Datenschutzerklärung ng.auftrag.at
Datenschutzerklärung der Wiener Zeitung Digitale Publikationen GmbH – ng.auftrag.at
Version 2.1
Datum: 08.09.2022
1. Allgemeines
Der Wiener Zeitung Digitale Publikationen GmbH (in der Folge als „WZDP“ bezeichnet) ist der Schutz personenbezogener Daten überaus wichtig. In dieser Datenschutzerklärung kommt die WZDP ihrer Verpflichtung nach, Vertragspartner und Nutzer der Webanwendung ng.auftrag.at im Detail darüber zu informieren, welche personenbezogenen Daten von der WZDP verarbeitet werden. Aus Gründen der besseren Lesbarkeit wird in dieser Datenschutzerklärung auf eine geschlechtsneutrale Differenzierung verzichtet. Die verkürzte Sprachform hat ausschließlich redaktionelle Gründe und beinhaltet keine Wertung.
Für Fragen zum Schutz personenbezogener Daten sowie für die Übermittlung von Betroffenenbegehren stehen Ihnen die Mitarbeiter der WZDP per E-Mail an datenschutz@auftrag.at zur Verfügung.
2. Wesentliche Begriffe
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verarbeiten ist jeder automatisierte oder nicht automatisierte Vorgang wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
Unter Profiling versteht man die automatisierte Auswertung personenbezogener Daten hinsichtlich bestimmter persönlicher Aspekte des Betroffenen, insbesondere zur Analyse und Prognose der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben und Interessen, der Zuverlässigkeit, des Aufenthaltsortes oder des Ortswechsel.
3. Verantwortlicher und Kontaktdaten
Für im Rahmen von Vertragsverhältnissen erhobene Daten auf ng.auftrag.at oder im Zusammenhang mit der Website verarbeitete personenbezogene Daten ist die WZDP verantwortlich im Sinne der Datenschutz-Grundverordnung (VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG). Für personenbezogene Daten, die im Rahmen der Durchführung von Vergabeverfahren verarbeitet werden, kommt Vertragspartnern der WZDP die Rolle des Verantwortlichen zu. In diesem Bereich agiert die WZDP als Auftragsverarbeiter und wird im Rahmen einer Auftragsverarbeitervereinbarung (Anlage I zur Datenschutzerklärung) für den Vertragspartner tätig.
Die Kontaktdaten der WZDP lauten:
Wiener Zeitung Digitale Publikationen GmbH
Maria-Jacobi-Gasse 1, Media Quarter Marx 3.3, A-1030 Wien
datenschutz@auftrag.at
4. Datenverarbeitung, Verarbeitungszwecke
Die WZDP verarbeitet Daten, die im Zuge des Vertragsabschlusses erhoben werden bzw. von Vertragspartnern und Nutzern auf ng.auftrag.at bei der Durchführung von Vergabeverfahren zur Verfügung gestellt werden.
Es werden ausschließlich personenbezogene Daten verarbeitet, die im Zusammenhang mit der Inanspruchnahme des Angebotes der WZDP bekannt gegeben wurden. Dabei handelt es sich ua. um Daten zur Organisation wie die Rechnungsadresse, Daten zum Nutzer wie Benutzername und Passwort, Rechnungsdaten sowie spezifische Daten zu Vergabeverfahren. Die Verarbeitung personenbezogener Daten ist zur Durchführung vorvertraglicher Maßnahmen auf Anfrage potenzieller Vertragspartner bzw. zur Erfüllung des Vertrages mit Vertragspartnern erforderlich.
Sofern die Verarbeitung aufgrund einer erteilten Einwilligung erfolgt, werden personenbezogene Daten zu den in der Einwilligung genannten Zwecken bis zu einem Widerruf der Einwilligung verarbeitet.
