imc Express Auftragsverarbeitervereinbarung
Zuletzt aktualisiert am 29.4.2025

imc Express Auftragsverarbeitervereinbarung

imc Express Auftragsverarbeitervereinbarung

Auftragsverarbeitervereinbarung
für imc Express

 (im Folgenden als “Vereinbarung” bezeichnet)

zwischen
dem im Angebot als Auftraggeber bezeichneten Kunden
(im Folgenden als “Auftraggeber” bezeichnet)

und

imc information multimedia communication GmbH,
St. Peter Hauptstraße 27,
8042 Graz,
Österreich
(im Folgenden als der “Auftragsverarbeiter” bezeichnet)

 

1. Ziel der Vereinbarung 

Der Auftragsverarbeiter hat sich verpflichtet, die in Anhang 1 beschriebenen Datenverarbeitungen in Zusammenhang mit dem Produkt imc Express gegenüber dem Verantwortlichen zu erbringen. Für die Zwecke dieser Vereinbarung gelten die Begriffsdefinitionen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, nachfolgend „DSGVO“), soweit der für die Verarbeitung Verantwortliche dem schweizerischen Datenschutzrecht unterliegt, gelten Verweise auf die DSGVO in dieser Vereinbarung als Verweise auf das schweizerische Bundesgesetz über den Datenschutz ("DGS") und die Ausführungsverordnung zum Datenschutz ("DPA").

2. Weisungsrecht

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist.

2.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er ohne Durchführung einer rechtlichen Prüfung durch einen Juristen der Auffassung ist, dass eine Weisung offensichtlich gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist nicht verpflichtet, sich in Zusammenhang mit der Erfüllung dieser Vereinbarung rechtlich beraten zu lassen und erbringt in Erfüllung dieser Vereinbarung auch keine Rechtsberatungsleistungen.

2.3 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet ist, entgegen den Weisungen des Verantwortlichen oder ohne Weisung des Verantwortlichen eine Datenverarbeitung vorzunehmen (sofern eine solche Mitteilung zulässig ist).

2.4 Weisungen des Verantwortlichen stehen im Einklang mit dem Regelungsgegenstand dieser Vereinbarung. Sollte dem Auftragsverarbeiter aus der Befolgung der Weisung ein Aufwand im Umfang von mehr als einer Arbeitsstunde entstehen, so ist der gesamte Aufwand vom Verantwortlichen zu vergüten.

3. Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4. Datensicherheit

4.1 Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 DSGVO zwingend erforderlichen Maßnahmen.

4.2 Der Auftragsverarbeiter erfüllt seine Pflicht nach Punkt 4.1 dadurch, dass er die in Anhang 2 beschriebenen Sicherheitsmaßnahmen implementiert. Klarstellend wird festgehalten, dass ein diesem Vertrag entsprechendes Niveau an Datenschutz und Sicherheit auch gilt, soweit eine Verarbeitung von Daten in Privatwohnungen erfolgt.

4.3 Der Auftragsverarbeiter wird den Verantwortlichen von jeder Verletzung des Schutzes personenbezogener Daten informieren, sofern diese Daten betreffen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet, und durch die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen entsteht. Diese Information hat unverzüglich zu erfolgen, sobald der Auftragsverarbeiter von einer solchen Verletzung Kenntnis erlangt und ist an jene Kontaktstelle zu richten, die der Verantwortliche schriftlich bekannt gegeben hat.

4.4 Die unter Punkt 4.3 genannte Information des Verantwortlichen soll, soweit unter Berücksichtigung der Umstände möglich, Folgendes beinhalten:

a. die Art der Verletzung des Schutzes personenbezogener Daten, wenn möglich einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der Kategorien und der ungefähren Zahl der betroffenen Datensätze;

b. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und

c. die vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten.

