DIESE RAHMENVEREINBARUNG (“MSA”) (in der Fassung vom 8. Oktober 2021) REGELT DIE NUTZUNG DER APPLICATION SERVICES (WIE NACHSTEHEND DEFINIERT) DER ADVERITY GMBH („ADVERITY“) MIT DER FIRMENBUCHNUMMER 448481 g DURCH EINE NATÜRLICHE ODER JURISTISCHE PERSON („KUNDE“). MIT DER UNTERZEICHNUNG DES HANDELSVERTRAGES (WIE NACHSTEHEND DEFINIERT), WELCHER SICH AUF DIESE MSA BEZIEHT, ERKLÄRT SICH DER KUNDE MIT DEN BESTIMMUNGEN UND BEDINGUNGEN DIESER MSA EINVERSTANDEN.

Kunde und Adverity können hierin einzeln als „Partei“ oder gemeinsam als „Parteien“ bezeichnet werden. Die MSA tritt in Kraft mit Abschluss des Handelsvertrages.

I. DEFINITIONEN

Account” bezeichnet das Konto für die Plattform, das von jedem Benutzer für den Zugriff auf die Application Services erstellt wird. Das Konto ist streng auf die Nutzung durch einen Benutzer beschränkt.

Application Services” bezeichnet die von Adverity angebotenen Produkte und Services, die der Kunde auf Grundlage eines Handelsvertrages bestellt und Adverity online über ein passwortgeschütztes Kundenlogin zur Verfügung stellt.

Datum des Inkrafttretens” bezeichnet das Datum, an welchem der Handelsvertrag zwischen den Parteien abgeschlossen wird.

Handelsvertrag” bezeichnet die Dokumente zur Bestellung der Application Services, die zwischen dem Kunden und Adverity abgeschlossen werden, einschließlich Nachträge und Ergänzungen hierzu. Mit dem Abschluss eines Handelsvertrages im Rahmen dieser MSA erklärt sich ein verbundenes Unternehmen des Kunden damit einverstanden, an die Bedingungen dieser Vereinbarung gebunden zu sein, als wäre es ursprüngliche Partei dieser Vereinbarung. Diese MSA stellt einen integralen Bestandteil des Handelsvertrages dar.

Kundendaten” bezeichnet alle elektronischen Daten oder Informationen, die der Kunde an die Application Services übermittelt.

Kundensupport” hat die in Abschnitt III.4 festgelegte Bedeutung.

Laufzeit” hat die in Abschnitt X.1 festgelegte Bedeutung.

Plattform” bezeichnet eine bestimmte, von Adverity bereitgestellte URL unter der die Application Services betrieben werden.

Schädlicher Code” bezeichnet Viren, Würmer, Zeitbomben, Trojanische Pferde und andere schädliche oder bösartige Codes, Dateien, Skripte, Agenten oder Programme.

Services” bezeichnet die Application Services und die Professional Services zusammen.

Subscription” bezeichnet die Bereitstellung der Application Services durch Adverity an den Kunden über die Plattform.

Subscriptiondauer” bezeichnet die im Handelsvertrag festgelegte Subscriptiondauer.

Subscription-Enddatum” bezeichnet das Datum, an welchem Adverity dem Kunden die Application Services wie im anwendbaren Handelsvertrag beschrieben entzieht.

Subscription-Startdatum” bezeichnet das Datum, an welchem Adverity dem Kunden die Application Services wie im anwendbaren Handelsvertrag beschrieben zur Verfügung stellt.

User Guide” bezeichnet Online-Hilfe, Schulungen, Anleitungen und erläuternde Materialien, die Kunden bei der Nutzung der Application Services unterstützen (welche von Zeit zu Zeit aktualisiert werden können), auf die über die Anmeldung bei den Application Services zugegriffen werden kann oder die anderweitig von Adverity bereitgestellt werden.

Verbundenes Unternehmen” bezeichnet ein Unternehmen gemäß § 189a Z. 8 Unternehmensgesetzbuch („UGB”) und/oder ein Unternehmen gemäß § 189a Z 9 UGB.

Vertrauliche Information” hat die in Abschnitt VI. festgelegte Bedeutung.

II. APPLICATION SERVICES

II.1. Bereitstellung von Application Services

Adverity stellt dem Kunden die Application Services gemäß dieser MSA und dem Handelsvertrag während der Subscriptiondauer zur Verfügung. Der Kunde stimmt zu, dass die Käufe des Kunden im Rahmen dieser MSA weder von der Lieferung zukünftiger Funktionen oder Merkmale abhängig sind noch von mündlichen oder schriftlichen öffentlichen Kommentaren von Adverity über zukünftige Funktionen oder Merkmale.

II.2. Subscriptions

Sofern im Handelsvertrag nicht anders angegeben:

  1. Application Services werden als Subscriptions erworben und dürfen nur in Übereinstimmung mit dem Handelsvertrag und dieser MSA genutzt werden;
  2. Zusätzliche Application Services können während der jeweiligen Subscriptiondauer zu für beide Parteien annehmbaren Bedingungen hinzugefügt werden; und
  3. Die hinzugefügten Application Services enden zum gleichen Zeitpunkt wie die bereits bestehenden Subscriptions.

III. NUTZUNG VON APPLICATION SERVICES

III.1. Nutzung von Application Services

Adverity wird:

  1. dem Kunden Kundensupport in Sinne von Abschnitt III:4. ohne zusätzliche Kosten oder – wenn zwischen den Parteien in dem Handelsvertrag vereinbart – Premiumsupport zur Verfügung stellen;
  2. wirtschaftlich vertretbare Anstrengungen unternehmen, um die Application Services 24 Stunden am Tag, 7 Tage die Woche zur Verfügung zu stellen, mit Ausnahme von
    1. geplanten Ausfallzeiten (von denen Adverity mindestens 24 Stunden im Voraus über die Application Services oder per E-Mail informiert), oder
    2. jede Nichtverfügbarkeit, die durch Umstände verursacht wird, die außerhalb der angemessenen Kontrolle von Adverity liegen, einschließlich – aber nicht beschränkt auf – höherer Gewalt, Regierungshandlungen, Überschwemmungen, Brände, Erdbeben, zivile Unruhen, Terrorakte, von der Weltgesundheitsorganisation anerkannten Pandemie oder weit verbreiteten Krankheit, Streiks oder andere Arbeitsprobleme, Ausfälle, Ausfallzeiten oder Verzögerungen durch einen Internetdienstanbieter, Hosting-Provider oder eine Plattform Dritter oder Denial-of-Service-Angriffe.

III.2. Verantwortung des Kunden

  1. Der Kunde
    1. ist für die Einhaltung dieser MSA verantwortlich;
    2. ist für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und der Mittel, mit denen der Kunde die Kundendaten erhält, verantwortlich;
    3. wird sämtliche angemessenen Anstrengungen unternehmen, um den unbefugten Zugriff auf die Application Services oder deren Nutzung zu verhindern und Adverity unverzüglich über einen solchen unbefugten Zugriff oder eine solche Nutzung informieren;
    4. darf die Application Services nur in Übereinstimmung mit dem User Guide und den geltenden Gesetzen und Verordnungen nutzen und
    5. darf jede Registrierung und jeden Account ausschließlich für einen Nutzer nutzen. Die gemeinsame Nutzung eines Accounts durch mehrere Personen oder die entgeltliche oder unentgeltliche Übertragung des Accounts auf einen Dritten ist untersagt.
  1. Der Kunde darf:
    1. die Application Services nur jenen Mitarbeitern zur Verfügung stellen, die vom Kunden zur Nutzung der Application Services autorisiert sind;
    2. die Application Services oder das Recht, sie zu nutzen, nicht verkaufen, weiterverkaufen, vermieten oder verleasen;
    3. die Application Services nicht zum Speichern oder Übermitteln von verletzendem, verleumderischem oder anderweitig rechtswidrigem oder unerlaubtem Material oder zum Speichern oder Übermitteln von Material unter Verletzung von Rechten Dritter nutzen;
    4. die Application Services nicht zum Speichern oder Übermitteln von Schädlichem Code nutzen;
    5. die Integrität oder Leistung der Application Services oder der darin enthaltenen Daten Dritter nicht beeinträchtigen oder stören;
    6. nicht versuchen, sich unbefugten Zugriff auf die Application Services oder die damit verbundenen Systeme oder Netzwerke zu verschaffen; oder
    7. die Dienste über den schriftlich zulässigen Umfang hinaus nutzen.
  1. Adverity ist berechtigt (aber nicht verpflichtet) auf eigene Kosten zu überprüfen, ob der Kunde seinen Verpflichtungen gemäß diesem Abschnitt III.2 nachkommt. Für den Fall, dass der Kunde gegen eine Bestimmung dieses Abschnitts III.2 verstößt, kann Adverity zusätzlich zu allen anderen Rechten, die Adverity im Rahmen dieser MSA oder per Gesetz hat, den Zugang des Kunden zu den Application Services vorübergehend aussetzen.

III.3. Übertragung von Application Services

  1. Der Kunde erhält die Application Services für den eigenen Gebrauch zur Verfügung gestellt und darf Dritten weder gegen Entgelt noch kostenlos den Zugang hierzu gewähren. Für solche Zwecke ist ein separater Handelsvertrag oder eine Erweiterung der Subscription erforderlich und kann bereitgestellt werden.
  2. Nichts in diesem Vertrag hindert den Kunden daran, Daten und Informationen, die er von den Application Services erhält, Dritten über die Datenbereitstellungsfunktionen oder die Dashboard-Sharing und -Exportfunktionen der Application Services zur Verfügung zu stellen.

III.4. Technischer und Benutzer Support

  1. Adverity bietet dem Kunden während der Subscriptiondauer technischen Support und Support für Benutzer, wie in dem Handelsvertrag definiert.
  2. Alle vom Kunden gemeldeten Probleme und/oder Fragen werden innerhalb der in dem Handelsvertrag festgelegten Wiederherstellungszeit gelöst. Die Wiederherstellungszeit beginnt ab dem Zeitpunkt, ab welchem Adverity von dem jeweiligen Problem/Frage Kenntnis erhält.
  3. Der Kundensupport umfasst keine Implementierungs-/Professional Services, Programmierung, detaillierte oder spezialisierte Wartung, Bereitstellung von Verbesserungen oder Unterstützung in verschiedenen Komponenten, die nicht Teil der Application Services sind.