5. Rechtliche Grundlagen der Datenverarbeitung
Rechtsgrundlage für die Verarbeitung sind vorvertraglicher Maßnahmen auf Anfrage potenzieller Vertragspartner bzw. die Erfüllung von Verträgen. Weiters kann die Verarbeitung personenbezogener Daten auch auf der Grundlage einer erteilten Einwilligung erfolgen.
6. Verarbeitete Datenkategorien
Von der WZDP werden E-Mail-Adresse, Passwort, Daten zur Auftraggebereigenschaft, Daten zur Organisation des Auftraggebers, Daten zum Nutzer sowie U-Nummern für Nutzer und O-Nummern für Organisationen des Auftraggebers verarbeitet. Weiters werden Daten verarbeitet, die bei der Durchführung von Vergabeverfahren zwischen Vertragspartnern und interessierten Wirtschaftsteilnehmern bzw. zwischen Nutzern ausgetauscht werden.
Durch die WZDP werden grundsätzlich keine besonderen Datenkategorien, wie etwa sensible Daten, verarbeitet.
Als Kategorien von betroffenen Personen kommen Mitarbeiter von Vertragspartnern und Mitarbeiter anderer Unternehmer (Bewerber, Bieter, Auftragnehmer) bzw. diesen Auftraggebern und Unternehmern zuzurechnende Personen in Betracht.
7. Speicherdauer
Auf Basis eines Vertragsverhältnisses verarbeitete Daten werden spätestens nach dem Ablauf gesetzlicher Aufbewahrungsfristen gelöscht (derzeit betragen die steuer- und unternehmensrechtlichen Aufbewahrungspflichten sieben Jahre).
Im Falle eines nicht abgeschlossenen Registrierungsvorganges erfolgt innerhalb von 22 Stunden eine Löschung der bei der Registrierung verwendeten Daten.
8. Empfänger der Daten
Als Empfänger der Daten kommen interne Auftragsverarbeiter, externe Auftragsverarbeiter und externe Verantwortliche in Betracht. Weiters jene Empfänger, die im Rahmen der elektronischen Kommunikation vom Vertragspartner bzw. Nutzer kontaktiert werden bzw. für die Daten im Rahmen der Durchführung von Vergabeverfahren bereitgestellt bzw. übermittelt werden.
9. Cookies
Bei Cookies handelt es sich um kleine Textdateien, die über den Browser (ein Programm zur Darstellung von Webseiten) auf einem Speichermedium des vom Webseitenbesucher verwendeten Endgeräts (PC, Notebook, Tablet, Smartphone, etc.) gespeichert werden. Die gespeicherte Information wird bei späteren Besuchen der Webseite wieder aufgerufen und ermöglicht es der Webseite, das Endgerät wiederzuerkennen.
Grundsätzlich kann zwischen technisch erforderlichen und technisch nicht erforderlichen Cookies unterschieden werden, wobei zur Verwendung von technisch nicht erforderlichen Cookies auf der Webseite die Zustimmung des Nutzers eingeholt werden muss.
Technisch erforderliche Cookies sorgen für die Funktionsfähigkeit der Webseite und sind für den Betrieb der Webseite unerlässlich. Für technisch erforderliche Cookies ist keine Zustimmung des Nutzers erforderlich.
Bei technisch nicht erforderlichen Cookies handelt es sich um jene, die für den Betrieb der Webseite und die Funktionsfähigkeit nicht erforderlich sind und die anderen Zwecken dienen. Dabei kann es sich beispielsweise um Cookies zur Analyse der Webseite handeln oder um Cookies, mit deren Hilfe personalisierte Werbung präsentiert werden kann.
Auf ng.auftrag.at gelangen keinerlei Cookies zum Einsatz, die eine Zustimmung des Nutzers erfordern.
