Survio bietet den Benutzern von Web-Seiten, Fragebögen, Produkten und/oder Dienstleistungen der Survio (im Weiteren nur „Benutzer“ genannt) einen Datenraum zu Zwecken der Speicherung von erworbenen Daten der Befragten auf den Survio-Servern. Ein Bestandteil der Daten des Benutzers können auch personenbezogene Daten natürlicher Personen sein. In Bezug auf die personenbezogenen Daten, die der Benutzer auf den Survio-Servern (personenbezogene Daten der Befragten) speichert, tritt Survio als Verarbeiter von personenbezogenen Daten (im Weiteren nur „Verarbeiter“ genannt) auf. Der Benutzer, für den die Daten gespeichert werden, handelt als Verantwortlicher (im Weiteren nur „Verantwortlicher“ genannt).
Zu Zwecken der Erfüllung des Art. 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Weiteren nur „DSGVO“ genannt), schließen der Verantwortliche und der Verarbeiter, die einzeln auch als „Vertragspartei“ und gemeinsam als „Vertragsparteien“ bezeichnet werden, diesen Vertrag über die Verarbeitung personenbezogener Daten (im Weiteren nur „Vertrag“ genannt) ab.
Weitere Informationen betreffend die Verarbeitung personenbezogener Daten sind in den Regeln zum Schutz personenbezogener Daten aufgeführt, die hier zugänglich sind: https://www.survio.com/de/datenschutzerklaerung
Bei Interesse des Benutzers kann dieser Vertrag durch die Unterzeichnung seitens beider Vertragsparteien abgeschlossen werden. Zu diesen Zwecken kontaktieren Sie uns bitte unter der E-Mail-Adresse: support@survio.com.
I. EINFÜHRUNGSBESTIMMUNGEN
- Die Vertragsparteien stellen fest, dass sie den Vertrag über die Dienstleistungserbringung (im Weiteren nur „Hauptvertrag“ genannt) geschlossen haben, aufgrund dessen der Verarbeiter für den Verantwortlichen Dienstleistungen erbringen wird, die in der Bereitstellung eines Instrumentes zur Gestaltung eines Online-Fragebogens, in der Gewährung eines Datenraums sowie einer Applikation zur Verwaltung von Fragebögen bestehen (im Weiteren nur „Dienstleistungen“ genannt).
- Angesichts dessen, dass es im Rahmen der in Abs. 1 dieses Artikels beschriebenen Zusammenarbeit zur Speicherung der Daten auf den Servern des Verarbeiters kommen wird und dass es auch zur Übermittlung der dem Verantwortlichen gewährten personenbezogenen Daten natürlicher Personen kommen kann, sind die Vertragsparteien gemäß Art. 28 der DSGVO verpflichtet, einen schriftlichen Vertrag über die Verarbeitung personenbezogener Daten abzuschließen.
- Die Dienstleistungen des Verarbeiters werden ausschließlich auf dem Gebiet der Europäischen Union oder in einem Staat des Europäischen Wirtschaftsraums erbracht. Jedwede Umsiedlung des Verarbeiters, dessen Tätigkeit oder deren Teile in Drittländer erfordert eine vorherige Zustimmung des Verantwortlichen und kann lediglich unter besonderen Bedingungen des Art. 44 ff. der DSGVO realisiert werden. In Bezug auf weitere Verarbeiter des Verarbeiters kommt der Art. VI. dieses Vertrags zur Anwendung.
- Der Verarbeiter erklärt, dass er über geeignete technische Mittel sowie über organisatorische Maßnahmen in einem solchen Umfang verfügt, der ermöglicht, dass die gegebene Verarbeitung personenbezogener Daten die Anforderungen aus diesem Vertrag sowie aus den einschlägigen Rechtsvorschriften erfüllt, und dass der Rechtsschutz der betroffenen Person sichergestellt wird. Bedeutende technische sowie organisatorische Maßnahmen sind in Anhang Nr. 1 definiert. Die technischen Mittel sowie die organisatorischen Maßnahmen können so geändert werden, dass sie dem technologischen Fortschritt und der technologischen Entwicklung entsprechen. Der Verarbeiter ist daher berechtigt, alternative technische Mittel und organisatorische Maßnahmen in die bestehenden Mittel und Maßnahmen implementieren, die er zum Zeitpunkt des Vertragsschlusses anwendet. Er verpflichtet sich jedoch, dass diese Mittel und Maßnahmen ein identisches oder höheres Sicherheitsniveau gewährleisten werden.
