Allgemeine Geschäftsbedingungen für die Vereinbarung über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit (Art 26 Datenschutz-Grundverordnung – DSGVO)
Universität Innsbruck, Innrain 52, 6020 Innsbruck (im Folgenden „Partei 1“ genannt)
1. Geltungsbereich, Gegenstand und Dauer des Auftrags
Diese Allgemeinen Geschäftsbedingungen für die Vereinbarung über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit sind die Vertragsgrundlage für bestehende und zukünftige Veranstaltungen zwischen der Universität Innsbruck und der Organisation (Partei 2), die eine Veranstaltung gemeinsam mit der Universität Innsbruck organisiert bzw. durchführt. Der Gegenstand des Auftrags ergibt sich aus dem jeweiligen Vertragsverhältnis (im Folgenden „Hauptvertrag“). Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
Gegenstand, Art und Zweck der Verarbeitung, die Kategorien der betroffenen Personen, die Art der verarbeiteten personenbezogenen Daten sowie allfällig Sub-Auftragsverarbeiter ergeben sich aus den jeweiligen Anhängen zu dieser AGB-Vereinbarung.
Diese Vereinbarung regelt die Rechte und Pflichten der Verantwortlichen (im Folgenden auch „Parteien“ genannt) bei der gemeinsamen Verarbeitung personenbezogener Daten im Rahmen der nachfolgend näher festgelegten Verarbeitungstätigkeiten. Diese Vereinbarung gilt für alle Tätigkeiten, bei denen Beschäftigte der Parteien oder ein durch sie beauftragter Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten. Die Parteien haben die Mittel und Zwecke der nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt.
Die Parteien sind sich darüber einig, dass sie bei den im Anhang 2 beschriebenen Verarbeitungstätigkeiten gemeinsam über Zwecke und Mittel der Verarbeitung bestimmen und insoweit eine gemeinsame Verantwortlichkeit für festgelegte Prozessabschnitte besteht.
Für die übrigen Prozessabschnitte, bei denen keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist jede Vertragspartei eigenständiger Verantwortlicher im Sinne des Art 4 Nr 7 DSGVO. Soweit die Vertragsparteien datenschutzrechtliche gemeinsam Verantwortliche im Sinne von Art 26 DSGVO sind, gelten die folgenden Vereinbarungen:
2. Wirkbereiche
Die Kategorien der verarbeiteten Daten, die Kategorien der betroffenen Personen sowie die Rechtsgrundlagen der Verarbeitung, für die eine gemeinsame Verantwortlichkeit besteht, sind im Anhang 2 dieser Vereinbarung festgelegt.
Die Wirkbereiche der Parteien werden in Anhang 3 geregelt. Die Parteien stellen sich bei Bedarf die erforderlichen Informationen aus ihrem jeweiligen Wirkbereich gegenseitig zur Verfügung. Die Parteien erklären einvernehmlich, dass diese Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegelt.
3. Zuweisung der datenschutzrechtlichen Verpflichtungen
Jede Partei ist für die Umsetzung der Verpflichtungen gemäß der DSGVO, insbesondere der Informationspflichten sowie der Rechte der betroffenen Personen, in ihrem Wirkbereich zuständig. Diesbezügliche Informationen und Mitteilungen gegenüber betroffenen Personen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten.
Ungeachtet dieser Festlegung können betroffene Personen ihre Betroffenenrechte bei und gegenüber jeder Partei geltend machen. Die Parteien verpflichten sich, einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung zu stellen.
Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die andere Partei weiterzuleiten. Diese ist verpflichtet, der anfragenden Partei die zur Bearbeitung des Ersuchens notwendigen Informationen aus ihrem Wirkbereich unverzüglich zur Verfügung zu stellen.
Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner oder des/der Datenschutzbeauftragten ist dies der jeweils anderen Partei unverzüglich anzuzeigen.
4. Grundsätze der gemeinsamen Verarbeitung
Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Verarbeitung kann nur bei Vorliegen einer entsprechenden Rechtsgrundlage erfolgen.
Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format.
Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind. Im Übrigen beachten die Parteien den Grundsatz der Datenminimierung im Sinne von Art 5 Abs 1 lit c DSGVO.
