1. Gegenstand der Vereinbarung

   1. Die vorliegende Vereinbarung stellt die vertragliche Basis für die Auftragsverarbeitung gemäß Artikel 28 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden auch „DSGVO“ genannt) dar und regelt die Rechte und Pflichten der Vertragsparteien im Hinblick auf eine datenschutzkonforme Auftragsverarbeitung. Die vorliegende Vereinbarung konkretisiert somit den zwischen dem Auftraggeber (als Verantwortlichen nach Artikel 4 Abs. 7 DSGVO) und dem Auftragnehmer (als Auftragsverarbeiter nach Artikel 4 Abs. 8 DSGVO) abgeschlossenen Nutzungsvertrag (im Folgenden auch „Nutzungsvertrag“ genannt) bezüglich der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Zuge der Nutzung der von MAD Tech zur Verfügung gestellten Web-Applikation blankmile (im Folgenden „blankmile“ genannt).

   2. Der Verantwortliche und der Auftragsverarbeiter haben gemäß Art 28 DSGVO eine Vereinbarung zur Auftragsverarbeitung abzuschließen. Dieser Verpflichtung wird mit der gegenständlichen Vereinbarung entsprochen

   3. In der gegenständlichen Vereinbarung wird explizit auf die DSGVO als Rechtsgrundlage Bezug genommen. Die entsprechenden Bestimmungen des DSG gelten sinngemäß. Sofern das DSG von der DSGVO abweichende Vorschriften vorsieht, wird explizit darauf hingewiesen.

2. Gegenstand

   1. Der Auftragsverarbeiter bietet die Web-Applikation blankmile an, die es Unternehmen erlaubt, mit ihren Mitarbeitern und Kunden über einen Videoservice mit Hilfe von Audio- und Videotechnologie zu kommunizieren und dabei spezielle Funktionen von blankmile zu nutzen. Dabei werden u.A. auch personenbezogene Daten von Kunden, Geschäftspartnern und Mitarbeitern des Verantwortlichen auf Web-Applikation blankmile hochgeladen, und dabei dauerhaft oder temporär gespeichert und verarbeitet.

   2. Der Zweck der Auftragsverarbeitung ist daher die Verarbeitung von personenbezogenem Daten im Zuge der Nutzung der Web-Applikation blankmile durch den Verantwortlichen in datenschutzkonformer Form.

   3. Im Zuge der Auftragsverarbeitung verarbeitet MAD Tech nachstehende personenbezogene Datenkategorien:

- Foto- und Videoaufnahmen;

- Personenstammdaten;

- Kontaktdaten;

- Vertragsdaten;

- Vertragsabrechnungs- und Zahlungsdaten;

- Technische Daten;

Standortdaten.

4. Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

- Kunden;

- Mitarbeitende;

- Partner.

5. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen werden in den AGB von blankmile auf der Seite www.blankmile.at, www.blankmile.de sowie www.blankmile.com beschrieben

3. Dauer

   1. Diese Vereinbarung beginnt ab Bestätigung des Auftrages durch den Auftragsverarbeiter und gilt für die Dauer des Nutzungsvertrages.

   2. Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.

4. Ort der Verarbeitung

   1. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union statt und erfolgt über Server der Microsoft Azure Cloud, die sich innerhalb der europäischen Union (EU) befinden.

   2. Eine Verarbeitung der Daten in einem Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.

5. Pflichten des Verantwortlichen

   1. Der Auftraggeber ist als Verantwortlicher zur Einhaltung der datenschutzrechtlichen Bestimmungen nach der DSGVO bzw. anderen einschlägigen Vorschriften zum Datenschutz verpflichtet. Der Auftraggeber ist insbesondere verpflichtet, die Grundsätze der Datenverarbeitung gemäß Art 5 DSGVO einzuhalten und die Rechte und Ansprüche der Betroffenen, insbesondere nach Art 12 bis 22 DSGVO, zu wahren.