- Der Verarbeiter erklärt, dass er Inhaber des Zertifikats ISO/IEC 27001 ist, was garantiert, dass er die international anerkannten Standards für die Managementsysteme der Informationssicherheit erfüllt.
- Da zwischen den Vertragsparteien die Übermittlung von Informationen erfolgen wird, die die Vertragsparteien für vertraulich halten, stellt auch die Regelung der Bedingungen für das Verhalten der Vertragsparteien hinsichtlich des Umganges mit vertraulichen Informationen, die während der Zusammenarbeit sowie auch vor deren Beginn aufgrund dieses Vertrags und des Hauptvertrags erworben werden, den Zweck dieses Vertrags dar.
- Die Vertragsparteien verpflichten sich, bei der Erfüllung dieses Vertrags im gegenseitigen Einvernehmen vorzugehen und die Rechte der anderen Vertragspartei zu berücksichtigen. Die Vertragsparteien verpflichten sich, einander über sämtliche Tatsachen zu unterrichten, die für die ordnungsgemäße Erfüllung dieses Vertrags wichtig sind oder sein können.
II. VERTRAGSGEGENSTAND
- Den Gegenstand dieses Vertrags stellen folgende Punkte dar:
- Beauftragung des Verarbeiters durch den Verantwortlichen mit der Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO und gemäß den nachstehend in diesem Vertrag festgelegten Bestimmungen,
- Festlegung des Umfangs, des Zwecks sowie des Zeitraumes für die Verarbeitung personenbezogener Daten,
- Festlegung der Mittel sowie der Art und Weise der Verarbeitung personenbezogener Daten,
- Festlegung von Rechten und Verpflichtungen des Verantwortlichen und des Verarbeiters;
- Gewährung von Garantien durch den Verarbeiter aus der Sicht der technischen sowie organisatorischen Gewährleistung des Schutzes der personenbezogenen Daten.
- Der Verantwortliche beauftragt aufgrund dieses Vertrags den Verarbeiter mit der Verarbeitung personenbezogener Daten, so wie sie in diesem Vertrag beschrieben wird.
- Die mit der Verarbeitung personenbezogener Daten zusammenhängenden Kosten des Verarbeiters stellen einen Bestandteil der Vergütung für die Dienstleistungserbringung dar.
III. KATEGORIE DER BETROFFENEN PERSONEN, UMFANG DER PERSONENBEZOGENEN DATEN, ZWECK UND DAUER DER VERARBEITUNG
- Kategorie der betroffenen Personen:
- Die Kategorie der betroffenen Personen, deren personenbezogene Daten den Verarbeitungsgegenstand gemäß diesem Vertrag darstellen, sind: Befragte des Verantwortlichen (im Weiteren nur: „betroffene Person“ genannt).
- Umfang der personenbezogenen Daten:
- Der Umfang der zu verarbeitenden personenbezogenen Daten in Bezug auf die einzelnen betroffenen Personen, sofern die Vertragsparteien nichts anderes vereinbaren, ist wie folgt: personenbezogene Daten der Befragten, die mittels des Survio-Fragebogens auf den Survio-Servern gespeichert werden, d.h. Angaben, die die Endnutzer in den Fragebögen im Survio-System ausfüllen. Es kann sich insbesondere um den Vornamen und Nachnamen, das Geschlecht, das Alter, die Arbeitsposition, die Anschrift des Wohnsitzes, die E-Mail-Adresse u.Ä. handeln (im Weiteren nur „Personenbezogene Daten“ genannt).
- Der Verarbeiter verpflichtet sich, die personenbezogenen Daten lediglich in dem im vorstehenden Absatz dieses Artikels genannten Umfang, der für die Dienstleistungserbringung unerlässlich ist, zu verarbeiten.
- Falls der Verarbeiter seinen Verpflichtungen nicht nachkommt und die Verarbeitung personenbezogener Daten über den festgelegten Umfang hinaus vornimmt, tut er dies nicht aufgrund der Beauftragung des Verantwortlichen, die durch diesen Vertrag festgelegt wurde, der Verantwortliche trägt für eine solche Verarbeitung personenbezogener Daten keine Haftung und der Verarbeiter befindet sich in Bezug auf diese personenbezogenen Daten in der Position des Verantwortlichen hinsichtlich der personenbezogenen Daten gemäß DSGVO.