IV. GEBÜHREN UND BEZAHLUNG

IV.1. Servicegebühren

Der Kunde hat alle Gebühren zu zahlen, die in allen abgeschlossenen Handelsverträgen festgelegt sind. Sofern in einem Handelsvertrag nicht anders angegeben, basieren die Gebühren auf den erworbenen Services und nicht auf der tatsächlichen Nutzung. Die erworbenen Services können während der jeweiligen Subscriptiondauer nicht reduziert werden.

IV.2. Ausgaben

Der Kunde erstattet Adverity angemessene Reisekosten und andere Ausgaben, die im Zusammenhang mit den Professional Services anfallen.

IV.3. Rechnungsausstellung und Bezahlung

Adverity stellt dem Kunden alle in dem Handelsvertrag aufgeführten Services für die anfängliche und jede weitere Subscriptiondauer gemäß Abschnitt X.2 in Rechnung. Adverity stellt dem Kunden Rechnungen im Voraus aus, außer es ist in dem jeweiligen Handelsvertrag etwas anderes geregelt. Sofern in dem Handelsvertrag nicht anders angegeben, sind die in Rechnung gestellten Kosten 30 Tage netto nach Rechnungsdatum fällig. Der Kunde ist verantwortlich für die Bereitstellung vollständiger und genauer Rechnungs- und Kontaktinformationen für Adverity und die Benachrichtigung von Adverity über alle Änderungen dieser Informationen.

IV.4. Überfällige Kosten

Wenn Rechnungsbeträge nicht bis zum Fälligkeitsdatum bei Adverity eingehen, können diese Beträge, ohne die Rechte oder Rechtsbehelfe von Adverity einzuschränken,

  1. zu Verzugszinsen in Höhe des gesetzlichen Zinssatzes führen und
  2. Adverity kann für zukünftige Subscriptions und Handelsverträge kürzere Zahlungsfristen als die in Abschnitt IV.3 genannten festsetzen.

IV.5. Aussetzung von Application Services und sofortige Rückzahlung

Wenn ein vom Kunden aus dieser oder einer anderen Vereinbarung geschuldeter Betrag 30 Tage oder länger überfällig ist, kann Adverity, ohne die anderen Rechte und Rechtsbehelfe von Adverity einzuschränken, die unbezahlten Gebühren des Kunden samt Verzugszinsen in Rechnung stellen, sodass alle Zahlungsverpflichtungen sofort fällig und zahlbar werden und die Erbringung der Services für den Kunden aussetzen, bis diese Beträge vollständig bezahlt sind. Adverity wird den Kunden mindestens 7 Tage im Voraus darüber informieren, dass das Konto des Kunden gemäß Abschnitt XII.1 überfällig ist, bevor die Services für den Kunden eingestellt werden.

IV.6. Zahlungsstreitigkeiten

Adverity wird seine Rechte nach Abschnitt IV.4. oder IV.5. nicht ausüben, wenn der Kunde die zu zahlenden Gebühren vernünftig und gutgläubig bestreitet und bei der Beilegung der Streitigkeit gewissenhaft mitwirkt; jedoch ist der Kunde nicht berechtigt, seine eigenen Ansprüche gegen einen Anspruch von Adverity aus dieser MSA aufzurechnen (oder ein Zurückbehaltungsrecht geltend zu machen), es sei denn, die Gegenforderung des Kunden ist:

  1. von Adverity unbestritten; oder
  2. durch eine verbindliche Gerichtsentscheidung bestätigt, die nicht angefochten werden kann.

IV.7. Steuern

Sofern nicht anders angegeben, beinhalten die Gebühren von Adverity keine Steuern, Abgaben, Zölle oder ähnliche staatliche Abgaben jeglicher Art, einschließlich, aber nicht beschränkt auf Umsatzsteuer, Verkaufs-, Nutzungs- oder Quellensteuern, die von einer lokalen, staatlichen, föderalen oder ausländischen Gerichtsbarkeit zu beurteilen sind (zusammen „Steuern“). Der Kunde ist für die Zahlung aller Steuern verantwortlich, die mit den Einkäufen des Kunden im Rahmen dieser MSA verbunden sind. Ist Adverity gesetzlich zur Zahlung oder Einziehung von Steuern verpflichtet, für die der Kunde verantwortlich ist, wird der entsprechende Betrag dem Kunden zusätzlich in Rechnung gestellt und vom Kunden bezahlt, es sei denn, der Kunde stellt Adverity eine gültige, von der zuständigen Steuerbehörde genehmigte Steuerbefreiungsbescheinigung zur Verfügung. Adverity ist allein verantwortlich für Steuern, die auf der Grundlage des Unternehmenseinkommens, Vermögens und der Mitarbeiter von Adverity gegenüber Adverity steuerbar sind.

V. EIGENTUMSRECHTE

V.1. Rechtsvorbehalt

Vorbehaltlich der hierin ausdrücklich gewährten eingeschränkten Rechte, behält sich Adverity alle Rechte, Titel und Interessen an und für die Application Services vor, einschließlich aller damit verbundenen geistigen Eigentumsrechte. Dem Kunden werden keine anderen Rechte als die hierin ausdrücklich genannten gewährt.

V.2. Einschränkungen

Der Kunde darf:

  1. keine auf den Application Services basierenden abgeleiteten Werke ändern, kopieren oder erstellen;
  2. die Application Services nicht rückentwickeln oder
  3. auf die Application Services zugreifen, um ein
    1. wettbewerbsfähiges Produkt oder einen wettbewerbsfähigen Service zu entwickeln, oder
    2. Ideen, Eigenschaften, Funktionen oder Grafiken der Application Services zu kopieren.

Die Rechte des Kunden aus zwingenden gesetzlichen Vorschriften werden durch das Vorstehende nicht eingeschränkt.

V.3. Kundendaten

Im Verhältnis zum Kunden besitzt dieser alle Kundendaten, einschließlich aller Berichte, Statistiken und anderen Daten, soweit sie ausschließlich aus Kundendaten generiert werden, sowie alle geistigen Eigentumsrechte daran.

V.4. Verbesserungen

Adverity besitzt alle Rechte, Titel und Anteile, einschließlich aller Rechte an geistigem Eigentum, in und an Verbesserungen der Application Services oder an neuen Programmen, Aktualisierungen, Modifikationen oder Verbesserungen, die von Adverity im Zusammenhang mit der Erbringung der Application Services für den Kunden entwickelt wurden, auch wenn sich Verfeinerungen und Verbesserungen aus dem Wunsch oder Vorschlag des Kunden ergeben. Soweit, falls vorhanden, das Eigentum an solchen Verfeinerungen und Verbesserungen nicht automatisch auf Adverity aufgrund dieser MSA oder anderweitig übergeht, überträgt der Kunde hiermit alle Rechte, Titel und Interessen, die der Kunde oder seine verbundenen Unternehmen an solchen Verfeinerungen und Verbesserungen haben oder haben können, und tritt diese an Adverity ab.

V.5. Werbung; Marken

Keine der Parteien darf ohne die vorherige schriftliche Zustimmung der anderen Partei (E-Mail ist ausreichend) Pressemitteilungen oder andere öffentliche Bekanntmachungen jeglicher Art im Zusammenhang mit dieser MSA veröffentlichen. Ungeachtet des Vorstehenden kann jede Partei während der Laufzeit den Namen und das Logo der anderen Partei in Listen (auch auf ihrer Website) von Kunden oder Verkäufern gemäß dem Standardlogo der anderen Partei und/oder den Richtlinien zur Nutzung von Markenzeichen aufnehmen. Darüber hinaus darf Adverity die Markenzeichen und Handelsnamen des Kunden ausschließlich im Zusammenhang mit der autorisierten Bereitstellung der Services verwenden. Mit Ausnahme der hierin dargelegten Fälle darf keine der Parteien die Markenzeichen und Handelsnamen der anderen Partei ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden.

VI. VERTRAULICHKEIT

VI.1. Definition von vertraulichen Informationen

  1. Wie hierin verwendet, bezeichnet „Vertrauliche Informationen“ alle Informationen, die von einer Partei („Offenlegende Partei“) an die andere Partei („Empfangende Partei“) weitergegeben werden, sei es mündlich oder schriftlich, die als vertraulich bezeichnet werden oder die angesichts der Art der Informationen und der Umstände der Offenlegung vernünftigerweise als vertraulich zu betrachten sind. Die vertraulichen Informationen des Kunden umfassen Kundendaten, die vertraulichen Informationen von Adverity umfassen die Application Services und die vertraulichen Informationen beider Parteien umfassen jedenfalls die Bedingungen dieses Vertrags und aller Handelsverträge./li>
  2. Zu den vertraulichen Informationen zählen auch:
    1. technische und geschäftliche Informationen in Bezug auf geschützte Ideen, patentierbare Ideen und/oder Geschäftsgeheimnisse, bestehende und/oder geplante Produkte und Dienstleistungen, Forschungen und Entwicklungen, Produktionen, Kosten, Gewinn- und Margeninformationen, Finanzen und Finanzprognosen, Kunden, Marketing und aktuelle oder zukünftige Geschäftspläne und -modelle, unabhängig davon, ob diese Informationen zum Zeitpunkt ihrer Veröffentlichung als „vertrauliche Informationen“ bezeichnet werden;
    2. jegliche Informationen über die Application Services oder produktspezifische Information der Adverity GmbH Plattform sowie über die durch die Plattformen übertragene Daten;
    3. darüber hinaus umfassen vertrauliche Informationen auch andere vertrauliche und/oder sensible Informationen, die (I.) zum Zeitpunkt der Offenlegung als solche schriftlich offenbart und als vertraulich (oder mit einer anderen ähnlichen Bezeichnung) gekennzeichnet sind, und/oder (II.), die zum Zeitpunkt der Offenlegung auf andere Weise offenbart und als vertraulich identifiziert wurden, und die weiters in einem schriftlichen Hinweis zusammengefasst und als vertraulich bezeichnet werden, welcher innerhalb von 30 Tagen nach deren Offenbarung übermittelt wird.
  1. Vertrauliche Informationen umfassen keine Informationen, die
    1. im Besitz der empfangenden Partei sind, bevor sie von der offenlegenden Partei empfangen wird;
    2. öffentlich bekannt sind oder werden, ohne dass dies eine Verletzung dieser MSA zu werten ist;
    3. von der empfangenden Partei unabhängig entwickelt werden;
    4. von der empfangenden Partei offengelegt werden, um einer gesetzlichen Aufforderung eines zuständigen Gerichts, einer Regierungsstelle, einer Regulierungsbehörde oder Wertpapierbörse nachzukommen;
    5. an einen Dritten gemäß einer schriftlichen Genehmigung der offenlegenden Partei weitergegeben werden.

