Diese Vereinbarung wird abgeschlossen zwischen dem Kunden (im Folgenden auch der „Verantwortliche“) einerseits und der FEUSTO GmbH, FN 551312 d, Haldengasse 12a, 6850 Dornbirn, Österreich (im Folgenden auch der „Auftragsverarbeiter“) andererseits. Der Verantwortliche und der Auftragsverarbeiter werden im Folgenden einzeln auch „Partei“ und gemeinsam die „Parteien“ genannt:

§ 1 Vertragsgegenstand

(1) Der Verantwortliche hat den Auftragsverarbeiter mit der Erbringung von Dienstleistungen, die in der Anlage./1 zu dieser Vereinbarung beschrieben sind (im Folgenden die „Dienstleistungen“), beauftragt.

(2) Da der Auftragsverarbeiter im Rahmen der von ihm zu erbringenden Dienstleistungen auch Zugriff auf vom Verantwortlichen verarbeitete personenbezogene Daten, welche in der Anlage./1 zu dieser Vereinbarung angeführt sind (im Folgenden die „Personenbezogenen Daten“), erhält bzw. die Personenbezogenen Daten allenfalls in anderer Weise an den Auftragsverarbeiter überlassen werden, ist gemäß Art 28 Abs 3 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – im Folgenden die „DSGVO“) der Abschluss einer Vereinbarung über die Auftragsdatenverarbeitung erforderlich.

(3) Hinsichtlich der Personenbezogenen Daten unterwirft sich der Auftragsverarbeiter ausdrücklich den in § 2 dieser Vereinbarung angeführten datenschutzrechtlichen Verpflichtungen.

§ 2 Datenschutzrechtliche Verpflichtungen des Auftragsverarbeiters

(1) Der Verantwortliche wird dem Auftragsverarbeiter zur Erbringung der Dienstleistungen allenfalls die Personenbezogenen Daten überlassen. Der Auftragsverarbeiter ist daher als datenschutzrechtlicher Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO anzusehen. Der Verantwortliche ist datenschutzrechtlicher Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.

(2) Der Auftragsverarbeiter verpflichtet sich, alle ihn nach den österreichischen und europäischen Datenschutzvorschriften als Auftragsverarbeiter treffenden Pflichten zu jedem Zeitpunkt nachzukommen. Ohne Einschränkung dieser allgemeinen Verpflichtung gilt dies insbesondere für die im Folgenden ausdrücklich angeführten Verpflichtungen.

(3) Der Auftragsverarbeiter verpflichtet sich, die Personenbezogenen Daten ausschließlich im Rahmen der Aufträge des Verantwortlichen zu verarbeiten. Grundsätzlich ergibt sich der zulässige Umfang der Verarbeitung der Personenbezogenen Daten aus den vertraglichen Vereinbarungen betreffend die Dienstleistungen. Änderungen in Bezug auf die vom Auftragsverarbeiter vorzunehmende Datenverarbeitung sind vom Verantwortlichen in schriftlicher Form oder in Textform zu erteilen.

(4) Jegliche sonstige Verarbeitung oder Übermittlung der Personenbezogenen Daten ohne ausdrücklichen Auftrag des Verantwortlichen, insbesondere jegliche Verarbeitung für eigene Zwecke, ist ausdrücklich untersagt. Der Auftragsverarbeiter wird die Personenbezogenen Daten nur im für die Erbringung der Dienstleistungen unbedingt erforderlichen Ausmaß verwenden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass ein Auftrag des Verantwortlichen gegen die anwendbaren Datenschutzvorschriften verstößt.

(5) Sofern der Auftragsverarbeiter aufgrund zwingender gesetzlicher Bestimmungen zur Übermittlung oder sonstigen Offenlegung Personenbezogener Daten gegenüber Dritten verpflichtet ist, wird er den Verantwortlichen – soweit zulässig – vor Vornahme der jeweiligen Übermittlung informieren.

