Vereinbarung über eine
Datenvereinbarung nach Art 13 DSGVO
Der Verantwortliche:
Firma Lifetech Immobilien GmbH
Alois Schader Straße 4
A- 9020 Klagenfurt
|
|
Der Auftragsverarbeiter:
Firma Lifetech Immobilien GmbH
Alois Schader Straße 4
A- 9020 Klagenfurt
Tel. 0463 318 350
Email: office@lifetech.immo
Geschäftsführung
Hr. Walfried Brachmaier
|
|
|
|
|
|
(im Folgenden Auftragnehmer) |
1. Gegenstand der Vereinbarung
- Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:
- Speicherung von Personendaten für die Erfüllung und Bearbeitung von Kunden und Interessentenanfragen im Zuge von Immobiliengeschäften. D. h. Verkauf und Vermittlung von verschiedensten Immobilien und die daraus abgeleitete Notwendigkeit
- Namen, Adressen, Tel. Nummern an Dritte Personen ( unsere Auftraggeber bzw. Verkäufer oder auch an unsere Interessenten ) weiter zu geben.
- Folgende Datenkategorien werden verarbeitet:
- Kontaktdaten, Vertragsdaten, Personaldaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten.
- Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:
- Kunden, Interessenten, Lieferanten, Ansprechpartner, Beschäftigte, Behörden, Vertragserrichter
2. Dauer der Vereinbarung
- Die Vereinbarung ist befristet abgeschlossen und endet drei Kalenderjahre nach Abschluss des jeweiligen Immobiliengeschäftes, auf welches die gegenständliche Datenaufnahme überhaupt Bezug nimmt bzw. verursacht wurde.
- Außer bei Daten die eine gesetzliche Aufbewahrungsfrist verlangen.
- Spätestens aber endet die Datenaufbewahrungsfrist nach Ablauf der gesetzlichen Aufbewahrungspflicht.(nach Ablauf von 7 Jahre bei allen relevanten Daten für das Finanzamt, z.B. Rechnungsdaten, Buchhaltungsdaten oder die Immobiliendaten (Exposè) selbst etc.)
- Informationsrecht.
Der Interessent oder Kunde kann jederzeit seine jeweiligen Personendaten die bei uns gespeichert sind, anfordern, und Aufklärung darüber verlangen.
- Widerruf
Wünscht der Kunde die Löschung seiner Daten bei uns, ist der Auftragnehmer verpflichtet, solche Personendaten innerhalb eines Monat nach dessen schriftlicher Aufforderung, unwiderruflich zu löschen.(Ausnahme nur bei einer gesetzl. Aufbewahrungsfrist)
3. Pflichten des Auftragnehmers
- (1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen oder auch mündlichen Aufträge des Kunden zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Kunden herauszugeben, so hat er - sofern gesetzlich zulässig - den Kunden unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
- (2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
- (3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat.
-
(4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Kunden alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenverarbeitung hält, hat der Auftragnehmer den Antrag unverzüglich an den Kunden weiterzuleiten und dies dem Antragsteller mitzuteilen.
-
(5) Der Auftraggeber ist verpflichtet, bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation) nach bestem Wissen und Gewissen einzuhalten.
-
(6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
-
(7) Der Auftragnehmer verpflichtet sich, dem Kunden jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
-
(8) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Ort der Durchführung der Datenverarbeitung1
Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU
bzw des EWR durchgeführt.
Sub-Auftragsverarbeiter1
- Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen.
- Der Auftragnehmer erklärt, dass alle Personenbezogenen Daten nur in folgenden Fällen an Dritte weiter gegeben werden:
- Wenn aus der Vermittlung und Anbahnung eines Geschäftes ein Rechtsgeschäft wird, darf der Auftragnehmer zum Zweck der Vertragserrichtung Personen bezogene Daten dem jeweiligen Vertragserrichter, anderen am Rechtsgeschäft beteiligten Personen oder zuständigen Behörden weiter geben.
|
|
Klagenfurt am 04.03.2022 |
|
|
Für den Auftragnehmer: |
|
|
Lifetech Immobilien GmbH
GF: Walfried Brachmaier
..............................