   2. Sollten besondere Kategorien personenbezogener Daten gemäß Art 9 DSGVO auf die Server des Verantwortlichen hochgeladen und gespeichert werden, verpflichtet sich der Verantwortliche zur Einhaltung der rechtmäßigen Verarbeitung gemäß Art 9 Abs 2 DSGVO.

   3. Der Verantwortliche hat gemäß Art 28 Abs 3 lit a DSGVO und Art 29 DSGVO ein Weisungsrecht. Die Weisungen sind in schriftlicher Form zu erteilen.

6. Pflichten des Auftragsverarbeiters

   1. MAD Tech ist als Auftragsverarbeiter zur Einhaltung der datenschutzrechtlichen Bestimmungen nach der DSGVO bzw. anderen einschlägigen Vorschriften zum Datenschutz verpflichtet.

   2. Der Auftragsverarbeiter hat insbesondere geeignete technische und organisatorische Sicherheitsmaßnahmen im Sinne der DSGVO zu treffen.

   3. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei den zu treffenden Maßnahmen in Bezug auf die Datensicherheit gemäß Art 32 DSGVO, bei gegebenenfalls nötigen Meldungen an die Aufsichtsbehörde gemäß Art 33 DSGVO, bei Benachrichtigungen Betroffener gemäß Art 34 DSGVO, bei der Durchführung von Datenschutz-Folgeabschätzungen gemäß Art 35 DSGVO sowie bei der Abstimmung mit Aufsichtsbehörden gemäß Art 36 DSGVO – nach den ihm zur Verfügung stehenden Informationen – zu unterstützen.

   4. Der Auftragsverarbeiter verpflichtet sich, die in Punkt 2 dieser Vereinbarung genannten personenbezogenen Daten und Verarbeitungsergebnisse ausschließlich aufgrund von dokumentierten Weisungen des Verantwortlichen und/oder im Rahmen des Nutzungsvertrages zu verarbeiten und bei der Verarbeitung sämtliche Datenschutzvorschriften einzuhalten. Erachtet der Auftragsverarbeiter eine Weisung des Verantwortlichen als rechtswidrig, ist er verpflichtet, den Verantwortlichen umgehend schriftlich zu informieren. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird.

   5. Eine Nutzung der Daten für eigene Zwecke des Auftragsverarbeiters oder sonstige auftragsfremde Zwecke ist unzulässig. Der Auftragsverarbeiter erwirbt keinerlei Rechte an den vom Verantwortlichen zur Verfügung gestellten oder im Auftrag erhobenen Daten. Insbesondere ist der Auftragsverarbeiter nicht zur Weitergabe von Daten an Dritte berechtigt, sofern keine gesetzlichen oder vertraglichen Verpflichtungen eine Weitergabe ausdrücklich vorsehen.

   6. Erhält der Auftragsverarbeiter einen behördlichen Auftrag Daten des Verantwortlichen herauszugeben, so hat er – sofern gesetzlich zulässig – den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen.

   7. Der Auftragsverarbeiter verpflichtet sich, Sicherungen und Kopien der Daten nur vorzunehmen, wenn dies zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung bzw. zur Einhaltung der gesetzlichen Aufbewahrungspflichten erforderlich ist.

   8. Der Auftragsverarbeiter hat ein schriftliches bzw. elektronisches Verzeichnis über alle Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Art 30 Abs 2 DSGVO zu führen.

   9. Der Auftragsverarbeiter wird den Verantwortlichen im Falle schwerwiegender Störungen des Betriebsablaufes, Verdacht auf Datenschutzverletzungen oder anderer Unregelmäßigkeiten bei der Verarbeitung der Daten des Verantwortlichen unverzüglich unterrichten. Darüber hinaus ist der Auftragsverarbeiter verpflichtet dem Verantwortlichen jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Verantwortlichen mitzuteilen. Ebenso unterrichtet der Auftragsverarbeiter den Verantwortlichen im Falle einer Prüfung durch die Aufsichtsbehörde, soweit sich diese auf Daten des Verantwortlichen bezieht.

