Auftragsverarbeitungsvereinbarung

Markify FlexCo

abgeschlossen zwischen dem jeweiligen Kunden (im Folgenden auch als "Verantwortlicher" oder "Auftraggeber" bezeichnet) von Markify FlexCo, FN 664537 k, Innrain 19/Top 60, 6020 Innsbruck (im Folgenden auch als "Auftragnehmer" oder "Auftragsverarbeiter" bezeichnet), wie folgt:

0. Präambel

0.1. Die Parteien haben einen Vertrag über den Betrieb einer Plattform und der Vermittlung von Marketingleistungen abgeschlossen ("Hauptvertrag"). Teil dieses Hauptvertrags sind auch diese Bestimmungen, die vom Verantwortlichen gemeinsam mit dem Hauptvertrag bei der Registrierung auf der Plattform des Auftragsverarbeiters akzeptiert wurden. Über diese Bestätigung wird der Auftragsverarbeiter ein technisches Protokoll erstellen, das den Abschluss nachweist.

0.2. Im Hauptvertrag wurde der Auftragnehmer als Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten durch den Auftraggeber als Verantwortlicher beauftragt. Zur Erfüllung der datenschutzrechtlichen Bestimmungen schließen die Parteien diese Vereinbarung.

1. Begriffsbestimmungen

1.1. Datenschutzrecht bezeichnet die Verordnung (EU) 2016/679 ("Datenschutzgrundverordnung"; kurz DSGVO) sowie das österreichische Datenschutzgesetz (BGBl I Nr 165/1999) idgF.

1.2. "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

1.3. "Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

1.4. "Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

1.5. "Verarbeitung" ist jeder, mit oder ohne Hilfe automatisierter Verfahren, ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

2. Beschreibung der Verarbeitung

2.1. Gegenstand des Auftrages zum ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

Verwaltung von Nutzerkonten und Profilen;
Bereitstellung Betrieb und Wartung der Plattform zur Vermittlung von Kooperationen zwischen Creators und Unternehmen;
Abwicklung von Kommunikation, Vertrags- und Angebotsinformation sowie Zahlungen;
Hosting von Daten, die der Auftraggeber bereitstellt.

2.2. Der Auftragsverarbeiter darf die vom Verantwortlichen übermittelten personenbezogenen Daten ausschließlich zum Zweck der Leistungserbringung im Einklang mit dem Hauptvertrag verarbeiten. Jede darüberhinausgehende Verarbeitung ist strikt untersagt.

2.3. Die vertraglich vereinbarte Datenverarbeitung wird in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

2.4. Eine Verarbeitung personenbezogener Daten in einem Drittland erfolgt nur, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO vorliegen.

3. Vertragslaufzeit und Kündigung

3.1. Diese Vereinbarung gilt solange, wie der Auftragsverarbeiter auf der Grundlage des zwischen den Parteien abgeschlossenen Hauptvertrages zur Verarbeitung personenbezogener Daten verpflichtet ist.

3.2. Die Vereinbarung kann unter Einhaltung der Bestimmungen des Hauptvertrags gekündigt werden.

4. Art der personenbezogenen Daten

4.1. Der Auftragsverarbeiter wird folgende personenbezogene Daten verarbeiten:

Nutzerdaten: Vor- und Nachname, Anzeigename, Log-In-Daten, E-Mail-Adresse, Telefonnummer, Adresse.
Profil- und Kommunikationsdaten: Inhalte und Angaben aus Influencer-Profilen (z.B. Social-Media-Handles, Reichweiten, Zielgruppenangaben, Mediadaten), Chat- und Kommunikationsinhalte zwischen Influencern und Unternehmen, Bewertungen und Feedback.
Vertrags- und Abrechnungsdaten: Vertrags- und Angebotsinformationen, Buchungsdetails, Zahlungs- und Rechnungsdaten, Nachweise zur Vertragserfüllung.

4.2. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

Influencer:innen/Creator:innen und sonstige Nutzer:innen der Plattform und deren Mitarbeitende;
Mitarbeiter:innen und Beauftragte von Unternehmen, Agenturen oder Marken;

5. Rechte und Pflichten des Verantwortlichen

5.1. Der Verantwortliche ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art 6 Abs 1 DSVGO (Regelungen zur "Rechtmäßigkeit der Verarbeitung") sowie für die Wahrung der Rechte der betroffenen Personen nach den Art 12 bis 22 DSGVO (Regelungen zu den "Rechten der Betroffenen" im Umgang mit ihren personenbezogenen Daten) verantwortlich. Der Verantwortliche ist verpflichtet, alle solche Anfragen, sofern erkennbar ist, dass diese ausschließlich an den Auftragsverarbeiter gerichtet sind, unverzüglich an diesen weiterzuleiten.

5.2. Wenn der Verantwortliche Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse oder der Verarbeitung personenbezogener Daten feststellt, informiert er den Auftragsverarbeiter unverzüglich.

