Fenster schließen
Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kunden-Wiedererkennung
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Statistik & Tracking
Endgeräteerkennung
Partnerprogramm

Nutzungs- und Auftragsverarbeitungsvereinbarung

Nutzungs- und Auftragsverarbeitungsvereinbarung 
(im Folgenden die „Vereinbarung“)

Durch das Setzen des Hakens in der entsprechenden Checkbox im Check-out geben Sie Ihr Einverständnis mit dieser Nutzungs- und Auftragsverarbeitungsvereinbarung.

Diese Vereinbarung wird abgeschlossen zwischen Ihnen als
Auftraggeber
(im Folgenden auch der „Kunde“)

einerseits

und

Bemoji
Christian Moik
Neudorfstraße 7a
6922 Wolfurt
Österreich
(im Folgenden auch der „Auftragnehmer“)

andererseits
(Der Kunde und der Auftragnehmer im Folgenden einzeln oder gemeinsam auch die „Partei“ oder die „Parteien“)

wie folgt:

 

§ 1 Vertragsgegenstand

(1) Der Auftragnehmer stellt dem Kunden auf Basis einer gesonderten vertraglichen Vereinbarung Speicherplatz für Botschaften und sonstige Daten (z.B. Bilder, Videos, Audiodateien) zur Verfügung, der vom Kunden genutzt und über individualisierte QR-Codes auch Dritten zugänglich gemachten werden kann (im Folgenden der „Speicherplatz“).

(2) Hinsichtlich der Nutzung des Speicherplatzes vereinbaren die Parteien in § 2 dieser Vereinbarung Nutzungsbedingungen, die vom Kunden einzuhalten sind.

(3) Da der Auftragnehmer im Rahmen der Zurverfügungstellung des Speicherplatzes allenfalls auch Zugriff auf vom Kunden verarbeitete personenbezogene Daten (im Folgenden die „personenbezogenen Daten“) erhält, ist gemäß Art 28 Abs 3 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – im Folgenden die „DSGVO“) der Abschluss einer Vereinbarung über die Auftragsverarbeitung erforderlich.

(4) Hinsichtlich der personenbezogenen Daten unterwirft sich der Auftragnehmer ausdrücklich den in § 3 dieser Vereinbarung angeführten datenschutzrechtlichen Verpflichtungen.

 

§ 2 Nutzungsbedingungen hinsichtlich des Speicherplatzes

(1) Der Kunde verpflichtet sich ausdrücklich, den Speicherplatz ausschließlich für zulässige Zwecke und in Übereinstimmung mit allen anwendbaren gesetzlichen und rechtlichen Vorgaben zu nutzen. Insbesondere wird der Kunde den Speicherplatz nicht für die Speicherung von Inhalten benutzen, die

  • gegen strafrechtliche oder verwaltungsstrafrechtliche Bestimmungen verstoßen;
  • Urheberrechte oder sonstige gewerbliche Schutzrechte (z.B. Markenrechte) Dritter verletzen;
  • gewaltverherrlichend, verhetzend oder diskriminierend sind;
  • beleidigend, ehrenrührig oder kreditschädigend sind;
  • unzulässige Werbung oder unerbetene Nachrichten (Spam) darstellen.

(2) Für den Fall, dass der Kunde den Speicherplatz für die Speicherung personenbezogener Daten nutzt, stellt der Kunde sicher, dass für eine solche Verarbeitung eine ausreichende Rechtsgrundlage besteht und alle anwendbaren datenschutzrechtlichen Vorschriften eingehalten werden.

(3) Der Auftragnehmer ist berechtigt, die auf dem Speicherplatz gespeicherten Inhalte im Hinblick auf die Übereinstimmung mit diesem § 2 zu prüfen.

