VEREINBARUNG

über die gemeinsame Verarbeitung personenbezogener Daten nach Art 26 DSGVO
 
Inhaltsverzeichnis
1    Präambel
2    Gemeinsame Datenverarbeitungen
3    Datenschutzrechtliche Rolle der Verantwortlichen
4    Dauer der Vereinbarung
5    Haftung
6    Schlussbestimmungen

Vereinbarung abgeschlossen zwischen
•    Bikepark Leogang – Leoganger Bergbahnen GmbH, Hütten 39,5771 Leogang
•    BBSH Bergbahnen Saalbach-Hinterglemm GmbH, Eberharterweg 308, 5753 Saalbach
•    Hinterglemmer Bergbahnen GmbH, Zwölferkogelweg 208, 5754 Hinterglemm
•    Mountain Bike Park Wagrain – Bergbahnen AG Wagrain, Markt 59, 5602 Wagrain
•    Bikepark Semmering – Semmering-Hirschenkogel Bergbahnen Gesellschaft m.b.H., Carolusstraße 3, 2680 Semmering
•    Bikepark Planai – Planai-Hochwurzen-Bahnen GmbH, Coburgstraße 52, 8970 Schladming
•    Bikepark Winterberg – Mountainbike-Park Winterberg GmbH & Co KG, Schanzenstraße 17, 59955 Winterberg
•    Bikepark Geisskopf – Geißkopfbahn, Unterbreitenaus 3, 94253 Bischofsmais
•    Bikepark Spicak – Ski&Bike Spicak, Sport service s.r.o., Spicak 182, 34004 Zelezna Ruda
•    Bikepark Tirol – RBG Berglifte GmbH, Huebenweg 25, 6150 Steinach am Brenner
•    Bikepark Serfaus Fiss Ladis – Waldbahn GmbH & CO OG, Serfaus-Fiss-Ladis, Fisser Straße 50, 6533 Fiss
•    Bikepark Lenzerheide – Lenzerheide Bergbahnen AG, Voa Principala 80, 7078 Lenzerheide
•    Bikepark Brandnertal – Bergbahnen Brandnertal Ges.m.b.H., Mühldörfle 2, 6708 Brand
•    Bikepark Kranjska Gora – RTC Zicnice, Kranjska Gora, d.d., Borovska 103a, 4280 Kranjska Gora
•    Bike Republic Sölden – Bergbahnen Sölden | Ötztaler Gletscherbahn GmbH & Co KG, Dorfstraße 115, 6450 Sölden
•    Bikepark Wurbauerkogel – Hinterstoder-Wurzeralm Bergbahnen AG, Hintersoder 21, 4573 Hinterstoder
•    Bikepark Krvavec – RTC Krvavec d.d., Grad 76, 4207 Cerklje na Gorenjskem
•    Bikepark Innsbruck – Muttereralm Bergbahnen Errichtungs GmbH, Nockhofweg 40, 6162 Mutters
•    Nauders Bergbahnen AG, Gewerbegebiet 1, 6543 Nauders
•    Petzen Bergbahnen GmbH, Unterort 52, 9143 St. Michael ob Bleiburg
•    Bikepark Willingen – Ettelsberg Seilbahn GmbH & Co KG, Zur Hoppecke 5, 34508 Willingen (Upland)

(im Folgenden zusammen als „Verantwortliche“ bezeichnet) wie folgt:


1    Präambel

1.1    Die Parteien dieser Vereinbarung kooperieren im Rahmen der Gravity Card. Zu diesem Zweck haben sie einen Kooperationsvertrag abgeschlossen.

1.2    Im Rahmen dieser Kooperation werden personenbezogene Daten von Kunden verarbeitet. Über Zweck und Mittel der Verarbeitung entscheiden die Parteien gemeinsam. Die Parteien dieser Vereinbarung sind daher als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) zu qualifizieren.

1.3    Um den Vorgaben des Art. 26 DSGVO nachzukommen, schließen die Parteien gegenständliche Vereinbarung, welche die Rechte und Pflichten der Verantwortlichen im Zusammenhang mit der gemeinsamen Verarbeitung per- sonenbezogener Daten regelt. Sie dient der Ergänzung der in Punkt 1.1 er- wähnten Kooperationsvereinbarung.

1.4    In dieser Vereinbarung verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO zu verstehen.


2    Gemeinsame Datenverarbeitungen

2.1    Bei der Ausstellung der überregionalen, namensbezogenen Gravity Card (Saisonkarten) werden von Kunden folgende Daten erhoben und verarbeitet: Vor- & Zuname, Geburtsdaten, Adresse, Fotos.

2.2    Die Erhebung und Verarbeitung dieser Daten erfolgen jeweils durch jenen Ver- antwortlichen, der die Karte ausstellt. Für Zwecke der Erfüllung der Verpflich- tungen aus dem Kooperationsvertrag, insbesondere für die Kartenverfolgung  für Missbrauchsfeststellungen, Rückvergütungen und die Verrechnung, hat je- doch jeder Verantwortliche Zugriff auf diese Daten.

2.3    Lediglich bei einem Verkauf über den Online-Shop, betreut durch die Hinterglemmer Bergbahnen GmbH erfolgt die Erhebung und Verarbeitung über gemeinsame Beauftragung der Verantwortlichen. Diese personenbezogenen Daten werden jedoch in Folge bei die Hinterglemmer Bergbahnen GmbH verarbeitet. Die derart verarbeiteten Daten stehen allen Verantwortlichen gemeinsam für die Verarbeitung zu weiteren rechtmäßigen Zwecken, insbesondere zum Versand von Mailings, im Namen aller Verantwortlichen bzw. im Rahmen der Gravity Card zur Verfügung. Alle unter Pkt. 3 Datenschutzrechtliche Rolle der Verantwortlichen, gelisteten Agenden, die den Online-Shop betreffen, sind ausschließlich vom Verantwortlichen Hinterglemmer Bergbahnen GmbH mit Sitz in 5754 Hinterglemm wahrzunehmen.
 

3    Datenschutzrechtliche Rolle der Verantwortlichen

3.1    Die Parteien werden jeweils die ihnen nachfolgend zugewiesenen daten- schutzrechtlichen Aufgaben erfüllen.

3.1.1    Funktion einer Anlaufstelle für die betroffenen Personen (Art. 26 Abs. 1 DSGVO): Als Anlaufstelle für Auskünfte gilt die jeweilige verkaufende Gesell- schaft. Auskünfte über die bei den gemeinsamen Verkaufsstellen (Online- Shop) eingehobenen Daten erteilt die Hinterglemmer Bergbahn GmbH.

3.1.2    Zur Verfügung stellen der wesentlichen Punkte der Vereinbarung (Art. 26 Abs. 2 DSGVO): Über die wesentlichen Punkte dieser Vereinbarung sind die Kunden von jedem Partner mittels Aushang (siehe Anlage 1) zu informieren. Dies betrifft insbesondere die Rechte nach Art. 16 ff DSGVO, dass sich Kun- den an jene Gesellschaft wenden müssen, bei der die Karte gekauft wurde. Die anderen Gesellschaften erteilen keine Auskünfte, welcher Art und Form auch immer.

3.1.3    Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO): Die Informationspflicht ist von jedem Partner entsprechend umzu- setzen.

3.1.4    Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO): Wurden personenbezogene Daten nicht bei der be- troffenen Person erhoben (zB bei Mehrfachbestellungen), so ist in jedem Fall jedem dieser Personen ein Informationsblatt zur Kenntnis zu bringen. Dieses Informationsblatt ist der Gravity Card bei Ausfertigung beizulegen, wodurch sichergestellt wird, dass der Informationspflicht dem jeweiligen Betroffenen gegenüber, entsprochen wird.

3.1.5    Bearbeitung von Auskunftsverlangen (Art. 15 DSGVO): Auskunftsverlangen sind grundsätzlich von jeder verkaufenden Gesellschaft zu bearbeiten. Kon- krete kundenseitige Auskunftsverlangen sind ausschließlich von der jeweils verantwortlich verkaufenden Gesellschaft zu leisten.

3.1.6    Bearbeitung von Berichtigungsanfragen (Art. 16 DSGVO): Die betroffene Per- son hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung von unrichtig personenbezogenen Daten zu verlangen. Unter der Berücksichti- gung der Zwecke der Verarbeitung hat die betroffene Person das Recht die
 
Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Die Berichtigung ist von der verkaufenden Gesellschaft durchzuführen. Kundenseitige Berichtigungsver- langen sind von der jeweils verantwortlich verkaufenden Gesellschaft durch- zuführen.

3.1.7    Bearbeitungen von Löschbegehren oder Einschränkung der Verarbeitung und Mitteilung der Löschpflicht (Art. 17, 18 und 19 DSGVO): Es sind die verein- barten Verfallsregeln anzuwenden. Kundenseitige Begehren sind von der je- weils verantwortlich verkaufenden Gesellschaft durchzuführen.

3.1.8    Abwicklung von Herausgabeverlangen (Art. 20 DSGVO): Jede verantwortlich verkaufende Gesellschaft hat Herausgabeverlangen von eigenverkauften Ti- ckets zu verarbeiten.

3.1.9    Bearbeitung von Widersprüchen (Art. 21 DSGVO): Die Bearbeitung von Wi- derspruchsrechten erfolgt durch die jeweils verantwortlich verkaufende Ge- sellschaft.

3.1.10    Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO): Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten fällt für die in dieser Vereinbarung angeführten Verarbeitungstätigkeiten in den Aufgaben- bereich der jeweiligen verantwortlich verkaufenden Gesellschaft.

3.1.11    Abwicklung der vorhergesehenen Prozesse bei meldepflichtigen Datenpan- nen (Art. 33, 34 DSGVO): Jede Gesellschaft ist verpflichtet, etwaige Daten- pannen unverzüglich der Datenschutzbehörde sowie  ihren eigenen Kunden zu melden. Sind durch etwaige Datenpannen mehrere Verantwortliche betrof- fen, so ist unverzüglich das Steuerungsgremium der Gravity Card zu infor- mieren. Dieses wird die weitere Vorgehensweise für die Gruppe abklären.

3.1.12    Benennung eines Datenschutzbeauftragen (Art. 27 DSGVO): Die Benennung eines Datenschutzbeauftragen ist nicht erforderlich.

3.1.13    Alle Verantwortlichen ergreifen angemessene und ausreichende technisch- organisatorische Maßnahmen (Art. 24 Abs. 1 i. V. m. Art. 32 DSGVO), damit die Rechte der betroffenen Personen gewahrt und jederzeit erfüllt werden können. Jedenfalls sind die in Anhang 1 beschriebenen technisch-organisa- torischen Maßnahmen sicherzustellen.
 
3.1.14    Abschluss von Verträgen gemäß Art. 28 DSGVO (Auftragsverarbeiter), wenn personenbezogene Daten im Auftrag verarbeitet werden: Jeder Partner ist verpflichtet, mit den jeweiligen Auftragsverarbeitern entsprechende Verträge abzuschließen.

3.1.15    Von dieser Aufgabenverteilung unberührt bleiben allfällige zusätzliche daten- schutzrechtliche Pflichten der jeweiligen Verantwortlichen für weitere von ihnen, außerhalb der Kooperation vorgenommene Verarbeitungstätigkeiten. Für derartige Verarbeitungen ist ausschließlich der jeweilige Verantwortliche zuständig.


4    Dauer der Vereinbarung

4.1    Die Dauer der Vereinbarung entspricht der Laufzeit der Kooperationsvereinba- rung, soweit eine darüberhinausgehende Verarbeitung personenbezogener Daten nicht zwingend den Fortbestand dieser Vereinbarung bedingt (zB die Erfüllung von weiterhin bestehenden Auskunfts- oder Löschungsverpflichtun- gen gegenüber Betroffenen).

4.2    Bei Ausscheiden eines oder mehrerer Verantwortlichen aus dem Kooperati- onsvertrag werden die allenfalls verbleibenden Kooperationspartner ihre Ver- antwortlichkeiten nach diesem Vertrag neu prüfen und gegebenenfalls neu de- finieren.


5    Haftung

Hat eine der Vertragsparteien einer betroffenen Person im Hinblick auf eine et- waige Verletzung dieser Vereinbarung bzw. datenschutzrechtlicher Vorschrif- ten Schadenersatz geleistet, so haften die übrigen Vertragsparteien diesem Verantwortlichen entsprechend ihrem Verschulden an der konkreten Pflichtver- letzung. In keinem Fall sind jedoch allfällige Geldbußen, die von den zuständi- gen Behörden gegenüber einem Verantwortlichen verhängt werden, zu erset- zen.
 

6    Schlussbestimmungen

6.1    Die Bestimmungen der Kooperationsvereinbarung bleiben von dieser Verein- barung unberührt, sofern in dieser Vereinbarung nicht ausdrücklich davon ab- gewichen wird.

6.2    Sollten einzelne Bestimmungen dieser Vereinbarung ungültig oder undurch- setzbar sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

6.3    Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform und werden vom Steuerungsgremium der Gravity Card vorgenommen. Dies gilt auch für ein Abgehen von dieser Formerfordernis.

6.4    Hinsichtlich aller Streitigkeiten oder Ansprüche, die sich aus oder im Zusam- menhang mit diesem Vertrag ergeben, einschließlich Streitigkeiten über des- sen Gültigkeit, Verletzung, Auflösung oder Nichtigkeit, wird zunächst ein Ver- fahren nach der Mediationsordnung („Wiener Mediationsregeln“) der Internati- onalen Schiedsinstitution der Wirtschaftskammer Österreich (VIAC) durchge- führt.
Werden innerhalb einer Frist von 60 Tagen ab Einleitung des Verfahrens nach den Wiener Mediationsregeln die Streitigkeiten nicht gütlich beigelegt oder die Ansprüche nicht geklärt, werden sie nach der Schiedsordnung („Wiener Re- geln“) des VIAC von einem oder drei gemäß diesen Regeln bestellten Schieds- richtern endgültig entschieden.

Ich bin / Wir sind mit obig angeführten Bestimmungen einverstanden und ver- pflichte(n) mich / uns zur Einhaltung dieses Vertrages.

 


Anlage 1
Aushang zur Vereinbarung über die gemeinsame Verarbeitung personenbezo- gener Daten nach Art. 26 DSGVO