10. Betroffenenrechte
Durch das Datenschutzrecht kommen von einer Datenverarbeitung betroffenen Person folgende Rechte zu:
Auskunftsrecht: Auf Aufforderung wird unentgeltlich Auskunft über den Umfang, die Herkunft und den/die Empfänger der Daten sowie den Zweck der Verarbeitung erteilt. Bei exzessiven Auskunftsbegehren (öfter als zwei Mal pro Jahr) behält sich die WZDP die Verrechnung eines angemessenen Aufwandersatzes vor.
Recht auf Berichtigung: Sollten trotz aller Bemühungen um Datenrichtigkeit und Aktualität falsche Informationen verarbeitet werden, werden diese nach einer entsprechenden Aufforderung berichtigt.
Löschung: Unter bestimmten Voraussetzungen haben Betroffene ein Recht auf Löschung von personenbezogenen Daten. Einem Löschbegehren kann nicht entsprochen werden, sofern ein überwiegendes berechtigtes Interesse der WZDP zur Verarbeitung der Daten besteht, gesetzliche Verpflichtungen zur Aufbewahrung bzw. Datenverarbeitung einer Löschung entgegenstehen und/oder die Aufbewahrung/Speicherung der Daten zur Rechtsverfolgung der WZDP erforderlich ist.
Einschränkung: Aus den Gründen, die einen Löschungsanspruch begründen, kann auch eine Einschränkung der Datenverarbeitung begehrt werden. In diesem Fall bleiben die Daten gespeichert, werden aber nicht mehr anderweitig genutzt.
Widerspruch: Gegen Datenverarbeitung, die gestützt auf ein berechtigtes Interesse vorgenommen wird, kann Widerspruch eingelegt werden. Sofern es sich um eine Datenverarbeitung zu Direktwerbezwecken handelt, steht ein absolutes Widerspruchsrecht zu. Im Falle eines Widerspruchs verarbeitet die WZDP die Daten nicht mehr, es sei denn sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die jenen Interessen, Rechten und Freiheiten der betroffenen Person höherwertig gegenüberstehen oder die Verarbeitung durch die WZDP dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Widerruf: Sofern eine Einwilligung zur Verarbeitung personenbezogener Daten zu bestimmten Zwecken erteilt wurde, kann diese Einwilligung widerrufen werden.
Datenübertragbarkeit: Sollen von einem Betroffenen bekannt gegebene Daten einem anderen Verantwortlichen übergeben werden, wird die WZDP die Daten in einem elektronisch übertragbaren Format bereitstellen.
Die vorgenannten Rechte können bei der Wiener Zeitung Digitale Publikationen GmbH, Media Quarter Marx 3.3, Maria-Jacobi-Gasse 1, 1030 Wien unter Angabe des Betreffs „Betroffenenrechte“ oder per E-Mail an datenschutz@auftrag.at ausgeübt werden.
Beschwerderecht bei der Datenschutzbehörde: Betroffenen kommt ein Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, wenn der Betroffene der Ansicht ist, dass die Verarbeitung der betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung (VERORDNUNG EU 2016/679) verstößt.
11. Änderungen dieser Datenschutzerklärung
Die Verarbeitung personenbezogener Daten unterliegt der jeweils aktuellen, auf der Webseite abrufbaren, Datenschutzerklärung, doch behält sich die WZDP erforderlichenfalls eine Ergänzung und Aktualisierung dieser Datenschutzerklärung vor.
Anlage I
Auftragsverarbeitervereinbarung nach Art 28 DSGVO
Die WZDP verarbeitet personenbezogene Daten auch im Auftrag von Vertragspartnern. Dabei handelt es sich um personenbezogene Daten, die von Vertragspartnern im Rahmen der Durchführung von Vergabeverfahren zur Verarbeitung gelangen. Durch den Abschluss eines Vertrages mit der WZDP stimmt der Vertragspartner der gegenständlichen Auftragsverarbeitervereinbarung nach Art 28 DSGVO zu.
