Anhang: Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung
1. Allgemeines

Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen Regelungen des Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen dem Auftraggeber und SIS Evosoft EDV GmbH (nachfolgend „SIS“) getroffen.

Zwischen Auftraggeber und SIS besteht ein Verträgsverhältnis über die Einführung oder Erweiterung von IT-Systemen und/oder zu deren Wartung. In diesem Zusammenhang ist nicht ausgeschlossen, dass SIS personenbezogene Daten verarbeitet, um die Einführung, Wartung und Pflege von IT-Systemen durchzuführen oder durchführen zu können.

2. Dauer der Vereinbarung

Auftragsverarbeitung im Rahmen einer Systemeinführung bzw. bei Systemerweiterungen: Diese Vereinbarung beginnt mit Beauftragung und endet mit Durchführung der in Auftrag gegebenen Arbeiten (=Lieferung).

Auftragsverarbeitung im Rahmen des Wartungsvertrags: Bei aufrechtem Wartungsvertrag gilt diese Vereinbarung für die Dauer des Wartungsvertrags.

Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.

3. Gegenstand des Auftrags

Der Auftrag des Auftraggebers an SIS kann in der Regel folgende Arbeiten und/oder Leistungen umfassen:

  • Anlegen von Benutzern auf Applikationsebene
  • Einrichtung/Einräumung, Änderung und/oder Löschung von Benutzerberechtigungen
  • Einspielen von Zeitsaldoständen
  • Implementierung von Personalstammschnittstellen aus Vorsystemen
  • Eingabe, Änderung oder Löschung von Datenbankfeldern
  • Fernwartung von IT-Systemen

Folgende Datenkategorien werden verarbeitet:

Daten, die für die gesetzliche Zeiterfassung (inkl. Auftrags- und Projektzeiterfassung) und Lohnverrechnung erforderlich sind. Hierzu zählen

  • Stammdaten (Name, Personalnummer, Chipkartennummer, Benutzerdaten) sowie
  • Bewegungsdaten (erfasste Zeit- und Zulagenbuchungen, Leistungskontierungen, Zeitsalden).

Kreis der von der Datenverarbeitung Betroffenen:

  • Beschäftigte des Auftraggebers
4.   Pflichten des Auftragnehmers (SIS)
  • SIS verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält SIS einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat SIS – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke eines schriftlichen Auftrages.
  • SIS erklärt, dass sie alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden bei SIS aufrecht.
  • SIS erklärt, dass er auf seinen Systemen die erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind unten im Anhang zu entnehmen).
  • SIS unterstützt den Auftraggeber bei der Ergreifung der technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an SIS gerichtet und lässt dieser erkennen, dass der Antragsteller SIS irrtümlich für den Verantwortlichen der Datenanwendung hält, hat SIS den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
  • SIS unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung)
  • Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht zur Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen zu Geschäftszeiten unter einer angemessenen Vorankündigung eingeräumt. Der Auftraggeber darf sich hierfür Dritter bedienen, sofern diese in keinem Konkurrenzverhältnis zu SIS und dessen verbundenen Unternehmen stehen und gesetzlich bzw. vertraglich zur Verschwiegenheit verpflichtet sind. SIS verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann SIS einen Vergütungsanspruch geltend machen.
  • SIS ist nach Beendigung dieser Vereinbarung verpflichtet, etwaige Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten, sofern dem gesetzliche Bestimmungen oder weitere vertragliche Vereinbarungen mit dem Auftraggeber nicht entgegenstehen.
  • SIS hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
5.   Rechte und Pflichten des Auftraggebers
  • Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Wartung und Pflege von IT-Systemen gegenüber SIS zu erteilen. Weisungen müssen in Textform (z.B. E-Mail) erfolgen. Der Auftraggeber sichert zu, die von seiner Seite bereitgestellten personenbezogenen Daten im Einklang mit den jeweils gültigen datenschutzrechtlichen Bestimmungen zu verarbeiten und zur Datenverarbeitung berechtigt zu sein.Der Auftraggeber informiert SIS unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Wartung und Pflege durch SIS feststellt.
6.   Ort der Durchführung der Datenverarbeitung

Alle Datenverarbeitungstätigkeiten werden ausschließlich auf durch den Auftraggeber zur Verfügung gestellten IT-Systemen mittels Fernwartung durchgeführt. Es obliegt dem Auftraggeber für die Sicherheit dieser IT-Systeme Sorge zu tragen.