5. Unterverarbeitungen

5.1 Anhang 3 enthält eine aktuelle Aufzählung der Sub-Auftragsverarbeiter, welcher sich der Auftragsverarbeiter bedient. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter oder Sub-Auftragsverarbeiter (im Folgenden zusammen „Sub-Auftragsverarbeiter“), wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben und die Hinzuziehung oder die Ersetzung zu untersagen. Erhebt der Verantwortliche innerhalb von zwei Wochen keinen Einspruch, so gilt die Hinzuziehung oder Ersetzung als genehmigt. Jegliche Verarbeitung in einem Drittland darf nur unter den in Kapitel V der Datenschutz-Grundverordnung1 enthaltenen Bedingungen sowie unter Einhaltung der Bestimmungen dieses Vertrages erfolgen.

5.2 Bei Erhebung eines Einspruchs nach Punkt 5.1 erhält der Auftragsverarbeiter das Recht, die Vereinbarung unter Wahrung einer Frist von zwei Wochen zum Monatsletzten zu kündigen

5.3 Nimmt der Auftragsverarbeiter einen anderen Sub-Auftragsverarbeiter in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem SubAuftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auferlegt, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen des anwendbaren Datenschutzrechts erfolgt.

5.4 Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

1 Soweit der Verantwortliche dem Schweizer Datenschutzrecht unterliegt: Art. 17 und 18 DSG sowie Anhang 1 DSV.

6. Support

6.1 Soweit dies möglich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten des Verantwortlichen bei Anträgen auf Wahrnehmung der Betroffenenrechte gemäß dem anwendbaren Datenschutzrecht, einschließlich Kapitel III der DSGVO.

6.2 Der Auftragsverarbeiter erfüllt seine Pflicht nach Punkt 6.1 grundsätzlich dadurch, dass er dem Verantwortlichen eingelangte Anträge von Betroffenen weiterleitet. Soweit der Verantwortliche eine zusätzliche Unterstützung des Auftragsverarbeiters für notwendig erachtet und sich der Auftragsverarbeiter dazu bereit erklärt, eine solche Unterstützungsleistung zu erbringen, ist der Auftragsverarbeiter berechtigt, hierfür eine zusätzliche angemessene Vergütung zu fordern.

6.3 Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß dem anwendbaren Datenschutzrecht, einschließlich Artikel 32 bis 36 DSGVO. Dies erfüllt der Auftragsverarbeiter durch (i) Ergreifen der Maßnahmen unter Punkt 3 („Vertraulichkeit“) und 4 („Datensicherheit“) dieser Vereinbarung; (ii) die Meldung an den Verantwortlichen über eine Verletzung des Schutzes personenbezogener Daten nach Punkt 4.3 sowie (iii) durch die Zurverfügungstellung der Informationen in Anhang 1 dieser Vereinbarung.

7. Rückgabe von personenbezogenen Daten

Nach Wahl des Verantwortlichen löscht der Auftragsverarbeiter in angemessenem Zeitraum nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt diese in angemessenem Zeitraum zurück, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Für die Rückgabe der Daten gebührt dem Auftragsverarbeiter ein angemessenes Entgelt.

8. Audit

8.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten zur Verfügung.

8.2 Der Auftragsverarbeiter ermöglicht vorangemeldete Überprüfungen zu Geschäftszeiten durch einen unabhängigen Dritten. Solche Überprüfungen werden in angemessenen zeitlichen Abständen und in einer Art durchgeführt, die den Geschäftsbetrieb des Auftragsverarbeiters nicht stören. Kosten, welche durch solche Überprüfungen anfallen, sind vom Verantwortlichen zu tragen. Dem Auftragsverarbeiter steht für alle Leistungen in Zusammenhang mit der Unterstützung von Überprüfungen ein angemessenes Entgelt zu.

8.3 Der Auftragsverarbeiter kann seine Pflichten nach Punkt 8.2 auch dadurch erfüllen, dass er zumindest alle drei Jahre eine Überprüfung durch einen unabhängigen Dritten vornehmen lässt und die zusammengefassten Prüfungsergebnisse dem Verantwortlichen zukommen lässt.