5.3. Alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters sind vom Verantwortlichen vertraulich zu behandeln, diese Verpflichtung bleibt nach Beendigung dieses Vertrages bestehen. Der Verantwortliche hat alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln.

5.4. Alle Weisungen sind in dokumentiertem elektronischem Format zu erteilen.

5.5. Der Verantwortliche darf sich regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen und von der Einhaltung der in diesem Vertrag festgelegten Verpflichtungen überzeugen.

6. Rechte und Pflichten des Auftragsverarbeiters

6.1. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.

6.2. Der Auftragsverarbeiter gewährleistet die Sicherheit der Verarbeitung durch Einhaltung und regelmäßige Evaluierung und Bewertung der Maßnahmen gemäß Anlage 2 zu dieser Auftragsverarbeitungsvereinbarung.

6.3. Der Auftragsverarbeiter ist zur Verschwiegenheit in Bezug auf alle personenbezogenen Daten, die ihm vom Verantwortlichen offengelegt werden, verpflichtet. Der Auftragsverarbeiter gewährleistet zudem, dass nur Mitarbeiter Zugang zu den personenbezogenen Daten des Verantwortlichen erhalten, die diese Daten zur Erfüllung der Auftragsverarbeitungsvereinbarung zwingend benötigen. Diese Mitarbeiter sind zudem vertraglich zur Verschwiegenheit verpflichtet und dürfen Daten nur auf Grund einer ausdrücklichen Anordnung durch den Auftragsverarbeiter übermitteln. Diese Verpflichtung gilt insbesondere auch nach Beendigung des Arbeitsverhältnisses.

6.4. Der Auftragsverarbeiter wird den Verantwortlichen bei der Beantwortung von Anträgen von Betroffenen in Ausübung der Rechte nach Kapitel III DSGVO angemessen unterstützen. Sollten Anträge von Betroffenen irrtümlich beim Auftragsverarbeiter einlangen, so hat dieser die Anträge umgehend an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter wird dem Verantwortlichen alle Daten, Dokumente und Informationen zur Verfügung stellen, die dem Auftragsverarbeiter vorliegen, sofern der Verantwortliche diese zur Beantwortung der Anfrage benötigt.

6.5. Der Auftragsverarbeiter wird den Verantwortlichen von der Verletzung personenbezogener Daten ("Data Breach") unverzüglich informieren, damit der Verantwortliche seinen Meldepflichten gegenüber der Aufsichtsbehörde nachkommen kann.

6.6. Die Meldung des Auftragsverarbeiters hat insbesondere folgende Informationen zu enthalten: Zeitpunkt des Bekanntwerdens der Verletzung personenbezogener Daten, Ursache für die Verletzung personenbezogener Daten, Beschreibung der betroffenen personenbezogener Daten nach Kategorien, getroffene Maßnahmen zum Zeitpunkt der Verletzung und getroffene Gegenmaßnahmen zur Verhinderung einer weiteren Verletzung.

6.7. Der Auftragsverarbeiter ist nach Wahl des Verantwortlichen verpflichtet, alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern der Auftragsverarbeiter nicht nach europäischem oder nationalem Recht zur Speicherung verpflichtet ist.

6.8. Der Auftragsverarbeiter ist berechtigt, Kopien der personenbezogenen Daten zurückzuhalten, sofern eine Speicherung automatisiert aus technischen Gründen erfolgte und die Kopien entsprechend verschlüsselt oder gesondert verwahrt werden. In diesem Fall hat der Auftragsverarbeiter jedoch mitzuteilen, wie lange diese Speicherung aufbewahrt werden.

6.9. Der Auftragsverarbeiter hat dem Verantwortlichen auf dessen Verlangen alle Dokumente und Informationen zur Verfügung zu stellen, die der Verantwortliche benötigt, um die Einhaltung der datenschutzrechtlichen Pflichten durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter hat angeforderte Informationen umgehend an den Verantwortlichen zu übermitteln. Der Verantwortliche ist berechtigt, mit angemessener Vorankündigung eine Inspektion beim Auftragsverarbeiter zu den gewöhnlichen Geschäftszeiten durchzuführen und sich von der Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragsverarbeiter zu überzeugen. Der Auftragsverarbeiter wird dem Verantwortlichen diese Leistungen nach tatsächlichem Aufwand auf Stundensatzbasis zu einem angemessenen Entgelt verrechnen.

6.10. Der Auftragsverarbeiter ist verpflichtet, im Bereich der Auftragsverarbeitungsvereinbarung mit der Aufsichtsbehörde – nach vorheriger Abstimmung und Freigabe durch den Verantwortlichen – zusammenzuarbeiten und diese angeforderten Informationen zu erteilen. Sollte die Aufsichtsbehörde Inspektionen oder Kontrollen beim Auftragsverarbeiter durchführen, so hat der Auftragsverarbeiter den Verantwortlichen umgehend zu verständigen.