5. Technisch-organisatorische Maßnahmen
Die Parteien stellen innerhalb ihres Wirkbereichs sicher, dass die nach Art 24, 25, 32 DSGVO jeweils erforderlichen technischen und organisatorischen Maßnahmen implementiert und eingehalten werden.
Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß Art 28 Abs 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art 32 ff DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.
6. Auftragsverarbeitung
Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung einen Vertrag nach Art 28 DSGVO abzuschließen und die schriftliche Zustimmung der anderen Vertragspartei vor Abschluss des Vertrages einzuholen. Sollte ein Auftragsverarbeiter von mehreren Vertragspartnern gleichzeitig in Anspruch genommen werden, so verpflichten sich diese, im Rahmen des Auftragsverarbeitungsverhältnisses klarzustellen, in wessen Wirkbereich die jeweilige Datenverarbeitung im Auftrag erfolgt.
Die Parteien informieren sich gegenseitig rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von als Subunternehmer eingesetzten Auftragsverarbeitern und beauftragen nur solche Subunternehmer, welche die Anforderungen des Datenschutzrechts und die Festlegungen dieser Vereinbarung erfüllen.
7. Melde- und Benachrichtigungspflichten
Den Parteien obliegen die aus Art 33, 34 DSGVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien verpflichten sich gegenseitig, auch im Interesse der jeweils anderen Vertragsparteien, den Pflichten nach Art 33, 34 DSGVO unverzüglich nachzukommen.
Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art 33 DSGVO und übermitteln jeweils unverzüglich die zur Durchführung der Meldung erforderlichen Informationen.
Ist eine Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Art 34 DSGVO erforderlich, so informieren und unterstützen sich die Parteien gegenseitig und führen die Benachrichtigung gegebenenfalls gemeinsam durch.
8. Dokumentation
Dokumentationen im Sinne von Art 5 Abs 2 DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Ende der Vereinbarung hinaus aufbewahrt.
9. Verarbeitungsverzeichnis
Die Parteien nehmen die Verarbeitungstätigkeiten in das Verarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur der Verarbeitungstätigkeiten in gemeinsamer oder alleiniger Verantwortlichkeit.
10. Datenschutz-Folgenabschätzung
Ist eine Datenschutz-Folgenabschätzung gemäß Art 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.
11. Schadensersatz
Unbeschadet der Regelungen dieser Vereinbarung haften die Parteien für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemäß Art 82 Abs 4 DSGVO gemeinsam gegenüber den betroffenen Personen.
Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieser Vereinbarung, nur für Schäden, die innerhalb ihres jeweiligen Prozessabschnittes entstanden sind.
Für den Fall einer Inanspruchnahme hinsichtlich etwaiger Schadensersatzansprüche nach Art 82 DSGVO verpflichten sich die Parteien, sich gegenseitig bei der Abwehr der Ansprüche im Rahmen ihrer Möglichkeiten zu unterstützen.
12. Bekanntgabe an betroffenen Personen
Die Parteien verpflichten sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art 26 Abs 2 Satz 2 DSGVO den betroffenen Personen zur Verfügung zu stellen. (Anhang 2)
13. Schlussbestimmungen
Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.
Die Parteien informieren sich unverzüglich gegenseitig, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von dieser Vereinbarung umfasst ist.
Nebenabreden zu dieser Vereinbarung sind nicht getroffen. Änderungen oder Ergänzungen bedürfen zu ihrer Rechtswirksamkeit der Textform und enthalten den ausdrücklichen Hinweis darauf, dass es sich um Änderungen bzw. Ergänzungen dieser Vereinbarung handelt. Das gilt auch für den Verzicht auf das Erfordernis der Textform.
Falls eine Bestimmung dieser Vereinbarung unwirksam sein sollte, so berührt dies die Wirksamkeit der übrigen Regelungen dieser Vereinbarung nicht. Dies gilt auch, soweit die Vereinbarung eine Regelungslücke enthält. An die Stelle der unwirksamen Regelung oder Lücke sollen die Parteien eine angemessene Ersatzregelung treffen, die dem am nächsten kommt, was die Parteien gewollt hätten, wenn sie diesen Aspekt bedacht hätten.
