gem. Art. 28 (3) DSGVO
1.1 Der vorliegende Auftragsverarbeitungsvertrag (die „Vereinbarung“) stellt die Grundlage für die Verarbeitung personenbezogener Daten im Sinne vonArt. 28 (3) der Europäischen Datenschutz-Grundverordnung (DSGVO) durch die yoshie.io GmbH & Co KG, Kreuzschiedstraße 217, 5741 Neukirchen am Großvenediger, Österreich („yoshie“), im Auftrag des Kunden (der „Lizenznehmer“ bzw. der „Verantwortliche“)im Rahmen der dem Kunden von yoshie zur Nutzung zur Verfügung gestellten SaaS-Leistungendar.
1.2 Diese Vereinbarung bildet einen integrierenden Bestandteil der Allgemeinen Geschäfts- und Nutzungsbedingungen von yoshie (die „AGB“) und tritt zugleich mit diesen in Kraft, ohne dass es hierfür einer gesonderten Erklärung bedarf.
2.1 Der Lizenznehmer ist für die Rechtmäßigkeit der Datenverarbeitung und Datenweitergabe an yoshie sowie für die Gewährleistung der Rechte betroffener Personen nach Art. 12 ff. DSGVO verantwortlich.
2.2 yoshie verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – sofern yoshie nicht durch das Recht der Union oder der Mitgliedstaaten, dem yoshie unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt yoshie dem Lizenznehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.3 Weisungen des Lizenznehmers haben ausnahmslos schriftlich zu erfolgen; sofern sie über die in den AGB vereinbarte Leistungsbeschreibung hinausgehen, werden sie als Anträge auf Leistungsänderung behandelt.
yoshie gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
1.1 Die Zwecke der Datenverarbeitung ergeben sich aus den AGB und dem Angebot oder den im Zuge des Online-Registrierungsprozesses bereitgestellten Informationen. In nachfolgender Tabelle werden die Verarbeitungsvorgänge und -zwecke je Datenkategorie dargestellt:
Datenkategorie
Verarbeitungsvorgänge und Zwecke
1
Personenstammdaten
Speicherung von Namens-, Kontakt- und Rollen-Daten zur Ermöglichung der Nutzung der SaaS-Leistungen
2
Login-Daten
Speicherung von E-Mail-Adresse und Passwort zur Ermöglichung des Logins und Abhaltung von Sessions im Rahmen der SaaS-Leistungen.
3
Log-Daten
Speicherung von Zeiten, Nutzer-IDs, IP-Adressen, Login, Logout und Arbeitsschritten zur Gewährleistung der Nachvollziehbarkeit sowie zur revisionssicheren Dokumentation der Projekthistorie innerhalb des Digitalen Zwillings. Hierbei bleiben Verknüpfungen zwischen Klarnamen und vorgenommenen Handlungen (z.B. Plan-Uploads, Freigaben, Kommentare) dauerhaft bestehen, um die Beweissicherung und Dokumentationspflichten über den gesamten Lebenszyklus des Objekts zu ermöglichen.
4
Support-Daten
Speicherung von Namens- und Kontaktdaten zur Bearbeitung von Support-Anfragen.
4.2 Sämtliche verarbeiteten Datenkategorien beziehen sich auf diejenigen natürlichen Personen, welche die SaaS-Leistungen nutzen oder diesbezügliche Support-Anfragen an yoshie richten (die „betroffenen Personen“).
4.3 Die Speicherung personenbezogener Daten endet grundsätzlich mit Beendigung der Geschäftsbeziehung zwischen yoshie und dem Lizenznehmer. Davon ausgenommen sind nutzerbezogene Identifikatoren (Vorname, Nachname), die untrennbar mit den Bestandteilen eines Digitalen Zwillings (z. B. eines Gebäudes, einer Maschine oder eines komplexen Systems) sowie der zugehörigen Projekthistorie verknüpft sind. Da der Digitale Zwilling als dauerhaftes Abbild eines Objekts der Gewährleistung von Sicherheit, der Rückverfolgbarkeit von Entscheidungen, der Wartung sowie der langfristigen Bewirtschaftung dient, bleiben diese Metadaten aufgrund des überwiegenden berechtigten Interesses an der Datenintegrität und Revisionssicherheit für die Dauer der Nutzung bzw. des Bestehens des physischen Pendants gespeichert. Eine Anonymisierung erfolgt erst, wenn die Zuordnung für die Integrität des Digitalen Zwillings oder gesetzliche Nachweispflichten nicht mehr erforderlich ist.
yoshie sichert zu, unter Berücksichtigung des Standes der Technik jederzeit geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO zu ergreifen, um ein Schutzniveau zu gewährleisten, das dem mit der Datenverarbeitung verbundenen Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist.