- Zweck der Verarbeitung personenbezogener Daten:
- Der Verarbeiter führt die Verarbeitung personenbezogener Daten gemäß diesem Vertrag ausschließlich zum Zwecke der Dienstleistungserbringung durch (die Verarbeitung ist zur Erfüllung des Hauptvertrags unerlässlich), sofern die Vertragsparteien nichts anderes vereinbaren.
- Der Verarbeiter ist nicht berechtigt, die personenbezogenen Daten aufgrund dieses Vertrags zu anderen Zwecken als zu demjenigen Zweck zu verarbeiten, der im vorstehenden Absatz dieses Vertragsartikels festgelegt wurde. Falls der Verarbeiter die Verarbeitung personenbezogener Daten zu anderen Zwecken durchführt, tut er dies nicht aufgrund der Beauftragung des Verantwortlichen, die durch diesen Vertrag festgelegt wurde, der Verantwortliche trägt für eine solche Verarbeitung personenbezogener Daten keine Haftung und der Verarbeiter befindet sich in Bezug auf diese personenbezogenen Daten in der Position des Verantwortlichen hinsichtlich der personenbezogenen Daten gemäß DSGVO. Der Verarbeiter ist jedoch verpflichtet, den Verantwortlichen über eine solche Verarbeitung im Voraus zu unterrichten.
- Dauer der Verarbeitung personenbezogener Daten
- Der Verarbeiter verpflichtet sich, die personenbezogenen Daten nur für den unbedingt erforderlichen Zeitraum, längstens jedoch für die Laufzeit dieses Vertrags und des Hauptvertrags, zu verarbeiten und zu speichern, sofern die Vertragsparteien nichts anderes vereinbaren.
- Nach der Beendigung des Hauptvertrags oder aufgrund einer schriftlichen Anweisung des Verantwortlichen verpflichtet sich der Verarbeiter, sämtliche personenbezogenen Daten zu löschen oder dem Verantwortlichen zurückzugeben und die bestehenden Kopien (Sicherungskopien) zu löschen. Der Verarbeiter verpflichtet sich, diese Tätigkeiten innerhalb von 15 Tagen nach dem Tag vorzunehmen, an dem das Ereignis eingetreten ist, auf dessen Grundlage er die personenbezogenen Daten zu löschen oder zurückzugeben hat. Der Verarbeiter hat dem Verantwortlichen die Durchführung dieser Tätigkeiten auf dessen Aufforderung nachzuweisen oder eine Ehrenerklärung über die Durchführung der Tätigkeiten abzugeben, die der Verantwortliche für ausreichend findet, sofern er über die Vorgehensweise des Verarbeiters keine begründeten Zweifel haben wird.
- Der Verarbeiter ist berechtigt, im Widerspruch zu Art. 4.2. des Vertrags vorzugehen, sofern das Gesetz dem Verarbeiter die Verpflichtung auferlegt, die personenbezogenen Daten auch nach der Vertragsbeendigung zu verarbeiten.
- Um alle Zweifel auszuschließen, erklären die Vertragsparteien, dass es sich im Falle dieses Vertrags sowie des Hauptvertrags um voneinander abhängige Verträge handelt, wobei die Vertragsparteien vereinbart haben, dass das Erlöschen des Hauptvertrags auch das Erlöschen dieses Vertrags verursacht.