Anhang 1
Im Rahmen der Kooperationsveranstaltung werden personenbezogene Daten verarbeitet. Gegenstand der Verarbeitung ist die Organisation und Durchführung der Veranstaltung sowie die Kommunikation mit den Teilnehmern und allen beteiligten Partnern. Dazu gehören typischerweise die Verwaltung von Teilnehmerlisten, Kontaktdaten, Namen der Vortragenden, gegebenenfalls besondere Anforderungen (z.B. Ernährungswünsche) und andere relevante Informationen zur Koordination und Umsetzung der Veranstaltung. Die Verarbeitung ist auf die Dauer der Veranstaltung angelegt.
Anhang 2
Informationen zur gemeinsamen Verantwortlichkeit der Partei 1 und der Partei 2 nach Art 26 Abs 2 Satz 2 der Datenschutz-Grundverordnung (DSGVO)
Was ist der Grund für die gemeinsame Verantwortlichkeit?
Bei der Veranstaltung arbeiten Partei 1 und Partei 2 eng zusammen. Dies betrifft auch die Verarbeitung Ihrer persönlichen Daten. Die Parteien haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Prozessabschnitte gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich (Art. 26 DSGVO).
Was haben die Parteien vereinbart?
Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben Partei 1 und Partei 2 vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO.
Diese Vereinbarung ist notwendig, da bei der Veranstaltung personenbezogene Daten in unterschiedlichen Prozessabschnitten und Systemen verarbeitet werden, die entweder von Partei 1 oder Partei 2 betrieben werden.
Was bedeutet das für Sie als betroffene Person?
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten.
- Jede Partei macht Ihnen im Rahmen ihrer Zuständigkeit die gemäß Art 13 und 14 DSGVO erforderlichen Informationen unentgeltlich zugänglich.
- Datenschutzrechte können sowohl bei Partei 1 als auch bei Partei 2 geltend gemacht werden. Sie erhalten die Rückmeldung grundsätzlich von der Stelle, bei der Sie Ihre Rechte geltend gemacht haben. Hierfür lässt jede Partei der anderen sämtliche dafür notwendigen Informationen aus ihrem Prozessabschnitt zukommen.
Anhang 3:
Im Rahmen der gemeinsamen Verantwortlichkeit ist Partei 1 für die Verarbeitung personenbezogener Daten wie folgt zuständig (Wirkbereich A):
- Erfassung und Speicherung der personenbezogenen Daten gemäß den festgelegten Zwecken der Datenverarbeitung.
- Sicherstellung der Rechtmäßigkeit der Datenverarbeitung gemäß den geltenden Datenschutzbestimmungen, einschließlich der Einhaltung der Datenschutz-Grundverordnung (DSGVO).
- Bereitstellung von Informationen über die Datenverarbeitung an betroffene Personen gemäß den Transparenzanforderungen der DSGVO.
- Implementierung geeigneter Sicherheitsmaßnahmen zum Schutz der verarbeiteten Daten vor unbefugtem Zugriff, Verlust oder Veränderung.
- Zusammenarbeit mit anderen beteiligten Parteien, um sicherzustellen, dass die Datenschutzpflichten erfüllt werden, insbesondere in Bezug auf die Ausübung der Betroffenenrechte und die Meldepflichten bei Datenschutzverletzungen.
Im Rahmen der gemeinsamen Verantwortlichkeit ist Partei 2 für die Verarbeitung personenbezogener Daten wie folgt zuständig (Wirkbereich B):
- Mitwirkung bei der Festlegung der Zwecke und Mittel der Datenverarbeitung, insbesondere durch die Festlegung der spezifischen technischen und organisatorischen Maßnahmen.
- Sicherstellung der Einhaltung der Datenschutzgrundsätze, insbesondere hinsichtlich der Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung.
- Umsetzung von Datenschutzmaßnahmen, die notwendig sind, um die Sicherheit und Integrität der verarbeiteten Daten zu gewährleisten.
- Unterstützung bei der Erfüllung von Betroffenenrechten, wie etwa bei Anfragen zur Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung.
- Kooperation mit Partei 1 und gegebenenfalls anderen beteiligten Parteien bei der Erfüllung der gemeinsamen Datenschutzpflichten und der Abwicklung von Datenschutzverletzungen.