(4) Sollte der Auftragnehmer aus eigenem oder durch Mitteilung eines Dritten zur Vermutung gelangen, dass ein Verstoß gegen diesen § 2 vorliegen könnte, ist er berechtigt den Zugriff auf den Speicherplatz zu sperren und den Kunden zu einer unverzüglichen Stellungnahme aufzufordern. Bei Aufforderungen durch Behörden oder bei Unterbleiben einer nachvollziehbaren Stellungnahme des Kunden innerhalb einer Frist von höchstens 14 Tagen ist der Auftragnehmer zur unwiderruflichen Löschung des Speicherplatzes berechtigt.

(5) Der Kunde wird den Auftragnehmer hinsichtlich aller Ansprüche Dritter (einschließlich von Strafen, Bußgeldern oder Schadenersatzansprüchen) und den damit in Zusammenhang stehenden Aufwendungen (z.B. Kosten für externe Berater) des Auftragnehmers vollständig schad- und klaglos halten.

 

§ 3 Datenschutzrechtliche Verpflichtungen des Auftragnehmers

(1) Der Kunde wird dem Auftragnehmer allenfalls durch Nutzung des Speicherplatzes personenbezogenen Daten überlassen. Der Auftragnehmer ist diesfalls als datenschutzrechtlicher Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO anzusehen. Der Kunde bleibt datenschutzrechtlicher Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.

(2) Der Auftragnehmer verpflichtet sich, alle ihn nach den österreichischen und europäischen Datenschutzvorschriften als Auftragsverarbeiter treffenden Pflichten zu jedem Zeitpunkt nachzukommen. Ohne Einschränkung dieser allgemeinen Verpflichtung gilt dies insbesondere für die im Folgenden ausdrücklich angeführten Verpflichtungen.

(3) Der Auftragnehmer verpflichtet sich, die personenbezogenen Daten ausschließlich im Rahmen der Aufträge des Kunden zu verarbeiten. Grundsätzlich beschränkt sich die Verarbeitung der personenbezogenen Daten auf die Zurverfügungstellung des Speicherplatzes. Änderungen in Bezug auf die vom Auftragnehmer vorzunehmende Datenverarbeitung sind vom Kunden in schriftlicher Form oder in Textform zu erteilen.

(4) Jegliche sonstige Verarbeitung oder Übermittlung der personenbezogenen Daten ohne ausdrücklichen Auftrag des Kunden, insbesondere jegliche Verarbeitung für eigene Zwecke, ist ausdrücklich untersagt. Der Auftragnehmer wird die personenbezogenen Daten nur im unbedingt erforderlichen Ausmaß verwenden. Der Auftragnehmer informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass ein Auftrag des Kunden gegen die anwendbaren Datenschutzvorschriften verstößt.

(5) Sofern der Auftragnehmer aufgrund zwingender gesetzlicher Bestimmungen zur Übermittlung oder sonstigen Offenlegung personenbezogener Daten gegenüber Dritten verpflichtet ist, wird er den Kunden – soweit zulässig – vor Vornahme der jeweiligen Übermittlung informieren.

(6) Der Auftragnehmer verpflichtet sich, hinsichtlich der vom Auftragnehmer betriebenen Systeme, auf denen die personenbezogenen Daten verwendet werden, die gemäß Art 32 DSGVO erforderlichen Datensicherheitsmaßnahmen zu ergreifen und die ergriffenen Datensicherheitsmaßnahmen periodisch im Hinblick auf den jeweiligen Stand der Technik zu überprüfen und gegebenenfalls an den aktuellen Stand der Technik anzupassen. Der Auftragnehmer wird die getroffenen Sicherheitsmaßnahmen dokumentieren und diese Dokumentation während der Laufzeit dieser Vereinbarung und für 12 Monate nach Außerkrafttreten dieser Vereinbarung aufbewahren. Die konkret vom Auftragnehmer ergriffenen technischen und organisatorischen Datensicherheitsmaßnahmen sind in Anlage./1 zu dieser Vereinbarung angeführt.

(7) Der Auftragnehmer wird im Zusammenhang mit der Verwendung der personenbezogenen Daten nur Dienstnehmer oder sonstige Mitarbeiter heranziehen, die sich gegenüber dem Auftragnehmer zur Vertraulichkeit und zur Einhaltung des Datengeheimnisses (insbesondere gemäß § 6 DSG) verpflichtet haben. Die Verpflichtung zur Einhaltung des Datengeheimnisses muss auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses und/oder dieser Vereinbarung aufrecht bleiben.