IV. RECHTE UND PFLICHTEN DER VERTRAGSPARTEIEN
- Der Verarbeiter verpflichtet sich,
- die personenbezogenen Daten lediglich aufgrund der belegten Anweisungen des Verantwortlichen zu verarbeiten; der Verarbeiter richtet sich nach den Anweisungen des Verantwortlichen auch im Bereich der Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen, sofern ihm diese Verarbeitung das Recht der Europäischen Union oder eines Mitgliedstaates der Europäischen Union bereits nicht vorgeschrieben hat, das sich auf den Verantwortlichen bezieht; in einem solchen Falle informiert der Verarbeiter den Verantwortlichen über diese Rechtsanforderung vor der Verarbeitung, es sei denn, dass diese Rechtsvorschriften diese Informierung aus wichtigen Gründen des öffentlichen Interesses verbieten würden;
- sämtliche für die Gewährleistung des Schutzes der personenbezogenen Daten erforderlichen Maßnahmen anzunehmen, planmäßig einzuhalten und zu kontrollieren, insbesondere Maßnahmen gegen unbefugten und zufälligen Zugang zu personenbezogenen Daten, zu deren Änderung, Vernichtung oder Verlust, zu unbefugten Übermittlungen, zu einer anderen unbefugten Verarbeitung sowie zu einem anderen Missbrauch personenbezogener Daten;
- keinen weiteren Verarbeiter ohne vorherige Genehmigung des Verantwortlichen in die Verarbeitung einzuschalten. Falls der Verantwortliche eine Bewilligung zur Einschaltung eines weiteren Verarbeiters erteilt, müssen diesem weiteren Verarbeiter dieselben Verpflichtungen bezüglich des Schutzes der personenbezogenen Daten auferlegt werden, die in diesem Vertrag aufgeführt sind. Sollte der weitere Verarbeiter seine Pflichten im Bereich des Datenschutzes nicht erfüllen, haftet auch weiterhin der Verarbeiter dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung der Pflichten des betroffenen weiteren Verarbeiters;
- den Verarbeitungscharakter zu berücksichtigen und dem Verantwortlichen mittels geeigneter technischer und organisatorischer Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen behilflich zu sein, auf die Anträge hinsichtlich der Ausübung der Rechte der betroffenen Personen zu reagieren, die in Kapitel III. der DSGVO (Rechte der betroffenen Personen) festgelegt sind; der Verarbeiter verpflichtet sich, den Verantwortlichen unverzüglich davon in Kenntnis zu setzen, dass ihm ein Antrag hinsichtlich der Ausübung der Rechte der betroffenen Person zugestellt wurde;
- dem Verantwortlichen bei der Sicherstellung der Übereinstimmung mit den Pflichten gemäß Art. 32 bis 36 der DSGVO (Sicherheit personenbezogener Daten) behilflich zu sein, und zwar bei der Berücksichtigung der Art der Verarbeitung von Informationen, die dem Verarbeiter zur Verfügung stehen;
- dem Verantwortlichen sämtliche Informationen zu übermitteln, die zum Nachweisen dessen notwendig sind, dass die Pflichten des Verarbeiters erfüllt wurden, und zu diesem Zweck verpflichtet er sich, dem Verantwortlichen die Durchführung von Audits einschließlich Inspektionen zu ermöglichen, die vom Verantwortlichen oder einem Auditor durchgeführt werden, den der Verantwortliche mit dem Audit beauftragt, und leistet bei diesen Audits sämtliche erforderliche Mitwirkung. Der Verarbeiter ist verpflichtet, dem Verantwortlichen die Durchführung des notwendigen Audits innerhalb einer Woche nach dem Erhalt des Ersuchens des Verantwortlichen zu ermöglichen. Der Verarbeiter hat dem Verantwortlichen sämtliche erforderliche Dokumentation zu den Auditzwecken, insbesondere die Aufzählung von technischen und organisatorischen Maßnahmen zugänglich zu machen. Der Verarbeiter ist ferner verpflichtet, die Prüfungsdurchführung je nach Situation auch seitens des Amtes für persönlichen Datenschutz und anderer Aufsichtsbehörden zu ermöglichen. Über diese Kontrollen hat er den Verantwortlichen zu benachrichtigen;
- den Verantwortlichen auch in jenem Fall unverzüglich zu informieren, dass eine bestimmte Anweisung des Verantwortlichen seiner Meinung nach die DSGVO-Bestimmungen oder andere Vorschriften bezüglich des Schutzes der personenbezogener Datenverletzt. Der Verarbeiter ist berechtigt, mit der Anweisungsdurchführung abzuwarten, bis die Anweisung durch den Verantwortlichen bestätigt oder abgeändert wird;
- falls der Verarbeiter über eine Änderung der ihm seitens des Verantwortlichen übermittelten personenbezogenen Datenerfährt, verpflichtet er sich, diese Änderung dem Verantwortlichen ohne unnötigen Verzug auf eine geeignete Art und Weise mitzuteilen;
- dem Verantwortlichen die erforderlichen Informationen über den Verlauf der Prüfungen oder Verwaltungsverfahren zu übermitteln, die seitens des Amtes für den persönlichen Datenschutz vorgenommen wurden;
- dem Verantwortlichen jegliche Verletzung der Sicherheit personenbezogener Daten unverzüglich mitzuteilen. Einen Bestandteil der Mitteilung bezüglich der Sicherheitsverletzung wird, sofern dem Verarbeiter solche Informationen zur Verfügung stehen, insbesondere Folgendes darstellen:
- Beschreibung der Art des gegebenen Vorfalls der Sicherheitsverletzung bezüglich der personenbezogenen Daten einschließlich der Kategorien und einer ungefähren Anzahl der betroffenen Personen, falls dies möglich ist;
- Beschreibung der wahrscheinlichen Folgen einer Sicherheitsverletzung von personenbezogenen Daten; und
- Beschreibung der Maßnahmen zur Lösung der gegebenen Sicherheitsverletzung von personenbezogenen Daten, einschließlich etwaiger Maßnahmen zwecks der Abmilderung möglicher negativer Auswirkungen.