1. Präambel
Die vorliegende Auftragsverarbeitervereinbarung stellt eine Ergänzung zum bestehenden Vertragsverhältnis dar. Soweit im bestehenden Vertragsverhältnis (in der Folge „Hauptvertrag“ genannt) Vereinbarungen zur Verarbeitung getroffen wurden, werden diese durch vorliegende Auftragsverarbeitervereinbarung ergänzt, wobei im Zweifel die Bestimmungen dieser Auftragsverarbeitervereinbarung in Bezug auf die Verarbeitung personenbezogener Daten dem Hauptvertrag vorgehen.
2. Interpretation
Diese Auftragsverarbeitervereinbarung ist unter Berücksichtigung der Begriffsdefinitionen des Artikel 4 der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (in der Folge „DSGVO“ genannt) sowie (nachgeordnet) nach den Begriffsdefinitionen des Hauptvertrages zu interpretieren.
3. Gegenstand
Gegenstand dieser Auftragsverarbeitervereinbarung sind Verarbeitungstätigkeiten, die der Auftragsverarbeiter für den Verantwortlichen im Rahmen der Erfüllung des Vertrages durchführt. Der Auftragsverarbeiter ermöglicht dem Verantwortlichen durch die Zurverfügungstellung der Webapplikation ng.auftrag.at die elektronische Kommunikation in Vergabeverfahren. Vertragspartner sowie interessierte Wirtschaftsteilnehmer haben die Möglichkeit, Dokumente über die Webapplikation ng.auftrag.at zur Verfügung zu stellen.
Im Zusammenhang mit der Verarbeitungstätigkeit kommt es zu einer Verarbeitung personenbezogener Daten. Zweck der Verarbeitungstätigkeit ist die Erfüllung des Vertrages, somit die vertragskonforme Zurverfügungstellung der Webapplikation ng.auftrag.at. Es kommen personenbezogene Daten in Betracht, die vom Vertragspartner bzw. von Verantwortlichen oder von Nutzern bekannt gegeben werden bzw. in den zur Verfügung gestellten Dokumenten enthalten sind.
4. Beendigung
Im Fall der Beendigung des Hauptvertrages, bleibt die gegenständliche Auftragsverarbeitervereinbarung für die Dauer der weiteren Verarbeitung durch den Auftragsverarbeiter in Geltung. Die Bestimmungen zur „Vertraulichkeit“ unter Punkt 5.5 bleiben auch über die Beendigung der Auftragsverarbeitervereinbarung in Geltung.
5. Pflichten des Auftragsverarbeiters
5.1. Weisungsgebundenheit
Die Verarbeitung personenbezogene Daten durch den Auftragsverarbeiter erfolgt im Rahmen der Erfüllung des Hauptvertrages in Übereinstimmung mit den Bestimmungen dieser Auftragsverarbeitervereinbarung.
Der Verantwortliche verpflichtet sich, ausschließlich gesetzmäßige Weisungen zu erteilen und hält den Auftragsverarbeiter bei Inanspruchnahme wegen Erfüllung nicht gesetzmäßiger Weisungen vollständig schad- und klaglos. Soweit Weisungen des Verantwortlichen unklar sein sollten, ist der Auftragsverarbeiter berechtigt, eine schriftliche Klarstellung des Verantwortlichen zu verlangen.
5.2. Zusammenarbeit mit der Aufsichtsbehörde
Der Auftragsverarbeiter ermöglicht eine ordnungsgemäße behördliche Kontrolle durch die zuständige Aufsichtsbehörde und erteilt dieser richtig, vollständig und rechtzeitig Auskunft.
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, falls sich die Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an den Auftragsverarbeiter wenden sollte.
5.3. Mitwirkungspflichten
Der Auftragsverarbeiter stellt sicher, dass der Verantwortliche gesetzliche Ansprüche Betroffener gemäß den Artikeln 12 bis 22 DSGVO erfüllen kann, soweit sich diese auf die Verarbeitung des Auftragsverarbeiters beziehen.
