Auftragsverarbeitungsvereinbarung

abgeschlossen zwischen

For Sports GmbH

Theodor-Kery Straße 26, 7343 Neutal

(im Folgenden „Auftragsverarbeiter“)

 

und

 

Verein/Unternehmen

 

Adresse

 

(im Folgenden „Verantwortlicher“)

 

1           Vertragsgegenstand

1.1       Dieser Vertrag regelt die Rechte und Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter (im Folgenden „Parteien“) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

1.2       Diese Vereinbarung findet auf solche Tätigkeiten Anwendung, bei denen der Auftragsverarbeiter, dessen Mitarbeiter oder durch ihn beauftragte Subunternehmer personenbezogene Daten des Verantwortlichen gemäß der zwischen den Parteien vereinbarten Leistungsvereinbarung verarbeiten.

1.3       Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet beim Auftragsverarbeiter ausschließlich in einem Mitgliedstaat der Europäischen Union, einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Staat mit angemessenem Datenschutzniveau nach Art. 45 DSGVO, welches durch die Europäische Kommission festgestellt wird, statt.

1.4       Die Verlagerung des Dienstes in ein Land außerhalb von Ziffer 1.3 bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 f. DSGVO erfüllt sind. Sollten diese Anforderungen erfüllt sein, müssen jedoch wichtige datenschutzrechtliche Gründe vorliegen, um der Verlagerung in ein Drittland zu widersprechen.

1.5       Diese Vereinbarung wird auf die Dauer der Laufzeit der Leistungsvereinbarung getroffen, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben. In letzterem Fall endet diese Vereinbarung mit Wegfall der über die Leistungsvereinbarung hinaus bestehenden Pflichten.

1.6       Jede Partei trägt ihre eigenen mit der DSGVO in Verbindung stehenden und von ihr verursachten Kosten.

2           Pflichten des Auftragsverarbeiters

2.1       Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich darüber zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.

2.2       Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen einer dokumentierten Weisungen des Verantwortlichen und im Rahmen der vereinbarten Leistungserbringung mit dem Verantwortlichen zu verarbeiten oder zu übermitteln.

2.3       Ausgenommen von der Bindung an Weisungen sind Verarbeitungen, zu denen der Auftragsverarbeiter gesetzlich verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung binnen angemessener Frist vor der jeweiligen Verarbeitung mit, sofern die entsprechende Rechtsgrundlage eine solche Mitteilung nicht verbietet.

2.4       Soweit der Verantwortliche seinerseits der Kontrolle einer betroffenen Person, einer Behörde oder eines Dritten im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, unterstützt ihn der Auftragsverarbeiter auf Anfrage nach besten Kräften.

2.5       Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung gegen anwendbare Gesetze verstößt, informiert er den Verantwortlichen unverzüglich. In diesem Fall setzt der Auftragsverarbeiter die Umsetzung der Weisung solange aus, bis sie vom Verantwortlichen schriftlich bestätigt oder abgeändert wurde.

2.6       Der Auftragsverarbeiter gewährleistet, dass er alle mit der Datenverarbeitung beauftragten Personen zur Vertraulichkeit iSd Art 28 Abs 3 lit b) DSGVO verpflichtet hat bzw. diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Soweit der Verantwortliche gesonderten gesetzlichen Verschwiegenheitspflichten unterliegt, sind diese zusätzlich vom Auftragsverarbeiter und von ihm mit der Datenverarbeitung beauftragten Personen zu beachten.

2.7       Diese Verpflichtungen der mit der Datenverarbeitung beauftragten Personen bleiben auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.

2.8       Der Auftragsverarbeiter nennt dem Verantwortlichen bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung anfallende Datenschutzfragen.

3           Pflichten des Verantwortlichen

3.1       Der Verantwortliche hat den Auftragsverarbeiter unverzüglich darüber zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.

3.2       Der Verantwortliche nennt dem Auftragsverarbeiter bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung anfallende Datenschutzfragen.