Sollte es nicht möglich sein, die Informationen unter den Buchst. (i) bis (iii) dieses Absatzes gleichzeitig zur Verfügung zu stellen, können diese seitens des Verarbeiters nachträglich übermittelt werden.
- Beide Vertragsparteien verpflichten sich,
- geeignete technische sowie organisatorische Sicherheitsmaßnahmen zu treffen, um das dem gegebenen Risiko entsprechende Sicherheitsniveau sicherzustellen. Bei der Beurteilung eines geeigneten Sicherheitsniveaus ist es nötig, die Risiken zu berücksichtigen, die die Verarbeitung, insbesondere zufällige oder rechtswidrige Vernichtung, der Verlust, die Abänderungen, unbefugte Zugänglichmachung der zu übermittelnden, gespeicherten oder anders zu verarbeitenden personenbezogenen Daten oder ein unbefugter Zugang zu ihnen darstellen. Die Vertragsparteien sind verpflichtet, sich gegenseitig über sämtliche bedeutende Änderungen betreffend die technischen und organisatorischen Sicherheitsmaßnahmen vor deren Ergreifen zu informieren;
- Aufzeichnungen über die Verarbeitung personenbezogener Daten im Sinne des Art. 30 der DSGVO zu führen und durchlaufend zu überprüfen und zu aktualisieren;
- sich gegenseitig über sämtliche Umstände zu informieren, die für die Erfüllung des Vertragsgegenstandes von Bedeutung sind;
- die personenbezogenen Daten sowie die Sicherheitsmaßnahmen, deren Veröffentlichung die Sicherheit personenbezogener Daten gefährden könnte, geheim zu halten, und zwar auch nach der Beendigung dieses Vertrags;
- in Übereinstimmung mit weiteren DSGVO-Anforderungen vorzugehen, insbesondere die allgemeinen Grundsätze der Verarbeitung personenbezogener Daten einzuhalten, ihre Informationspflichten zu erfüllen, die personenbezogenen Daten nicht an Dritte ohne erforderliche Berechtigung zu übermitteln, die Rechte der betroffenen Personen zu beachten und die notwendige Mitwirkung in diesem Zusammenhang zu leisten.
V. DATENSCHUTZBEAUFTRAGTER
- Der Verarbeiter hat den nachstehenden Datenschutzbeauftragten ernannt:
Name: Richard Žižka
Kontaktanschrift: Hlinky 995/70, 603 00 Brünn
Tel.: +420 725 008 003
E-Mail: support@survio.com
- Im Falle einer Änderung des Datenschutzbeauftragten oder dessen Kontaktangaben hat der Verarbeiter dem Verantwortlichen diese Änderungen unverzüglich mitzuteilen.
VI. GENEHMIGUNG ZUR EINSCHALTUNG WEITERER VERARBEITER
- Der Verantwortliche gewährt dem Verarbeiter seine Genehmigung zur Einschaltung weiterer Verarbeiter in die Verarbeitung personenbezogener Daten.
- Weitere Verarbeiter, die für den Verarbeiter ihre Dienstleistungen erbringen, sind in den Regeln für den Schutz personenbezogener Daten aufgeführt.