Insbesondere wird der Auftragsverarbeiter den Verantwortlichen darin unterstützen, Ansprüche Betroffener auf Löschung personenbezogener Daten gemäß Artikel 17 DSGVO zu erfüllen.
5.4. Informationspflichten
Der Auftragsverarbeiter stellt dem Verantwortlichen hinsichtlich seiner Auftragsverarbeitung für den Verantwortlichen alle Informationen zur Verfügung, die dieser benötigt, um die Einhaltung der Vorschriften zur Auftragsverarbeitung gemäß Artikel 28 DSGVO dokumentieren und nachweisen zu können.
5.5. Vertraulichkeit
Der Auftragsverarbeiter behandelt personenbezogene Daten des Verantwortlichen streng vertraulich. Alle zur Datenverarbeitung befugten Personen werden vom Auftragsverarbeiter vor Aufnahme der Tätigkeit mit den Anforderungen des Datenschutzes vertraut gemacht und schriftlich zur Vertraulichkeit und Verschwiegenheit verpflichtet. Diese Verpflichtung sieht auch vor, dass die Vertraulichkeits- beziehungsweise Verschwiegenheitspflichten auch nach Beendigung des Hauptvertrages und auch nach der Beendigung der zwischen diesen Personen und dem Auftragsverarbeiter geschlossenen Verträgen fortbestehen.
Personenbezogene Daten dürfen vom Auftragsverarbeiter nur solchen Personen zugänglich gemacht werden, die diese personenbezogenen Daten zur Durchführung der Auftragsdatenverarbeitung oder des Hauptvertrages kennen oder sonst zu ihnen Zugang haben müssen.
5.6. Datenexport
Die Datenverarbeitung findet ausschließlich im Bereich der Republik Österreich, einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein sonstiges Land („Drittland“) erfolgt nur, wenn die besonderen Voraussetzungen für Datenexporte in Drittländer (Artikel 44 bis 50 DSGVO) erfüllt sind.
6. Technische und organisatorische Schutzmaßnahmen
6.1. Schutzmaßnahmen
Der Auftragsverarbeiter gewährleistet die Umsetzung der im Rahmen der ordnungsgemäßen Durchführung der Auftragsdatenverarbeitung erforderlichen Sicherheitsmaßnahmen. Er trifft technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten, die den Anforderungen der DSGVO, insbesondere deren Artikel 32, genügen.
7. Rechte und Pflichten des Verantwortlichen
7.1. Einhaltung datenschutzrechtlicher Vorschriften
Der Verantwortliche ist im Rahmen der Umsetzung dieser Auftragsverarbeitervereinbarung für die Einhaltung der Vorgaben der DSGVO sowie anderer einschlägiger Vorschriften zum Datenschutz sowie dafür verantwortlich, dass die gesetzlichen Ansprüche von Betroffenen im Hinblick auf ihre personenbezogenen Daten gewahrt werden.
7.2. Weisungsrecht
Der Verantwortliche hat ein umfassendes Weisungsrecht. Weisungen sind schriftlich zu erteilen, das Risiko der erfolgreichen Übermittlung liegt beim Absender. Weisungen können vom Verantwortlichen jederzeit geändert, ergänzt oder ersetzt werden. Schriftliche Weisungen sind entweder per Einschreiben an den Auftragsverarbeiter oder einem Schreiben, versehen mit einer elektronischen Signatur einer vertretungsberechtigten Person, per E-Mail an datenschutz@auftrag.at zu richten.
8. Kontrollrechte des Verantwortlichen und Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters
8.1. Prüfungen
Der Verantwortliche ist berechtigt, während der Laufzeit dieser Auftragsverarbeitervereinbarung die beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie die sonstigen, gemäß dieser Auftragsverarbeitervereinbarung zu treffenden Maßnahmen zum Datenschutz zu prüfen oder prüfen zu lassen. Der Verantwortliche hat Prüfungen rechtzeitig, jedoch mindestens zwei Wochen im Vorfeld, anzukündigen.