6.1 Zum Zeitpunkt des Inkrafttretens dieser Vereinbarung sind die in Anlage A dieser Vereinbarung genannten Dienstleister als Sub-Auftragsverarbeiter für yoshie tätig.
6.2 Der Lizenznehmer stimmt dem Einsatz der in Anlage A genannten sowie der Hinzuziehung weiterer oder der Ersetzung bestehender Sub-Auftragsverarbeiter durch yoshie bereits jetzt ausdrücklich zu.
6.3 Über die beabsichtigte Hinzuziehung oder Ersetzung eines Sub-Auftragsverarbeiters hat yoshie den Lizenznehmer vorab zu informieren und dem Lizenznehmer steht hiergegen ein Widerspruchsrecht zu. Im Falle eines Widerspruchs ist yoshie zum Einsatz des Sub-Auftragsverarbeiters nicht berechtigt. Der Lizenznehmer darf seine Zustimmung jedoch nicht unbegründet oder aus unsachlichen Motiven heraus verweigern. Die Frist zur Erhebung des Widerspruchs beträgt zwei (2) Wochen ab Zugang der Information über die beabsichtigte Hinzuziehung oder Ersetzung. Übt der Lizenznehmer sein Widerspruchsrecht nicht binnen vorgenannter Frist schriftlich aus, so gilt seine Zustimmung als erteilt.
6.4 yoshie erlegt Sub-Auftragsverarbeitern im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in dieser Vereinbarung festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Datenverarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet yoshie gegenüber dem Lizenznehmer für die Einhaltung dieser Pflichten.
Soweit dies möglich ist und unter Berücksichtigung der yoshie zur Verfügung stehenden Informationen, unterstützt yoshie den Lizenznehmer durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von dessen Pflicht zur Gewährleistung der Rechte betroffener Personen nach Art. 12 ff. DSGVO sowie bei der Einhaltung seiner in den Art. 32 bis 36 DSGVO genannten Pflichten.
8.1 Nach Beendigung der entgeltlichen SaaS-Leistung gilt die Nicht-Inanspruchnahme einer kostenpflichtigen Archivierungsoption nach Ablauf einer 4-wöchigen Ankündigungsfrist als abschließende Weisung des Lizenznehmers zur Löschung der projektspezifischen Daten.
8.2 Die Rückgabe kann auch derart erfolgen, dass yoshie dem Lizenznehmer im Rahmen der SaaS-Leistungen eine Daten-Exportfunktion zur Verfügung stellt, über welche der Lizenznehmer die hierin verarbeiteten Daten in einem maschinenlesbaren Format herunterladen und diese anschließend von den Servern bzw. der IT-Infrastruktur von yoshie löschen kann.
9.1 yoshie stellt dem Lizenznehmer auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, einschließlich Inspektionen am Standort von yoshie, durch den Lizenznehmer oder einem von diesem beauftragten Prüfer.
9.2 Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten werden dem Lizenznehmer einmal pro Kalenderjahr kostenlos zur Verfügung gestellt. Bei wiederholter Anforderung werden dem Lizenznehmer die angemessenen Kosten der Informationsbereitstellung berechnet.
9.3 Inspektionen sind vom Lizenznehmer unter Einhaltung einer angemessenen Frist schriftlich anzukündigen und sind ausschließlich innerhalb der Geschäftszeiten von yoshie, jedoch ohne unverhältnismäßige Behinderung des Geschäftsbetriebes, zu verrichten. Für die erforderliche Teilnahme an Inspektionen berechnet yoshie dem Lizenznehmer die angemessenen Personalkosten.
10.1 Diese Vereinbarung unterliegt österreichischem Recht unter Ausschluss aller Verweisungsnormen. Für sämtliche Streitigkeiten aus oder in Zusammenhang mit dieser Vereinbarung ist ausschließlich das sachlich zuständige Gericht am Sitz von yoshie zuständig.
Stand: August 2024