- Der Verarbeiter ist berechtigt, einen weiteren Verarbeiter mit Sitz außerhalb des Gebietes der Europäischen Union nur dann einzuschalten, wenn sich der weitere Verarbeiter zur Einhaltung der Sonderpflichten in Übereinstimmung mit Art. 44 ff. der DSGVO verpflichtet hat.
VII. BEHANDLUNG VERTRAULICHER INFORMATIONEN
- Die Vertragsparteien stellen einvernehmlich fest, dass bei der Dienstleistungserbringung nach dem Hauptvertrag sowie nach diesem Vertrag die Informationsübermittlung an den Verarbeiter seitens des Verantwortlichen erfolgen wird. Der Verantwortliche hält diese Informationen für vertraulich und hat kein Interesse an deren Veröffentlichung.
- Der Verantwortliche beabsichtigt, dem Verarbeiter die Informationen über die Befragten aufgrund der Fragebögen und deren persönliche Umstände, die er für vertraulich hält, zugänglich zu machen.
- Für vertrauliche Informationen hält der Verantwortliche sämtliche Informationen, die zugleich die nachstehenden Kriterien erfüllen:
- Es handelt sich um eine Information oder eine Dokumentation, die der Verantwortliche dem Verarbeiter in mündlicher oder schriftlicher Form zur Verfügung stellt, insbesondere betrifft es diejenigen Informationen, von denen der Verarbeiter bei der Dienstleistungserbringung nach dem Hauptvertrag sowie nach diesem Vertrag erfahren hat, und
- es handelt sich um eine Information oder eine Dokumentation, die als eine konkurrenzmäßig bedeutende, bestimmbare, abschätzbare und in entsprechenden Kreisen normal unzugängliche Tatsache gekennzeichnet werden kann, die nach ihrem Autor oder Eigentümer verheimlicht werden soll.
- Für vertraulich werden ebenfalls diejenigen Informationen gehalten, die als solche ausdrücklich gekennzeichnet sind. Für diese Kennzeichnung genügt die Aufschrift „vertraulich“, z.B. auf der Verpackung eines Informationsträgers, in einer E-Mail, einer Fax-Nachricht oder in einem anderen Schriftstück.
- Keinen Schutz benötigen aufgrund dieses Vertrags diejenigen Informationen,
- die öffentlich zugänglich geworden sind, sofern dies nicht durch eine Pflichtverletzung deren Schutzes seitens des Vertragspartei erfolgt ist,
- die durch den Verarbeiter aufgrund einer von diesem Vertrag oder der anderen Vertragspartei unabhängigen Vorgehensweise erworben wurden, sofern der Verarbeiter imstande ist, diese Tatsache nachzuweisen,
- die von einem Dritten übermittelt wurden, der solche Informationen nicht durch eine Pflichtverletzung deren Schutzes erworben hat, und
- die vom Verarbeiter mit einer vorherigen schriftlichen Zustimmung des Verantwortlichen veröffentlicht wurden.
- Der Verarbeiter verpflichtet sich, diese vertraulichen Informationen zu schützen, zu beachten und diese keinen Dritten zugänglich zu machen, und zwar auch nicht infolge einer Nachlässigkeit, und die vertraulichen Informationen des Verantwortlichen nicht zu seinem eigenen Gebrauch, für die Bedürfnisse seiner eigenen unternehmerischen Tätigkeit oder für die Bedürfnisse eines Dritten ohne vorherige Zustimmung des Verantwortlichen zu nutzen. Der Verarbeiter verpflichtet sich, alle ihm zumutbaren Anstrengungen zwecks der Verhinderung des Zugangs zu den oben genannten Informationen seitens eines nichtautorisierten Dritten zu unternehmen.
- Der Verarbeiter ist berechtigt, diese vertraulichen Informationen lediglich zwecks der Dienstleistungserbringung gemäß dem Hauptvertrag und diesem Vertrag zu nutzen, und zwar nur während der Dauer der Zusammenarbeit der Vertragsparteien.
- Der Verarbeiter verpflichtet sich, mit der Erfüllung seiner Pflichten nur diejenigen Mitarbeiter zu beauftragen, die mit den Pflichten, die sich für den Verarbeiter aus diesem Vertrag sowie aus den geltenden Rechtsvorschriften ergeben, vertraut gemacht wurden, und die die Geheimhaltungspflicht zumindest in demselben Umfang eingehen, in dem der Verarbeiter selbst verpflichtet ist. Der Verarbeiter hat eine regelmäßige Kontrolle der Einhaltung der genannten Pflichten durch die Mitarbeiter vorzunehmen.