9. Haftung

9.1 Die Haftung beider Parteien ist auf grobe Fahrlässigkeit beschränkt. Die Haftung für bloße Vermögensschäden ist ausgeschlossen.

9.2 Dessen ungeachtet haftet der Verantwortliche dem Auftragsverarbeiter für die Rechtmäßigkeit aller erteilten Weisungen und stellt ihn hinsichtlich aller aus der Befolgung einer Weisung resultierenden Schäden und Nachteile klag- und schadlos.

10. Sonstiges

10.1 Änderungen dieser Vereinbarung sind ausschließlich in schriftlicher Form vorzunehmen. Dies gilt auch für dieses Schriftlichkeitsgebot.

10.2 Sollte eine Bestimmung dieser Vereinbarung ungültig oder unwirksam sein, wird sie, soweit gesetzlich zulässig, durch jene Bestimmung ersetzt, die wirtschaftlich der ungültigen oder unwirksamen Bestimmung am nächsten kommt.

Anhang 1: Details der erbrachten Datenverarbeitungen

Anhang 2: Technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten

Anhang 3: Sub-Auftragsverarbeiter

 

Anhang 1: Details der erbrachten Datenverarbeitungen

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen: Personen, deren personenbezogene Daten vom Verantwortlichen bzw. seinen Mitarbeitern in imc Express gespeichert werden (z.B. Mitarbeiter oder Kunden des Verantwortlichen).

Kategorien von Daten

Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien:

  • Fotos / Videos
  • Sonstige von der verantwortlichen Stelle in imc Express gespeicherte Daten (z.B. Kontaktdaten der betroffenen Personen, die für die Erstellung einer Firmenpräsentation benötigt werden).

Kategorien von sensiblen Daten (falls zutreffend)

Die übermittelten personenbezogenen Daten umfassen die folgenden sensiblen Daten:

Keine.

Gegenstand und Dauer der Verarbeitung und Verarbeitungsmaßnahmen

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsvorgängen:

Verarbeitungen nach Art. 4 Nr. 2 DSGVO für die Bereitstellung des Produkts imc Express vom Auftragsverarbeiter an den Verantwortlichen.

Die Dauer der Verarbeitung und dieser Vereinbarung richtet sich nach der Dauer des Vertrages über die Bereitstellung des Produktes imc Express vom Auftragsverarbeiter an den Verantwortlichen.

Verarbeitungszwecke

Die übermittelten personenbezogenen Daten werden zu folgenden Zwecken des Verantwortlichen verarbeitet:

Nutzung des Produktes imc Express zur Erstellung digitaler Dokumente.

Darüberhinausgehende Verarbeitungen zu anderen Zwecken finden grundsätzlich nicht statt.

 

Anhang 2: Technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten

Der Auftragsverarbeiter trifft die folgenden technischen und organisatorischen Maßnahmen zum Schutz der Daten im Sinne von Art. 32 DSGVO.

1

1.1. Zutrittskontrolle

Die folgenden technischen und organisatorischen Maßnahmen werden eingesetzt, um Unbefugten den Zugang zu den Datenverarbeitungsanlagen des Auftragsverarbeiters zu verwehren.

  • Schließkonzept für die Räumlichkeiten
  • Schlüsselregelungen und -listen
  • Einrichtung/Beschäftigung eines Empfangs
  • Führung von Besucherprotokollen
  • Begleitung von Besuchern durch Mitarbeiter
  • Reinigungsdienste und andere Dienstleister werden mit Sorgfalt ausgewählt

1.2. Zugangskontrolle

Der Auftragsverarbeiter setzt die nachfolgenden technischen und organisatorischen Maßnahmen ein, um sicherzustellen, dass Datenverarbeitungssysteme von Unbefugten nicht genutzt werden können. Zur Authentifizierung von Benutzern wurden die nachstehenden Maßnahmen eingerichtet