(6) Der Auftragsverarbeiter verpflichtet sich, hinsichtlich der vom Auftragsverarbeiter betriebenen Systeme, auf denen die Personenbezogenen Daten verwendet werden, die gemäß Art 32 DSGVO erforderlichen Datensicherheitsmaßnahmen zu ergreifen und die ergriffenen Datensicherheitsmaßnahmen periodisch im Hinblick auf den jeweiligen Stand der Technik zu überprüfen und gegebenenfalls an den aktuellen Stand der Technik anzupassen. Der Auftragsverarbeiter wird die getroffenen Sicherheitsmaßnahmen dokumentieren und diese Dokumentation während der Laufzeit dieser Vereinbarung und für 12 Monate nach Außerkrafttreten dieser Vereinbarung aufbewahren. Die konkret vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Datensicherheitsmaßnahmen sind in Anlage./2 zu dieser Vereinbarung angeführt.

(7) Der Auftragsverarbeiter wird im Zusammenhang mit der Verwendung der Personenbezogenen Daten nur Dienstnehmer oder sonstige Mitarbeiter heranziehen, die sich gegenüber dem Auftragsverarbeiter zur Vertraulichkeit und zur Einhaltung des Datengeheimnisses (insbesondere gemäß § 6 DSG) verpflichtet haben. Die Verpflichtung zur Einhaltung des Datengeheimnisses muss auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses und/oder dieser Vereinbarung aufrecht bleiben.

(8) Die Heranziehung der in Anlage./3 angeführten (Sub-)Auftragsverarbeiter wird seitens des Verantwortlichen die Zustimmung erteilt. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über die Heranziehung von (Sub-)Auftragsverarbeitern, welche nicht in Anlage./3 angeführt sind zu informieren. Der Verantwortliche kann der Heranziehung eines Subauftragsverarbeiters aus wichtigem Grund widersprechen.

(9) In den jeweiligen Vereinbarungen mit allenfalls beauftragten (Sub-)Auftragsverarbeitern sind die in diesem § 2 für den Auftragsverarbeiter vorgesehenen Verpflichtungen gegenüber dem (Sub-)Auftragsverarbeiter ebenfalls zu vereinbaren. Auf Verlangen ist dem Verantwortlichen in die den Datenschutz betreffenden Teile solcher Vereinbarungen mit (Sub )Auftragsverarbeitern Einblick zu gewähren. Der Auftragsverarbeiter verpflichtet sich, die Einhaltung der Verpflichtungen nach diesem § 2 durch allenfalls herangezogene (Sub-)Auftragsverarbeiter regelmäßig und zumindest einmal jährlich zu überprüfen und den Verantwortlichen auf Verlangen über die Ergebnisse einer solchen Überprüfung zu informieren.

(10) Unbeschadet der mit allfälligen (Sub-)Auftragsverarbeitern abgeschlossenen Vereinbarungen bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen vollumfänglich für die Einhaltung der Verpflichtungen nach diesem § 2 verantwortlich. Die Haftung des Auftragsverarbeiters wird allerdings – soweit gesetzlich zulässig – auf grobe Fahrlässigkeit oder Vorsatz eingeschränkt und ist betraglich mit dem Betrag des in den letzten zwölf Monaten vom Verantwortlichen an den Auftragsverarbeiter bezahlten Entgelt beschränkt.

(11) Soweit die Verarbeitung Personenbezogener Daten außerhalb von Mitgliedsstaaten der EU oder des EWR erfolgt, wird der Auftragsverarbeiter sicherstellen, dass entweder ein Angemessenheitsbeschluss im Sinne von Art 45 DSGVO vorliegt oder geeignete Garantien gemäß Art 46 DSGVO eingehalten werden.

(12) Der Auftragsverarbeiter wird den Verantwortlichen im Falle der Geltendmachung von Betroffenenrechten (z.B. Auskunftsverlangen, Antrag auf Löschung) in technischer und organisatorischer Hinsicht unterstützen. Weiters wird der Auftragsverarbeiter den Verantwortlichen gegebenenfalls bei der Durchführung einer Datenschutz-Folgeabschätzung gemäß Art 35 und 36 DSGVO unterstützen.