(8) Die Heranziehung der in Anlage./2 angeführten (Sub-)Auftragsverarbeiter wird seitens des Kunden die Zustimmung erteilt. Der Auftragnehmer verpflichtet sich, den Kunden über die Heranziehung von (Sub-)Auftragsverarbeitern, welche nicht in Anlage./2 angeführt sind zu informieren. Der Kunden kann der Heranziehung eines Subauftragsverarbeiters aus wichtigem Grund widersprechen. Diesfalls ist der Auftragnehmer zur Kündigung der bestehenden Geschäftsbeziehung berechtigt.

(9) In den jeweiligen Vereinbarungen mit allenfalls beauftragten (Sub-)Auftragsverarbeitern sind die in diesem § 2 für den Auftragnehmer vorgesehenen Verpflichtungen gegenüber dem (Sub-)Auftragsverarbeiter ebenfalls zu vereinbaren. Auf Verlangen ist dem Kunden in die den Datenschutz betreffenden Teile solcher Vereinbarungen mit (Sub ) Auftragsverarbeitern Einblick zu gewähren. Der Auftragnehmer verpflichtet sich, die Einhaltung der Verpflichtungen nach diesem § 2 durch allenfalls herangezogene (Sub-)Auftragsverarbeiter regelmäßig und zumindest einmal jährlich zu überprüfen und den Kunden auf Verlangen über die Ergebnisse einer solchen Überprüfung zu informieren.

(10) Unbeschadet der mit allfälligen (Sub-)Auftragsverarbeitern abgeschlossenen Vereinbarungen bleibt der Auftragnehmer gegenüber dem Kunden vollumfänglich für die Einhaltung der Verpflichtungen nach diesem § 3 verantwortlich. Die Haftung des Auftragnehmers wird allerdings – soweit gesetzlich zulässig – auf grobe Fahrlässigkeit oder Vorsatz eingeschränkt und ist betraglich mit dem Betrag des in den letzten zwölf Monaten vom Kunden an den Auftragnehmer bezahlten Entgelt beschränkt.

(11) Soweit die Verarbeitung personenbezogener Daten außerhalb von Mitgliedsstaaten der EU oder des EWR erfolgt, wird der Auftragnehmer sicherstellen, dass entweder ein Angemessenheitsbeschluss im Sinne von Art 45 DSGVO vorliegt oder geeignete Garantien gemäß Art 46 DSGVO eingehalten werden.

(12) Der Auftragnehmer wird den Kunden im Falle der Geltendmachung von Betroffenenrechten (z.B. Auskunftsverlangen, Antrag auf Löschung) in technischer und organisatorischer Hinsicht unterstützen. Weiters wird der Auftragnehmer den Kunden gegebenenfalls bei der Durchführung einer Datenschutz-Folgeabschätzung gemäß Art 35 und Art 36 DSGVO unterstützen.

(13) Der Auftragnehmer wird die personenbezogenen Daten (einschließlich allfälliger Verarbeitungsergebnisse und etwaiger Kopien der personenbezogenen Daten) auf Weisung des Kunden bzw. spätestens nach Beendigung dieser Vereinbarung unwiederbringlich löschen. Klargestellt wird, dass die Verpflichtungen nach diesem § 3 – unabhängig von der Geltung dieser Vereinbarung – bis zur endgültigen Löschung der personenbezogenen Daten beim Auftragnehmer vollumfänglich aufrecht bleiben.

(14) Der Auftragnehmer wird dem Kunden unverzüglich, aber spätestens innerhalb von 48 Stunden, über jeglichen unbefugten Zugriff auf die personenbezogenen Daten und jegliche Verletzung oder Einschränkung der Datensicherheit informieren. Diesfalls wird der Auftragnehmer den Kunden bei der Erfüllung seiner Pflichten gemäß Art 33 DSGVO und Art 34 DSGVO unterstützen.

