Datenschutz und Vertraulichkeit

1. Allgemeines

Für alle Vereinbarungen zur Zusammenarbeit zwischen Bacher Systems EDV GmbH (nachfolgend „Bacher Systems“) und seinen Kunden gelten die hier angeführten Bedingungen ergänzend.

2. Datenschutz

2.1. Ob und in welchem Umfang Bacher Systems (in diesem Kontext „Auftragsverarbeiter“) nachfolgend auf personenbezogene Daten des Kunden (in diesem Kontext „Verantwortlicher“) zugreift und diese verarbeitet, entscheidet der Verantwortliche. Hiervon unabhängig gelten die nachstehenden Datenschutzbestimmungen auch dann, wenn der Auftragsverarbeiter die technische Möglichkeit eines Zugriffs hat.
2.2. Der Auftragsverarbeiter erklärt mit dieser Vereinbarung rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen nach Art 32 DSGVO ergriffen hat, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Die technischen und organisatorischen Maßnahmen zur Sicherheit von Daten sind im Dokument „Technische und organisatorische Maßnahmen der Bacher Systems EDV GmbH lt. DSGVO“ beschrieben, das auf Anfrage vorgelegt wird.
2.3. Der Auftragsverarbeiter verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des Leistungsvertrags mit dem Verantwortlichen zu verarbeiten. Erhält der Auftragsverarbeiter einen behördlichen Auftrag, Daten des Verantwortlichen herauszugeben, so hat er – sofern gesetzlich zulässig – den Verantwortlichen unverzüglich darüber zu informieren und die Behörde an den Verantwortlichen zu verweisen.
2.4. Nimmt der Auftragsverarbeiter in Einklang mit den Bestimmungen dieser Vereinbarung Subauftragsverarbeiter in Anspruch, sichert er dem Verantwortlichen zu, ihnen vertraglich dieselben Pflichten aufzuerlegen, die in dieser Vereinbarung oder in sonstigen Vereinbarungen zwischen dem Verantwortlichen und ihm festgelegt sind.
2.5. Der Auftragsverarbeiter schafft die technischen und organisatorischen Voraussetzungen, damit der Verantwortliche seinen datenschutzrechtlichen Informations-, Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Übertragungspflichten sowie alle sonstigen Pflichten (insbesondere im Hinblick auf die Bestimmungen der Artikel 32 bis 36 DSGVO und der in Kapitel III DSGVO genannten Rechte der betroffenen Personen) gegenüber betroffenen Personen, die sich durch die Verarbeitung personenbezogener Daten aus Rechtsvorschriften ergeben, nachkommen kann. Für die Erfüllung dieser Verpflichtungen gegenüber den Betroffenen ist ausschließlich der Verantwortliche zuständig.
2.6. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich an den Verantwortlichen.
2.7. Der Auftragsverarbeiter informiert den Verantwortlichen, falls er der Ansicht ist, dass eine Bestimmung dieser Vereinbarung oder eine Weisung des Verantwortlichen gegen geltende Datenschutzbestimmungen verstößt.
2.8. Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Verpflichtungen aus dieser Vereinbarung zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen. Gehen die Kosten dafür über den branchenüblichen Rahmen hinaus, trägt sie der Verantwortliche.
2.9. Der Verantwortliche ist mit sämtlichen Subauftragsverarbeitern, die der Auftragsverarbeiter im Zeitpunkt des Abschlusses dieser Vereinbarung einsetzt, einverstanden. Aufgrund der Einbindung von Herstellern im Servicefall werden die Hersteller zu Subauftragsverarbeitern im Sinne der DSGVO. Über die Hersteller hinausgehenden Sub-Auftragsverarbeiter sind auf der Homepage https://www.bacher.at/datenschutz des Auftragsverarbeiters gelistet. Der Auftragsverarbeiter informiert den Verantwortlichen, sofern ein Sub-Auftragsverarbeiter ersetzt oder hinzugezogen werden soll. Gegen den Einsatz des neuen Sub-Auftragsverarbeiters kann der Verantwortliche begründeten Einspruch erheben. Tut er dies nicht binnen 7 Tagen ab erfolgter Information, gilt dies als Akzeptanz des neuen Subauftragsverarbeiters.
2.10. Der Auftragsverarbeiter sichert zu, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragsverarbeiter aufrecht.
2.11. Der Auftragsverarbeiter verpflichtet sich, falls nicht anders vereinbart, nach Beendigung dieser Vereinbarung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, zu vernichten, sofern gesetzliche, vertragliche oder berechtigte Interessen dieser Vernichtung nicht entgegenstehen. Für den Fall, dass die Rückgabe vereinbart wird, ist der Auftragsverarbeiter verpflichtet, die Daten nach Beendigung dieser Vereinbarung in dem Format, in dem er die Daten vom Kunden erhalten hat oder in einem anderen, gängigen Format herauszugeben.
2.12. Der Verantwortliche akzeptiert, dass der Auftragsverarbeiter seine Leistungen gegebenenfalls mittels Remote Support erbringt. Die Verbindung für die Remote Support Session wird in Abstimmung mit dem Auftragsverarbeiter vom Verantwortlichen aufgebaut und freigeschaltet. Die Remote Support Session erfolgt unter Aufsicht des Verantwortlichen. Es kann dabei zur Einsicht von personenbezogenen Daten kommen, diese werden weder kopiert noch reproduziert. Für die Durchführung des Remote Supports verwendet der Auftragsverarbeiter üblicherweise seine Applikation. Stellt der Verantwortliche eine Applikation für die Fernwartung zur Verfügung, übernimmt er auch die Verantwortung über die datenschutzrelevanten Rahmenbedingungen.
2.13. Sollte es erforderlich sein, dass der Verantwortliche dem Auftragsverarbeiter personenbezogene Daten zur Verarbeitung zur Verfügung stellt, zum Beispiel zur Klärung von Problemfällen, werden diese unmittelbar nach Durchführung der Aufgabe wieder gelöscht.