  • Anmeldung mit Benutzernamen und Passwort
  • Anti-Viren-Software Server
  • Anti-Virus-Software Clients
  • Firewalls
  • Verwendung von VPN bei Remotezugriffen
  • Automatische Desktopsperren und Anleitung zur manuellen Desktopsperre
  • Verwaltung von Benutzerberechtigungen
  • Erstellung von Benutzerprofilen
  • Richtlinie “Sicheres Passwort” 
  • Richtlinie “Sauberer Schreibtisch”
  • Allgemeine Richtlinien zu Datenschutz und Datensicherheit 

1.3. Zugriffskontrollen

Die nachfolgenden technischen und organisatorischen Maßnahmen gewährleisten, dass die berechtigten Nutzer unserer Datenverarbeitungssysteme ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Aktenschredder
  • Physikalische Löschung von Datenträgern
  • Protokollierung des Zugriffs auf Anwendungen beim Betreten sowie beim Ändern und Löschen von Daten
  • Verwendung von Berechtigungskonzepten
  • Minimale Anzahl von Administratoren
  • Benutzerrechteverwaltung durch Administratoren

1.4. Trennung

Die folgenden technischen und organisatorischen Maßnahmen stellen sicher, dass auch Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden.

  • Bereitstellung von dedizierten Diensten pro Kundenszenario
  • Logische Datentrennung
  • Berechtigungskonzept für die getrennte Verarbeitung von Daten verschiedener Kunden
  • Bereitstellung von dedizierten Diensten pro Kundenszenario
  • Trennung von Entwicklungs-, Test- und Produktivsystemen
  • Segregation of Duties (SoD oder Funktionstrennung) zwischen Stellen im Geschäftsprozess
  • Arbeitsanweisungen an die Mitarbeiter, die für unterschiedliche Zwecke erhobenen Daten getrennt voneinander zu verarbeiten

1.5. Pseudonymisierung & Verschlüsselung

Die folgenden technischen und organisatorischen Maßnahmen stellen sicher, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr spezifischen betroffenen Personen zugeordnet werden können und unberechtigte Zugriffe Dritter zu verhindern:

  • Möglichkeit der Pseudonymisierung im Produktivsystem
  • Möglichkeit der Pseudonymisierung von Testdaten
  • Möglichkeit der Pseudonymisierung einzelner Nutzer im Produktivsystem
  • Interner Hinweis, dass personenbezogene Daten gem. 32 (1) (a) der GDPR und Art. 25 (1) GDPR im Falle einer Übermittlung oder nach Ablauf der gesetzlichen Löschungsfristen möglichst zu anonymisieren oder pseudonymisieren sind.

2

2.1. Eingabekontrollen

Beim Auftragsverarbeiter sind technische und organisatorische Maßnahmen vorhanden, damit die Eingabe, Änderung und Löschung personenbezogener Daten nachträglich kontrolliert und identifiziert werden kann. Dazu sind folgende Maßnahmen umgesetzt worden.

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit der Eingabe, Änderung und Löschung durch individuelle Benutzernamen
  • Manuelle oder automatisierte Kontrolle der Protokolle
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines
  • Berechtigungskonzept
  • Klare Verantwortlichkeiten für die Löschung von Daten

2.2. Übermittlungskontrolle

Die folgenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters stellen sicher, dass Unbefugte personenbezogene Daten während der elektronischen Übermittlung oder während des Transports oder der Speicherung auf Datenträgern nicht lesen, kopieren, verändern oder entfernen können.

  • Nutzung von VPN
  • Bereitstellung von Daten über verschlüsselte Verbindungen
  • Weitergabe der Daten in anonymer oder pseudonymisierter Form
  • Sorgfältige Auswahl von Transportpersonal und Fahrzeugen

3

Die nachstehenden technischen und organisatorischen Maßnahmen gewährleisten einen angemessenen Schutz vor zufälliger Zerstörung und Verlust sowie eine schnelle Wiederherstellung der Verfügbarkeit personenbezogener Daten im Unternehmen.

