.svg)
Der Verantwortliche (für die Verarbeitung verantwortliche Kunde):
Praxis Dr. Max Mustermann
Musterstraße 1
1234 Musterstadt
Musterland
(im Folgenden Auftraggeber)
Der Auftragsverarbeiter:
WHAZ Innovations Plus GmbH
Handelskai 94-96 / 23rd & 24th floor
1200 Wien
Österreich
(im Folgenden Auftragnehmer)
Diese Auftragsverarbeitungsvereinbarung ist integraler Bestandteil der allgemeinen Geschäftsbedingungen des Auftragnehmers oder anderer Verträge zwischen Auftraggeber und Auftragnehmer, die unter den AGBs abrufbar sind. Sie gilt zwischen dem Auftraggeber und dem Auftragnehmer immer dann, wenn der Auftragnehmer im Rahmen der Nutzung seiner Dienste personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.
1.1 Der Auftragnehmer ist ein Unternehmen welches folgenden Leistungen anbietet:
1.2 Der Auftraggeber ist ein Unternehmen, welches plant, die Dienstleistungen des Auftragnehmers in den genannten Bereichen in Anspruch zu nehmen.
1.3 Diese Auftragsverarbeitungsvereinbarung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch den Auftragnehmer unter Billigung des Auftraggebers in Übereinstimmung mit der Datenschutzgrundverordnung (DSGVO) fest. Der Auftragnehmer handelt als Auftragsverarbeiter im Sinne der DSGVO.
2.1 Die Leistungen des Auftragnehmers sind in den allgemeinen Geschäftsbedingungen (AGBs) des Auftragnehmers beschrieben.
2.2 Im Zuge der Leistungserbringung stellt der Auftraggeber dem Auftragnehmer die für die Leistungserbringung erforderlichen personenbezogenen Daten auf dem jeweiligen Fall geeigneten Weg zur Verfügung. Beispielsweise auf elektronischem oder physischem Weg, über Gespräche und Analysen, der Ausübung anderer vertraglich geregelter Tätigkeiten, auf mündlichem Weg oder über Software-Tools.
2.3 Die Verarbeitung personenbezogener Daten kann insbesondere durch Organisation, Ordnen, Speicherung sowie gegebenenfalls Anpassung oder Veränderung, Abfragen, Verknüpfung, Einschränkung, Löschen, Kombination, Kopieren, Ausblenden, Verbindung, Analyse, Lesen, Empfangen, Senden, Aktualisierung erfolgen, soweit dies jeweils für die Erbringung der vereinbarten Leistungen erforderlich ist.
2.4 Der Zweck der Verarbeitung besteht in der vertraglich festgelegten Leistungserbringunggegenüber dem Auftraggeber.
2.5 Der Auftragnehmer ist nicht verpflichtet, die Rechtmäßigkeit der zugrundeliegenden Datenverarbeitungen des Auftraggebers zu prüfen.