VI.2. Schutz vertraulicher Informationen

Die empfangende Partei:

  1. wird die gleiche Sorgfalt anwenden, mit der sie die Vertraulichkeit ihrer eigenen vertraulichen Informationen schützt (jedoch in keinem Fall weniger als angemessene Sorgfalt);
  2. wird die von der offenlegenden Partei offenbarten vertraulichen Informationen aus keinem anderen Grund oder Zweck als zur Erfüllung ihrer (vorvertraglichen) Verpflichtungen aus der Zusammenarbeit zwischen den Parteien offenlegen, nutzen, einsetzen, verwerten oder anderweitig nutzen;
  3. sofern nicht anderweitig von der offenlegenden Partei schriftlich autorisiert, den Zugang zu vertraulichen Informationen der offenlegenden Partei auf diejenigen ihrer Mitarbeiter, Auftragnehmer und Vertreter ihrer verbundenen Unternehmen zu beschränken, die diesen Zugang für Zwecke benötigen, die mit dieser MSA übereinstimmen, und die Vereinbarungen mit der empfangenden Partei unterzeichnet haben, die nicht weniger strenge Schutzmaßnahmen als die hierin enthaltenen enthalten. Keine der Parteien darf die Bedingungen dieser MSA oder eines Handelsvertrages ohne die vorherige schriftliche Zustimmung der anderen Partei an Dritte weitergeben, mit Ausnahme ihrer verbundenen Unternehmen und ihrer Rechtsberater und Buchhalter.

Die Verpflichtungen aus Abschnitt VI. jeder der Parteien bleiben auch dann bestehen, wenn das Vertragsverhältnis zwischen ihnen ohne Einschränkung beendet ist. Hinsichtlich des Endes des Vertragsverhältnisses wird auf Abschnitt VI.5. verwiesen.

VI.3. Erzwungene Offenlegung

Die empfangende Partei kann vertrauliche Informationen der offenlegenden Partei offenlegen, wenn sie gesetzlich dazu gezwungen ist, vorausgesetzt, die empfangende Partei teilt der offenlegenden Partei im Voraus eine solche erzwungene Offenlegung (soweit gesetzlich zulässig) und angemessene Unterstützung auf Kosten der offenlegenden Partei mit, wenn die offenlegende Partei die Offenlegung anfechten möchte. Wenn die empfangende Partei gesetzlich verpflichtet ist, die vertraulichen Informationen der offenlegenden Partei als Teil eines gerichtlichen Verfahrens, in dem die offenlegende Partei eine Partei ist, offenzulegen, und die offenlegende Partei die Offenbarung nicht anficht, wird die offenlegende Partei der empfangenden Partei ihre angemessenen Kosten für die Zusammenstellung und Bereitstellung eines sicheren Zugangs zu solchen vertraulichen Informationen erstatten.

VI.4. Unbeabsichtigte Offenlegung und Rechtsmittel

  1. Für den Fall, dass die empfangende Partei vertrauliche Informationen unter Verstoß gegen die Bestimmungen dieses Abschnitts VI. offenlegt, wird die offenlegende Partei unverzüglich schriftlich nach einer solchen Offenlegung über diese Offenlegung informiert.
  2. Die Parteien vereinbaren jeweils ausdrücklich, dass aufgrund der Einzigartigkeit der vertraulichen Informationen der offenlegenden Partei ein finanzieller Schadenersatz unzureichend sein kann, um die offenlegende Partei für einen Verstoß der empfangenden Partei gegen ihre in diesem Abschnitt VI. dargelegten Verpflichtungen zu entschädigen. Dementsprechend vereinbaren und erkennen die Parteien jeweils an, dass ein solcher Verstoß oder eine drohende Verletzung der offenlegenden Partei irreparablen Schaden zufügt und dass die offenlegende Partei zusätzlich zu allen anderen Rechtsbehelfen, die rechtlich zur Verfügung stehen, berechtigt ist, Unterlassungsansprüche gegen den drohenden Verstoß gegen diesen Abschnitt VI. oder die Fortsetzung eines solchen Verstoßes durch die empfangende Partei geltend zu machen.
  3. Jede Partei garantiert, dass sie das Recht hat, alle vertraulichen Informationen, die sie der anderen Partei zur Verfügung stellt, offenzulegen. Jede Partei wird die andere Partei von allen Ansprüchen Dritter freistellen und verteidigen, die sich aus der fahrlässigen oder unrechtmäßigen Offenlegung der vertraulichen Informationen eines Dritten durch die freistellende Partei ergeben.

VI.5. Antrag auf Rückgabe

Die offenlegende Partei kann jederzeit schriftlich beantragen, dass alle vertraulichen Informationen, die der empfangenden Partei offengelegt wurden, mit einer schriftlichen Erklärung zurückgesandt werden, dass sie nach dieser Rückgabe weder direkt noch indirekt in ihrem Besitz oder unter ihrer Kontrolle geblieben sind. Die empfangende Partei hat einem solchen Ersuchen innerhalb von 14 Tagen nach Eingang des Ersuchens nachzukommen. Widerspricht die empfangende Partei einem solchen Rückgabeverlangen, sind die Vertraulichen Informationen auf Antrag der offenlegenden Partei zu vernichten. In diesem Fall hat die empfangende Partei der offenlegenden Partei eine schriftliche, eidesstattliche Erklärung zu übermitteln, in der sie bestätigt, dass die betreffenden vertraulichen Informationen vernichtet worden sind.

VI.6. Eigentumsrechte an vertraulichen Informationen

Abschnitt V. gilt sinngemäß.

VI.7. Recht auf Kontrolle

Die empfangende Partei stellt der offenlegenden Partei auf Anfrage eine vollständige und aktualisierte Liste ihrer Mitarbeiter, Agenten und Berater zur Verfügung, die die vertraulichen Informationen erhalten haben oder erhalten werden.

VII. GARANTIEN; HAFTUNGSAUSSCHLÜSSE

VII.1. Erklärungen

Jede Partei erklärt, dass sie diese MSA gültig abgeschlossen hat und die rechtliche Befugnis dazu hat, dass der Unterzeichner des Handelsvertrages, der sich auf diese MSA bezieht, fähig ist die betreffende Organisation zu binden. Diese MSA stellt die rechtlich gültige und verbindliche Verpflichtung jeder Partei dar, die gemäß ihren Bedingungen durchsetzbar ist.

VII.2. Adverity-Garantien

Adverity garantiert, dass:

  1. die Application Services im Wesentlichen in Übereinstimmung mit dem User Guide und den Bestimmungen des Handelsvertrages erbracht werden und
  2. Adverity keinen schädlichen Code an den Kunden übermittelt, vorausgesetzt, dass Adverity nicht gegen diesen Unterabschnitt (b.) verstößt, weil der Kunde eine Datei mit schädlichem Code in die Application Services hoch- und später diese Datei mit schädlichem Code herunterlädt.

Bei einer Verletzung einer der vorgenannten Garantien ist das ausschließliche Rechtsmittel des Kunden in den Abschnitten X.3., X.4. und X.5. vorgesehen.

VII.3. Kundengarantien

Der Kunde erklärt und garantiert, dass:

  1. die Kundendaten keine Urheberrechte, Patente, Geschäftsgeheimnisse oder andere Eigentumsrechte Dritter verletzen und
  2. der Kunde die Application Services nicht in einer Weise nutzt, die gegen geltende Gesetze oder Vorschriften zum Schutz der Privatsphäre verstößt.

VII.4. Beta-Dienste

Von Zeit zu Zeit kann Adverity den Kunden einladen kostenlos Adverity-Produkte oder -Services auszuprobieren, die für Adverity-Kunden nicht allgemein verfügbar sind („Beta-Dienste“). Alle Beta-Dienste werden eindeutig als Beta, Pilot, Limited Release, Developer Preview, Non-Production oder durch eine ähnliche Bezeichnung gekennzeichnet. Beta-Dienste werden zu Evaluierungszwecken und nicht für die Produktion zur Verfügung gestellt, werden nicht unterstützt, können Fehler oder Irrtümer enthalten, können nach eigenem Ermessen von Adverity geändert werden und können zusätzlichen Bedingungen unterliegen. Der Kunde ist verpflichtet, Adverity unverzüglich über auftretende Fehler oder Irrtümer zu informieren und anderweitig sein Feedback an Adverity in Bezug auf Beta-Dienste zu geben und mit Adverity zusammenzuarbeiten, wie von Adverity vernünftigerweise gefordert kann. Beta-Dienste werden so wie sie sind ohne ausdrückliche oder stillschweigende Garantie bereitgestellt und Adverity lehnt jegliche Haftung für Beta-Dienste ab. Außer in den Fällen von Abschnitt IX.4. kann Adverity die Beta-Services nach eigenem Ermessen jederzeit einstellen und wird sie eventuell niemals allgemein zugänglich machen.

VII.5. Haftungsausschluss

  1. Für (Optimierungs-)Empfehlungen, Vorschläge oder Prognosen, die von den Application Services erstellt werden und auf den vom Kunden bereitgestellten Daten basieren, wird nicht garantiert, dass sie korrekt sind. Adverity gibt keine ausdrücklichen, stillschweigenden oder sonstigen Gewährleistungen oder Zusicherungen hinsichtlich der Genauigkeit, Vollständigkeit oder Leistung der bereitgestellten Informationen. Der Kunde erkennt an, dass Adverity zu keinem Zeitpunkt für Verluste aufgrund von Entscheidungen oder Transaktionen, die auf der Grundlage dieser Informationen getroffen wurden, haftbar gemacht werden kann.
  2. Sofern nicht ausdrücklich in dieser MSA vorgesehen, gibt Adverity keine ausdrücklichen oder stillschweigenden, gesetzlichen oder anderweitigen Zusicherungen, Gewährleistungen oder Erklärungen zu irgendwelchen Eigenschaften ab, einschließlich der Marktüblichkeit, Eignung für einen bestimmten Gebrauch oder Zweck, oder dass der Betrieb der Application Services ununterbrochen oder fehlerfrei sein wird.

VIII. ENTSCHÄDIGUNG

VIII.1. Entschädigung durch Adverity

Adverity wird den Kunden gegen alle Ansprüche, Forderungen, Klagen oder Verfahren verteidigen, die von einem Dritten erhoben oder gegen den Kunden eingeleitet werden und in denen behauptet wird, dass die Nutzung der Application Services, wie hierin zulässig, die geistigen Eigentumsrechte eines Dritten verletzt oder missbraucht (ein „Anspruch gegen den Kunden“), und den Kunden für alle Schäden, Anwaltskosten und sonstigen Kosten entschädigen, die dem Kunden im Rahmen einer gerichtlich genehmigten Einigung über einen Anspruch gegen den Kunden gezahlt hat; unter der Voraussetzung, dass der Kunde:

  1. Adverity unverzüglich schriftlich über den Anspruch gegen den Kunden informiert;
  2. Adverity die alleinige Kontrolle über die Verteidigung oder Beilegung des Anspruchs gegen den Kunden gibt (vorausgesetzt, dass Adverity keinen Anspruch gegen den Kunden beilegen kann, es sei denn, die Einigung befreit den Kunden uneingeschränkt von jeglicher Haftung) und
  3. Adverity angemessene Unterstützung auf eigene Kosten leistet. Wenn Adverity Informationen über eine Verletzung, Veruntreuung oder andere Ansprüche erhält, kann Adverity nach Ermessen von Adverity und ohne Kosten für den Kunden
    1. die Application Services so ändern, dass sie nicht mehr gegen die Garantien von Adverity gemäß Abschnitt VII.2 vorstehen;
    2. eine Subscription für die weitere Nutzung der betreffenden Application Services in Übereinstimmung mit dieser MSA erhalten; oder
    3. die Subscription des Kunden für solche Application Services mit einer Frist von 30 Tagen schriftlich kündigen und dem Kunden alle vorausbezahlten Gebühren für den Rest der Laufzeit der gekündigten Subscription erstatten.

Adverity ist nicht verpflichtet, den Kunden freizustellen, soweit sich ein Anspruch gegen den Kunden aus einem Verstoß des Kunden gegen die Bedingungen dieser MSA ergibt.

VIII.2. Entschädigung durch den Kunden

Der Kunde wird Adverity gegen alle Ansprüche, Forderungen, Klagen oder Verfahren verteidigen, die von einem Dritten erhoben oder gegen Adverity eingeleitet werden und in denen behauptet wird, dass Kundendaten oder die Nutzung der Application Services durch den Kunden gegen diese MSA verstoßen, die geistigen Eigentumsrechte eines Dritten verletzt oder missbraucht oder gegen geltendes Recht verstößt (ein „Anspruch gegen Adverity“), und wird Adverity für alle Schäden, Anwaltskosten und sonstigen Kosten entschädigen, die Adverity endgültig als Folge oder für alle Beträge, die Adverity im Rahmen einer gerichtlich genehmigten Einigung über einen Anspruch gegen Adverity gezahlt hat; unter der Voraussetzung, dass Adverity:

  1. dem Kunden unverzüglich schriftlich über den Anspruch gegen Adverity informiert;
  2. dem Kunden die alleinige Kontrolle über die Verteidigung oder Beilegung des Anspruchs gegen Adverity gibt (vorausgesetzt, dass der Kunde keinen Anspruch gegen Adverity geltend machen kann, es sei denn, die Einigung befreit Adverity uneingeschränkt von jeglicher Haftung); und
  3. dem Kunden angemessene Unterstützung auf Kosten des Kunden leistet.

VIII.3. Ausschließliches Rechtsmittel

Dieser Abschnitt VIII. legt die alleinige Haftung der entschädigenden Partei gegenüber der anderen Partei für jede Art von Ansprüchen fest, die in diesem Abschnitt beschrieben sind.

IX. HAFTUNGSBESCHRÄNKUNG

IX.1. Allgemeine Haftungsbeschränkung

Für Sach- oder Vermögensschäden, die durch nicht mehr als leichte Fahrlässigkeit verursacht werden, haften Adverity und seine Erfüllungsgehilfen nur für die Verletzung wesentlicher Vertragspflichten, jedoch begrenzt auf einen bei Vertragsschluss vorhersehbaren und vertragstypischen Schadensbetrag. Nichts in dieser MSA schränkt die Haftung einer der beiden Parteien für Tod oder Körperverletzung, die durch ihre Fahrlässigkeit verursacht wurden, oder für Betrug oder betrügerische Falschangaben oder jede andere Haftung, die gesetzlich nicht ausgeschlossen oder beschränkt werden kann, ein oder schließt diese aus.

IX.2. Beschränkung der Haftungshöhe

Ungeachtet des Abschnitts IX.1 ist die Gesamthaftung von Adverity für Ansprüche des Kunden, die in einem Vertragsjahr im Rahmen oder im Zusammenhang mit diesem Vertrag entstehen, auf:

  1. die Summe aller vom Kunden an Adverity gezahlten Gebühren in einem Zeitraum von 12 Monaten vor dem schädlichen Ereignis beschränkt oder
  2. auf 50.000 EUR begrenzt, je nachdem, welcher Betrag höher ist.

IX.3. Indirekte Schäden

Die Haftung von Adverity für indirekte Schäden, Folgeschäden und entgangenen Gewinn ist in jedem Fall vollständig ausgeschlossen.

IX.4. Anwendung von Haftungsbeschränkungen

Die in den Abschnitten IX.1 bis IX.3 enthaltenen Haftungsbeschränkungen gelten nicht für vertragliche Garantien, vorsätzlich oder grob fahrlässig verursachte Schäden oder Schäden an Leib und Leben. Im Übrigen gelten sie für alle Schadensersatzansprüche aus oder im Zusammenhang mit dieser MSA, unabhängig von der ihnen zugrundeliegenden Rechtstheorie (einschließlich deliktischer Ansprüche).

IX.5. Datenverlust

Adverity haftet nicht für den Verlust oder die Beschädigung von Daten oder Programmen, soweit dieser Verlust oder diese Beschädigung durch angemessene Präventivmaßnahmen des Kunden vermieden oder gemildert worden wären.

IX.6. Anwendung von unmittelbaren Ansprüchen

Die vorstehenden Haftungsbeschränkungen gelten auch für alle unmittelbaren Schadenersatzansprüche des Kunden gegen Arbeitnehmer oder Vertreter von Adverity.

IX.7. Versicherung

Adverity verpflichtet sich, einen angemessenen Versicherungsschutz für mögliche Haftungsansprüche aufrechtzuerhalten, die sich aus oder im Zusammenhang mit dieser MSA ergeben können.

X. DAUER UND BEENDIGUNG

X.1. Dauer der Vereinbarung

Die Laufzeit dieser MSA richtet sich nach der durch den Handelsvertrag gewährten Subscription. Der Handelsvertrag beginnt mit dem Datum des Inkrafttretens und läuft, bis alle gemäß des Handelsvertrages gewährten Subscriptions abgelaufen sind oder beendet wurden („Laufzeit“).

X.2. Dauer der Subscription

Subscriptions für die Application Services beginnen an dem in dem jeweiligen Handelsvertrag angegebenen Subscription-Startdatum und dauern für die darin angegebene Subscriptiondauer. Sofern in dem Handelsvertrag nichts anderes bestimmt ist, verlängern sich alle Subscriptions automatisch im gleichen Ausmaß der ablaufenden Subscriptiondauer oder um ein Jahr (je nachdem, welcher Zeitraum länger ist), es sei denn, eine Partei teilt der anderen Partei mindestens 90 Tage vor Ablauf der jeweiligen Subscriptiondauer mit, dass eine Verlängerung nicht gewünscht ist. Der Preis pro Einheit während einer solchen Verlängerungsperiode entspricht dem höchsten Preis der vorherigen Subscriptiondauer, es sei denn, Adverity hat den Kunden mindestens 90 Tage vor Ablauf des letzten möglichen Kündigungstermins für den Verlängerungszeitraum schriftlich über eine Preiserhöhung informiert; in diesem Fall, sollte der Kunde nicht kündigen, wird die Preiserhöhung bei der Verlängerung und danach wirksam. Eine solche Preiserhöhung darf 7 % der Preise für die betreffenden Application Services in der unmittelbar vorhergehenden Subscriptiondauer nicht überschreiten, es sei denn, die Preise in dieser vorhergehenden Frist wurden in dem betreffenden Handelsvertrag als Werbeaktion oder einmalig bezeichnet und die Erhöhung ist bereits in dem Handelsvertrag angegeben.

X.3. Beendigung aus wichtigem Grund

Eine Partei kann diese MSA aus wichtigem Grund jederzeit beenden, insbesondere:

  1. 30 Tage nach einer schriftlichen Mitteilung an die andere Partei über eine wesentliche Vertragsverletzung, wenn diese Verletzung nach Ablauf dieser Frist nicht behoben wird oder
  2. wenn das Vermögen der anderen Partei Gegenstand eines Antrags auf Eröffnung eines Insolvenzverfahrens oder eines anderen ähnlichen Verfahrens wird.

X.4. Rückerstattung und Zahlung bei der Beendigung

Bei einer Beendigung aus wichtigem Grund durch den Kunden erstattet Adverity dem Kunden alle vorausbezahlten Gebühren für den Rest der Laufzeit nach dem Wirksamwerden der Beendigung. Bei einer Beendigung aus wichtigem Grund durch Adverity hat der Kunde unbezahlte Gebühren für den Rest der Laufzeit aller Handelsverträge nach dem Wirksamwerden der Beendigung zu zahlen. In keinem Fall entbindet eine Beendigung des Vertragsverhältnisses den Kunden von seiner Verpflichtung, die an Adverity zu zahlenden Gebühren für den Zeitraum vor dem Wirksamwerden der Beendigung zu zahlen.

X.5. Rückgabe von Kundendaten

Die Kundendaten bleiben für einen Zeitraum von 7 Tagen nach Beendigung dieser MSA in den Application Services gespeichert. Nach Ablauf der 7-tägigen Frist löscht Adverity die Kundendaten aus den Application Services und vernichtet alle entsprechenden Dokumente unter seiner Kontrolle, es sei denn, Adverity ist gesetzlich verpflichtet, diese Kundendaten weiterhin zu speichern.

X.6. Fortgeltende Bestimmung

Abschnitt IV (Gebühren und Bezahlung), Abschnitt V (Eigentumsrechte), Abschnitt VI (Vertraulichkeit), Abschnitt VII (Garantien; Haftungsausschlüsse), Abschnitt VIII (Entschädigung), Abschnitt IX (Haftungsbeschränkung), Abschnitt X.4 (Rückerstattung oder Zahlung bei Beendigung), Abschnitt X.5 (Rückgabe von Kundendaten), Abschnitt X.6 (fortgeltende Bestimmungen) und Abschnitt XII (Sonstiges) bleiben auch nach der Beendigung oder des Ablaufs dieser MSA bestehen.

XI. UNTERAUFTRAGNEHMER

Adverity kann zur Erbringung der Services Unterauftragnehmer einsetzen, wenn:

  1. der Kunde dem im Voraus zustimmt oder
  2. Adverity eine schriftliche Vereinbarung mit dem Unterauftragnehmer abschließt, die diesen verpflichtet, Kunden und Kundendaten in dem Umfang zu schützen, wie es für Adverity nachstehend gefordert wird. Auf Verlangen wird Adverity diese Unterauftragnehmer dem Kunden offenlegen.

Adverity ist für alle Handlungen und Unterlassungen eines solchen Unterauftragnehmers in dem gleichen Umfang verantwortlich, wie wenn Adverity die Services erbracht hätte.

XII. SONSTIGES

XII.1. Mitteilung

Sofern in dieser MSA nicht anders angegeben, bedürfen alle Mitteilungen, Berechtigungen und Genehmigungen nach dieser MSA der Schriftform. Rechnungsbezogene Mitteilungen an den Kunden sind an den vom Kunden benannten Rechnungskontakt zu richten, und rechtliche Mitteilungen, wie z. B. Beendigungsmitteilungen oder ein entschädigungsfähiger Anspruch sind an den Kunden zu richten. Alle anderen Mitteilungen an den Kunden sind an den vom Kunden benannten zuständigen Sachbearbeiter zu richten.

XII.2. Beziehungen der Parteien

Die Parteien sind unabhängige Vertragspartner. Diese MSA begründet keine Partnerschaft, Franchise, Gemeinschaftsunternehmen, Agentur, Treuhandverhältnis oder Arbeitsverhältnis zwischen den Parteien.

XII.3. Vereinbarung des anwendbaren Rechts und der Gerichtsbarkeit

Für diese MSA gilt ausschließlich österreichisches Recht (ohne Rücksicht auf die Kollisionsnormen und das UN-Kaufrecht (CISG)). Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser MSA sind die Gerichte in Wien, Österreich, die sachlich und örtlich Zuständigkeit sind. Dies gilt nicht für Mahnverfahren und für Fälle von zwingenden gesetzlichen Gerichtsständen, die nicht durch Parteienvereinbarung abweichen dürfen.

XII.4. Ausfuhrkontrolle

Die Application Services, andere technologische Vorteile und deren Derivate können den Gesetzen der Ausfuhrkontrolle unterliegen. Jede Partei erklärt, dass sie nicht auf einer Liste der von der US-Regierung oder der EU abgelehnten Parteien aufgeführt ist. Der Kunde darf den Nutzern nicht gestatten auf die Application Services in einem Land mit Ausfuhrverbot in den USA oder der EU zuzugreifen oder diese zu nutzen oder gegen andere geltende Ausfuhrkontrollgesetze zu verstoßen.

XII.5. Anti-Korruption

Adverity garantiert im Allgemeinen und für die Dauer des Handelsvertrages und dieser MSA, dass Adverity alle anwendbaren Gesetze, Vorschriften und Regeln einhält, einschließlich (aber nicht beschränkt auf) alle Gesetze und Vorschriften zur Korruptionsbekämpfung. Der Kunde hat keine illegale Bestechung, Schmiergeld, Zahlung, Geschenk oder Wertgegenstand von einem der Mitarbeiter oder Vertreter von Adverity im Zusammenhang mit dieser MSA erhalten oder angeboten bekommen. Angemessene Geschenke und Bewirtungen im Rahmen der gewöhnlichen Geschäftstätigkeit verstoßen nicht gegen die vorstehende Einschränkung.

XII.6. Keine Drittbegünstigten

Es gibt keine Drittbegünstigten für diese MSA.

XII.7. Verzicht

Kein Versäumnis oder keine Verzögerung durch eine der Parteien bei der Ausübung eines Rechts aus dieser MSA stellt einen Verzicht auf dieses Recht dar.

XII.8. Salvatorische Klausel

Sollten einzelne Bestimmungen dieser MSA unwirksam sein oder werden, bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien werden die unwirksame Bestimmung durch eine Ersatzbestimmung ersetzen, die von den Parteien nach ihrem ursprünglichen wirtschaftlichen Zweck vereinbart worden wäre. Dies gilt auch bei unbeabsichtigten Vertragslücken.

XII.9. Abtretung

Der Kunde darf ohne vorherige schriftliche Zustimmung von Adverity keine seiner Rechte oder Pflichten aus dem Handelsvertrag oder dieser MSA abtreten. Ist die Abtretung einer Geldforderung trotz des Abtretungsverbots wirksam, hat der Kunde alle durch die Abtretung an Adverity ausgelösten Mehrkosten zu erstatten; Adverity kann die Leistung nach seiner Wahl mit vollständiger Entlastung des Kunden oder des Abtretungsempfängers erbringen. Ungeachtet des Vorstehenden kann jede Partei diese MSA und alle sich daraus ergebenden Rechte und Pflichten in ihrer Gesamtheit (einschließlich aller Handelsverträge) ohne Zustimmung der anderen Partei auf ihr verbundenes Unternehmen oder im Zusammenhang mit einer Fusion, einem Erwerb, einer Unternehmensreorganisation oder einem Verkauf aller oder eines wesentlichen Teils ihrer Vermögenswerte, ohne Beteiligung eines direkten Konkurrenten der anderen Partei, übertragen. Vorbehaltlich des Vorstehenden ist diese MSA zum Nutzen der Parteien, ihrer jeweiligen Nachfolger und zulässigen Abtretungsempfänger bindend und wirksam.

XII.10. Gesamte Vereinbarung

Diese MSA und die damit verbundenen Handelsverträge stellen die gesamte Vereinbarung zwischen dem Kunden und Adverity über die Nutzung der Application Services durch den Kunden dar und ersetzen alle früheren Vereinbarungen, Vorschläge oder Zusicherungen, schriftlich oder mündlich, zur Gänze. Die von diesen Bestimmungen abweichenden oder darüberhinausgehenden Bedingungen des Kunden ist ausgeschlossen. Dies gilt auch dann, wenn Adverity einen Handelsvertrag annimmt, der sich auf die Geschäftsbedingungen des Kunden bezieht und/oder die Geschäftsbedingungen des Kunden den Handelsverträgen beigefügt sind, auch wenn Adverity diesen Geschäftsbedingungen des Kunden nicht ausdrücklich widerspricht. Sollten jedoch einzelne Bestimmungen dieser MSA unwirksam sein oder werden, so sind die „Adverity Terms of Use“ subsidiär anwendbar.

XII.11. Ergänzung

Keine Änderung, Ergänzung oder Verzicht auf eine Bestimmung dieser MSA ist wirksam, es sei denn, sie erfolgt schriftlich. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis.

XII.12. Schriftform

Wenn diese MSA vorsieht, dass Erklärungen einer Partei schriftlich abzugeben sind, genügt es, eine gescannte Kopie der Erklärung als persönlich unterschriebenes Papierdokument oder als E-Mail-Anhang zu übermitteln (aber nicht die Übermittlung der Erklärung als bloßen E-Mail-Text) oder die Erklärung digital mittels e-Signatur des Dienstleisters DocuSign oder einem ähnlichen Anbieter zu unterzeichnen. In diesem Fall kann jede Partei nachträglich verlangen, dass die Erklärung in einem persönlich unterzeichneten Papierdokument dokumentiert wird.

XII.13. Rangordnung

Im Falle eines Konflikts zwischen dem Handelsvertrag und dieser MSA haben die Bestimmungen des Handelsvertrages Vorrang, es sei denn, es ist gesetzlich etwas anderes bestimmt.

Document Information

Document Owner VP Legal & Compliance
Version V2.3
Date of Version 2021/10/08

 

Veraltet Rahmenvereinbarung („MSA“)

v2.1 (2021/04/24)
v2.2 (2021/06/22)

DIESE DATENVERARBEIUNGSVEREINBARUNG („DPA“) (in der Fassung vom 8. Oktober 2021) REGELT DIE DATENVERARBEITUNGSTÄTIGKEITEN ZWISCHEN DEM KUNDEN („DATENVERANTWORTLICHER“) UND DER ADVERITY GMBH („DATENVERARBEITER“) MIT DER FIRMENBUCHNUMMER 448481 g. MIT DER UNTERZEICHNUNG DES HANDELSVERTRAGES, WELCHER SICH AUF DIESE DPA BEZIEHT, ERKLÄRT SICH DER KUNDE MIT DEN BESTIMMUNGEN UND BEDINGUNGEN DIESER DPA EINVERSTANDEN.

