Vereinbarung
über eine
Auftragsverarbeitung nach Art 28 DSGVO

Der Auftragsverarbeiter:

Eversport GmbH
Heiligenstädterstr. 31,
Stiege 2/501, 1190 Wien

(im Folgenden „Auftragnehmer“ und „Eversports“)

Der Verantwortliche:

Eversports-Vertragspartner
(im Folgenden „Auftraggeber“)

  1. GEGENSTAND DER VEREINBARUNG
    1.1. Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:
    ● Speicherung, Aktualisierung, Übertragung und Löschung von Kunden-, Mitglieder- und/ oder Mitarbeiterdaten
    ● Übertragung (Import) von Kunden-, Mitglieder- und/ oder Mitarbeiterdaten bzw. gegebenenfalls Produktdaten
    ● Produktverwaltung
    ● Ressourcenverwaltung (Raumverwaltung)
    ● Aktivitätenverwaltung
    ● Trainer- und Lehrerverwaltung
    ● Bearbeitung von Support-Anfragen
    ● Möglichkeit zum Export und Import von Kundendaten

    zur Erfüllung der folgenden Zwecke:
    ● Kundenverwaltung
    ● Buchungsabwicklung
    ● Transaktionsabwicklung
    ● Auswertungen
    ● Einhaltung der Registrierkassen-Konformität
    ● Kundenkommunikation (Newsletter-Anmeldungen)

     

Diese Vereinbarung ist als Ergänzung zum bestehenden Eversports-Kooperationsvertrag (Vereinbarung) zwischen Auftragnehmer und Auftraggeber zu verstehen.

1.2. Folgende Datenkategorien werden verarbeitet:

● Kontaktdaten (Vorname, Nachname, Adresse, E-Mail, Telefonnummer)
● Kundeninformationen (Kundennummer & -gruppen)
● Accountdaten (Erstellungsdatum)
● Geburtsdatum
● Geschlecht
● Bilddaten (Profilbild)
● Bankdaten (SEPA, Kreditkarte)
● Buchungsdaten
● Bestelldaten (Produkte, Kaufdatum)
● Rechnungsdaten
● Newsletteranmeldung

1.3. Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
● Kunden
● Mitglieder
● Mitarbeiter
● Externe Trainer
● Administratoren

 

2. DAUER DER VEREINBARUNG


Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer in den Eversports AGB festgelegten Frist gekündigt werden. Diese Vereinbarung endet ohne Bedarf gesonderter Erklärungen mit vollständigem Wegfall des Eversports-Kooperationsvertrages.

Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Eine solche außerordentliche Kündigung gilt – ungeachtet der dort vereinbarten Beendigungsmodalitäten – jedenfalls insoweit gleichermaßen für den Eversports-Kooperationsvertrag, als dessen Gegenstand von dieser Vereinbarung erfasst war. Nur in Bezug auf allenfalls (ökonomisch sinnvoll trennbar) verbleibende Leitungskomponenten wird der Eversports-Kooperationsvertrag entsprechend seiner sonstigen Bestimmungen fortgesetzt.

3. PFLICHTEN DES AUFTRAGGEBERS

3.1. Der Auftraggeber verpflichtet sich die Einwilligung der Betroffenen Person für die, zur Verarbeitung dem Auftragnehmer überlassenen, Daten einzuholen, sofern die Verarbeitung nicht im Rahmen der Vertragserfüllung notwendig ist oder auf einer anderen Rechtsgrundlage des Art 6 DSGVO beruht.

3.2. Insbesondere verpflichtet sich der Auftraggeber Daten besonderer Kategorien (Gesundheitsdaten) im Rahmen der Kundeninformation nur mit vorhandener ausdrücklicher Einwilligung der betroffenen Person zu verarbeiten. Der Auftragnehmer übernimmt keine Verantwortung über die Inhalte, die vom Auftraggeber in freie Textfelder eingetragen werden.

3.3. Der Auftraggeber verpflichtet sich von Eversports im Zuge einer Buchung übermittelte Kundenfotos ohne Zustimmung der Betroffenen Person nicht weiter zu verarbeiten, zu vervielfältigen oder zu veröffentlichen.

