employment and departure from the contractor.

1.3.   The employee was informed in full of the agreement signed by his employer on compliance with data secrecy, data security and data protection. 

1.4.   The obligations arising from this information shall also apply after termination of the activity for the client or its affiliated companies or after termination of the respective employment relationship.

 

2.       Obligations of the service provider

2.1.   The service provider must comply with the relevant statutory national and international data protection regulations as amended from time to time. 

2.2.   The service provider is prohibited from processing information, access and access authorizations received in the course of his work for the client or its affiliated companies in any way that is not in accordance with the order. This also includes the unauthorized transfer of access or access authorizations within the contractor‘s company.

2.3.   The use of the client‘s IT infrastructure is only permitted for business use within the scope of the order. The hardware and software may only be used as intended. The use of external data carriers is prohibited. The commissioning of own hardware or software in the client's data network is prohibited unless expressly permitted by the client.

2.4.   Work on the client‘s IT systems must be agreed with the client in advance, otherwise the use of the hardware or software will not be considered as intended or as permitted for business use and the contractor will be liable for any damage incurred.

2.5.  Passwords must be kept secret and may not be passed on either verbally or in writing.

2.6.   The service provider must be introduced to the client's premises by a supervisor nominated by the client if required. The employee may only enter and leave the premises during the client's office hours and only through the main entrance and must go directly to his assigned workplace and keep all other exits closed.

2.7.   For security reasons, every entry to and exit from the premises must be properly recorded at the access controls (if provided for at the location in question, an access card will be organized by the person responsible (e.g. client project manager) or must be collected from the porter as a visitor card).

2.8.   If the service provider works as a system or network administrator, the situation may arise in which he obtains knowledge of content data due to scheduled work on systems or networks or as part of error analyses on servers, clients or network components. The declarant is aware that under no circumstances may such information be passed on or used in any other way. Furthermore, the declarant is expressly prohibited from gaining unauthorized access to systems, data or information.
The client‘s responsible administrator shall provide the contractor‘s employee with the administration guideline containing the detailed specifications for work at the client. This guideline is an integral part of this agreement.

2.9.   Remote maintenance activities may only be carried out from work devices that have up-to-date antivirus software installed and an up-to-date security patch level and only via the central remote access solution provided by the client. Furthermore, the employee is hereby informed that all remote access is logged.

 

3.       Rights of the client

The client may have areas under video surveillance for the protection of its property and employees. The service provider is hereby informed of such video surveillance.

If the service provider has any questions about video surveillance, he can contact the client.