7. Subauftragsverarbeiter

7.1. Dem Auftragsverarbeiter wird die allgemeine Genehmigung erteilt, Subauftragsverarbeiter zur Leistungserbringung hinzuzuziehen. Der Auftragsverarbeiter wird eine jeweils aktuelle Liste der hinzugezogenen Subauftragsverarbeiter unter dem am Ende dieser Vereinbarung genannten Link veröffentlichen.

7.2. Der Auftragsverarbeiter informiert den Verantwortlichen über den Austausch oder das Hinzuziehen weiterer Subauftragsverarbeiter durch besondere Kennzeichnung des neuen Subauftragsverarbeiters an der in Punkt 7.1 genannten Stelle. Der Auftragsverarbeiter ist nicht verpflichtet, den Verantwortlichen darüber hinaus auf eine Änderung hinzuweisen, behält sich eine solche Information jedoch ausdrücklich vor. Der Verantwortliche ist korrespondierend dazu verpflichtet, in regelmäßigen Abständen, zumindest alle 14 Tage Einsicht in die Liste der Subauftragsverarbeiter zu nehmen.

7.3. Der Verantwortliche kann der Hinzuziehung des neuen oder geänderten Subauftragsverarbeiters bei Vorliegen eines sachlichen Grundes widersprechen. Im Falle des Widerspruchs kann der Auftragsverarbeiter nach seiner Wahl (a) von der Hinzuziehung des Subauftragsverarbeiters absehen oder (b) den Vertrag mit dem Verantwortlichen unter Einhaltung einer Kündigungsfrist von sieben Tagen kündigen, ohne dass der Verantwortliche hieraus Ansprüche ableiten kann. Widerspricht der Verantwortliche nicht binnen einer Frist von 14 Tagen ab Veröffentlichung des Subauftragsverarbeiters, so gilt

7.4. Zieht der Auftragsverarbeiter Subauftragsverarbeiter zur Leistungserbringung hinzu, so schließt der Auftragsverarbeiter entsprechende Vereinbarungen nach Art 28 Abs 4 DSGVO ab. In dieser Vereinbarung sind den Subauftragsverarbeitern die gleichen Datenschutzpflichten aufzuerlegen, denen der Auftragsverarbeiter unterliegt. Kommt der Subauftragsverarbeiter seinen Pflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für das Verhalten des Subauftragsverarbeiters.

8. Technische und organisatorische Maßnahmen

8.1. Der Auftragsverarbeiter muss technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DSGVO) entsprechen.

8.2. Die technischen und organisatorischen Maßnahmen haben die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

8.3. Vom Auftragnehmer müssen alle erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen treffen.

8.4. In Anlage 1 sind die technischen und organisatorischen Maßnahmen beschrieben, der Anhang ist Bestandteil der Vereinbarung.

8.5. Der Auftragnehmer darf die getroffenen Sicherheitsmaßnahmen verändern, es muss jedoch sichergestellt sein, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

9. Haftung

9.1. Die Haftung des Auftragsverarbeiters für leichte Fahrlässigkeit ist ausgeschlossen. Ebenso besteht keine Haftung des Auftragsverarbeiters für mittelbare Schäden, Mangelfolgeschäden, Datenverlust oder entgangenen Gewinn.

9.2. Der Auftragsverarbeiter haftet insbesondere nicht dafür, dass eine entsprechender Rechtfertigungstatbestand gemäß Art 6 DSGVO im Verhältnis zwischen Verantwortlichem und Betroffenem vorliegt. Wird der Auftragsverarbeiter durch Dritte in Anspruch genommen, hält der Verantwortliche den Auftragsverarbeiter schad- und klaglos.

10. Schlussbestimmungen

10.1. Die Parteien vereinbaren, dass auf diese Vereinbarung österreichisches Recht unter Ausschluss der Kollisionsnormen und des UN-Kaufrechts zur Anwendung gelangen soll.

10.2. Die Parteien vereinbaren die ausschließliche Zuständigkeit des Gerichts in A-6020 Innsbruck.

10.3. Bei Widersprüchen zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag gelten die Bestimmungen der Auftragsverarbeitungsvereinbarung vorrangig.

10.4. Änderungen dieser Vereinbarung bedürfen der Schriftform, was ebenfalls für ein Abgehen von der Schriftform gilt. Die Parteien vereinbaren zudem, dass auch ein E-Mail die Erfordernisse der Schriftform erfüllen soll.

10.5. Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so berührt dies nicht die Gültigkeit des übrigen Vertrags. Die unwirksame Bestimmung ist durch eine Bestimmung zu ersetzen, die wirksam ist und dem wirtschaftlichen Willen der Parteien zum Zeitpunkt des Abschlusses der Vereinbarung am nächsten kommt.

Anlagen

Anlage 1 — Technische und organisatorische Maßnahmen des Auftragsverarbeiters, die in ihrer jeweils gültigen Fassung unter [Link] abrufbar sind.

Anlage 2 — Liste der Subauftragsverarbeiter, die in ihrer jeweils gültigen Fassung unter [Link] abrufbar sind.