- Der Verarbeiter verpflichtet sich gleichzeitig, weder das eigentliche Wesen noch den Charakter der übermittelten vertraulichen Information zu ermitteln oder zu prüfen. Falls das Wesen der vertraulichen Information infolge der Tätigkeit des Verarbeiters in Übereinstimmung mit diesem Vertrag oder dem Hauptvertrag ermittelt wird, ist der Verarbeiter keinesfalls berechtigt, über die auf solche Weise ermittelte Information zu verfügen und verpflichtet sich, diese auch weiterhin als vertraulich zu behandeln.
- Der Verarbeiter verpflichtet sich, die vertraulichen Informationen während des gesamten Zeitraums der Existenz vertraulicher Informationen als vertraulich zu behandeln, und zwar auch nach der Beendigung der Zusammenarbeit, es sei denn, dass diese Informationen veröffentlicht oder zugänglich gemacht werden.
VIII. SCHLUSBESTIMMUNGEN
- Dieser Vertrag tritt an demjenigen Tag in Kraft, an dem der Verarbeiter die Zustimmung zu diesem Vertrag seitens des Verantwortlichen erhält (z.B. durch Ankreuzen des Feldes beim Abschluss des Hauptvertrags), und wird auf unbestimmte Zeit abgeschlossen wird.
- Jede Vertragspartei ist berechtigt, von diesem Vertrag im Falle einer wesentlichen Verletzung dieses Vertrags zurückzutreten. Der Verantwortliche nimmt zur Kenntnis, dass die Beendigung dieses Vertrags auch das Erlöschen des Hauptvertrags bedeutet, sofern die Vertragsparteien nichts anderes vereinbaren.
- Hinweis: Im Falle von Unterschieden zwischen der englischen und der tschechischen Sprachversion dieser Regeln für den Schutz personenbezogener Daten ist die englische Version entscheidend. Die englische Version ist auf der Webseite: www.survio.com zugänglich.
- Der Vertrag richtet sich und wird in Übereinstimmung mit den Rechtsvorschriften der Tschechischen Republik ohne Berücksichtigung einer Kollision der Rechtsordnungen ausgelegt.
- Die Vertragsparteien verpflichten sich, alle aus diesem Vertrag hervorgehenden und im Zusammenhang mit ihm entstandenen Streitigkeiten vorzugsweise im gemeinsamen Einvernehmen zu lösen. Erst wenn es nicht gelingt, die Streitigkeit betreffend diesen Vertrag oder die damit zusammenhängenden Rechtsbeziehungen durch Schlichtung beizulegen, sind die Vertragsparteien berechtigt, diese Streitigkeit bei einem sachlich zuständigen Gericht in der Tschechischen Republik zu lösen. Die örtliche Zuständigkeit bestimmt sich nach dem Sitz des Verantwortlichen.
- Die Vertragsparteien bestätigen, dass sie sich mit dem Wortlaut dieses Vertrags bekannt gemacht haben, und dass ihnen dessen Bedeutung bekannt ist. Ferner bestätigen die Vertragsparteien, dass sie die sämtlichen Vertragsbestimmungen völlig und ohne jedwede Schwierigkeiten verstanden haben und diese nicht für ungünstig halten.
ANHANG NR. 1 TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN DES VERARBEITERS
Der Verarbeiter nutzt allein oder mittels weiterer Verarbeiter zur Datensicherung vor allem die nachstehenden technischen und organisatorischen Maßnahmen:
Wurden Maßnahmen zum Schutz vor unbefugtem Zugang zu Daten getroffen?
ja - Für den Eintritt in das Gebäude-/Büro
- Zugangsautorisierung
- Sicherheitssystem
- Regel für die Schlüsselübergabe
- Regeln für den Eintritt der Besucher (insbes. Mitarbeiterbegleitung)
- Datenträger können nur in abgeschlossenen Räumen/Zimmern gelagert werden
Existiert ein Schutz vor dem Zugang seitens nicht autorisierter Personen?