[Name samt Funktion]
|
---------------------------------------
1 Nichtzutreffendes bitte streichen.
2 Nichtzutreffendes bitte streichen.
Optimierte Bildauslieferung
Zur optimierten Bildauslieferung wird das Tool "cloudimage.io" der Firma Scaleflex SAS eingesetzt. Dabei werden die IP-Adresse von Webseiten-Besuchern und die von Ihnen für Ihre Homepage verwendeten Bilder von Scaleflex SAS verarbeitet.
Informationen zum Anbieter:
Scaleflex SAS
StationF
55 Boulevard Vincent Auriol
75013 Paris, France
registered under R.C.S 835 053 026
Anlage ./1 – Technisch-organisatorische Massnahmen
A. Vertraulichkeit
Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch:
☐ Schlüssel |
☐ Magnet- oder Chipkarten |
☐ Elektrische Türöffner
|
☐ Portier |
☐ Sicherheitspersonal
|
☐ Alarmanlagen |
☐ Videoanlage
|
☐ Einbruchshemmende Fenster und/oder Sicherheitstüren |
☐ Anmeldung beim Empfang mit Personenkontrolle
|
☐ Begleitung von Besuchern im Unternehmensgebäude |
☐ Tragen von Firmen-/Besucherausweisen
|
☐ Sonstiges: |
Zutrittskontrolle: Schutz vor unbefugter Systembenutzung durch:
☒ Kennwörter (einschließlich entsprechender Policy) |
☐ Verschlüsselung von Datenträgern |
☒ Automatische Sperrmechanismen
|
☐ Sonstiges: |
☐ Zwei-Faktor-Authentifizierung
|
|
☐ Videoanlage
|
☐ Einbruchshemmende Fenster und/oder Sicherheitstüren |
☐ Anmeldung beim Empfang mit Personenkontrolle
|
☐ Begleitung von Besuchern im Unternehmensgebäude |
☐ Tragen von Firmen-/Besucherausweisen
|
☐ Sonstiges: |
Zutrittskontrolle:Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch:
☒ Standard-Berechtigungsprofile auf „need to know-Basis“ |
☒ Standardprozess für Berechtigungsvergabe |
☒ Protokollierung von Zugriffen
|
☒ Sichere Aufbewahrung von Speichermedien |
☐ Periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten
|
☐ Datenschutzgerechte Wiederverwendung von Datenträgern |
☐ Videoanlage
|
☐ Einbruchshemmende Fenster und/oder Sicherheitstüren |
☒ Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger
|
☐ Clear-Desk/Clear-Screen Policy |
☐ Sonstiges:
|
|
Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenverarbeitung entfernt, und gesondert aufbewahrt.
Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).
B. DatenIntegrität
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch:
☐ Verschlüsselung von Datenträgern |
☐ Verschlüsselung von Dateien |
☐ Virtual Private Networks (VPN)
|
☐ Elektronische Signatur |
☐ Sonstiges:
|
|
---------------------------------------
3 Entsprechend den bestehenden technisch-organisatorischen Maßnahmen anpassen.
4 Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.
Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch:
☐ Protokollierung
|
☐ Dokumentenmanagement |
☐ Sonstiges:
|
|
C. Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch:
☒ Backup-Strategie (online/offline; on-site/off-site) |
☐ Unterbrechungsfreie Stromversorgung (USV, Dieselaggregat) |
☒ Virenschutz
|
☐ Firewall |
☐ Meldewege und Notfallpläne
|
☐ Security Checks auf Infrastruktur- und Applikationsebene |
☐ Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum
|
☒ Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern |
☐ Sonstiges:
|
|
Rasche Wiederherstellbarkeit::
D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen:
Incident-Response-Management:
Datenschutzfreundliche Voreinstellungen: