Menü

Hinweis zur Datenschutzerklärung

Unsere Datenschutzerklärung und Kontaktdetails unseres Datenschutzmanagers können Sie auf unserer Webseite abrufen unter: www.stelecom.at/datenschutz


Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO

Version V40322002

Zwischen stelecom, Inh. Martin Baust, A-1210 Wien, Floridsdorfer Hauptstraße 21/2/7 als Auftragsverarbeiter im Folgenden Auftragnehmer genannt und
dem Verantwortlichen im Folgenden Auftraggeber genannt.


1. Gegenstand der Vereinbarung

(1) Gegenstand

., Der Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

branchenübliche Installation, Konfiguration, Programmierung und Wartung der Telefonanlage, deren Programmiersoftware, weiters und nur sofern mit dem Auftragnehmer vertraglich die Betreuung vereinbart wurde eventuell vorhandene CTI-Software und Zusatzgeräte und Programmiersoftware der Zusatzgeräte.

Service, Störungsbehebung, ggf.Erstellung und Sicherung (Speicherung) etwaiger Backups von der Telefonanlage und deren Zusatzgeräte, Pflege, Wartung und Änderung von in der Telefonanlage und Nebenstellen integrierten Telefonbüchern mit ausschließlich vom Auftraggeber zur Verfügung gestellten Daten, Änderungen von Parametern und Einstellungen, sowie jegliche Art von auftragsbezogener (z.B.telefonischer) Hilfestellung für den Auftraggeber.

(2) Art und Zweck der Verarbeitung von Daten

., Nähere Beschreibung des Auftrages in Hinblick auf Art und Zweck der vorgesehenen Verarbeitung durch den Auftragnehmer:

Dem Auftraggeber wird durch Kenntnis des Auftragnehmers über die Programmierung (Daten) der Anlage im Bedarfsfall möglichst rasche Hilfe gewährt, bei den in Punkt 1(1) angeführten Tätigkeiten, per Fernwartungszugriff (sofern technisch möglich) als auch vor Ort, die Dateien können ausgelesen, verändert, beim Auftraggeber wieder eingespielt und gespeichert (Gesamtbackup) werden um dem Auftraggeber schnellstmöglich helfen zu können. Eine etwaig gespeicherte Backupdatei (sofern möglich und vorhanden) zum Zwecke der raschen Hilfe oder Wiederherstellung eines Telefonanlagensystems liegt im Interesse des Auftraggebers.

(3) Art der Daten

., Folgende Datenkategorien werden verarbeitet:

. als Ihr Vertragspartner : Verwaltungsdaten

Kontakt- und Adressdaten, Stammdaten, Kommunikationsdaten, Kontaktpersonen, Vertragsdaten, Verrechnungsdaten, Bestelldaten, Kundenhistorie, Anfragen über unsere Supporthotline und Helpdesk

. als Ihr Dienstleister : für branchenübliche Betreuung der Telefonanlage und Zusatzgeräte

Passwort und Fernwartungszugang der Telefonanlage und Zusatzgeräte, Dokumentation der Anlage und Anschlüsse, Abteilungen, Rufgruppen, Konfigurationsdaten, Anschlussrufnummern, IP-Adressen der Telefonanlage sowie ggf.deren Zusatz- und Endgeräte, Mitarbeiterkontaktdaten, Kontaktdaten des Telefonanlagentelefonbuches und Funktionstasten, ggf. Emailadressen von Empfängern für Status-, Voice- und Faxmailfunktionen, ggf.erzeugte Daten des Kunden in verschiedenen Formaten für verschiedene Services, ggf.Gebührenerfassung, Anruflisten.

(4) Kategorien betroffener Personen

., Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

Ansprechpartner, Mitarbeiter, Kontakte im internen und externen Telefonbuch der Telefonanlage, auf Funktionstasten der Nebenstellen hinterlegte Kontakte, Kontakte denen Nebenstellen, Tasten oder Ziele (etwaige Rufumleitung) zugeordnet sind, Kontakte die Empfängern für Status-, Voice- und Faxmailfunktionen sind, alle als untrennbarer Bestandteil der Telefonanlagenprogrammierung und deren Zusatzgeräte.


2. Dauer dieser Vereinbarung

., Unbefristete Laufzeit

Die Vereinbarung ist auf unbestimmte Zeit abgeschlossen und kann von beiden Parteien mit einer Frist von 1 Monat gekündigt werden.


3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

(3) Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

(4) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen).

(5) Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

(6) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen).

(7) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation.

(8) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat.

(9) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

(10) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen in dessen Auftrag zu vernichten. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

(11) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.


4. Technisch-organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen (TOMs) unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.

Einzelheiten sind dem Anhang zu entnehmen.


5. Ort der Durchführung der Datenverarbeitung

., Ausschließliche Durchführung innerhalb der EU/des EWR

Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.


6. Sub-Auftragsverarbeiter

., Der Auftragnehmer kann Sub-Auftragsverarbeiter zur unmittelbaren Erbringung der Hauptdienstleistung hinzuziehen.

Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

• der Auftragnehmer dies dem Auftraggeber eine angemessene Zeit vorab schriftlich anzeigt und

• der Auftraggeber nicht gegenüber dem Auftragnehmer schriftlich Einspruch gegen die geplante Auslagerung erhebt und

• die erforderlichen Vereinbarungen zwischen dem Auftragnehmer und dem Sub-Auftragsverarbeiter gemäß des Art. 28 Abs. 2-4 DSGVO abgeschlossen wurden. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.


Anhang – Technisch-organisatorische Maßnahmen (TOMs)

Vertraulichkeit

• Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen mittels Schlüssel, elektrischer Türöffner, Alarmanlage

• Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen

• Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems mittels Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten

Integrität

• Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport mittels Verschlüsselung, Virtual Private Networks (VPN)

Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen


Zum Seitenanfang