(15) Der Auftragnehmer verpflichtet sich, dem Kunden auf Aufforderung alle Informationen zur Verfügung zu stellen, die für die Kontrolle der Einhaltung der Verpflichtungen nach diesem § 3 erforderlich sind. 

(16) Der Auftragnehmer und der Kunde vereinbaren, dass dem Auftragnehmer für die Erfüllung der Verpflichtungen nach diesem § 3 ein angemessenes Entgelt zusteht.

 

§ 4 Schlussbestimmungen

(1) Diese Vereinbarung unterliegt österreichischem materiellem Recht unter Ausschluss der Kollisionsnormen des internationalen Privatrechts. 

(2) Alle Streitigkeiten, die sich aus dieser Vereinbarung ergeben oder sich auf deren Verlet-zung oder Ungültigkeit beziehen, sind ausschließlich von den für Wolfurt sachlich zuständigen Gerichten zu entscheiden.

(3) Diese Vereinbarung stellt die gesamte Vereinbarung zwischen dem Kunden und dem Kunden bezüglich des Vertragsgegenstands dar. Die Bestimmungen dieser Vereinbarung gehen allenfalls abweichenden Bestimmungen in den Anlagen zu dieser Vereinbarung und Bestimmungen in anderen Vereinbarungen zwischen den Parteien vor.

(4) Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise nichtig, unwirksam oder nicht durchsetzbar sein oder werden, wird die Gültigkeit, Wirksamkeit und Durchsetzbarkeit aller übrigen verbleibenden Bestimmungen davon nicht berührt. Die nichtige, unwirksame oder nicht durchsetzbare Bestimmung ist als durch diejenige wirksame und durchsetzbare Bestimmung ersetzt anzusehen, die dem mit der nichtigen, unwirksamen oder nicht durchsetzbaren Bestimmung verfolgten wirtschaftlichen Zweck nach Gegenstand, Maß, Zeit, Ort und Geltungsbereich am nächsten kommt. Entsprechendes gilt für die Füllung etwaiger Lücken in dieser Vereinbarung.

 

Wolfurt, Juni 2021

            Christian Moik
              Bemoji – Christian Moik

 

 

 

Anlage./1        Beschreibung der technischen und organisatorischen Datensicherheitsmassnahmen nach Art. 32 EU-DSGVO

 

1.         Zutrittskontrolle

Maßnahmen um zu verhindern, dass Unbefugte Zutritt (räumlich zu verstehen) zu Rechenzentren erhalten, in welchen personenbezogene Daten verarbeitet werden.

Gebäudesicherung

  • Gebäude- und Infrastruktur Monitoring
  • Videoüberwachung
  • Automatisches Zutrittskontrollsystem
  • Absicherung von Gebäudeschächten außerhalb der Perimeter Abgrenzung
  • Protokollierung der Besucher
  • Sorgfältige Auswahl von Reinigungspersonal und Wachpersonal
  • Schriftliche Zutrittsregelungen

 

Sicherung der Räume

  • Biometrische Zutrittskontrolle zum Rechenzentrumsbereich
  • Zutrittskarte für den Zutritt zu einem Rechenzentrumsraum

 

2.         Zugangskontrolle

Maßnahmen um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können.

Zugang zu den Serversystemen (Authentifizierung)

  • Server-Passwörter und Zugänge werden dem Auftraggeber bei der erstmaligen Inbetriebnahme übergeben. Der Auftraggeber ändert die Passwörter selbständig sofort nach der Übernahme und wählt ein komplexes Passwort unter Berücksichtigung allgemeiner Standards.
  • Der Auftraggeber verwaltet die Zugangsdaten selbständig und ist für deren Sicherheit und periodische Änderungen verantwortlich.

 

3.         Zugriffskontrolle

Maßnahmen für berechtigte Administratoren zur Benutzung von internen Serversystemen zur Verwaltung.

  • Berechtigungskonzept inkl. Rollendefinition
  • Passwortpolicy (Mindestlänge, Sonderzeichen, periodischer Wechsel)
  • Social Engineering Prevention
  • Mehr-Weg Authentifizierung

 

Die Verantwortung der Zugriffskontrolle von Kundensystemen obliegt dem Auftraggeber.

 

4.         Weitergabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können.

  • Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der beauftragten Leistung des Hauptauftrages zur Verfügung gestellt. Der Auftraggeber bewertet seine betriebenen Datenverarbeitungsanwendungen und beauftragt auf Basis dessen erforderliche technische Maßnahmen
  • Alle Mitarbeiter sind unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

 

5.         Eingabekontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen bei internen Serversystemen um sicherzustellen, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

  • Protokollierung über Logfiles
  • Benutzeridentifikation

 

Auf Kundensysteme oder Serversystemen des Auftraggebers obliegt die Verantwortung der Eingabekontrolle dem Auftraggeber.

  

6.         Auftragskontrolle (Art. 32 Abs. 1 lit. d DSGVO)

Maßnahmen, dass personenbezogene Daten gemäß den Weisungen des Auftraggebers verarbeitet werden.

  • Definition der Weisungsbefugnisse lt. Kundenanforderung
  • Auftragsannahme nur in Schriftform oder von autorisierten Personen

 

7.         Verfügbarkeitskontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen bei internen Serversystemen zur Verwaltung um sicherzustellen, das personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

  • Brandschutzmaßnahmen
  • Überspannungsschutz
  • Unterbrechungsfreie Stromversorgung
  • Klimaanlage (Redundantes System)
  • Luftfeuchtigkeit zwischen 40% und 60%
  • 24/7 Monitoring der Serversysteme
  • Separate Brandabschnitte
  • Backupkonzept für interne Serversysteme zur Verwaltung

 

Auf Kundensysteme oder Serversysteme des Auftraggebers obliegt die Verantwortung der Verfügbarkeitskontrolle, insbesondere der Datensicherung dem Auftraggeber, falls dies nicht schriftlich im Hauptvertrag anders vereinbart wurde.

 

8.         Trennungsgebot

Maßnahmen, dass personenbezogene Daten auf internen Serversystemen, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden können.

  • Getrennte Systemstrukturen der internen IT
  • Getrennte Datenbanken

 

Die Trennungskontrolle bei Kundenservern oder Serversystemen des Auftraggebers obliegt dem Auftraggeber.

 

9.         Abgrenzung

Abgrenzung bei unsachgemäßer Handhabung der Hard- bzw. Software durch den Kunden. Insbesondere gilt dies bei folgenden Vorgängen:

  • Datendiebstahl, welcher durch die Applikation/Webanwendung möglich wurde
  • Datendiebstahl, welcher durch unachtsamen Umgang des Auftraggebers mit Zugangsdaten oder mit sonstigen sicherheitsrelevanten Schutzmechanismen möglich wurd
  • Unbefugter Zugriff, welcher durch unachtsames Vorgehen vom Auftraggeber oder einem vom Auftraggeber dazu berechtigten Unternehmen ermöglicht wurde
  • Für die Datenverarbeitung, Datensicherheit und Einhaltung der gesetzlichen Vorschriften auf Applikationsebene (z.B.: Webseite, Webanwendung, App,…) ist der Auftraggeber verantwortlich
  • Vom Auftraggeber nicht autorisierte Veränderungen an Dateien oder Datenbanken, welche von einem berechtigten Unternehmen selbständig durchgeführt wurden
  • Systeme, die nicht nach den Richtlinien des Herstellers betrieben und gewartet wurden

 

 

Anlage./2       Subauftragsverarbeiter

  •  Internex GmbH  Austria                                   Betreiber Cloudprovider
  • Stripe                                                                Zahlungsdienstleister
  • PayPal                                                              Zahlungsdienstleister
  • Duncrow GmbH                                               Shop Entwicklungspartner

 

Zuletzt angesehen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Ablehnen Konfigurieren