Vereinbarung über Datenverarbeitung nach Art 28 DSGVO

1. Gegenstand der Vereinbarung

(1) Gegenstand dieser Vereinbarung ist die Durchführung folgender Aufgaben:
Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten.

Besondere Berücksichtigung erfährt hierbei der Anzeigen- und Stellenmarkt unter der Website www.almwirtschaft.com. Dieser ist ein Online-Dienst, der Stellensuchende und Stellen Anbietende bei der Erstellung und Verwaltung von Inseraten unterstützt.

Diese Lösung ermöglicht es Anzeigen über Web-Browser abzuwickeln. Über aktuelle Mobiltelefone können auch von unterwegs Anzeigen/ Inserate abgerufen werden. Anzeigen/ Inserate können so mit geringem Zeitaufwand auch mobil eingesehen werden.

Im Folgenden werden folgende Termini verwendet:

Als Auftraggeber wird der Inserent/ die Inserentin bezeichnet, die ein Inserat unter dem Anzeigen- und Stellenmarkt unter der Website der Almwirtschaft Österreich online stellt. Die Bezeichnung Auftragnehmer wird unter dieser Vereinbarung in weiterer Folge geschlechtsneutral verwendet.

Als Auftragnehmer wird der Websitebetreiber bezeichnet, der im Impressum dieser Website näher bezeichnet ist. Als Auftragnehmer werden auch die Unternehmen bezeichnet, die vom Websitebetreiber mit der Datenverarbeitung beauftragt sind (vgl. Hierzu Kapitel 5 Sub-Auftragsverarbeiter)

Um die entsprechenden Inserate rechts konform erstellen zu können, werden folgende Informationen des Auftraggebers herangezogen: Name, Username, Passwort).

Diese Vereinbarung dient als Ergänzung zu den Nutzungsbedingungen des Auftragnehmers, abrufbar unter https://www.almwirtschaft.com/anzeigen-und-stellenmarkt-nutzungsbedingungen.html und der Datenschutzerklärung, abrufbar unter https://www.almwirtschaft.com/datenschutzerklaerung.html.

(2) Dieser Vereinbarung findet Anwendung bezüglich aller Tätigkeiten, bei denen MitarbeiterInnen des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

(3) Folgende Datenkategorien werden verarbeitet: Name, Username, Email-Adresse, Passwort, erstelle bzw. deaktivierte Inserate, Logfiles.

(4) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Userdaten (Name, User-Name, Email-Adresse, Passwort, Inserate).

2. Dauer der Vereinbarung

Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien ohne Angabe von Gründen gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für Zwecke, außerhalb der unter “1. Gegenstand der Vereinbarung” erwähnten Aufgaben, eines weiteren schriftlichen Auftrages.

(2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

(3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage A zu entnehmen).

(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).

(6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.

(7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

(8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, im Auftrag des Auftraggebers zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.

(9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Ort der Durchführung der Datenverarbeitung

Datenverarbeitungstätigkeiten werden innerhalb der EU durchgeführt. Das angemessene Datenschutzniveau ergibt sich aus:
- einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO.
- verbindlichen internen Datenschutzvorschriften nach Art 47 iVm Art 46 Abs 2 lit b DSGVO.
- Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO.

5. Sub-Auftragsverarbeiter

Der Auftragnehmer zieht folgende Unternehmen als Sub-Auftragsverarbeiter aus EU Ländern zur Datenverarbeitung hinzu:

Fa. Webforum Löffler KG
Leopoldstraße 20, 6020 Innsbruck, Österreich (Datenverarbeitung)
Emails, die unter datenschutz [at] almwirtschaft [dot] com eingehen, werden auch von dieser Firma wahrgenommen und bearbeitet.

Sub-Auftragsverarbeiter aus nicht EU-Ländern
Google, Inc (Google Analytics)
Der Auftragnehmer nutzt die Dienste Google Analytics und Googles ReCaptcha.

Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Die Speicherung von Google-Analytics-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

IP Anonymisierung
Wir haben Website der Almwirtschaft Österreich die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Browser Plugin
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de .

Auftragsdatenverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der österreichischen Datenschutzbehörde bei der Nutzung von Google Analytics vollständig um.

Demografische Merkmale bei Google Analytics
Diese Website nutzt die Funktion “demografische Merkmale” von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt “Widerspruch gegen Datenerfassung” dargestellt generell untersagen.

