Login
Demo testen
NEU: Gefährdungsbeurteilung/Evaluierung der psychischen Belastung.
Direkt in teamecho!

Data Processing Agreement (DPA)

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Data Processing Agreement (DPA)

nach Art. 28 DSGVO

Stand: 17.02.2025

1. Präambel und Geltungsbereich

1.1 Dieses Data Processing Agreement („DPA“) regelt die Verarbeitung personenbezogener Daten durch die TeamEcho GmbH (nachfolgend „teamecho“ oder „Auftragsverarbeiter“) im Rahmen der vom Leistungsnehmer (nachfolgend auch „Auftraggeber”, „Verantwortlicher“ oder „Kunde“) genutzten Software und Dienstleistungen (nachfolgend zusammen „Services“) – unabhängig davon, ob diese entgeltlich oder unentgeltlich genutzt werden.

1.2 Dieses DPA gilt, sobald der Leistungsnehmer den Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) von teamecho zustimmt oder die Services von teamecho nutzt. Durch die Zustimmung zu den AGB akzeptiert der Leistungsnehmer auch diese Auftragsverarbeitungsvereinbarung.

1.3 Soweit in diesem DPA Begriffe wie „Verarbeitung“, „personenbezogene Daten“ oder „Betroffene Person“ verwendet werden, haben sie die Bedeutung, wie sie in der Datenschutz-Grundverordnung (DSGVO) definiert sind.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand der Verarbeitung teamecho stellt dem Kunden eine digitale Feedback- und Organisationsentwicklungsplattform sowie ergänzende Dienst- und Beratungsleistungen zur Verfügung. Die konkreten Leistungsinhalte ergeben sich aus dem Hauptvertragsverhältnis sowie den AGB von teamecho.

2.2 Dauer Dieses DPA tritt mit Zustimmung zu den AGB in Kraft und besteht für die Dauer des Hauptvertragsverhältnisses zwischen teamecho und dem Kunden. Eine gesonderte Kündigungsregelung dieses DPA ist nicht erforderlich; es endet automatisch mit Beendigung des Hauptvertragsverhältnisses.

3. Art und Zweck der personenbezogenen Daten

3.1 Arten von Daten

  • Basisdaten (z. B. E-Mail-Adresse, Zuordnung zu einer Organisationseinheit)
  • Aktivitätsdaten (z. B. Eingaben, die in der Software getätigt wurden)
  • Korrespondenzdaten (z. B. Support-Anfragen)
  • Benutzereinstellungen (z. B. Einstellungen zu E-Mail-Benachrichtigungen, bevorzugte Sprache)

3.2 Kategorien betroffener Personen

  • NutzerInnen (z. B. Mitarbeitende, die im System angelegt sind)
  • Kunden-Ansprechpersonen (z. B. Admin-User und andere Kontaktpersonen auf Kundenseite)

3.3 Verarbeitungszweck teamecho verarbeitet die personenbezogenen Daten ausschließlich zur Erfüllung der im Hauptvertrag vereinbarten Leistungen (z. B. Durchführung von Befragungen, Auswertung von Ergebnissen) und gemäß den Weisungen des Kunden.

4. Pflichten und Rechte des Auftraggebers (Verantwortlicher)

4.1 Verantwortung für die Daten Der Auftraggeber ist gemäß Art. 4 Nr. 7 DSGVO verantwortlich für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie für die Wahrung der Rechte der betroffenen Personen. teamecho ist nicht verpflichtet, die Rechtmäßigkeit der Datenerhebung oder die ausreichende Rechtsgrundlage für die Verarbeitung zu prüfen, sondern verlässt sich auf die Weisungen des Auftraggebers. teamecho stellt lediglich die Plattform und die vereinbarten Services bereit und übernimmt keine Verantwortung für Inhalte oder Rechtsgrundlagen der Datenerhebung.

4.2 Weisungsrecht Der Auftraggeber erteilt teamecho die Weisung, die in diesem DPA genannten Daten ausschließlich zur Erfüllung der vereinbarten Leistungen zu verarbeiten. Ändert oder ergänzt der Auftraggeber seine Weisungen, teilt er dies teamecho in Textform (z. B. E-Mail) mit.