(13) Der Auftragsverarbeiter wird die Personenbezogenen Daten (einschließlich allfälliger Verarbeitungsergebnisse und etwaiger Kopien der Personenbezogenen Daten) auf Weisung des Verantwortlichen bzw. spätestens nach Beendigung dieser Vereinbarung unwiederbringlich löschen. Klargestellt wird, dass die Verpflichtungen nach diesem § 2 – unabhängig von der Geltung dieser Vereinbarung – bis zur endgültigen Löschung der Personenbezogenen Daten beim Auftragsverarbeiter vollumfänglich aufrecht bleiben.

(14) Der Auftragsverarbeiter wird dem Verantwortlichen unverzüglich, aber spätestens innerhalb von 48 Stunden, über jeglichen unbefugten Zugriff auf die Personenbezogenen Daten und jegliche Verletzung oder Einschränkung der Datensicherheit informieren. Diesfalls wird der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Art 33 DSGVO und Art 34 DSGVO unterstützen.

(15) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Aufforderung alle Informationen zur Verfügung zu stellen, die für die Kontrolle der Einhaltung der Verpflichtungen nach diesem § 2 erforderlich sind. 

(16) Der Auftragsverarbeiter und der Verantwortliche vereinbaren, dass dem Auftragsverarbeiter für die Erfüllung der Verpflichtungen nach diesem § 2 ein angemessenes Entgelt zusteht.

§ 3 Geheimhaltung

(1) Die Parteien verpflichten sich, alle ihnen im Zusammenhang mit dieser Vereinbarung bekannt gewordenen Informationen über die jeweils anderen Parteien und den Inhalt dieser Vereinbarung sowie allenfalls bekannt gewordene Betriebs- und Geschäftsgeheimnisse geheim zu halten.

(2) Die Geheimhaltungsverpflichtung nach diesem § 3 gilt auch Beendigung nach dieser Vereinbarung unbefristet weiter.

§ 4 Schlussbestimmungen

(1) Diese Vereinbarung unterliegt österreichischem materiellem Recht unter Ausschluss der Kollisionsnormen des internationalen Privatrechts.

(2) Alle Streitigkeiten, die sich aus dieser Vereinbarung ergeben oder sich auf deren Verletzung oder Ungültigkeit beziehen, sind ausschließlich von den für Dornbirn sachlich zuständigen Gerichten zu entscheiden.

(3) Diese Vereinbarung stellt die gesamte Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bezüglich des Vertragsgegenstands dar. Die Bestimmungen dieser Vereinbarung gehen allenfalls abweichenden Bestimmungen in den Anlagen zu dieser Vereinbarung und Bestimmungen in anderen Vereinbarungen zwischen den Parteien vor.

(4) Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise nichtig, unwirksam oder nicht durchsetzbar sein oder werden, wird die Gültigkeit, Wirksamkeit und Durchsetzbarkeit aller übrigen verbleibenden Bestimmungen davon nicht berührt. Die nichtige, unwirksame oder nicht durchsetzbare Bestimmung ist als durch diejenige wirksame und durchsetzbare Bestimmung ersetzt anzusehen, die dem mit der nichtigen, unwirksamen oder nicht durchsetzbaren Bestimmung verfolgten wirtschaftlichen Zweck nach Gegenstand, Maß, Zeit, Ort und Geltungsbereich am nächsten kommt. Entsprechendes gilt für die Füllung etwaiger Lücken in dieser Vereinbarung.

5. Weiterverarbeitung

5.1 Autorisierte Unterprozessoren. Der Kunde stimmt zu, dass der Auftragsverarbeiter Unterprozessoren mit der Verarbeitung von Kundendaten im Auftrag des Kunden beauftragen darf. Die derzeit vom Auftragsverarbeiter beauftragten und vom Kunden autorisierten Unterprozessoren sind in Anhang A aufgeführt.