3.1 Im Rahmen der vereinbarten Leistungen können die personenbezogenen Daten verarbeitet werden, die für die Leistungserbringung erforderlich sind. Insbesondere können die folgenden Daten sein:
• KI-Prompts und andere KI-bezogene Informationen
• Zahlungsdaten
• Telefonkonversationsdaten
• Abodaten
• Authentifizierungsdaten
• Rechnungsdaten
• Informationen, welche SIe uns per E-Mail übermitteln
• Technische Informationen
• Kommunikationsdaten
• Telefonie-Metadaten
• Daten im Zusammenhang mit der Servicequalität
• Freiwillig bereitgestellte Daten
• Identifikations-Daten
• Log-Daten
• Konfigurationsdaten
• Cookies und ähnliche Technologien
• Informationen, welche Sie als Freitext zur Verfügung stellen
• Für Fehleranalyse relevantes Nutzerverhalten
• Kontakdaten
• Daten in Verbindung mit der Effizienz und Effektivität von Support-Aktivitäten
• Geräte-Informationen
• Telefonnummern
• Technische Zugangsdaten (zum Beispiel API-Keys)
• Daten zur Interaktion mit Newslettern
• Audio Sprachdaten
3.2 Von der Verarbeitung sind grundsätzlich alle für die Erbringung der vereinbarten Leistungennotwendigen besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) umfasst. Insbesondere können die folgenden besonderen Kategorien von personenbezogenen Daten imRahmen der vereinbarten Leistungserbringung verarbeitet werden:
• Gesundheitsdaten
3.3 Von der Verarbeitung sind grundsätzlich alle für die Erbringung der vereinbarten Leistungennotwendigen Kategorien von Betroffenen erfasst. Insbesondere fallen darunter die folgenden Kategorien betroffener Personen:
• Patienten
• Kunden
• Unter Vertrag stehende Dritte des Kunden
• Besitzer:innen von tierischen Patienten
• Mitarbeiter:innen des Kunden
3.4 Angesichts der Art der vereinbarten Leistungen erkennt der Auftraggeber an, dass der Auftragnehmer die Liste der Kategorien betroffener Personen weitgehend weder überprüfen noch pflegen kann. Daher verpflichtet sich der Auftraggeber, den Auftragnehmer über alle erforderlichen Änderungen an der Liste der Kategorien betroffener Personen zu informieren.
3.5 Der Auftragnehmer wird die personenbezogenen Daten des Auftraggebers im Hinblick auf alle vorstehend aufgeführten betroffenen Personen in Übereinstimmung mit den vereinbarten Leistungen verarbeiten. Falls aufgrund von Änderungen an der Liste der Kategorien betroffener Personen Änderungen an den vereinbarten Verarbeitungen erforderlich werden, wird der Auftraggeber dem Auftragnehmer dementsprechende zusätzliche Weisungen erteilen.
4.1 Der Auftragnehmer verpflichtet sich, während der gesamten Leistungserbringung sämtliche Vorgaben der DSGVO einzuhalten.
4.2 Der Auftragnehmer verpflichtet sich, personenbezogene Daten nur auf schriftliche Anweisung in Form eines Vertrags mit dem Auftraggeber zu verarbeiten. Abweichungen von diesen Weisungen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers.
4.3 Der Auftragnehmer verarbeitet die personenbezogenen Daten nach dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit c DSGVO und daher nur so weit, als dies zur Erbringung der vereinbarten Leistungen erforderlich ist.
4.4 Der Zugriff auf personenbezogene Daten des Auftraggebers wird ausschließlich jenen Personen erteilt, welche diesen Zugriff aufgrund vertraglicher oder gesetzlicher Bestimmungen benötigen.
4.5 Alle Personen aufseiten des Auftragnehmers, welche Zugriff auf personenbezogene Daten des Auftraggebers haben, sind zur Verschwiegenheit zu verpflichten. Insbesondere bleibt die Verschwiegenheitspflicht der mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
4.6 Der Auftragnehmer ist verpflichtet, alle geeigneten, angemessenen und dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen zu ergreifen und aufrechtzuerhalten, um die Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten.
4.7 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner Verpflichtungen aus der DSGVO, insbesondere in Bezug auf die Rechte der betroffenen Personen.
4.8 Sofern gesetzliche Bestimmungen nicht entgegenstehen, wird der Auftragnehmer den Auftraggeber unverzüglich informieren, wenn er eine Information oder Mitteilung einer betroffenenPerson, der Datenschutzaufsichtsbehörde oder einer sonstigen Behörde oder eines Dritten erhält und diese Information oder Mitteilung in unmittelbarem oder mittelbarem Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung steht.