Google reCAPTCHA
Wir nutzen “Google reCAPTCHA” (im Folgenden “reCAPTCHA”) auf unseren Websites. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (“Google”).
Mit reCAPTCHA soll überprüft werden, ob die Dateneingabe auf unseren Websites (z.B. in einem Kontaktformular) durch einen Menschen oder durch ein automatisiertes Programm erfolgt. Hierzu analysiert reCAPTCHA das Verhalten des Websitebesuchers anhand verschiedener Merkmale. Diese Analyse beginnt automatisch, sobald der Websitebesucher die Website betritt. Zur Analyse wertet reCAPTCHA verschiedene Informationen aus (z.B. IP-Adresse, Verweildauer des Websitebesuchers auf der Website oder vom Nutzer getätigte Mausbewegungen). Die bei der Analyse erfassten Daten werden an Google weitergeleitet.

Die reCAPTCHA-Analysen laufen vollständig im Hintergrund. Websitebesucher werden nicht darauf hingewiesen, dass eine Analyse stattfindet.
Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse daran, seine Webangebote vor missbräuchlicher automatisierter Ausspähung und vor SPAM zu schützen.

Weitere Informationen zu Google reCAPTCHA sowie die Datenschutzerklärung von Google entnehmen Sie folgenden Links: https://www.google.com/intl/de/policies/privacy und https://www.google.com/recaptcha/intro/android.html .

Google ist nach den Vorgaben des Privacy Shield zertifiziert. Insoweit liegen die Voraussetzungen für einen datenschutzkonformen Umgang mit den Daten vor.
https://support.google.com/analytics/answer/7105316?hl=de

Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Anlage A – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit

Zutrittskontrolle
Mit einem manuellen Schließsystem wird Unbefugten der Zutritt zu Datenverarbeitungsanlagen im Büro des Ländlichen Fortbildungsinstituts, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt. Die Applikations-Daten sind bei dem externen Dienstleister gehostet. Es handelt sich hierbei um das Rechenzentrum FR7 – IBX Rechenzentrum in Frankfurt/ Deutschland der Firma Equinix. Vg. hierzu: https://www.equinix.de/locations/germany-colocation/frankfurt-data-centers/fr7/

Zugangskontrolle
Der Zugang zum Datenverarbeitungssystem ist nur durch die Eingabe einer richtigen Login/Passwort Kombination möglich. Weiters werden Anti-Virus-Software und Firewalls verwendet.

Zugriffskontrolle
Durch das Reduzieren der Anzahl der Administratoren auf das „Notwendigste“ wird gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Benutzerpasswörter werden verschlüsselt in der Datenbank gespeichert. Es wird ein MD5-Hash unter Verwendung des » RSA Data Security, Inc. MD5 Message-Digest Algorithm berechnet und gespeichert. So kann das Passwort von niemanden gelesen werden.

2. Integrität

Eingabekontrolle
Protokollierung der Eingabe, Änderung und Löschung von Daten

Weitergabekontrolle

Firewall, Virenschutz
Alle Informationen, die zu oder von den Servern geschickt werden, sind mit einem Zertifikat von des Anbieters LetsEncrypt verschlüsselt. So ist die Kommunikation zwischen dem Browser und dem Almwirtschafts-Server geschützt und sicher. Es wird die neueste TLS Version, die für Ihren Browser verfügbar ist, verwendet. Die TLS Version 1.2 benutzt ECDHE_RSA mit P-256 und AES_128_GCM als Austauschmechanismus. Die Daten werden mit dem 256-bit Advanced Encryption Standard (AES-256) verschlüsselt.

3. Verfügbarkeit und Belastbarkeit:

Verfügbarkeitskontrolle
Feuerlöschgeräte in Serverräumen, Feuer- und Rauchmeldeanlagen, Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen, Klimaanlage in Serverräumen, Schutzsteckdosenleisten in Serverräumen, Unterbrechungsfreie Stromversorgung (USV), Alarmmeldung bei unberechtigten Zutritten zu Serverräumen.

Wiederherstellbarkeit
Es werden regelmäßig Backups gezogen. Diese werden regelmäßig auf Integrität getestet.

Löschungsfristen
Datenlöschungen werden vom Auftragnehmer vorgenommen, wenn der Auftraggeber dem Auftragnehmer schriftlich unter der Email-Adresse datenschutz [at] almwirtschaft [dot] com benachrichtigt.