5.2 Verpflichtungen der Unterprozessoren. Der Auftragsverarbeiter hat folgende Verpflichtungen: 1.) einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter abschließen, der Datenschutzbestimmungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, die Kundendaten gemäß dem von den geltenden Datenschutzgesetzen geforderten Standard zu schützen; und 2.) für die Einhaltung der Verpflichtungen dieses Datenschutzabkommens und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass der Auftragsverarbeiter eine seiner Verpflichtungen aus diesem Datenschutzabkommen verletzt.

Anlage./1 Beschreibung der Dienstleistungen und der personenbezogenen Daten

1. Erbrachte Dienstleistungen:

Der Auftragsverarbeiter bietet dem Kunden eine sogenannte SaaS-Plattform an. SaaS bedeutet “Software as a Service”. Der Kunde kann ein eigenes Nutzerkonto auf der Plattform des Auftragsverarbeiters erstellen und somit die Funktionen der Software des Auftragsverarbeiters für sich nutzen. Die Registrierung ist grundsätzlich kostenlos und der Kunde befindet sich dann automatisch in einem 14-tägigen Testabo, bei dem er die Software mit allen Funktionen kostenfrei und ohne Hinterlegung von Kreditkarteninformationen nutzen kann. In diesem Testzeitraum oder nach dem Testzeitraum kann der Kunde dann auf eine bezahlte Version der Software wechseln, wobei drei unterschiedliche Pakete angeboten werden.

2. Verarbeitungszweck:

Zurverfügungstellung der vertraglich vereinbarten Dienstleistungen je nach gewähltem Leistungspaket.

3. Dauer der Verarbeitung:

Die Verarbeitung Personenbezogener Daten erfolgt während der Laufzeit der vertraglichen Vereinbarungen zu den Dienstleistungen und bis zur Erledigung aller mit dem ursprünglichen Vertrag verbundenen Ansprüche. Soweit anwendbar werden Daten außerdem während der gesetzlich vorgeschriebenen Aufbewahrungsfristen (z.B. gemäß UGB oder BAO) verarbeitet.

4. Betroffene Personen:

Accountbesitzer:

Dies ist die Person die den Account auf der Plattform erstellt hat. Die erhobenen Daten sind in der Datenschutzerklärung des Verantwortlichen beschrieben.

Unterkonten:

Dem Accountbesitzer steht es frei je nach Paket ein oder mehrere Admins hinzuzufügen, welche ihm zum Beispiel beim Aufbau einer Website oder im Vertrieb helfen können. Für die Unterkonten sind nur Name, Email, Telefonnummer und Passwort erforderlich. Zudem kann der Accountbesitzer die Berechtigungen selbst festlegen (zum Beispiel nur für eine Website, für alle Websites oder nur für die Kontaktdatenbank).

Kontaktdatenbank (CRM):

Der Accountbesitzer hat als Funktion ein CRM-System (in allen Paketen) mit dabei. In dieses CRM können Kontaktdaten aller Art hinzugefügt werden. Es können beispielsweise Kunden- oder Lieferantendaten via CSV hochgeladen werden. Welche Art von Daten der Nutzer hier erhebt und verarbeitet ist grundsätzlich ihm überlassen, solange diese nicht illegal erworben oder rechtswidrig sind.

5. Verarbeitete Datenkategorien:

Das CRM verfügt über standardmäßig definierte Systemfelder und Eigenschaften, welche sich auf Stammdaten von Kunden beschränken. Hierzu gehören insbesondere Name, Firmennamen, Adressdaten, Rechnungs- und Lieferadressen.

Die Nutzer können Daten via Upload in ihr eigenes CRM System hochladen. Zudem steht es unseren Nutzern frei selbst eigene CRM Eigenschaften und Felder zu definieren, welche frei bestimmt werden können.