1. HINTERGRUND

  1. Der Datenverantwortliche und der Datenverarbeiter haben einen obenerwähnten Handelsvertrag („Vereinbarung“) abgeschlossen, nach dem der Datenverarbeiter bestimmte Dienstleistungen für den Datenverantwortlichen erbringt. Im Rahmen und zum Zwecke der Erbringung der in der Vereinbarung definierten Dienstleistungen verarbeitet der Datenverarbeiter neben anderen Daten auch potenziell personenbezogene Daten im Auftrag des Datenverantwortlichen.
  2. Der Datenverantwortliche und der Datenverarbeiter haben diese DPA abgeschlossen, um die Anforderung einer schriftlichen Vereinbarung zwischen einem Datenverantwortlichen und einem Datenverarbeiter von personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen zu erfüllen. Zusätzlich zu dem, was in der Vereinbarung festgelegt ist, gilt Folgendes für die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Namen des Datenverantwortlichen. Die betroffenen Personen, die Datenkategorien sowie Umfang, Art und Zweck der Datenverarbeitung werden durch die Vereinbarung, Anlage 1 zu dieser DPA und die Anweisungen des Datenverantwortlichen festgelegt.

2. DEFINITIONEN

Alle in dieser DPA verwendeten Begriffe sind in Übereinstimmung mit der Datenschutz-Grundverordnung der EU ((EU) 2016/679 “DSGVO“) zu verstehen, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Die folgenden Begriffe und Ausdrücke in dieser DPA haben die nachfolgend dargestellte Bedeutung:

„Geltende Datenschutzgesetze” bezeichnet alle nationalen oder internationalen verbindlichen Datenschutzgesetze oder -verordnungen (einschließlich, aber nicht beschränkt auf die DSGVO und das Österreichische Datenschutzgesetz („DSG“)), einschließlich aller Anforderungen, Richtlinien und Empfehlungen der zuständigen Datenschutzbehörden, die während der Laufzeit dieser DPA jederzeit anwendbar sind, gegebenenfalls auf den Datenverantwortlichen oder den Datenverarbeiter;

„Datenverantwortlicher” bezeichnet die juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten im Rahmen dieser DPA bestimmt;

„Datenverarbeiter” bezeichnet eine physische oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Namen des Datenverantwortlichen im Rahmen dieser DPA verarbeitet;

„personenbezogene Daten” bezeichnet alle Informationen über eine identifizierte oder identifizierbare lebende natürliche Person („betroffene Person“) im Sinne von Artikel 4 Absatz 1 DSGVO;

„Unterauftragsverarbeiter” bezeichnet jede juristische oder natürliche Person, einschließlich aller Vertreter und Vermittler, die personenbezogene Daten im Namen des Datenverarbeiters gemäß Artikel 28 Absatz 2 und 4 DSGVO und Abschnitt 4.1 verarbeitet;

„Processing” bezeichnet jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Personendatenbeständen durchgeführt werden, unabhängig davon, ob sie automatisiert gemäß Artikel 4 Absatz 2 DSGVO erfolgen oder nicht.

3. VERARBEITUNG PERSONENBEZOGENER DATEN

  1. Der Datenverarbeiter und alle ihm unterstellten Personen (z. B. Personal, Unterauftragsverarbeiter und Personen, die unter der Aufsicht des Unterauftragsverarbeiters handeln) verpflichten sich, personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Datenverantwortlichen (Anlage 1) zu verarbeiten. Der Datenverarbeiter verarbeitet personenbezogene Daten nur, soweit dies zur Erfüllung seiner Verpflichtungen aus dieser DPA oder den geltenden Datenschutzgesetzen erforderlich ist.
  2. Werden die Dienstleistungen während der Laufzeit der Vereinbarung geändert und beinhalten diese geänderten Dienstleistungen eine neue oder geänderte Verarbeitung personenbezogener Daten oder werden die Anweisungen des Datenverantwortlichen anderweitig geändert oder aktualisiert, stellen die Parteien sicher, dass Anlage 1 vor oder spätestens im Zusammenhang mit dem Beginn dieser Verarbeitung oder Änderung entsprechend aktualisiert wird.
  3. Bei der Verarbeitung personenbezogener Daten im Rahmen dieser DPA hat der Datenverarbeiter alle geltenden Datenschutzgesetze und Empfehlungen der zuständigen Datenschutzbehörden oder anderer zuständiger Behörden einzuhalten und sich über alle Änderungen dieser Gesetze und/oder Empfehlungen auf dem Laufenden zu halten und diese einzuhalten. Der Datenverarbeiter akzeptiert, alle Änderungen und Ergänzungen an dieser DPA vorzunehmen, die nach den geltenden Datenschutzgesetzen erforderlich sind.
  4. Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen im Rahmen der geltenden Datenschutzgesetze, insbesondere bei der Verpflichtung des Datenverantwortlichen zur Einhaltung der Rechte der betroffenen Personen und bei der Sicherstellung der Einhaltung der Verpflichtungen des Datenverantwortlichen in Bezug auf die Sicherheit der Verarbeitung (Art. 32 DSGVO), der Meldung einer Verletzung Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO) und der Datenschutz-Folgenabschätzung sowie der vorherigen Konsultation (Art. 35, 36 DSGVO), der Verpflichtung zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Person auf Informationen über die Verarbeitung ihrer personenbezogenen Daten. Der Datenverarbeiter darf keine Handlungen vornehmen oder unterlassen, die dazu führen würden, dass der Datenverantwortliche gegen die geltenden Datenschutzgesetze verstoßen.
  5. Der Datenverarbeiter informiert den Datenverantwortlichen unverzüglich über eine Anfrage, Beschwerde, Nachricht oder jede andere Mitteilung, die er von einer zuständigen Behörde oder einem anderen Dritten über die Verarbeitung der unter dieser DPA fallenden personenbezogenen Daten erhält. Der Datenverarbeiter darf in keiner Weise im Namen oder als Vertreter des Datenverantwortlichen handeln und ohne vorherige Anweisungen des Datenverantwortlichen keine personenbezogenen Daten oder andere Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten an Dritte weitergeben oder anderweitig offenlegen, es sei denn, der Datenverarbeiter ist gesetzlich dazu verpflichtet. Der Datenverarbeiter unterstützt den Datenverantwortlichen in geeigneter Weise, damit er auf eine solche Anfrage, Beschwerde, Nachricht oder andere Mitteilung in Übereinstimmung mit den geltenden Datenschutzgesetzen reagieren kann. Insbesondere darf der Datenverarbeiter im Falle einer Datenschutzverletzung im Sinne von Abschnitt 6.3 keine Einreichungen, Benachrichtigungen, Mitteilungen, Ankündigungen oder Pressemitteilungen veröffentlichen. Für den Fall, dass der Datenverarbeiter nach den geltenden Gesetzen und Vorschriften verpflichtet ist, personenbezogene Daten, die der Datenverarbeiter im Auftrag des Datenverantwortlichen verarbeitet, offenzulegen, ist der Datenverarbeiter verpflichtet, den Datenverantwortlichen unverzüglich darüber zu informieren, sofern dies nicht gesetzlich verboten ist.

4. UNTERAUFTRAGSVERARBEITER

  1. Der Datenverantwortliche ermächtigt den Datenverarbeiter, Unterauftragsverarbeiter zu beauftragen. Alle vom Datenverantwortlichen autorisierten Unterauftragsverarbeiter handeln unter der Aufsicht und unterliegen den direkten Anweisungen des Datenverantwortlichen. Eine Liste der aktuellen Unterauftragsverarbeiter ist in Anlage 1 für die darin genannten Zwecke aufgeführt. Der Datenverarbeiter informiert den Datenverantwortlichen vor jeder Änderung schriftlich, insbesondere vor der Beauftragung anderer Unterauftragsverarbeiter, wobei der Datenverarbeiter den Datenverantwortlichen unverzüglich, spätestens jedoch 8 Wochen vor der Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter, schriftlich über die Identität des Unterauftragsverarbeiters sowie den Zweck, für den er eingesetzt wird, informiert.
  2. Der Datenverantwortliche kann nach eigenem Ermessen innerhalb von 8 Wochen nach Bekanntgabe durch den Datenverarbeiter Einspruch gegen diese Änderungen erheben.
  3. Der Datenverarbeiter erlegt allen Unterauftragsverarbeitern, die personenbezogene Daten im Rahmen dieser DPA verarbeiten (einschließlich unter anderem seiner Vertreter, Vermittler und (Unter-)Auftragnehmer), durch schriftliche Vereinbarung dieselben Verpflichtungen auf, die für den Datenverarbeiter gelten, insbesondere die in Abschnitt 4.1 (insbesondere das Verfahren der Mitteilung an den Datenverantwortlichen und das Recht des Datenverantwortlichen, direkte Anweisungen an Unterauftragsverarbeiter zu erteilen) und Abschnitt 4.2 dieser DPA definierten Verpflichtungen.

5. ÜBERTRAGUNG IN DRITTLÄNDER

  1. Der/die Standort(e) der beabsichtigten oder tatsächlichen Verarbeitung personenbezogener Daten ist in Anlage 1 aufgeführt. Der Datenverarbeiter darf ohne vorherige schriftliche Zustimmung des Datenverantwortlichen (die nach eigenem Ermessen verweigert oder gewährt werden kann) keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums weitergeben oder anderweitig direkt oder indirekt offenlegen und sicherstellen, sodass das durch die DSGVO garantierte und in dieser DPA festgelegte Schutzniveau natürlicher Personen nicht beeinträchtigt wird. Sofern zwischen den Parteien nichts anderes vereinbart ist, wird ein angemessener Schutz im Empfängerland durch eine Vereinbarung gewährleistet, die die Standardvertragsklauseln der Europäischen Kommission enthält.