  • Brand- und Rauchmeldeanlagen
  • Feuerlöschanlage
  • Überwachung von Temperatur und Luftfeuchtigkeit im Serverraum
  • Redundante Klimatisierung des Serverraums
  • Redundante USV
  • Schutzsteckdosen im Serverraum
  • Sicherheit der Verkabelung
  • Redundante Stromversorgung
  • Datenspeicherung auf RAID-Systemen
  • Backup- und Wiederherstellungskonzept
  • Kapazitätsmessungen
  • Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse
  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
  • Systemhärtung (Deaktivierung von nicht benötigten Diensten und Komponenten)
  • Sofortige und regelmäßige Aktivierung von verfügbaren Software- und Firmware-Updates
  • Identifikation von IT-Geräten, Anlagen und Netzwerksystemen in der unternehmensinternen Infrastruktur
  • Wartungsliste

4

4.1. Datenschutzmanagement

Der Auftragsverarbeiter erfüllt seine Dokumentations- und Rechenschaftspflichten nach der DSGVO im Rahmen des Datenschutzmanagements durch die folgenden technischen und organisatorischen Maßnahmen.

  • Einsatz einer Datenschutzmanagement-Software
  • Zentrale Dokumentation aller Verfahren und Datenschutzbestimmungen mit Zugriff für Mitarbeiter nach Bedarf und Berechtigung
  • Mindestens eine jährliche Überprüfung der technischen Schutzmaßnahmen
  • Regelmäßige Schulung und Sensibilisierung der Mitarbeiter für Datenschutz und Informationssicherheit
  • Das Unternehmen erfüllt seine Informationspflichten nach Art. 13 und 14 der DSGVO
  • Formalisierte Prozesse zum Schutz der Datenschutzrechte 

4.2. Incident Response Management

Die folgenden technischen und organisatorischen Maßnahmen werden im Unternehmen eingesetzt, um die ordnungsgemäße Behandlung und Vermeidung von Sicherheitsvorfällen so weit wie möglich zu gewährleisten.

  • Nutzung und regelmäßige Aktualisierung von Firewalls
  • Nutzung und regelmäßige Aktualisierung von Spamfiltern
  • Nutzung und regelmäßige Aktualisierung von Virenscannern
  • Dokumentiertes Verfahren für die Erkennung und Meldung von Sicherheitsvorfällen und Datenschutzverletzungen
  • Dokumentiertes Verfahren für den Umgang mit Datenschutzverletzungen
  • Formale Verfahren und Zuständigkeiten für die Nachbearbeitung von Sicherheitsvorfällen und Datenschutzverletzungen 

4.3. Datenschutzfreundliche Voreinstellungen

Die Datenschutzgrundsätze "privacy by design" und "privacy by default" werden durch die folgenden technischen und organisatorischen Maßnahmen gewahrt.

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Verarbeitungszweck erforderlich sind.
  • Die einfache Ausübung des Widerrufsrechts der Betroffenen wird durch technische Maßnahmen sichergestellt.

4.4. Auftragskontrolle

Der Auftragsverarbeiter stellt die ordnungsgemäße Auftragsdatenverarbeitung durch Subunternehmer mit den untenstehenden technischen und organisatorischen Maßnahmen sicher.

  • Vorherige Prüfung der vom Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Auswahl der Auftragsverarbeiter mit der gebotenen Sorgfalt
  • Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung
  • Schriftliche Weisungen an den Auftragsverarbeiter
  • Verpflichtung des Mitarbeiters zur Verschwiegenheit
  • Vereinbarung über wirksame Kontrollrechte gegenüber dem Auftragsverarbeiter
  • Regelung für den Einsatz weiterer Subunternehmer
  • Gewährleistung der Vernichtung der Daten nach Erledigung des Auftrags

 

Anhang 3: Sub-Auftragsverarbeiter

Zum gegenwärtigen Zeitpunkt verwendet der Auftragsverarbeiter die folgenden Sub-Auftragsverarbeiter::

3 Dienste von OpenAI werden nur genutzt, wenn das Paket "Airis" aktiviert ist.