8.2. Ablauf
Die Prüfung erfolgt nach vorheriger Ankündigung durch den Verantwortlichen in der Betriebsstätte des Auftragsverarbeiters zu den üblichen Geschäftszeiten. Sie hat tunlichst ohne Störung des Betriebsablaufs zu erfolgen.
8.3. Mitwirkungspflichten Auftragsverarbeiter
Der Auftragsverarbeiter wird den Verantwortlichen bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung der Kontrollen mitwirken.
Dem Auftragsverarbeiter trifft hinsichtlich der Einhaltung der Artikel 32 bis 36 DSGVO eine Mitwirkungspflicht gegenüber dem Verantwortlichen.
9. Sub-Auftragsverarbeiter
9.1. Zustimmungserfordernis
Der Auftragsverarbeiter darf Sub-Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen.
9.2. Auswahl und Kontrolle
Sub-Auftragsverarbeiter sind sorgfältig auszuwählen, insbesondere unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz im Sinne von Artikel 32 DSGVO. Sie sind vor der Beauftragung und während der Vertragslaufzeit auf die Einhaltung der gesetzlichen und vertraglichen datenschutzrechtlichen Vorschriften sowie der vereinbarten technischen und organisatorischen Schutzmaßnahmen hin zu kontrollieren. Die Ergebnisse dieser Kontrolle sind zu dokumentieren und auf Anfrage dem Verantwortlichen zu übermitteln.
9.3. Unterauftragsverarbeitungsvertrag
Vertragliche Vereinbarungen zwischen dem Auftragsverarbeiter und Sub-Auftragsverarbeiter haben den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser Auftragsdatenverarbeitervereinbarung zu entsprechen. Die Übermittlung von personenbezogenen Daten an den Sub-Auftragsverarbeiter ist erst zulässig, wenn der Sub-Auftragsverarbeiter die Verpflichtungen aus Artikel 28 DSGVO erfüllt. Die Beauftragung eines Sub-Auftragsverarbeiters hat schriftlich zu erfolgen.
10. Rechte an Daten, Datenträgern und Unterlagen
Der Verantwortliche behält im Verhältnis zum Auftragsverarbeiter sämtliche Rechte an den personenbezogenen Daten, Datenträgern und Unterlagen.
11. Berichtigung, Löschung und Herausgabe
11.1. Dauer der Aufbewahrung
Der Auftragsverarbeiter wird die personenbezogenen Daten nur solange aufbewahren, wie vom Verantwortlichen angewiesen. Sämtliche wesentlichen Verfahrensinhalte sind vom Vertragspartner nach Abschluss des Verfahrens auf eigene Speichermedien zu übertragen bzw. in der Sphäre des Vertragspartners vorzuhalten.
11.2. Pflichten des Auftragsverarbeiters bei Aufbewahrung
Der Auftragsverarbeiter hat die ihm zur vertragsgemäßen Vernichtung überlassenen personenbezogenen Daten (insbesondere Datenträger und Unterlagen) unverzüglich zu vernichten und bis zu diesem Zeitpunkt sorgfältig zu verwahren und vor dem unberechtigten Zugriff seiner Mitarbeiter wie auch Dritter zu schützen.
11.3. Rückgabe- und Löschpflicht
Auf Verlangen des Verantwortlichen sowie nach Beendigung dieser Auftragsverarbeitervereinbarung wird der Auftragsverarbeiter sämtliche personenbezogenen Daten, überlassene Datenträger und Unterlagen, die im Zusammenhang mit dieser Auftragsverarbeitung stehen und personenbezogene Daten des Verantwortlichen enthalten, sowie etwaige Kopien davon unverzüglich, spätestens jedoch binnen eines Monats nach Aufforderung und Weisung des Verantwortlichen löschen bzw. auf sichere Weise vernichten.