6. SICHERHEIT DER VERARBEITUNG

  1. Wie in Anlage 2 dargelegt, garantiert der Datenverarbeiter, angemessene technische und organisatorische Maßnahmen nach dem derzeitigen Stand der Technik durchzuführen und aufrechtzuerhalten, um ein angemessenes Sicherheitsniveau für die personenbezogenen Daten zu gewährleisten, und überprüft und verbessert kontinuierlich die Wirksamkeit seiner Sicherheitsmaßnahmen. Der Datenverarbeiter schützt die personenbezogenen Daten vor Zerstörung, Änderung, unrechtmäßiger Verbreitung oder unrechtmäßigem Verlust, Veränderung oder Zugriff. Die personenbezogenen Daten sind auch vor allen anderen Formen der rechtswidrigen Verarbeitung zu schützen. Unter Berücksichtigung des Stands der Technik und der Kosten der Durchführung und unter Berücksichtigung der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos einer unterschiedlichen Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen umfassen die vom Datenverarbeiter durchzuführenden technischen und organisatorischen Maßnahmen gegebenenfalls Folgendes:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Systemen und Diensten, die personenbezogene Daten verarbeiten, zu gewährleisten;
    3. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und
    4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Auswertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  2. Der Datenverarbeiter wird den Datenverantwortlichen unverzüglich über jeden versehentlichen oder unbefugten Zugriff oder vermeintlichen Zugriff auf personenbezogene Daten oder über alle anderen tatsächlichen oder vermeintlichen, bedrohten oder potenziellen Sicherheitsvorfälle (Verletzung personenbezogener Daten) informieren, nachdem er von solchen Vorfällen Kenntnis erlangt hat. Die Mitteilung muss schriftlich erfolgen und mindestens:
    1. die Art der Verletzung personenbezogener Daten beschreiben, nach Möglichkeit einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen erhältlich sind, mitteilen;
    3. die wahrscheinlichen Folgen der Verletzung personenbezogener Daten beschreiben;
    4. die Maßnahmen beschreiben, die der für die Verarbeitung Verantwortliche getroffen hat oder zu ergreifen gedenkt, um die Verletzung personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen;
    5. alle anderen dem Datenverarbeiter zur Verfügung stehenden Informationen enthalten, die der Datenverantwortliche den Datenschutzbehörden und/oder den betroffenen Personen mitteilen muss.
  3. Der Datenverarbeiter wird darüber hinaus dem Datenverantwortlichen angemessene Unterstützung gewähren, um die Verletzung personenbezogener Daten zu untersuchen und sie den Datenschutzbehörden und/oder den betroffenen Personen gemäß den geltenden Datenschutzgesetzen mitzuteilen.
  4. Darüber hinaus ergreift der Datenverarbeiter auf eigene Kosten unverzüglich die erforderlichen Maßnahmen zur Wiederherstellung und/oder Rekonstruktion von personenbezogenen Daten, die aufgrund der Verletzung personenbezogener Daten verloren gegangen sind, beschädigt, zerstört oder beschädigt wurden.
  5. Der Datenverarbeiter verpflichtet sich, die im Rahmen dieser DPA verarbeiteten personenbezogenen Daten ohne vorherige schriftliche Zustimmung des Datenverantwortlichen nicht weiterzugeben oder anderweitig Dritten zugänglich zu machen. Dieser Abschnitt 6.5 gilt nicht, wenn der Datenverarbeiter nach den geltenden Gesetzen und Vorschriften verpflichtet ist, personenbezogene Daten, die der Datenverarbeiter im Auftrag des Datenverantwortlichen verarbeitet, offenzulegen; in diesem Fall gilt das, was in Abschnitt 3.5 dargelegt ist.
  6. Der Datenverarbeiter verpflichtet sich, sicherzustellen, dass der Zugang zu personenbezogenen Daten im Rahmen dieser DPA auf diejenigen seiner Mitarbeiter beschränkt ist, die direkt Zugang zu den personenbezogenen Daten benötigen, um die Verpflichtungen des Datenverarbeiters im Rahmen dieser DPA und des zwischen den Parteien bestehenden Vertrages zu erfüllen. Der Datenverarbeiter stellt sicher, dass dieses Personal (unabhängig davon, ob es Mitarbeiter oder andere vom Datenverarbeiter beauftragte Personen sind) (i) über die notwendigen Kenntnisse und Schulungen in den geltenden Datenschutzgesetzen verfügt, um die vertraglich vereinbarten Dienstleistungen zu erbringen; und (ii) an eine Geheimhaltungsverpflichtung in Bezug auf die personenbezogenen Daten in dem gleichen Umfang gebunden ist wie der Datenverarbeiter gemäß dieser DPA.
  7. Der Datenverarbeiter verlangt von seinem gesamten Personal (Mitarbeiter und Unterauftragsverarbeiter), das befugt ist, personenbezogene Daten zu verarbeiten, keine personenbezogenen Daten für einen anderen Zweck zu verarbeiten, es sei denn, es handelt sich um Anweisungen des Datenverantwortlichen oder um gesetzliche Vorschriften. Der Datenverarbeiter stellt sicher, dass diese Geheimhaltungsverpflichtung über die Beendigung von Arbeitsverträgen, Unterauftragsverträgen, Dienstleistungsverträgen oder die Beendigung dieser DPA hinausgeht. Diese Geheimhaltungsverpflichtung bleibt auch nach Ablauf oder Beendigung der DPA in Kraft.
  8. Der Datenverarbeiter ernennt den folgenden Datenschutzbeauftragten: Herr Michael Pilz (dpo@adverity.com).

7. AUDITRECHTE

  1. Der Datenverarbeiter gestattet dem Datenverantwortlichen oder einem von ihm beauftragten externen Prüfer, Prüfungen, Untersuchungen und Inspektionen zum Datenschutz und/oder zur Datensicherheit („Prüfung“) durchzuführen, um sicherzustellen, dass der Datenverarbeiter oder die Unterauftragsverarbeiter in der Lage sind, die Verpflichtungen aus dieser DPA und den geltenden Datenschutzgesetzen einzuhalten, und dass der Datenverarbeiter oder die Unterauftragsverarbeiter die erforderlichen Maßnahmen ergriffen haben, um diese Einhaltung sicherzustellen.
  2. Der Datenverarbeiter stellt alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA und der geltenden Datenschutzgesetze erforderlich sind, und unterstützt den Datenverantwortlichen bei der Durchführung von Prüfungen.

8. ENTSCHÄDIGUNG

Der Datenverarbeiter stellt den Datenverantwortlichen auf sein erstes Anfordern des Datenverantwortlichen schadlos, soweit Dritte (insbesondere Betroffene) gegen den Datenverantwortlichen Ansprüche wegen einer Verletzung ihrer Persönlichkeitsrechte oder des Datenschutzrechts geltend machen, wenn diese Verletzung durch Handlungen des Datenverarbeiters durch vorsätzliche oder grob fahrlässige Verletzung dieser DPA verursacht wird. Die Entschädigungsverpflichtung ist – außer in Fällen von Vorsatz oder im Zusammenhang mit Personenschäden oder Tod – auf den Betrag, der vom Datenverantwortlichen in den letzten 12 Monaten unmittelbar vor dem Verletzungsfall gezahlten Gebühren begrenzt.

9. DAUER

  1. Die Dauer dieser DPA folgt dem zwischen den Parteien abgeschlossenen Vertrag.
  2. Im Falle einer Beendigung der Vereinbarung bleibt diese DPA so lange in Kraft, wie der Datenverarbeiter personenbezogene Daten für den Datenverantwortlichen verarbeitet.
  3. Der Datenverantwortliche kann die Vereinbarung fristlos beenden, wenn der Datenverarbeiter oder einer seiner Unterauftragsverarbeiter die Verpflichtungen aus dieser DPA verletzt.

10. MITTEILUNGEN

  1. Jede Mitteilung oder andere Kommunikation, die von einer Partei an die andere Partei im Rahmen dieser DPA zu übermitteln ist, muss in Übereinstimmung mit den Bestimmungen über Mitteilungen in dem zwischen den Parteien abgeschlossenen Vertrag erfolgen.
  2. Stellt der Datenverarbeiter fest, dass eine Anweisung zur Datenverarbeitung des Datenverantwortlichen gegen geltendes Datenschutzrecht oder wesentliche Bestimmungen dieser DPA (einschließlich technischer und organisatorischer Maßnahmen) verstößt, wird er den Datenverantwortlichen unverzüglich darüber informieren.

11. MAßNAHMEN NACH ABSCHLUSS DER VERARBEITUNG PERSONENBEZOGENER DATEN

  1. Nach Ablauf oder Beendigung dieser DPA löscht oder gibt der Datenverarbeiter alle personenbezogenen Daten (einschließlich aller Kopien davon) auf Anweisung des Datenverantwortlichen an den Datenverantwortlichen zurück und stellt sicher, dass alle Unterauftragsverarbeiter dies auch tun, sofern das geltende Recht nichts anderes vorschreibt. Bei der Rückgabe der personenbezogenen Daten gewährt der Datenverarbeiter dem Datenverantwortlichen alle erforderliche Unterstützung.
  2. Auf Verlangen des Datenverantwortlichen hat der Datenverarbeiter die von ihm oder seinen Unterauftragsverarbeitern getroffenen Maßnahmen zur Löschung oder Rückgabe der personenbezogenen Daten nach Abschluss der Verarbeitung schriftlich mitzuteilen.

12. SCHLUSSBESTIMMUNGEN

  1. Wenn der Datenverantwortliche und der Datenverarbeiter im Widerspruch zu dieser DPA zusätzliche Vereinbarungen getroffen haben, haben die Bestimmungen dieser DPA über die Verarbeitung personenbezogener Daten Vorrang, es sei denn, die Vereinbarung ist zum Zweck der Ergänzung/Änderung einer oder mehreren Bestimmungen dieser DPA getroffen worden.
  2. Auf diese DPA findet das Recht der Republik Österreich unter Ausschluss der Kollisionsnormen des Internationalen Privatrechts und des UN-Kaufrechtsübereinkommens Anwendung. Bei allen Streitigkeiten aus einem Vertrag – auch bei Streitigkeiten über sein Bestehen oder Nichtbestehen – sind die Gerichte mit Gerichtsstand am Sitz des Datenverarbeiters ausschließlich zuständig.
  3. Sollte eine Bestimmung oder Teile einer Bestimmung in dieser DPA nach geltendem Recht unwirksam sein oder werden, so berührt dies die Wirksamkeit und Gültigkeit der übrigen Bestimmungen nicht. Die Vertragsparteien werden sie durch eine Bestimmung ersetzen, die inhaltlich der unwirksamen Bestimmung am nächsten kommt.

Anlage 1 – Anweisungen zur Datenverarbeitung

Zwecke

Geben Sie alle Zwecke an, für die die personenbezogenen Daten vom Datenverarbeiter verarbeitet werden.