3. Vertraulichkeit und Geheimhaltung

3.1. Die Vertragsparteien sind verpflichtet, die ihnen aufgrund dieses Vertrags von der jeweils anderen Partei zugänglich gemachten Informationen sowie Kenntnisse, die sie bei Gelegenheit dieser Zusammenarbeit über Angelegenheiten – etwa technischer, kommerzieller oder organisatorischer Art- der jeweils anderen Vertragspartei erlangen, vertraulich zu behandeln und während der Dauer sowie nach Beendigung dieses Vertrags im Rahmen dessen die Offenlegung erfolgt, nicht zu verwerten oder anderen zugänglich zu machen. Eine Nutzung dieser Information ist allein auf den Gebrauch im Rahmen dieser Zusammenarbeit beschränkt. Der Kunde stellt insbeson-dere sicher, dass ein ihm überlassenes Angebot und Verträge mit ihren jeweiligen Anlagen ohne vorherige Zustimmung von Bacher Systems weder als Ganzes noch in Teilen Dritten bekannt wird, auch nicht in einer bearbeiteten Fassung.
3.2. Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die der anderen Partei nachweislich auf die eine oder andere hier angeführte Weise zugänglich wurden:
a) rechtmäßig von Dritten erhalten
b) bei Vertragsabschluss waren sie bereits allgemein bekannt oder wurden nachträglich ohne Verstoß gegen die in diesem Vertrag enthaltenen Verpflichtungen allgemein bekannt
c) sie wurden von der zur Vertraulichkeit verpflichteten Vertragspartei unabhängig erarbeitet
d) durch Techniken, Ideen, Know-how und Konzeptionen eines Dritten (Dritt-Know-how), die dieser der anderen Vertragspartei rechtmäßig bekannt gemacht hat, auch sofern und soweit dieses Dritt-Know-how zufällig mit vertraulichen Informationen im Sinne dieses Abschnitts übereinstimmt.
3.3. Sofern gesetzliche Bestimmungen dies fordern oder behördlichen Anordnungen zwingend nachzukommen ist, dürfen vertrauliche Informationen vom jeweiligen Empfänger weitergegeben werden. Er verpflichtet sich jedoch, den Informationsgeber hiervon unverzüglich zu informieren, damit dieser durch entsprechende Handlungen seine Rechte wahren kann.
3.4. Diese Vertraulichkeitsverpflichtungen bleiben für beide Vertragsparteien auch nach Beendigung dieses Vertrags hinaus für weitere fünf (5) Jahre ab dem Ende der Laufzeit des Vertrags bestehen.

(Ausgabe: März 2023)