7. Technische und organisatorische Sicherheitsmaßnahmen

   1. Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er ist verpflichtet, alle gemäß Artikel 32 DSGVO erforderlichen technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen zu treffen. Insbesondere wird er technische und organisatorische Maßnahmen treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dies gilt auch für die Inanspruchnahme eines Subauftragsverarbeiters gemäß dieser Vereinbarung. Der Auftragnehmer bzw. der Subauftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten, die den Anforderungen der DSGVO, insbesondere nach Art 32 DSGVO, genügen.

   2. Die erforderlichen technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist der Auftragnehmer berechtigt, alternative adäquate Maßnahmen umzusetzen.

   3. Dem Verantwortlichen sind die vom Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen bekannt. Der Verantwortliche trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten.

   4. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Bedarf bei der Wahrnehmung der diesen gemäß Art 32 bis 36 DSGVO treffenden Pflichten, wovon insbesondere, jedoch nicht ausschließlich, die Setzung von Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen sowie gegebenenfalls die Erstellung einer Datenschutz-Folgenabschätzung umfasst ist.

   5. Der Auftragsverarbeiter ergreift die technischen und organisatorischen Maßnahmen, damit der Verantwortliche die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen alle dafür notwendigen Informationen. Sofern ein solcher Antrag an den Auftragsverarbeiter gerichtet wird, leitet ihn dieser umgehend an den Verantwortlichen weiter.

8. Kontrollrechte Verantwortlicher

   1. Der Verantwortliche hat das Recht, im Einvernehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen. Soweit nicht aus vom Verantwortlichen zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragsverarbeiters, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragsverarbeiter den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

   2. Kontrollen beim Auftragsverarbeiter haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen.

   3. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

9. Sub-Auftragsverarbeiter

   1. Der Auftragsverarbeiter darf im Zuge seiner Tätigkeit auf Grundlage dieses Vertrages Sub-Auftragsverarbeiter beauftragen. Sofern der Auftragsverarbeiter die Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters beabsichtigt, hat der den Verantwortlichen schriftlich davon zu verständigen. Die Verständigung hat rechtzeitig vorab zu erfolgen, sodass der Verantwortliche die Möglichkeit eines Einspruches gegen die beabsichtigte Änderung wahrnehmen kann.

   2. Der Auftragsverarbeiter schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragsverarbeiter auf Grund dieser Vereinbarung obliegen. Nimmt der der Sub-Auftragsverarbeiter seine Datenschutzpflichten nicht wahr, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

   3. Die Heranziehung eines Sub-Auftragsverarbeiters durch den Sub-Auftragsverarbeiter ist nicht gestattet.

   4. Die vom Auftragsverarbeiter beauftragen Auftragsverarbeiter sind insbesondere in der Beilage ./1 gelistet.

10. Vertraulichkeit

    1. Der Auftragsverarbeiter ist zur vertraulichen Behandlung der ihm gegenüber offengelegten bzw. ihm übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten, Informationen und Verarbeitungsergebnisse verpflichtet. Der Auftragsverarbeiter hat sämtliche ihm zurechenbare Personen, welche mit der Verarbeitung personenbezogener Daten befasst sind, zur Vertraulichkeit zu verpflichten, sofern diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw. Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort.

    2. Die Vertragsparteien, deren Organe, Vertreter, Mitarbeiter oder Erfüllungsgehilfen, verpflichten sich, alle gegenseitig mitgeteilten Vorgaben, Daten, Unterlagen, eigene oder gemeinsame Entwicklungsergebnisse, oder sonstige entwicklungs- oder betriebsbezogenen Informationen, während der Vertragsdauer und nachvertraglich zeitlich unbegrenzt, vertraulich zu behandeln und Dritten nicht mitzuteilen.

11. Löschung und Aufbewahrung von Daten

    1. Der Auftragsverarbeiter löscht die Daten, nach Beendigung der Verarbeitung und/oder auf Verlangen des Verantwortlichen. Wenn der Verantwortliche dies ausdrücklich verlangt, sind die personenbezogenen Daten an ihn zurückzugeben, sofern personenbezogene Daten vom Auftragsverarbeiter gespeichert wurden. Wenn der Auftragsverarbeiter die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Verantwortlichen in dem Format, in dem er die Daten vom Verantwortlichen erhalten hat oder in einem anderen, gängigen Format herauszugeben.

    2. Sicherungskopien sind (frühestens jedoch auch spätestens) 12 Monate nach Fertigstellung des Auftrags zu vernichten, sofern die Parteien nicht etwas anderes vereinbart haben. Gesetzliche vorgeschriebene Aufbewahrungsfristen für Geschäftsvorfälle bleiben hiervon unberührt. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

12. Haftung

    1. Die Haftung des Auftragsverarbeiters ist auf grobes Verschulden beschränkt. Die Haftung für bloße Vermögensschäden ist ausgeschlossen. Dessen ungeachtet haftet der Verantwortliche dem Auftragsverarbeiter für die Rechtmäßigkeit aller erteilten Weisungen und stellt ihn hinsichtlich aller aus der Befolgung einer Weisung resultierenden Schäden und Nachteile schad- und klaglos.

13. Schlussbestimmungen

    1. Rechte und Pflichten aus dieser Vereinbarung können ohne vorherige schriftliche Zustimmung der jeweils anderen Partei weder ganz noch teilweise abgetreten oder übertragen werden.

    2. Änderungen und Ergänzungen dieser Vereinbarung, einschließlich einer Änderung und/oder Ergänzung oder Aufhebung dieser Schriftformklausel, bedürfen der Schriftform.

    3. Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, so wird hiervon die Wirksamkeit der übrigen Bestimmungen dieser Vereinbarung nicht berührt. Anstelle der etwa unwirksamen Bestimmung soll vielmehr eine solche Bestimmung als vereinbart gelten, die dem von den Parteien mit der etwa unwirksamen Bestimmung verfolgten wirtschaftlichen Zwecks so nahe als rechtlich möglich kommt. Gleiches gilt für etwaige Vertragslücken.

    4. Für diese Vereinbarung sowie für alle Streitigkeiten, die im Zusammenhang mit dieser Vereinbarung entstehen können, gilt ausschließlich österreichisches materielles Recht unter Ausschluss der Kollisionsnormen des IPR und des UN-Kaufrechts. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist das sachlich zuständige Gericht in Linz.

Linz, am 06.07.2023.

Beilage ./1

Sub-Auftragsverarbeiter

Google Maps:

Sofern die optionale Funktion der Standort-Ortung durch Google Maps verwendet wird, kommt folgender Sub-Auftragsverarbeiter zur Anwendung:

Google Ireland Limited

Adresse: Gordon House, Barrow Street, Dublin 4, Irland

Da dieser Sub-Auftragsverarbeiter seinen Hauptsitz in den USA hat, kann aufgrund der dortigen Gesetzeslage nicht ausgeschlossen werden, dass trotz Datenspeicherung innerhalb der EU eine Datenübermittlung in die USA, bzw. ein Zugriff von US-Behörden auf die Daten, durchgeführt wird. Nach jüngster Rechtsprechung des Europäischen Gerichtshofs bieten die USA derzeit kein angemessenes Schutzniveau für den Datentransfer von der EU in die USA. Der Verantwortliche wird diese Funktion daher nur nutzen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.

Microsoft Azure Cloud:

Die Datenverarbeitung erfolgt über den Cloud-Anbieter Microsoft Azure Cloud. Dienstanbieter ist das US-Unternehmen Microsoft Corp. One Microsoft Way, Redmond, WA 98052-6399, USA. Die verwendeten Server der Azure Cloud befindet sich dabei in der europäischen Union.

Da dieser Sub-Auftragsverarbeiter seinen Hauptsitz in den USA hat, kann aufgrund der dortigen Gesetzeslage nicht ausgeschlossen werden, dass trotz Datenspeicherung innerhalb der EU eine Datenübermittlung in die USA, bzw. ein Zugriff von US-Behörden auf die Daten, durchgeführt wird. Nach jüngster Rechtsprechung des Europäischen Gerichtshofs bieten die USA derzeit kein angemessenes Schutzniveau für den Datentransfer von der EU in die USA. Der Verantwortliche wird diese Funktion daher nur nutzen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.

Twilio:

Der Zugangslink zu blankmile kann per SMS über den SMS-Anbieter Twilio Inc. 101 Spear Street, 5th Floor, San Francisco, California, 94105, USA übermittelt werden.

Da dieser Sub-Auftragsverarbeiter seinen Hauptsitz in den USA hat, kann aufgrund der dortigen Gesetzeslage nicht ausgeschlossen werden, dass trotz Datenspeicherung innerhalb der EU eine Datenübermittlung in die USA, bzw. ein Zugriff von US-Behörden auf die Daten, durchgeführt wird. Nach jüngster Rechtsprechung des Europäischen Gerichtshofs bieten die USA derzeit kein angemessenes Schutzniveau für den Datentransfer von der EU in die USA. Der Verantwortliche wird diese Funktion daher nur nutzen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.

Datenschutzerklärung Twilio:

https://www.twilio.com/en-us/legal/privacy

Stripe:

Zur Zahlungsabwicklung wird das Zahlungstool des amerikanischen Unternehmens und Online-Bezahldienstes Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland verwendet.

Datenschutzerklärung Stripe:

https://stripe.com/en-gb-at/privacy

Spryng:

Der Zugangslink zu blankmile kann per SMS über den SMS-Anbieter Spryng B.V., Bakkersstraat 23, 1017 CW Amsterdam, Niederland übermittelt werden.

Datenschutzerklärung Spryng:

https://www.spryng.de/datenschutzerklaerung/

Sentry:

Zur Fehleranalyse wird das Fehlermanagement-Tool Sentry des US-amerikanischen Unternehmens Sentry Inc., San Francisco, 132 Hatwhorne Street, San Francisco, USA.

Da dieser Sub-Auftragsverarbeiter seinen Hauptsitz in den USA hat, kann aufgrund der dortigen Gesetzeslage nicht ausgeschlossen werden, dass trotz Datenspeicherung innerhalb der EU eine Datenübermittlung in die USA, bzw. ein Zugriff von US-Behörden auf die Daten, durchgeführt wird. Nach jüngster Rechtsprechung des Europäischen Gerichtshofs bieten die USA derzeit kein angemessenes Schutzniveau für den Datentransfer von der EU in die USA. Der Verantwortliche wird diese Funktion daher nur nutzen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.

Datenschutzerkärung Sentry:

https://sentry.io/legal/dpa

Sendgrid:

Als E-Mail Delivery Dienst wird SendGrid der Twilio Inc. 101 Spear Street, 5th Floor, San Francisco, California, 94105, USA verwendet.

Da dieser Sub-Auftragsverarbeiter seinen Hauptsitz in den USA hat, kann aufgrund der dortigen Gesetzeslage nicht ausgeschlossen werden, dass trotz Datenspeicherung innerhalb der EU eine Datenübermittlung in die USA, bzw. ein Zugriff von US-Behörden auf die Daten, durchgeführt wird. Nach jüngster Rechtsprechung des Europäischen Gerichtshofs bieten die USA derzeit kein angemessenes Schutzniveau für den Datentransfer von der EU in die USA. Der Verantwortliche wird diese Funktion daher nur nutzen, wenn die besonderen Voraussetzungen der Art 44 ff DSGVO erfüllt sind.