Die Gewährung des Zugriffs auf die Marketingdatenberichte und Analyse durch Application Services des Datenverarbeiters.

 

Datenkategorien

Geben Sie die verschiedenen Arten von personenbezogenen Daten an, die vom Datenverarbeiter verarbeitet werden.

Die folgenden personenbezogenen Daten werden standardmäßig verarbeitet. Wenn der Datenverantwortliche beabsichtigt, andere Kategorien von personenbezogenen Daten mit den Application Services des Datenverarbeiters zu verarbeiten, muss dieser davon in Kenntnis gesetzt werden, und es muss eine Zusatzvereinbarung abgeschlossen werden.

  • E-Mail-Adresse
  • IP-Adresse
  • Zeitstempel
  • Name (auf freiwilliger Basis)

Betroffene Kategorien personenbezogener Daten

Geben Sie die verschiedenen Arten von besonderen Kategorien personenbezogener Daten an, die vom Datenverarbeiter verarbeitet werden.

Der Datenverantwortliche beabsichtigt nicht und wird den Datenverarbeiter nicht anweisen, besondere Kategorien personenbezogener Daten zu verarbeiten.
Sollte der Datenverantwortliche den Datenverarbeiter trotzdem anweisen, besondere Kategorien personenbezogener Daten in seinem Auftrag zu verarbeiten, stellt der Datenverantwortliche sicher, dass alle gesetzlichen Anforderungen für die Verarbeitung solcher besonderen Kategorien personenbezogener Daten durch den Datenverarbeiter (insbesondere Art. 9 (2) DSGVO) jederzeit erfüllt sind.

Betroffene Personen

Geben Sie die Kategorien der betroffenen Personen an, deren personenbezogene Daten vom Datenverarbeiter verarbeitet werden

Die folgenden Kategorien von betroffenen Personen sind standardmäßig von den Verarbeitungsvorgängen betroffen. Wenn der Datenverantwortliche beabsichtigt, personenbezogene Daten anderer Kategorien von betroffenen Personen mit den Application Services des Datenverarbeiters zu verarbeiten, muss dieser davon in Kenntnis gesetzt werden, und es muss eine Zusatzvereinbarung abgeschlossen werden.

  • Nutzer der Application Services

Verarbeitungsvorgänge

Geben Sie alle Verarbeitungsaktivitäten an, die vom Datenverarbeiter durchgeführt werden sollen.

Sammeln, Speichern und das Verarbeiten von Daten, um den Zugriff auf die Application Services des Datenverarbeiters zu ermöglichen.

Unterauftragsverarbeiter

Geben Sie die vom Datenverarbeiter beauftragten Unterauftragsverarbeiter (falls vorhanden) und die Zwecke an, für die die personenbezogenen Daten von diesem Unterauftragsverarbeiter verarbeitet werden


Anwendbar, wenn Application Services von Datenverarbeiter gehostet werden:

  1. Amazon Web Services Rechtsträger, welcher Verträge mit österreichischen Rechtsträgern abschließt; oder Google Rechtsträger, welcher Verträge mit österreichischen Rechtsträgern abschließt; oder Microsoft Ireland Operations Ltd, (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland); Zweck: Hosting-Infrastruktur für Server und Datenbanken.
  2. Snowflake Computing Netherlands B.V. (Gustav Mahlerlaan 300, 1082 ME Amsterdam, die Niederlande).
    Zweck: Datenbank
  3. Adverity Inc., 156 West 56th Street, New York, NY 10019, Vereinigte Staaten von Amerika; Zweck: Unterstützung bei der Abwicklung interner und externer Geschäftsabläufe.

Anwendbar, wenn Application Services von Datenverantwortlichen gehostet werden:

  1. Snowflake Computing Netherlands B.V. (Gustav Mahlerlaan 300, 1082 ME Amsterdam, die Niederlande).
    Zweck: Datenbank
  2. Adverity Inc., 156 West 56th Street, New York, NY 10019, Vereinigte Staaten von Amerika
    Zweck: Unterstützung bei der Abwicklung interner und externer Geschäftsabläufe.

Standort der Verarbeitungsvorgänge

Geben Sie alle Orte an, an denen die personenbezogenen Daten vom Datenverarbeiter und ggf. von einem Unterauftragsverarbeiter verarbeitet werden.

Anwendbar, wenn Application Services von Datenverarbeiter gehostet werden:

  • Wenn der Datenverantwortliche seinen Sitz in der EU hat, werden die Daten auf Servern in der EU gehostet.
  • Wenn der Datenverantwortliche seinen Sitz außerhalb der EU hat, können die Daten auf Servern innerhalb oder außerhalb der EU gehostet werden.

Auf Anfrage des Datenverantwortlichen wird der spezifische Standort dem Datenverantwortlichen mitgeteilt.

Anwendbar, wenn Application Services von Datenverantwortlichen gehostet werden:

  1. Wenn der Datenverantwortliche seinen Sitz in der EU hat, werden die Daten auf Servern in der EU gehostet.
  2. Wenn der Datenverantwortliche seinen Sitz außerhalb der EU hat, können die Daten auf Servern innerhalb oder außerhalb der EU gehostet werden.

Auf Anfrage des Datenverantwortlichen wird der spezifische Standort dem Datenverantwortlichen mitgeteilt.

 

 

Anlage 2 – Technische und organisatorische Maßnahmen (“TOMs”)

Der Datenverarbeiter bestätigt, dass die getroffenen technischen und organisatorischen Maßnahmen ein angemessenes Schutzniveau für die personenbezogenen Daten des Datenverantwortlichen unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken bieten.

 

Allgemeine Beschreibung der Maßnahmen

Beschreibung der umgesetzten Maßnahmen

Zutrittskontrolle (Räumlichkeiten)

Verhindert den unbefugten Zugang zu Datenverarbeitungssystemen

  • Der verwendete Hosting-Provider erfüllt die Anforderungen:
  • mit ISO 27018, die auf der ISO 27000 basiert.
  • Zutrittskontrollsysteme (Smart Cards, biometrische Kontrolle)
  • Sicherheitspersonal an den Eingängen (Background überprüft)
  • Zugriffsrecht generell eingeschränkt
  • Liste der autorisierten Personen (Genehmigung des Managers erforderlich)
  • Überwachungssysteme (Alarmanlage, Türstützenalarm, Bewegungsmelder, 24×7 CCTV)
  • Besucherlogbuch (Zeitpunkt und Zweck des Eintritts, Zeitpunkt des Austritts)

Zugangskontrolle (Systeme)

Verhindert die unbefugte Verwendung von Datenverarbeitungssystemen

  • Datenbank-Sicherheitskontrollen schränken den Zugriff ein
  • Zugriffsrechte basierend auf Rollen und Wissensbedarf
  • Passwortrichtlinie
  • Automatische Sperrung des Zugangs (z. B. Passwort, Auszeit)
  • Protokoll über fehlgeschlagene Anmeldeversuche

Zugriffskontrolle (Daten)

Stellt sicher, dass die zur Nutzung eines Datenverarbeitungssystems berechtigten Personen nur Zugang zu den Daten haben, zu denen sie ein Zugangsrecht haben, und dass personenbezogene Daten nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können

  • Zugriffsrechte basierend auf Rollen und Wissensbedarf
  • Genehmigungsprozess für Zugriffsrechte; regelmäßige Überprüfungen und Audits
  • Unterzeichnete Vertraulichkeitsverpflichtungen
  • Optional eingeschränkt auf Office-IPs

Übertragungskontrolle

Stellt sicher, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können und dass es möglich ist, zu überprüfen und festzustellen, welche Stellen die personenbezogenen Daten erhalten sollen

  • Verschlüsselte Übertragung (HTTPS, SSL, SSH; RSA, 4096-Bit-Schlüssel)
  • Protokolldateien

Eingabekontrolle

Stellt sicher, dass es möglich ist, zu überprüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden

  • Zugriffsrechte basierend auf Rollen und Wissensbedarf
  • Genehmigungsprozess für Zugriffsrechte
  • Protokolldateien

Auftragskontrolle

Stellt sicher, dass die personenbezogenen Daten ausschließlich gemäß den Anweisungen verarbeitet werden

  • Sorgfältige Auswahl von (Unter-)Auftragsverarbeitern und anderen Dienstleistern
  • Dokumentation der Auswahlverfahren (Datenschutz- und Sicherheitsrichtlinien, Auditberichte, Zertifizierungen)
  • Hintergründe von Dienstleistern werden überprüft; anschließende Überwachung
  • Standardisierte Richtlinien und Verfahren (einschließlich klarer Trennung der Verantwortlichkeiten); Dokumentation der vom Datenverantwortlichen erhaltenen Anweisungen
  • Unterzeichnete Vertraulichkeitsverpflichtungen

Verfügbarkeitskontrolle

Stellt sicher, dass personenbezogene Daten vor unbeabsichtigter Zerstörung und Verlust geschützt sind

  • Redundante unterbrechungsfreie Stromversorgung (USV)
  • Klima-, Temperatur- und Feuchtigkeitskontrolle (Rund um die Uhr überwacht)
  • Katastrophenschutzgehäuse (Rauchmelder, Feuermelder, Feuerlöscher, Wassermelder, Doppelboden, Schutz vor widrigen Witterungsbedingungen, Schädlingsbekämpfungssystem)
  • Elektrische Ausrüstung überwacht und protokolliert, rund um die Uhr Unterstützung.
  • Tägliche Backup-Prozeduren
  • Katastrophenschutzplan
  • Regelmäßig testende Datenrettung

Trennungskontrolle

Stellt sicher, dass die für verschiedene Zwecke erhobenen Daten getrennt verarbeitet werden können

  • Separate Verarbeitungsmöglichkeiten in den Application Services für HR-Daten, Produktionsdaten, Lieferantendaten, Kundendaten, usw.
  • Trennung zwischen Produktiv- und Testdaten
  • Detaillierte Verwaltung der Zugriffsrechte

 

 

Document Information

Document Owner VP Legal & Compliance
Version V4.0
Date of Version 2021/10/8

 

Veraltet Datenverarbeitungsvereinbarung („DPA“)

v2.0 (2020/06/01)
v2.1 (2020/12/11)
v3.0 (2021/04/)