ja - Zugang zu Daten nur nach der Anmeldung ins System
- Nutzung von Verschlüsselung
- Passwortschutz am Arbeitsplatz
- Nutzung von individuellen Passwörtern
- Automatische Zugangssperrung nach wiederholter Eingabe eines falschen Passworts
- Automatische Abmeldung des Nutzers nach einer längeren Inaktivität
- Regeln für die Wahl und den Umgang mit Passwörtern: mindestens 8 Zeichen, großer und kleiner Buchstabe, spezielles Zeichen, Ziffern (mindestens 4 von diesen Kriterien)
- Schutz vor einer Wahl von leicht zu erratenden Passwörtern
- Regeln für die Daten-Skartierung/-Löschung
Wurden Maßnahmen gegen unberechtigte Aktivitäten in den Datenverarbeitungssystemen außerhalb des erteilten Berechtigungsbereichs getroffen?
ja - Regeln für die Zugangsautorisierung
- Regeln für die Datenerneuerung (berechtigte Person, Ereignis)
- Nutzung von Antivirus-Programm
- Nutzung von Firewall
- SPAM-Filter
Wird die Datenverarbeitung nach dem Zweck aufgeteilt, für den die Daten erhoben wurden?
ja - Datenabsonderung nach der Position des Verantwortlichen und des Verarbeiters
- Datenaufteilung laut folgenden Regeln (Name x Id.-Nr. des Kunden)
- Datenaufteilung von Klienten, Kunden und anderen Personen unter verschiedene Mitarbeiter
Wird die Pseudonymisierung genutzt?
ja - Nutzung, falls durchführbar
Erfolgt ein Schutz bei der Übertragung?
ja - VPN-Nutzung
- Datenversendung per E-Mail in verschlüsselten/passwortgeschützten Datenblöcken
- Datenaustausch nur bei gesichertem Protokoll „https“
- Datenverschlüsselung im PC und auf externen Datenträgern, sofern diese genutzt werden
- Datenverschlüsselung in Mobilgeräten
- Die Möglichkeit der Rückverfolgbarkeit der Datenbehandlung
Wurden Maßnahmen zum Schutz der Daten vor Verlust und einer zufälligen Beseitigung getroffen?
ja - Datenschutz und Datensicherung
- Festlegung der Regeln zum Datenschutz und zur Durchführung von Sicherungskopien
- Brandschutzsystem
- Rauchdetektoren im Server-Raum
- Serverräume mit Temperaturregulierung
- Aufbewahrung der Datensicherungskopien in anderen Räumlichkeiten mit Brandschutzausrüstung
Werden die Risiken ausgewertet?
ja - Festlegung von kritischen Komponenten
- Nichtnutzung (Deaktivierung) von unnötigen Komponenten
- Zeitgerechte und regelmäßige Software-Aktualisierung
- Organisierung von regelmäßigen Sicherheitsschulungen
Existieren Regeln für die Überprüfung, Bewertung und Auswertungen der Maßnahmenwirksamkeit im Bereich der Datensicherheit?
ja - Interne Regeln für die Verarbeitung personenbezogener Daten und deren regelmäßige Aktualisierung
- Notifikation von Änderungen innerhalb der Datenverarbeitungsprozesse durch die Datenschutzbeauftragten
- Auswahl der Default-Einstellung entsprechend dem Datenschutz
Erfolgt eine Überprüfung der Vorgehensweise weiterer Verarbeiter bei der Verarbeitung von übermittelten Daten?
ja - Verträge über die Verarbeitung personenbezogener Daten, die in Übereinstimmung mit der DSGVO konzipiert sind
- Sicherstellung von Audits in unerlässlichen Fällen
- Überprüfung von technischen und organisatorischen Maßnahmen
Welche bedeutenden organisatorischen Maßnahmen werden getroffen?
ja - Datenschutzbeauftragter ernannt
- Schweigepflicht für Mitarbeiter bestimmt
- Grundsätze für die Verarbeitung personenbezogener Daten
- Interne Richtlinien
- Regelmäßige Schulungen für Mitarbeiter
- Regelmäßige Kontrollen durch den Datenschutzbeauftragten
Über die oben genannten Maßnahmen hinaus erklärt der Verarbeiter, dass er das Zertifikat ISO/IEC 27001 besitzt, das garantiert, dass der Verarbeiter die international anerkannten Standards für die Managementsysteme betreffend die Informationssicherheit erfüllt.