3.3       Der Verantwortliche ist verpflichtet, seinen Betroffenen (Athleten, Mitglieder, etc.) die nach der DSGVO erforderlichen Unterlagen (vor allem die Datenschutzerklärung) vorzulegen. Da zum Teil auch sensible Daten verarbeitet werden, wird der Verantwortliche darauf aufmerksam gemacht, dass er verpflichtet ist, eine ausdrückliche und gültige Zustimmung der Betroffenen einzuholen.

4           Technisch-organisatorische Maßnahmen

Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er ausreichende Sicherheitsmaßnahmen iSd. Art 32 DSGVO und sonst geeignete technische und organisatorische Maßnahmen iSd. Art 28 DSGVO ergriffen hat. Diese Maßnahmen schließen im Besonderen die in Anlage 2 beschriebenen Maßnahmen ein.

5           Sub-Auftragsverarbeiter

5.1       Das Hinzuziehen neuer oder die Auswechslung bestehender Sub-Auftragsverarbeiter bedarf der vorhergehenden ausdrücklichen schriftlichen Zustimmung des Verantwortlichen.

5.2       Nimmt der Auftragsverarbeiter einen anderen Sub-Auftragsverarbeiter in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem Sub-Auftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Datenschutzpflichten auferlegt, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen des anwendbaren Datenschutzrechts erfolgt.

5.3       Außerdem überprüft der Auftragsverarbeiter regelmäßig die Einhaltung der Datenschutzpflichten durch den Sub-Auftragsverarbeiter und teilt dem Verantwortlichen jede etwaige Verletzung dieser Pflichten unverzüglich mit. Der Auftragsverarbeiter hat in einem solchen Fall die Sub-Auftragsverarbeitung zu beenden, wenn dies vom Verantwortlichen verlangt wird.

5.4       Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

6           Betroffenenrechte

6.1       Richtet sich ein Betroffener an den Auftragsverarbeiter mit einer Forderung aus Kapitel III der DSGVO im Hinblick auf die Rechte der betroffenen Personen, dann wird der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlicher nach Angabe der betroffenen Personen möglich ist. Weiterhin leitet der Auftragsverarbeiter den Antrag der betroffenen Person unverzüglich an den Verantwortlichen weiter.

6.2       Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten des Verantwortlichen bei Anträgen auf Wahrnehmung der Betroffenenrechte gemäß Kapitel III (Information, Auskunft, Berichtigung, Löschung, ….) der Datenschutz-Grundverordnung.

6.3       Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß dem anwendbaren Datenschutzrecht, einschließlich Artikel 32 bis 36 DSGVO (Verarbeitungssicherheit, Meldung von Datenschutzverletzungen, …).

6.4       Der Verantwortliche haftet nicht, sofern das Ersuchen der betroffenen Person vom Auftragsverarbeiter nicht, nicht richtig oder nicht fristgerecht beantwortet bzw. weitergeleitet wird und dies von diesem verschuldet ist.

7           Rückgabe / Löschung von personenbezogenen Daten

Der Auftragsverarbeiter ist nach Abschluss der Erbringung der Verarbeitungsleistungen verpflichtet, den letztgültigen Datenstand in elektronischem, strukturiertem, üblicherweise gebrauchtem und wiederverwendbarem Format an den Verantwortlichen zu übermitteln – dies nur dann, falls der Verantwortliche über den letztgültigen Datenstand nicht verfügt. Der Auftragsverarbeiter löscht in einem weiteren Schritt nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

8           Anonymisierung

Der Auftragsverarbeiter hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und zu aggregieren und die für die Anonymisierung und Aggregation erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann der Auftragsverarbeiter alle so entstandenen Daten für eigene Zwecke, wie statistische Auswertungen, Branchenvergleiche, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke, verarbeiten und nutzen.

9           Überprüfung

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten unentgeltlich zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen, die von dem Verantwortlichen oder einem anderen von diesem beauftragen Prüfer durchgeführt werden.

 

10        Haftung

10.1    Sofern ein Schaden nur deshalb entstanden ist, weil der Auftragsverarbeiter seinen speziell auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder dieser unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen entstanden ist oder weil der Auftragsverarbeiter gegen diese Anweisungen gehandelt hat, haftet er nach Art. 82 Absatz 2 DSGVO anteilig für den entstandenen Schaden.