4.9 Im Zusammenhang mit der beauftragten Datenverarbeitung wird der Auftragnehmer den Auftraggeber – soweit gesetzlich erforderlich – bei der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten, bei der Durchführung der Datenschutzfolgeabschätzung sowie gegebenenfalls bei vorherigen Konsultationen mit der Datenschutzaufsichtsbehörde iSv Art. 36 DSGVO unterstützen und alle dafür notwendigen Angaben machen und Informationen erteilen. Darüber hinaus wird der Auftragnehmer ein eigenes Verzeichnis der Verarbeitungstätigkeiten führen und, sofern erforderlich, Datenschutzfolgenabschätzungen vornehmen und einen Datenschutzbeauftragten bestellen.
4.10 Der Auftragnehmer hat den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, zu informieren, wenn die an ihn überlassenen personenbezogenen Daten unrechtmäßig verwendet wurden und/oder den Betroffenen Schaden droht. Er stellt dem Auftraggeber alle notwendigen Informationen zur Verfügung, damit der Auftraggeber seinen Meldepflichtengegenüber den betroffenen Personen gemäß den Datenschutzgesetzen nachkommen kann.
4.11 Jede Übermittlung von personenbezogenen Daten durch den Auftragnehmer an ein Drittland oder eine internationale Organisation erfolgt im Einklang mit dem Unions- oder nationalem Recht und muss insbesondere mit den Bestimmungen der DSGVO im Einklang stehen.
4.12 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
5.1 Je nach vertraglich vereinbarter Leistungserbringung wird eine spezifische Liste zugelassener Subauftragsverarbeiter in die Datenverarbeitung einbezogen.
5.2 Durch die Nutzung von Subauftragsverarbeitern kann eine Datenübertragung in Drittländer erfolgen. Der Auftragnehmer stellt sicher, dass bei einer Übermittlung personenbezogener Datenin Drittländer die Anforderungen der Art. 44–49 DSGVO eingehalten werden und informiert den Auftraggeber über die jeweils eingesetzten Garantien (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss).
5.3 Eine Liste der vom Auftraggeber bei Abschuss der Vereinbarung genehmigten Subauftragsverarbeiter ist in Anlage 1 enthalten.
5.4 Zwischen dem Auftragnehmer und dem Subauftragsverarbeiter muss ein Vertrag gemäß Art. 28 Abs. 4 DSGVO geschlossen werden. Der Subauftrag muss den datenschutzrechtlichen Bestimmungen im selben Umfang Rechnung tragen, wie diese zwischen dem Auftraggeber und dem Auftragnehmer in dieser Vereinbarung vereinbart wurden, und die Datenverarbeitung darf nur zu dem in der jeweils gesondert beauftragten Leistung angegebenen Zweck erfolgen.
5.5 Der Auftragnehmer hat die Subauftragsverarbeiter regelmäßig auf die Einhaltung der nach dieser Auftragsverarbeitungsvereinbarung geltenden Datenschutzpflichten zu prüfen. Sollte dem Auftragnehmer im Rahmen dieser Prüfung zur Kenntnis gelangen, dass der Subauftragsverarbeiter die ihm nach dieser Auftragsverarbeitungsvereinbarung treffenden Datenschutzpflichten nicht oder nicht ausreichend erfüllt, hat er den Auftraggeber unaufgefordert und umgehend darüber zu informieren.
5.6 Die Weitervergabe an Subauftragsverarbeiter oder die Änderung der bestehendenSubauftragsverarbeiter sind zulässig, sofern:
• der Auftragnehmer eine solche Weitervergabe an Subauftragsverarbeiter mindestens zwei Wochen im Voraus schriftlich oder in Textform ankündigt und
• der Auftraggeber bis zum Zeitpunkt der Übermittlung der Daten an den Auftragnehmerschriftlich oder in Textform keine Einwände gegen die geplante Auslagerung erhebt. Im Falle eines Widerspruchs gegen die geplante Einbindung eines Subauftragsverarbeiters darf dieser nicht eingesetzt werden, solange keine Einigung erzielt wurde.