3.4. Der Auftraggeber ist selbst verantwortlich die zeitgerechte Löschung von Daten durchzuführen bzw. anzustoßen.

3.5. Die Entscheidung über eine Einschränkung, Löschung oder Berichtigung vertrags-gegenständlicher Datensätze steht ausschließlich dem Auftraggeber zu. Der Auftragnehmer wird daher nur nach ausdrücklicher und dokumentierter Weisung des Auftraggebers tätig werden. Wenden sich betroffene Personen diesbezüglich direkt an den Auftragnehmer, werden solche Ersuchen dem Auftraggeber weitergeleitet.

3.6. Der Auftraggeber nimmt Kunden, die über die Eversports Plattform (App, Marketplace oder Widget) gebucht haben, nur nach deren ausdrücklicher Zustimmung in seinen Newsletterverteiler auf. Die Bestimmungen des § 107 TKG oder einer Nachfolgebestimmung sind dabei jedenfalls einzuhalten.

4. PFLICHTEN DES AUFTRAGNEHMERS

4.1. Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

4.2. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

4.3. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen).

4.4. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

4.5. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Der Auftragnehmer ist berechtigt, allenfalls dafür entstehenden Mehraufwendungen, die vom eigentlichen Basis-Auftrag nicht umfasst sind, dem Auftraggeber in Rechnung zu stellen.

4.6. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht auf Einsichtnahme und Kontrolle der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anfrage jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.


4.7. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die personenbezogene Daten enthalten zu anonymisieren. Die weitere Speicherung, sowie die Auswertung dieser anonymisierten Daten ist dem Auftragnehmer ausdrücklich gestattet.


4.8. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.


4.9. Der Auftragnehmer verpflichtet sich Daten beim Import von externen Tools nach der Integration in die Eversports-Datenbank von lokalen Speichermedien zu löschen.

5. ORT DER DURCHFÜHRUNG DER DATENVERARBEITUNG

Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt, und zwar in den USA und in Kanada. Das angemessene Datenschutzniveau ergibt sich aus einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.

6. SUB-AUFTRAGSVERARBEITER

6.1 Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen.
Der Auftragnehmer holt die erforderlichen Zustimmungen im Sinne des Art 28 Abs 4 DSGVO beim Sub-Auftragsverarbeiter ein. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

6.2 Der Auftragnehmer ist berechtigt andere konzernverbundene Unternehmen als Sub-Auftragsverabeiter einzusetzen, wofür die Zustimmung durch den Auftraggeber vorab erteilt wird. Namentlich sind das derzeit ….

7. Haftungen

7.1 Jede Vertragspartei haftet grundsätzlich allein und uneingeschränkt für alle nachteiligen Folgen der Verletzung datenschutzrechtlicher Pflichten im Rahmen ihres vertraglichen und/oder gesetzlichen Verantwortungsbereichs und wird die jeweils andere Partei bei Inanspruchnahme durch Dritte schad- und klaglos halten.


7.2 Diese Schadenersatzpflicht erfasst im gesetzlich zulässigen Ausmaß insbesondere auch behördliche Geldbußen, die einer Vertragspartei wegen eines der jeweils anderen zuzurechnenden Verhaltens auferlegt wurden.


7.3 Eine Haftung des Aufragnehmers ist auf das Zweifache des Jahreswertes (Vergütung) des Eversports-Kooperationsvertrages und auf Fälle der groben Fahrlässigkeit oder des Vorsatzes beschränkt. Eine Haftung bei leichter Fahrlässigkeit ist ebenso ausgeschlossen wie eine Haftung für Folgeschäden.

8. Schlussbestimmungen

 

8.1 Sollten einzelne Teile dieser Bestimmungen ungültig sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen. Eine weggefallene Bestimmung ist durch diejenige zulässige bzw. gültige zu ersetzen, die dem wirtschaftlichen Gehalt bzw. von den Parteien verfolgten Zweck am nächsten kommt.


8.2 Das Auftragsverarbeitungsverhältnis unter-liegt, sofern nicht im Basis-Vertrag anders vereinbart, allein österreichischem materiellen Recht sowie sachlich relevantem Unionsrecht, insbesondere der DSGVO. Gerichtsstand ist Wien.

Für den Auftraggeber:

Wien, am

Für den Auftragsnehmer

Wien, am

 

…………………………………………….

[Name samt Funktion ]

…………………………………………….

[Name samt Funktion ]