10.2    Der Auftragsverarbeiter haftet nicht, sofern der Schaden nicht durch eine erteilte Weisung des Verantwortlichen entstanden ist.

10.3    Werden Daten entgegen dieser Vereinbarung dem Auftragsverarbeiter weitergegeben und in das System eingespielt, liegt die Haftung ausschließlich beim Verantwortlichen.

10.4    Im Übrigen richtet sich die Haftung nach den Allgemeinen Geschäftsbedingungen.

 

11        Abschließende Bestimmungen

11.1    Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages hinaus vertraulich zu behandeln. Dies gilt insbesondere auch für die Inhalte dieser Vereinbarung sowie alle im Rahmen der datenschutzrechtlichen Prüfung zur Verfügung gestellten Dokumente, Nachweise etc. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

11.2    Sollten einzelne Bestimmungen ganz oder teilweise unwirksam, ungültig oder undurchsetzbar sein oder werden, so berührt dies die Wirksamkeit, Gültigkeit oder Durchsetzbarkeit der übrigen Bestimmungen nicht. Für diesen Fall gilt zwischen den Parteien eine der vereinbarten Bestimmung im wirtschaftlichen Ergebnis nahekommende Bestimmung.

11.3    Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform, wobei ein elektronisches Format ausreicht. Dies gilt auch für Änderungen des Schriftformerfordernisses.

 

11.4    Für alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung gilt die ausschließliche Zuständigkeit der sachlich in Betracht kommenden Gerichte am Sitz des Auftragsverarbeiters als vereinbart.

11.5    Der Vertrag unterliegt ausschließlich dem Recht der Republik Österreich unter Ausschluss des UN-Kaufrechts.

 

 

Für den Verantwortlichen                                  Für den Auftragsverarbeiter

 

 

 

 

_________________________                          _________________________

Ort, Datum, Unterschrift                                   Ort, Datum, Unterschrift

 

 

 

Anlage 1            (Kurzbeschreibung der Datenverarbeitung)

Allgemeine Beschreibung der beauftragten Datenverarbeitung, Verarbeitungszweck, Verarbeitungsmaßnahmen, Dauer

Daten der AthletInnen und MitgliederInnen des Vereins werden vom Trainer in das System eingespeist. Diese Daten werden von For Sports verarbeitet, um die vereinbarten Leistungen erfüllen zu können (Ergebnismanagement, Analysen, internes Vereinsranking, Durchführung von Challanges, …).

 

Zur Erfüllung von vertraglichen Pflichten (Kaufvertrag, Lizenzvertrag, sonstige Dienstleistungen), bzw. auf Basis der Einwilligung der AthletInnen und MitgliederInnen hinsichtlich sensibler Daten.

 

Die personenbezogenen Daten werden von For Sports nur so lange gespeichert, wie dies vernünftigerweise von uns als nötig erachtet wird, um die genannten Zwecke zu erreichen und wie das nach anwendbarem Recht zulässig ist. Wir speichern die personenbezogenen Daten jedenfalls solange gesetzliche Aufbewahrungspflichten bestehen.

 
Von der Verarbeitung betroffener Personenkreis
  • AthletInnen
  • MitarbeiterInnen
  • Sonstige MitgliederInnen
Kategorien von Daten

MitarbeiterInnen

  • Name, Titel
  • Kontaktdaten (Tel, Mail)
  • Funktion

 

AthletInnen, MitgliederInnen

  • Name
  • Vereinszugehörigkeit
  • Gruppe (z.B. Leistungsgruppe, Altersgruppe, Sportgruppe)
  • Geburtsdatum
  • E-Mail Adresse
  • Sportart
  • Geschlecht
  • Land
  • Ergebnisse
  • Trainingseinheit
  • Fitnesslevel
Sensible Daten

AthletInnen:

  • Größe
  • Gewicht
  • Sonstige ins System eingespeiste Gesundheitsdaten