Zudem können die Nutzer sogenannte Opt-In Prozesse für Websitebesucher erstellen. Zu den Opt-In Prozesse gehören Formulare, Bestellformulare, Terminbuchungen, Umfragen und Quiz, Registrierungsformulare. Diese Formulare und die damit abgefragten Daten können unsere Kunden selbst bestimmen. Werden die Formulare von einem Websitebesucher ausgefüllt, so werden diese automatisch im CRM abgelegt.

Der Auftragsverarbeiter hat keinen Einfluss auf die Festlegung der Kategorien der verarbeiteten Daten oder den Inhalt der konkreten Daten. Das heißt je nach Anforderungen der Kunden an unser CRM System können allenfalls auch sensible Daten verarbeitet werden. Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der diesbezüglich anwendbaren datenschutzrechtlichen Vorschriften liegt beim Kunden als Verantwortlichen.

Anlage./2 Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

1. Verschlüsselung

Alle Daten werden mit einer 256-Bit SSL-Verschlüsselung übertragen.

2. Gewährleistung der Vertraulichkeit

Die Mitarbeiter des Auftragsverarbeiters haben alle eine Vertraulichkeitsvereinbarung unterzeichnet und unterliegen somit der Geheimhaltungspflicht. Der Auftragsverarbeiter limitiert den Zugang zu den Kundendaten auf Mitarbeiter deren Rolle einen solchen Zugang benötigt. Administrativen Zugang zu den Daten des Verantwortlichen haben nur autorisierte Personen die vom Auftragsverarbeiter eine entsprechende Berechtigung bekommen haben. Dieser administrative Zugang wird allenfalls für die Bereitstellung von technischem Support benötigt.

3. Gewährleistung der Verfügbarkeit

Auf den Systemen des Auftragsverarbeiters werden täglich Backups gemacht. Diese Backups dienen der Wiederherstellung von Daten bei Fehlern oder ungewolltem Löschen des Nutzers.

4. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

Bei einer ungewollten Löschung von Daten können diese aus den Backups des Auftragsverarbeiters wiederhergestellt werden. Nach 30 Tagen werden aber gelöschte Daten auch aus allen Backups gelöscht und können nicht wiederhergestellt werden. Diesbezüglich behält sich der Auftragsverarbeiter vor, vom Kunden gelöschte Daten nicht wiederherzustellen, da dies mit einem hohen Aufwand verbunden ist. Bei einem technischen Fehler, der vom Auftragsverarbeiter zu verantworten ist, werden die Daten jedenfalls wiederhergestellt.

5. Sonstige Maßnahmen und Dokumente

Die Mitarbeiter des Auftragsverarbeiters sind in die erforderlichen Sicherheitspraktiken eingeschult und wissen, wie sie die Verletzung von Kundendaten erkennen und sofort darauf reagieren können.

Beim Auftragsverarbeiter werden Richtlinien und Verfahren zum Überwachen, Testen und Anwenden von Änderungen an den Diensten, einschließlich der zugrunde liegenden Infrastruktur- und Systemkomponenten, angewendet, um sicherzustellen, dass die Qualitätsstandards eingehalten werden. Alle gefundenen Schwachstellen werden gemäß den jeweils angewendeten Verfahren behoben.

Anlage./3 Subauftragsverarbeiter

• Funnel-Tunnel LIMITED: Provider Software-Plattform
• AWS (Amazon Web Services): Hosting der Software-Plattform, E-Mail-Versand
• Google Ireland Limited: Synchronisierung von Kalendern und Terminen, ReCaptcha
• United-Domains: Domainverwaltung und E-Mail Kommunikation
• Bitrix24: CRM, Vertrieb, Projektmanagement, Kommunikation
• Meta Platforms (Facebook): Tracking und Onlinemarketing (bei erteilter Einwilligung)
• Stripe : Zahlungsdienstleister für Abonnementzahlungen
• Intercom: Bereitstellung von Live-Chat Support, Help Center und Onboarding