11.4. Aufbewahrung von Dokumentationen
Dokumentationen, die dem Nachweis der Auftrags- und ordnungsgemäßen Datenverarbeitung dienen, werden durch den Auftragsverarbeiter entsprechend den jeweiligen gesetzlichen oder vertraglich vereinbarten Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt. Der Auftragsverarbeiter kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
11.5. Nachweis der Löschung
Der Auftragsverarbeiter weist dem Verantwortlichen die Löschung und Zerstörung auf Verlangen schriftlich nach.
12. Haftung
12.1. Außen- und Innenverhältnis
Verantwortliche und Auftragsverarbeiter haften im Außenverhältnis nach Artikel 82 Abs 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Im Innenverhältnis gilt folgende Regelung: Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter für einen Schaden gemäß Artikel 82 Abs 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung, der Auftragsverarbeiter jedoch beschränkt auf Fälle von durch ihn zu vertretendem vorsätzlichem oder grob fahrlässigem Verhalten. Nimmt eine dritte Person eine Partei ganz oder überwiegend wegen Verletzung datenschutzrechtlicher Bestimmungen in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit dies dem von ihr zu tragenden Anteil an der Verantwortung entspricht.
12.2. Sub-Auftragsverarbeiter
Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber auch für die Einhaltung der datenschutzrechtlichen Pflichten seiner Sub-Auftragsverarbeiter, die er zur Erfüllung seiner Aufgaben einsetzt. Verschulden von Sub-Auftragsverarbeitern ist dem Auftragsverarbeiter wie eigenes Verschulden zuzurechnen.
12.3. Enthaftung gegenüber Dritten
Der Auftragsverarbeiter ist zum Zwecke der Enthaftung gemäß Artikel 82 Abs 3 DSGVO dazu befugt, Details zu Weisungen des Verantwortlichen und zur erfolgten Datenverarbeitung offenzulegen. Der Verantwortliche ist dazu verpflichtet, den Auftragsverarbeiter bestmöglich zu unterstützen, damit sich der Auftragsverarbeiter gegenüber dem Dritten nach Artikel 82 Abs 3 DSGVO enthaften kann.
13. Verschwiegenheitspflicht
Die Parteien verpflichten sich, alle gegenseitig mitgeteilten Vorgaben, Daten, Unterlagen, eigene oder gemeinsame Entwicklungsergebnisse, oder sonstige entwicklungs- oder betriebsbezogenen Informationen, während der Vertragsdauer und nachvertraglich zeitlich unbegrenzt, vertraulich zu behandeln und Dritten nicht zugänglich zu machen.
14. Sonstige Bestimmungen
14.1. Gesetzliche Verpflichtungen oder Anordnungen
Verpflichtungen des Auftragsverarbeiters aufgrund gesetzlicher Vorschriften oder behördlicher oder gerichtlicher Anordnungen bleiben von dieser Auftragsverarbeitervereinbarung unberührt.
14.2. Kosten
Für zusätzliche Aufwände im Zusammenhang mit der Erfüllung seiner Pflichten unter dieser Auftragsverarbeitervereinbarung, insbesondere Mitwirkung hinsichtlich Betroffenenrechten und Kontrollen der Datenschutzbehörde sowie für die Erfüllung der Kontrollrechte des Verantwortlichen und Mitwirkung bei der Durchführung von Kontrollen des Verantwortlichen kann der Auftragsverarbeiter ein angemessenes Entgelt verrechnen.
14.3. Kollisionsregel und salvatorische Klausel
Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser Auftragsverarbeitervereinbarung geht diese Vereinbarung vor, soweit die Regelung die Verarbeitung personenbezogener Daten betrifft. Sollten einzelne Teile dieser Auftragsverarbeitervereinbarung unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Regelung der Auftragsverarbeitervereinbarung nicht.
14.4. Recht und Gerichtsstand
Es gelten die Bestimmungen des Hauptvertrages.