gem. Art. 28 (3) DSGVO
1.1 Der vorliegende Auftragsverarbeitungsvertrag (die „Vereinbarung“) stellt die Grundlage für die Verarbeitung personenbezogener Daten im Sinne vonArt. 28 (3) der Europäischen Datenschutz-Grundverordnung (DSGVO) durch die yoshie.io GmbH & Co KG, Kreuzschiedstraße 217, 5741 Neukirchen am Großvenediger, Österreich („yoshie“), im Auftrag des Kunden (der „Lizenznehmer“ bzw. der „Verantwortliche“)im Rahmen der dem Kunden von yoshie zur Nutzung zur Verfügung gestellten SaaS-Leistungendar.
1.2 Diese Vereinbarung bildet einen integrierenden Bestandteil der Allgemeinen Geschäfts- und Nutzungsbedingungen von yoshie (die „AGB“) und tritt zugleich mit diesen in Kraft, ohne dass es hierfür einer gesonderten Erklärung bedarf.
2.1 Der Lizenznehmer ist für die Rechtmäßigkeit der Datenverarbeitung und Datenweitergabe an yoshie sowie für die Gewährleistung der Rechte betroffener Personen nach Art. 12 ff. DSGVO verantwortlich.
2.2 yoshie verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – sofern yoshie nicht durch das Recht der Union oder der Mitgliedstaaten, dem yoshie unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt yoshie dem Lizenznehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.3 Weisungen des Lizenznehmers haben ausnahmslos schriftlich zu erfolgen; sofern sie über die in den AGB vereinbarte Leistungsbeschreibung hinausgehen, werden sie als Anträge auf Leistungsänderung behandelt.
yoshie gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
1.1 Die Zwecke der Datenverarbeitung ergeben sich aus den AGB und dem Angebot oder den im Zuge des Online-Registrierungsprozesses bereitgestellten Informationen. In nachfolgender Tabelle werden die Verarbeitungsvorgänge und -zwecke je Datenkategorie dargestellt:
Datenkategorie
Verarbeitungsvorgänge und Zwecke
1
Personenstammdaten
Speicherung von Namens-, Kontakt- und Rollen-Daten zur Ermöglichung der Nutzung der SaaS-Leistungen
2
Login-Daten
Speicherung von E-Mail-Adresse und Passwort zur Ermöglichung des Logins und Abhaltung von Sessions im Rahmen der SaaS-Leistungen.
3
Log-Daten
Speicherung von Zeiten, Nutzer-IDs, IP-Adressen, Login, Logout und Arbeitsschritten zur Gewährleistung der Nachvollziehbarkeit von Datenverarbeitungen.
4
Support-Daten
Speicherung von Namens- und Kontaktdaten im Rahmen und zur Bearbeitung von Support-Anfragen.
4.2 Sämtliche verarbeiteten Datenkategorien beziehen sich auf diejenigen natürlichen Personen, welche die SaaS-Leistungen nutzen oder diesbezügliche Support-Anfragen an yoshie richten (die „betroffenen Personen“).
4.3 Sämtliche verarbeiteten Datenkategorien werden für die Dauer des Bestehens einer Geschäftsbeziehung zwischen yoshie und dem Lizenznehmer bzw. für die Dauer der Nutzung von SaaS-Leistungen durch den Lizenznehmer gespeichert.
yoshie sichert zu, unter Berücksichtigung des Standes der Technik jederzeit geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO zu ergreifen, um ein Schutzniveau zu gewährleisten, das dem mit der Datenverarbeitung verbundenen Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist.
6.1 Zum Zeitpunkt des Inkrafttretens dieser Vereinbarung sind die in Anlage A dieser Vereinbarung genannten Dienstleister als Sub-Auftragsverarbeiter für yoshie tätig.
6.2 Der Lizenznehmer stimmt dem Einsatz der in Anlage A genannten sowie der Hinzuziehung weiterer oder der Ersetzung bestehender Sub-Auftragsverarbeiter durch yoshie bereits jetzt ausdrücklich zu.
6.3 Über die beabsichtigte Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters hat yoshie den Lizenznehmer vorab zu informieren und dem Lizenznehmer steht hiergegen ein Widerspruchsrecht zu. Im Falle eines Widerspruchs ist yoshie zum Einsatz des Sub-Auftragsverarbeiters nicht berechtigt. Der Lizenznehmer darf seine Zustimmung jedoch nicht unbegründet oder aus unsachlichen Motiven heraus verweigern. Die Frist zur Erhebung des Widerspruchs beträgt zwei (2) Wochen ab Zugang der Information über die beabsichtigte Hinzuziehung oder Ersetzung. Übt der Lizenznehmer sein Widerspruchsrecht nicht binnen vorgenannter Frist schriftlich aus, so gilt seine Zustimmung als erteilt.
6.4 yoshie erlegt Sub-Auftragsverarbeitern im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in dieser Vereinbarung festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Datenverarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet yoshie gegenüber dem Lizenznehmer für die Einhaltung dieser Pflichten.
Soweit dies möglich ist und unter Berücksichtigung der yoshie zur Verfügung stehenden Informationen, unterstützt yoshie den Lizenznehmer durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von dessen Pflicht zur Gewährleistung der Rechte betroffener Personen nach Art. 12 ff. DSGVO sowie bei der Einhaltung seiner in den Art. 32 bis 36 DSGVO genannten Pflichten.
8.1 Nach Beendigung des Lizenzvertrages wird yoshie alle im Auftrag des Lizenznehmers verarbeiteten personenbezogenen Daten nach dessen Wunsch entweder löschen oder zurückgeben, sofern nicht nachdem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zurSpeicherung der personenbezogenen Daten besteht.
8.2 Die Rückgabe kann auch derart erfolgen, dass yoshie dem Lizenznehmer im Rahmen der SaaS-Leistungen eine Daten-Exportfunktion zur Verfügung stellt, über welche der Lizenznehmer die hierin verarbeiteten Daten in einem maschinenlesbaren Format herunterladen und diese anschließend von den Servern bzw. der IT-Infrastruktur von yoshie löschen kann.
9.1 yoshie stellt dem Lizenznehmer auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen am Standort von yoshie, durch den Lizenznehmer oder einem von diesem beauftragten Prüfer.
9.2 Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten werden dem Lizenznehmer einmal pro Kalenderjahr kostenlos zur Verfügung gestellt. Bei wiederholter Anforderung werden dem Lizenznehmer die angemessenen Kosten der Informationsbereitstellung berechnet.
9.3 Inspektionen sind vom Lizenznehmer unter Einhaltung einer angemessenen Frist schriftlich anzukündigen und sind ausschließlich innerhalb der Geschäftszeiten von yoshie, jedoch ohne unverhältnismäßige Behinderung des Geschäftsbetriebes, zu verrichten. Für die erforderliche Teilnahme an Inspektionen berechnet yoshie dem Lizenznehmer die angemessenen Personalkosten.
10.1 Diese Vereinbarung unterliegt österreichischem Recht unter Ausschluss aller Verweisungsnormen. Für sämtliche Streitigkeiten aus oder in Zusammenhang mit dieser Vereinbarung ist ausschließlich das sachlich zuständige Gericht am Sitz von yoshie zuständig.
Stand: August 2024