AUSHANG

Für die Verarbeitung der im Zuge des Kaufes einer Gravity Card erlangten personenbe- zogenen Daten sind folgende Gesellschaften gemeinsam verantwortlich im Sinne des Art. 26 DSGVO:
•    Bikepark Leogang – Leoganger Bergbahnen GmbH, Hütten 39,5771 Leogang
•    BBSH Bergbahnen Saalbach-Hinterglemm GmbH, Eberharterweg 308, 5753 Saalbach
•    Hinterglemmer Bergbahnen GmbH, Zwölferkogelweg 208, 5754 Hinterglemm
•    Mountain Bike Park Wagrain – Bergbahnen AG Wagrain, Markt 59, 5602 Wagrain
•    Bikepark Semmering – Semmering-Hirschenkogel Bergbahnen Gesellschaft m.b.H., Carolusstraße 3, 2680 Semmering
•    Bikepark Planai – Planai-Hochwurzen-Bahnen GmbH, Coburgstraße 52, 8970 Schladming
•    Bikepark Winterberg – Mountainbike-Park Winterberg GmbH & Co KG, Schanzenstraße 17, 59955 Winterberg
•    Bikepark Geisskopf – Geißkopfbahn, Unterbreitenaus 3, 94253 Bischofsmais
•    Bikepark Spicak – Ski&Bike Spicak, Sport service s.r.o., Spicak 182, 34004 Zelezna Ruda
•    Bikepark Tirol – RBG Berglifte GmbH, Huebenweg 25, 6150 Steinach am Brenner
•    Bikepark Serfaus Fiss Ladis – Waldbahn GmbH & CO OG, Serfaus-Fiss-Ladis, Fisser Straße 50, 6533 Fiss
•    Bikepark Lenzerheide – Lenzerheide Bergbahnen AG, Voa Principala 80, 7078 Lenzerheide
•    Bikepark Brandnertal – Bergbahnen Brandnertal Ges.m.b.H., Mühldörfle 2, 6708 Brand
•    Bikepark Kranjska Gora – RTC Zicnice, Kranjska Gora, d.d., Borovska 103a, 4280 Kranjska Gora
•    Bike Republic Sölden – Bergbahnen Sölden | Ötztaler Gletscherbahn GmbH & Co KG, Dorfstraße 115, 6450 Sölden
•    Bikepark Wurbauerkogel – Hinterstoder-Wurzeralm Bergbahnen AG, Hintersoder 21, 4573 Hinterstoder
•    Bikepark Krvavec – RTC Krvavec d.d., Grad 76, 4207 Cerklje na Gorenjskem
•    Bikepark Innsbruck – Muttereralm Bergbahnen Errichtungs GmbH, Nockhofweg 40, 6162 Mutters
•    Nauders Bergbahnen AG, Gewerbegebiet 1, 6543 Nauders
•    Petzen Bergbahnen GmbH, Unterort 52, 9143 St. Michael ob Bleiburg
•    Bikepark Willingen – Ettelsberg Seilbahn GmbH & Co KG, Zur Hoppecke 5, 34508 Willingen (Upland)

Die gemeinsam Verantwortlichen haben die sie treffenden datenschutzrechtlichen Aufgaben wie folgt aufgeteilt:

1.    Die Parteien werden die ihnen nachfolgend zugewiesenen datenschutzrechtli- chen Aufgaben erfüllen.

2.    Funktion einer Anlaufstelle für die betroffenen Personen (Art. 26 Abs. 1 DSGVO): Als Anlaufstelle für Auskünfte gilt die jeweilige verkaufende Gesell- schaft. Auskünfte über die bei den gemeinsamen Verkaufsstellen (Online- Shop) eingehobenen Daten erteilt die Hinterglemmer Bergbahnen GmbH.

3.    Zur Verfügung stellen der wesentlichen Punkte der Vereinbarung (Art. 26 Abs. 2 DSGVO): Über die wesentlichen Punkte dieser Vereinbarung sind die Kun- den von jedem Partner mittels Aushang zu informieren. Dies betrifft insbeson- dere die Rechte nach Art. 16 ff DSGVO, dass sich Kunden an jene Gesell- schaft wenden müssen, bei der die Karte gekauft wurde. Die anderen Gesell- schaften erteilen keine Auskünfte, welcher Art und Form auch immer.

4.    Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO): Die Informationspflicht ist von jedem Partner entsprechend umzusetzen.

5.    Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wur- den (Art. 14 DSGVO): Wurden personenbezogene Daten nicht bei der betroffe- nen Person erhoben (zB bei Mehrfachbestellungen), so ist in jedem Fall jedem dieser Personen ein Informationsblatt zur Kenntnis zu bringen. Dieses Infor- mationsblatt ist der Gravity Card bei Ausfertigung beizulegen, wodurch si- chergestellt wird, dass der Informationspflicht dem jeweiligen Betroffenen ge- genüber, entsprochen wird.

6.    Bearbeitung von Auskunftsverlangen (Art. 15 DSGVO): Auskunftsverlangen sind grundsätzlich von jeder verkaufenden Gesellschaft zu bearbeiten. Kon- krete kundenseitige Auskunftsverlangen sind ausschließlich von der jeweils verantwortlich verkaufenden Gesellschaft zu leisten.

7.    Bearbeitung von Berichtigungsanfragen (Art. 16 DSGVO): Die betroffene Per- son hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung von unrichtig personenbezogenen Daten zu verlangen. Unter der Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht die Vervoll- ständigung unvollständiger personenbezogener Daten – auch mittels einer
 
ergänzenden Erklärung – zu verlangen. Die Berichtigung ist von der verkau- fenden Gesellschaft durchzuführen. Kundenseitige Berichtigungsverlangen sind von der jeweils verantwortlich verkaufenden Gesellschaft durchzuführen.

8.    Bearbeitungen von Löschbegehren oder Einschränkung der Verarbeitung und Mitteilung der Löschpflicht (Art. 17, 18 und 19 DSGVO): Es sind die vereinbar- ten Verfallsregeln anzuwenden. Kundenseitige Begehren sind von der jeweils verantwortlich verkaufenden Gesellschaft durchzuführen.

9.    Abwicklung von Herausgabeverlangen (Art. 20 DSGVO): Jede verantwortlich verkaufende Gesellschaft hat Herausgabeverlangen von eigenverkauften Ti- ckets zu verarbeiten.

10.    Bearbeitung von Widersprüchen (Art. 21 DSGVO): Die Bearbeitung von Wider- spruchsrechten erfolgt durch die jeweils verantwortlich verkaufende Gesell- schaft.

11.    Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO): Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten fällt für die in dieser Vereinbarung angeführten Verarbeitungstätigkeiten in den Aufgabenbe- reich der jeweiligen verantwortlich verkaufenden Gesellschaft.

12.    Abwicklung der vorhergesehenen Prozesse bei meldepflichtigen Datenpannen (Art. 33, 34 DSGVO): Jede Gesellschaft ist verpflichtet, etwaige Datenpannen unverzüglich der Datenschutzbehörde sowie ihren eigenen Kunden zu melden. Sind durch etwaige Datenpannen mehrere Verantwortliche betroffen, so ist un- verzüglich das Steuerungsgremium der Gravity Card zu informieren. Dieses wird die weitere Vorgehensweise für die Gruppe abklären.

13.    Benennung eines Datenschutzbeauftragen (Art. 27 DSGVO): Die Benennung eines Datenschutzbeauftragen ist nicht erforderlich.

14.    Alle Verantwortlichen ergreifen angemessene und ausreichende technisch-or- ganisatorische Maßnahmen (Art. 24 Abs. 1 i. V. m. Art. 32 DSGVO), damit die Rechte der betroffenen Personen gewahrt und jederzeit erfüllt werden können. Jedenfalls sind die in Anhang 1 beschriebenen technisch-organisatorischen Maßnahmen sicherzustellen.
 
15.    Abschluss von Verträgen gemäß Art. 28 DSGVO (Auftragsverarbeiter), wenn personenbezogene Daten im Auftrag verarbeitet werden: Jeder Partner ist ver- pflichtet, mit den jeweiligen Auftragsverarbeitern entsprechende Verträge ab- zuschließen.

16.    Von dieser Aufgabenverteilung unberührt bleiben allfällige zusätzliche daten- schutzrechtliche Pflichten der jeweiligen Verantwortlichen für weitere von ihnen, außerhalb der Kooperation vorgenommene Verarbeitungstätigkeiten. Für derartige Verarbeitungen ist ausschließlich der jeweilige Verantwortliche zuständig.