7.   Sub-Auftragsverarbeiter

SIS kann Sub-Auftragsverarbeiter hinzuziehen – er hat den Auftraggeber von der beabsichtigten Heranziehung so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. SIS schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die SIS auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet SIS gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Anlage./1 – Technische und organisatorische Maßnahmen (Art 32 DSGVO)

Sofern personenbezogene Daten des Auftraggebers durch SIS verarbeitet werden, erfolgt dies ausschließlich in der Systemumgebung (gleich ob in einer Test- oder einer Produktivumgebung) des Auftraggebers mittels Remotezugang. Keinesfalls werden personenbezogene Daten auf IT-Systemen des Auftraggebers gehalten. Allein der Auftraggeber ist dafür verantwortlich, geeignete technische und organisatorische Maßnahmen in seiner Systemumgebung zu ergreifen, um einen adäquaten Schutz der personenbezogenen Daten sicherzustellen.

Die nachfolgenden Maßnahmen erläutern sohin die vorgenommenen Schutzvorkehrungen von SIS hinsichtlich der Datenverarbeitungssysteme für den Remotezugang auf die Server des Auftraggebers sowie bezüglich der Arbeiten hierauf.

  • Zutrittskontrolle: Besetzter Empfang während der Öffnungszeiten, Alarmanlage außerhalb der Öffnungszeiten; Besucherregelungen (Zutritt nur in Begleitung einer betriebsangehörigen Person).
  • Zugangskontrolle: Systeme von SIS werden mittels Authentisierungsmethoden gesichert und unterliegen einem Berechtigungskonzept, welches sicherstellt, dass nur entsprechend berechtigte Personen Zugriff auf Daten erhalten.
  • Weitergabekontrolle: Ein administrativer Zugriff auf IT-Systeme des Auftraggebers erfolgt über verschlüsselte Verbindungen (VPN-Zugang, Fernwartung via Software, z.B. TeamViewer).
  • Eingabekontrolle: SIS wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die er im Auftrag des Auftraggebers durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt.
  • Zugriffskontrolle: Berechtigungen für IT-Systeme und Applikationen werden nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur jene Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.
  • Transportkontrolle: Der Zugriff auf IT-Systeme des Auftraggebers erfolgt über verschlüsselte Verbindungen (VPN-Zugang).
  • Verfügbarkeit, Wiederherstellbarkeit: die Sicherung und Wiederherstellbarkeit von personenbezogenen Daten obliegt dem Auftraggeber

Sonstige Maßnahmen:

  • Auftragskontrolle: SIS handelt bei der Verarbeitung im vertraglich vereinbarten Umfang.
  • Sonstiges: Datenschutz-Management, regelmäßige Mitarbeiterschulungen; Verschwiegenheitspflicht der Mitarbeiter.
Anlage ./2 – Verarbeitungsverzeichnis (Art 30 Abs 2 DSGVO)
  1. Name und Kontaktdaten des Auftragsverarbeiters/der Auftragsverarbeiter

SIS Evosoft EDV GmbH, Inkustraße 1-7, 3400 Klosterneuburg

office(at)sisworld.com, + 43 / 1 / 368 65 00

  1. Kategorien von Verarbeitungen, die im Auftrag des konkreten Verantwortlichen durchgeführt werden

 Siehe oben Punkt 3. (Gegenstand der Verarbeitung)

  1. Übermittlung von personenbezogenen Daten in Drittländer, inkl. internationale Organisationen

Nein

  1. Technische und organisatorische Maßnahmen gem. Art 32

Siehe Anlage ./1

Zu den Allgemeinen Lieferungs- und Leistungsbedingungen