4.3 Kontrollrechte Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

4.4 Haftung und Freistellung Soweit nicht in diesem DPA abweichend geregelt, gelten die Haftungsbestimmungen aus den AGB von teamecho. Der Auftraggeber stellt teamecho von allen Ansprüchen Dritter frei, die auf einer rechtswidrigen oder fehlerhaften Weisung des Auftraggebers oder einer sonstigen datenschutzrechtlichen Pflichtverletzung des Auftraggebers beruhen. Dies gilt insbesondere, wenn der Auftraggeber personenbezogene Daten ohne ausreichende Rechtsgrundlage erhebt oder verarbeitet.

5. Pflichten des Auftragnehmers (Auftragsverarbeiter)

5.1 Verarbeitung nur auf Weisung teamecho verarbeitet personenbezogene Daten ausschließlich auf Grundlage dieses DPA und nach dokumentierten Weisungen des Auftraggebers. Erhält teamecho eine behördliche Anordnung zur Herausgabe von Daten, wird teamecho den Auftraggeber – sofern rechtlich zulässig – unverzüglich informieren.

5.2 Vertraulichkeit teamecho stellt sicher, dass alle mit der Verarbeitung befassten Personen schriftlich oder gesetzlich zur Vertraulichkeit verpflichtet wurden und diese Verpflichtung auch nach Beendigung der Tätigkeit fortbesteht.

5.3 Technische und organisatorische Maßnahmen Unter Berücksichtigung des aktuellen Stands der Technik, der Implementierungskosten sowie von Art, Umfang, Kontext und Zweck der Verarbeitung und der unterschiedlichen Risiken für die Rechte und Freiheiten natürlicher Personen ergreift teamecho nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen („TOM“), um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten des Auftraggebers sicherzustellen. Die jeweils aktuelle Fassung der TOM ist unter www.teamecho.com/tom einsehbar. teamecho überprüft die TOM zudem regelmäßig in Bezug auf technischen Fortschritt und neue Anforderungen. Aktualisierungen oder Anpassungen dürfen nur vorgenommen werden, sofern sie das Schutzniveau nicht herabsetzen.

5.4 Unterstützungspflichten teamecho unterstützt den Auftraggeber bei der Wahrnehmung von Rechten betroffener Personen (Kapitel III DSGVO) sowie bei der Erfüllung der in Art. 32 bis 36 DSGVO genannten Pflichten (z. B. Meldung von Datenpannen, Datenschutz-Folgenabschätzung).

5.5 Verarbeitungsverzeichnis teamecho führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

5.6 Information bei Verstößen teamecho informiert den Auftraggeber unverzüglich, wenn teamecho der Ansicht ist, dass eine Weisung gegen geltende Datenschutzvorschriften verstößt, oder wenn teamecho einen Verstoß gegen Datenschutzvorschriften oder vertragliche Vereinbarungen feststellt.

6. Ort der Datenverarbeitung und Datenübermittlungen

6.1 EU-/EWR-Verarbeitung Die Daten werden grundsätzlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet.

6.2 Drittlandverarbeitung Soweit eine Verarbeitung in einem Drittland stattfindet (z. B. durch Sub-Auftragsverarbeiter) oder eine Übermittlung von personenbezogenen Daten in ein solches Drittland erfolgt, stellt teamecho sicher, dass die Voraussetzungen gemäß Kapitel V DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln) eingehalten werden.

7. Sub-Auftragsverarbeiter

7.1 Generelle Genehmigung Der Auftraggeber erteilt hiermit eine generelle Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO, dass teamecho Sub-Auftragsverarbeiter hinzuziehen darf.

7.2 Informationspflicht teamecho informiert den Auftraggeber vor der Hinzuziehung oder dem Austausch eines Sub-Auftragsverarbeiters. Die aktuelle Liste der Sub-Auftragsverarbeiter ist unter https://www.teamecho.com/subdienstleister/ abrufbar. Der Auftraggeber kann innerhalb einer Frist von 30 Tagen nach Mitteilung widersprechen; erfolgt innerhalb dieses Zeitraums kein Widerspruch, gilt die Änderung als genehmigt.

7.3 Vertrag mit Sub-Auftragsverarbeitern teamecho schließt mit jedem Sub-Auftragsverarbeiter Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO, die gewährleisten, dass zumindest die gleichen Datenschutzpflichten gelten, wie sie in diesem DPA festgehalten sind.

7.4 Nebenleistungen Nicht als Sub-Auftragsverhältnisse gelten reine Nebenleistungen ohne konkreten Bezug zur Verarbeitung (z. B. Telekommunikations- und Postdienste).

8. Rechte der betroffenen Personen

8.1 Berichtigung, Löschung und Einschränkung teamecho nimmt keine eigenmächtigen Änderungen, Löschungen oder Einschränkungen personenbezogener Daten vor, sondern handelt nur auf Weisung des Auftraggebers. Soweit eine betroffene Person Ansprüche direkt gegenüber teamecho geltend macht, leitet teamecho das Ersuchen unverzüglich an den Auftraggeber weiter.

8.2 Datenübertragbarkeit Soweit im Leistungsumfang enthalten, unterstützt teamecho den Auftraggeber bei der Umsetzung von Anforderungen zur Datenübertragbarkeit (Art. 20 DSGVO).

8.3 Datenlöschung nach Vertragsende Nach Beendigung des Hauptvertragsverhältnisses (und damit dieses DPA) löscht teamecho sämtliche personenbezogene Daten des Auftraggebers, sofern keine gesetzlichen Aufbewahrungsfristen oder anderen rechtlichen Verpflichtungen entgegenstehen. Dem Auftraggeber wird eine Frist von 30 Tagen eingeräumt, um vorab Daten zu exportieren. Nach Ablauf dieser Frist werden die Daten unwiderruflich gelöscht.

9. Änderungen und Ergänzungen

9.1 Form Änderungen und Ergänzungen dieses DPA bedürfen eines Hinweises in Textform (z. B. E-Mail) und werden mindestens 30 Tage vor Inkrafttreten angekündigt, sofern die Änderungen nicht aufgrund gesetzlicher Vorgaben kurzfristiger erfolgen müssen.

9.2 Fortgeltung Sollte eine Bestimmung dieses DPA unwirksam oder undurchführbar sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen davon unberührt.

10. Schlussbestimmungen

10.1 Geltendes Recht Es gilt ausschließlich österreichisches Recht unter Ausschluss der Verweisungsnormen.

10.2 Gerichtsstand Sofern zulässig, vereinbaren die Parteien als Gerichtsstand das sachlich zuständige Gericht am Sitz der TeamEcho GmbH.

10.3 Keine gesonderte Unterzeichnung Dieses DPA wird durch die Zustimmung zu den AGB rechtswirksam. Eine gesonderte Unterschrift der Parteien ist nicht erforderlich.

Ansprechpartner

Vertreter des Auftragsverarbeiters MMag. Markus Koblmüller (Geschäftsführer) DI David Schellander (Geschäftsführer) TeamEcho GmbH 4020 Linz, Österreich Telefon: +43 732 997898 E-Mail: legal@teamecho.com

Der Auftraggeber kann sich bei Fragen zum Datenschutz oder zu diesen Vereinbarungen jederzeit an obige Ansprechpartner wenden.

DPA herunterladen

Kannst du es auch schon hören?

Sitemap

Use Cases

Resources

Über uns

AGB
Impressum
Datenschutz
Login
Demo testen
Stimmungsbarometer
Use Cases
Kunden
Preise
Resources
Über uns

Kannst du es auch schon hören?

Neugierig geworden?

Wie wär’s mit einer persönlichen Tour durch teamecho? Buch dir gleich einen Termin. Unsere Feedback-Expert*innen freuen sich auf ein Gespräch mit dir.