6.1 Der Auftragnehmer gestattet dem Auftraggeber oder den von ihm benannten Vertretern die Durchführung von Audits und Inspektionen, um die Einhaltung der Bestimmungen dieser Auftragsverarbeitungsvereinbarung zu überprüfen. Solche Audits sind mit angemessener Vorankündigung durchzuführen und dürfen den Betrieb des Auftragnehmers nicht unangemessen beeinträchtigen. Es ist dem Auftraggeber bekannt, dass allfällige Inspektionen bei Subauftragsverarbeitern mit diesen Subauftragsverarbeitern direkt abzustimmen sind und der Auftragnehmer keinen Einfluss auf die dabei angewendeten Bestimmungen hat.
6.2 Alle externen Prüfer unterliegen einer Vertraulichkeitsvereinbarung.
6.3 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung und arbeitet mit ihm zusammen, um die Einhaltung der DSGVO nachzuweisen.
7.1 Diese Auftragsverarbeitungsvereinbarung bleibt für die Dauer der Datenverarbeitungstätigkeiten in Kraft und endet mit dem Abschluss der Leistungserbringung oder wie von den Parteien anderweitig vereinbart.
7.2 Bei Beendigung der Auftragsverarbeitersvereinbarung (oder auch jederzeit vorher überentsprechendes Verlangen des Auftraggebers) wird der Auftragnehmer die verarbeiteten personenbezogenen Daten (einschließlich allfälliger Kopien) nach freier Wahl des Auftraggebers entweder selbst vernichten oder zur Gänze an den Auftraggeber übergeben, sofern dem keine gesetzlichen oder vertraglichen Pflicht zur Aufbewahrung entgegensteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung aller Vorgaben. Sollte sich der Auftraggeber hinsichtlich der Vorgehensweise nicht äußern, wird der Auftragnehmer die Daten, vorbehaltlich von gesetzlichen oder vertraglichen Pflichten zur Aufbewahrung, sechs Monate nach Beendigung der Vereinbarung vernichten.
7.3 Der Auftragnehmer ist gleichermaßen verpflichtet, die Vernichtung oder Übergabe durchallfällige Subauftragsverarbeiter herbeizuführen.
8.1 Änderungen und Ergänzungen dieser Auftragsverarbeitungsvereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form (Textform) erfolgen kann, sowie der ausdrücklichen Angabe, dass es sich um eine Änderung oder Ergänzung dieser Auftragsverarbeitungsvereinbarung handelt. Dies gilt auch für den Verzicht auf diese Formvorschrift.
8.2 Diese Auftragsverarbeitungsvereinbarung unterliegt dem geltenden Recht in Österreich und ist nach diesem auszulegen. Gerichtsstand ist Wien.
8.3 Sollten einzelne Bestimmungen dieser Auftragsverarbeitervereinbarung ungültig oder undurchsetzbar sein oder werden, so bleibt der Rest der Auftragsverarbeitungsvereinbarung davon unberührt. Diese Bestimmungen gelten als durch gültige und durchsetzbare Regelungen ersetzt, die den von den Vertragsparteien beabsichtigten, wirtschaftlichen Zweck am ehesten erreichen.
Anhang 1: Subauftragsverarbeiter
• Sendinblue GmbH (Brevo), Köpenicker Straße 126, 10179 Berlin, Deutschland
• Twilio Inc., 101 Spear Street, First Floor, 94105 San Francisco, California, Vereinigte Staaten
• Eleven Labs Inc., 169 Madison Ave #2484, NY 10016 New York, New York, Vereinigte Staaten
• Microsoft Corporation, One Microsoft Way, 98052 Redmond, Washington, Vereinigte Staaten
• Stripe, Inc., 510 Townsend St, 94103 San Francisco, California, Vereinigte Staaten
• A1 Telekom Austria AG, Lassallestraße 9, 1020 Wien, Österreich