Datenschutzerklärung

der Cleverloyal, Christoph Harald Holubar, im Folgenden kurz CLEVER genannt.

1. Datenschutz

1.1 Datenschutz durch CLEVER. Die Verarbeitung personenbezogener Daten des Auftraggebers bzw. dessen betroffene Mitarbeiter durch CLEVER zum Zweck der Vertragserfüllung erfolgt auf Grundlage der freiwilligen Einwilligung des Auftraggebers (zB. Bei besonderen Kategorien personenbezogener Daten), des bestehenden Vertragsverhältnisses sowie gesetzlicher Vorschriften.

Es besteht keine Verpflichtung zur Erteilung der Einwilligung (zB. Bei besonderen Kategorien personenbezogener Daten) und zum Abschluss des Vertrages. Die Nichterteilung der Einwilligung bzw. das Unterbleiben des Vertragsabschlusses hätte jedoch zur Folge, dass der Auftrag nicht übernommen werden kann.

1.2 Weiterverarbeitung. Es erfolgt eine mit dem Zweck der Vertragserfüllung zu vereinbarende Weiterverarbeitung der Daten durch CLEVER zum Zweck des Direktmarketings in nicht einwilligungspflichtigen Formen wie dem adressierten postalischen Versand von Werbung.

Eine Weiterverarbeitung zum Zweck des Direktmarketings in einwilligungspflichtigen Formen wie dem elektronischen Versand von Werbung oder der Schaltung personenbezogener Werbeanzeigen erfolgt nur aufgrund der Grundlage einer zusätzlichen freiwilligen Einwilligung des Aufraggebers. Zur Erteilung der Einwilligung besteht keine Verpflichtung. Die Nichterteilung der Einwilligung hätte nur zur Folge, dass der Auftraggeber keine Werbung in einwilligungspflichtigen Formen erhält.

1.3 Weitergabe. Sämtliche Daten unterliegen der vereinbarten bzw. gesetzlichen Verpflichtung zur Verschwiegenheit und dem Schutz personenbezogener Daten. Eine Weitergabe der Daten des Aufraggebers erfolgt, abgesehen von der Weitergabe an wirtschaftstypische Empfänger wie Banken, Steuerberater, Rechtsanwälte, Versanddienstleister etc., nur aufgrund gesetzlicher Grundlage bzw. in Abstimmung mit dem Auftraggeber.

1.4 Weltweite Verarbeitung. Der Auftraggeber willigt in die weltweite Verarbeitung seiner Daten, insbesondere zum Zweck des Remote-Zugriffs durch CLEVER zum Zweck auftragsbezogener Verarbeitungsvorgänge, zB. In Notfällen während Dienstreisen von CLEVER, ein.

1.5 Speicherdauer. Die Daten des Auftraggebers werden zum Zweck der Dokumentation und Erfüllung rechtlicher Verpflichtungen bis zu maximal dreißig Jahre nach Abschluss der Aufträge gespeichert.

1.6 Widerrufsrecht. Der Auftraggeber hat das Recht, seine Einwilligung jederzeit zu widerrufen. Im Fall der schriftlichen Erteilung der Einwilligung kann der Widerruf nur schriftlich erfolgen, im Fall der Einwilligung in den Erhalt elektronischer Werbung kann dies gegebenenfalls auch durch Klick auf den Abmeldelink erfolgen. In diesem Fall wird die Verarbeitung, sofern keine andere Rechtsgrundlage besteht, eingestellt. Die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten wird durch den Widerruf nicht berührt.

1.7 Widerspruchsrecht. Der Auftraggeber hat das Recht, der Verarbeitung seiner personenbezogenen Daten zum Zweck der Direktwerbung zu widersprechen. Im Fall des Widerspruchs werden Ihre personenbezogenen Daten nicht mehr zum Zweck der Direktwerbung verarbeitet.

1.8 Betroffenenrechte. Der Auftraggeber bzw. dessen betroffene Mitarbeiter haben das Recht auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten, das Recht auf Einschränkung der Datenverarbeitung, das Recht auf Datenübertragbarkeit und das Recht zur Beschwerde bei der Datenschutzbehörde (Österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien, Telefon: +43 1 531 15-202525, E-Mail: dsb@dsb.gv.at).

2. Kontoerstellung mittels Social Media-Diensten

2.1 Google-Konto. Bei der Kontoerstellung von CLEVER kann als Alternative für eine manuelle Neuanmeldung mittels Anmeldung bei einem vorhandenen Google-Konto ein neues Konto für die Dienste von CLEVER erstellt werden. Diese Option wird ausschließlich zur Erleichterung zur Anmeldung angeboten. Dabei werden nach der Anmeldung bei Google und Bestätigung durch den Benutzer folgende Daten an CLEVER übermittelt: Name, E-Mail Adresse, sowie ein eventuell vorhandenes Profilfoto. Diese übermittelten Daten werden von CLEVER für die Erstellung eines neuen Kontos verarbeitet. Auf Basis der vorliegenden Datenschutzrichtlinie verarbeitet CLEVER diese Daten. Es findet keine Weitergabe an Dritte statt. Die Verarbeitung der Daten kann der Benutzer jederzeit durch Mitteilung an CLEVER widerrufen.

3. Schlussbestimmungen

3.1 Allgemeine Geschäftsbedingungen. Es gelten die Allgemeinen Geschäftsbedingungen von CLEVER.

Vereinbarung über eine Auftragsverarbeitung

nach Art 28 DSGVO

1. Gegenstand der Vereinbarung

1.1 Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: Erstellung einer E-Commerce-Lösung und/oder zur Verfügung stellen einer Kundenbindungslösung. Diese Vereinbarung ist als Ergänzung zum angehängten Kundenvertrag mit selbigem Datum zu verstehen.

1.2 Folgende Datenkategorien werden verarbeitet: Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bestelldaten, Entgeltdaten.

1.3 Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Kunden, Ansprechpartner

2. Dauer der Vereinbarung

2.1 Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von 3 Monaten zum Kalendervierteljahr gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Pflichten des Auftragnehmers

3.1 Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

3.2 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

3.3 Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage ./1 zu entnehmen.)

3.4 Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall)) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.

Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

3.5 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzten des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

3.6 Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

3.7 Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Die damit verbundenen Kosten sind ausschließlich vom Auftraggeber zu tragen.

3.8 Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.

3.9 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Ort der Durchführung der Datenverarbeitung

4.1 Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt, und zwar in Amerika/USA. Das angemessene Datenschutzniveau ergibt sich aus

  • einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.

  • einer Ausnahme für den bestimmten Fall nach Art 49 Abs. 1 DSGVO.

  • verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs. 2 lit b DSGVO.

  • Standarddatenschutzklauseln nach Art 46 Abs. 2 lit c und d DSGVO.

  • genehmigten Verhaltensregeln nach Art 46 Abs. 2 lit e iVm Art 40 DSGVO.

  • einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f iVm Art 42 DSGVO.

  • von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO.

  • einer Ausnahme für den Einzelfall nach Art 49 Abs. 1 Unterabsatz 2 DSGVO.

5. Sub-Auftragsverarbeiter

5.1 Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabur, Deutschland für die Datenverarbeitung (Hosting), DomainFactory GmbH, c/o WeWork, Neuturmstraße 5, 80331 München, Deutschland für die Datenverarbeitung (Hosting)

Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs. 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. Der Auftragnehmer kann weitere Sub-Auftragsverarbeiter (Programmierung, Systemwartung, Hosting, Entwicklung, Betreuung) hinzuziehen. Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann.