Vereinbarung zur Datenverarbeitung

Diese Vereinbarung zur Datenverarbeitung (DPA) ist Bestandteil der Vereinbarung zwischen dem Benutzer und dem Dienstanbieter, d.h. der ALLGEMEINEN GESCHÄFTSBEDINGUNGEN, welche die Bereitstellung der Dienstleistungen für den Benutzer regeln, da diese Bedingungen vom Dienstanbieter jederzeit aktualisiert werden können.

Durch diese DPA wird ein Vertrag geschlossen, der die Beziehung zwischen Ihnen (dem Benutzer) als den Datenverantwortlichen und uns (dem Dienstanbieter) als den Datenverarbeiter gemäß der Datenschutzgrundverordnung (EU-Verordnung 2016/679)(DSGVO) regelt.

Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleiben die ALLGEMEINEN GESCHÄFTSBEDINGUNGEN und die Datenschutzrichtlinie unverändert und verbindlich. Bei Widersprüchen zwischen dieser DPA und den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN oder der Datenschutzrichtlinie gilt diese DPA im Umfang dieses Widerspruchs.

Ihre personenbezogenen Daten und Unternehmensdaten werden automatisch von Ihrem Benutzerkonto in diese DPA übertragen, sofern Sie der Datenschutzrichtlinie und den dieser DPA beigefügten ALLGEMEINEN GESCHÄFTSBEDINGUNGEN zustimmen. Ihre Angaben werden immer entsprechend der von Ihnen an Uns übermittelten Angaben angezeigt und von Uns als "aktuell" behandelt, es sei denn, Sie stellen Uns die geänderten Angaben zur Verfügung.

Diese DPA wird von und zwischen den nachstehend aufgeführten Parteien geschlossen:

(der Benutzer, oder der Datenverantwortliche) und

PNL Fintech BV (firmierend unter dem Handelsnamen "FINOM"), Jachthavenweg 109H, 1081 KM Amsterdam, Niederlande (der Dienstanbieter, oder Datenverarbeiter),

die vorstehend Genannten werden jeweils als "Partei" und gemeinsam als "die Parteien" bezeichnet.

Die Parteien vereinbaren WIE FOLGT:

Gegenstand

Die Parteien streben die Umsetzung dieser DPA an, um den Anforderungen des geltenden Rechtsrahmens in Bezug auf die Verarbeitung personenbezogener Daten und der DSGVO nachzukommen.

Die Parteien STIMMEN daher den Bedingungen dieser "DPA" zu, um ihre Beziehungen in ihrer Eigenschaft als Datenverantwortlicher und Datenverarbeiter hinsichtlich personenbezogener Daten gemäß der DSGVO zu regeln.

Art und Zweck der Verarbeitung

Der Dienstanbieter erbringt, wie vom Benutzer vereinbart, die in den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN definierten Dienstleistungen. Ist der Benutzer als Unternehmen/Unternehmer/Arbeitgeber/Berater tätig, kann er personenbezogene Daten der betroffenen Personen, die Kunden, Angestellte, Mitarbeiter, Partner, Vertreter, Berater des Benutzers sind (die "Beziehungen des Benutzers"), verarbeiten, indem er sie auf der Plattform des Dienstanbieters hochlädt, ändert, teilt oder löscht. Für die Bereitstellung der Dienstleistungen muss der Dienstanbieter möglicherweise personenbezogene Daten der Beziehungen des Benutzers verarbeiten. Daher fungiert der Benutzer gemäß der in der DSGVO definierten Bedeutung als Datenverantwortlicher. Der Dienstanbieter fungiert sodann als Datenverarbeiter und verarbeitet Daten im Namen des Benutzers.

Der Zweck der Verarbeitung personenbezogener Daten bezieht sich auf die Bereitstellung und die Inanspruchnahme der Dienstleistungen gemäß den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN.

Der Datenverantwortliche weist den Datenverarbeiter daher hiermit an, alle in dieser DPA angegebenen personenbezogenen Daten gemäß der DSGVO und den geltenden Rechtsvorschriften zu verarbeiten.

Dauer der Verarbeitung

Bis zur Beendigung dieser DPA in Übereinstimmung mit den darin festgelegten Bedingungen, es sei denn, ein längerer Zeitraum ist erforderlich, damit die Parteien ihren Verpflichtungen gemäß der DSGVO und den einschlägig geltenden Rechtsvorschriften nachkommen können.

Art der personenbezogenen Daten und Kategorien der betroffenen Personen

"Personenbezogene Daten" (in dieser DPA als "Daten" oder "personenbezogene Daten bezeichnet") und "Verarbeitung" (in dieser DPA als "Verarbeitung" bezeichnet) werden gemäß der DSGVO bestimmt. Es wird davon ausgegangen, dass keine "sensiblen personenbezogenen Daten" im Sinne der DSGVO verarbeitet werden.

1. Kategorien von personenbezogenen Daten, die verarbeitet werden können:
1. Name;
2. Adresse;
3. Telefonnummer(n);
4. E-Mail-Adresse(n);
5. Adresse(n);
6. jegliche Kontonummern und/oder Bankdaten;
7. sonstige personenbezogene Daten, die für die Erbringung der Dienstleistungen gemäß den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN unbedingt erforderlich sind.
2. Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden können:
1. Kunden/Mitarbeiter/Partner des Datenverantwortlichen, Vertreter/Berater
2. Die Kontakte des Datenverantwortlichen (Telefon/E-Mail/Adressen/usw.)
3. Die Benutzer des Datenverantwortlichen
4. Die Bankdaten des Datenverantwortlichen
5. Mitarbeiter ihrer Benutzer
6. Die Kontakte ihrer Benutzer (Telefon/E-Mail/Adressen/usw.)
7. Die Benutzer ihrer Benutzer
8. Bankdaten der Benutzer ihrer Benutzer.

Verantwortlichkeiten

Der Datenverarbeiter:

• Der Datenverarbeiter wird und muss auch alle seine Unterauftragsverarbeiter dazu anhalten, alle personenbezogenen Daten im Namen des Datenverantwortlichen gemäß den Anweisungen des Datenverantwortlichen zu verarbeiten:
1. wie in dieser DPA beschrieben;
2. in Übereinstimmung mit der DSGVO;
3. wie seitens des Datenverantwortlichen weiter ausdrücklich angewiesen;
• handelt in Übereinstimmung mit der DSGVO, ergreift alle erforderlichen Maßnahmen und kommt all seinen Verpflichtungen gemäß der DSGVO und der geltenden Gesetzgebungen nach.
• führt unter Berücksichtigung des Stands der Technik, der Kosten der Durchführung und der Art, des Umfangs, des Kontexts und der Zwecke der Datenverarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeiten und Schwere für die Rechte und Freiheiten natürlicher Personen in Bezug auf die personenbezogenen Daten geeignete technische und organisatorische Maßnahmen durch, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen;
• benachrichtigt den Datenverantwortlichen unverzüglich, wenn ihm eine Sicherheitsverletzung bekannt wird;
• unterstützt, soweit möglich, den Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen, damit dieser seinen Verpflichtungen auf die Anträge zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person zu reagieren, nachkommen kann. Der Datenverantwortliche ist für alle mit solchen Anträgen verbundenen Kosten verantwortlich;
• informiert den Datenverantwortlichen, soweit dies möglich und rechtmäßig ist, nach Eingang der Anträge der betroffenen Personen bezüglich der Umsetzung ihrer Rechte gemäß der DSGVO. Der Datenverarbeiter wird auf derartige Anträge antworten, sobald er seitens des Datenverantwortlichen dazu befugt wurde. Der Datenverarbeiter gibt keine Informationen weiter, es sei denn, der Datenverarbeiter ist gesetzlich dazu verpflichtet;
• unternimmt angemessene Schritte, um die Verlässlichkeit aller Mitarbeiter, Vertreter oder Auftragnehmer, die Zugang zu personenbezogenen Daten haben können, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten kennen/bzw. auf diese zugreifen müssen, wie es für die in der DSGVO und dieser DPA definierten Zwecke unbedingt erforderlich ist und um die geltenden Gesetzgebungen einzuhalten, wobei sichergestellt wird, dass all diese Personen oder Unternehmen Vertraulichkeitsvereinbarungen oder beruflichen bzw. gesetzlichen Verpflichtungen zur Vertraulichkeit unterliegen.

Der Datenverantwortliche:

• handelt in Übereinstimmung mit der DSGVO, ergreift alle erforderlichen Maßnahmen und erfüllt all seine Verpflichtungen gemäß der DSGVO und den geltenden Gesetzgebungen;
• bestätigt, dass er Anspruch auf einen rechtmäßigen Zugriff auf alle personenbezogenen Daten hat, die gemäß dieser DPA verarbeitet werden, und dass er den rechtmäßigen Zugriff gemäß der DSGVO, den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN, den Datenschutzrichtlinie und allen geltenden Gesetzgebungen aufrechterhält;
• ist jederzeit für die Genauigkeit, Integrität, den Inhalt und die Zuverlässigkeit der im Rahmen dieser DPA verarbeiteten personenbezogenen Daten verantwortlich;
• muss über eine genaue Liste der Kategorien von personenbezogenen Daten verfügen, die an den Datenverantwortlichen geliefert und im Rahmen dieser DPA verarbeitet werden;
• muss den Datenverarbeiter benachrichtigen, wenn die Verarbeitung personenbezogener Daten von den in der DPA und der Datenschutzrichtlinie aufgeführten Kategorien abweicht;
• muss auf jeden Antrag einer betroffenen Person reagieren, um ihrem Recht (ihren Rechten) gemäß der DSGVO nachzukommen;
• muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Maß an Datensicherheit zu gewährleisten;
• benachrichtigt den Datenverarbeiter, wenn er Anfragen/Fragen/Beschwerden von betroffenen Personen in Bezug auf personenbezogene Daten erhält, die vom Datenverarbeiter verarbeitet werden;
• erfüllt stets alle zwingenden Voraussetzungen in Bezug auf die Meldung an die zuständigen Behörden oder die Einholung der Genehmigung zur Verarbeitung personenbezogener Daten bei diesen Behörden;
• erfüllt stets seine Offenlegungspflichten gegenüber den zuständigen Behörden bezüglich der Verarbeitung personenbezogener Daten gemäß der DSGVO und den geltenden Datenschutzgesetzen;
• erhält und bewahrt die ausdrückliche Zustimmung zur Verarbeitung seiner eigenen personenbezogenen Daten und der personenbezogenen Daten der Beziehungen des Benutzers, dessen personenbezogene Daten für die Bereitstellung und die Inanspruchnahme der Dienstleistungen gemäß den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN verarbeitet werden. Der Datenverantwortliche kann diese Einwilligung jederzeit widerrufen. In einem solchen Fall wird die Bereitstellung der Dienstleistungen gemäß den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN für den Benutzer und seine Vertreter mit sofortiger Wirkung automatisch eingestellt.

Audits

Vorbehaltlich der in diesem Abschnitt beschriebenen Bedingungen stellt der Datenverarbeiter dem Datenverantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen und ermöglicht Audits, einschließlich Inspektionen, durch den Datenverantwortlichen oder einen gemäß den Angaben in diesem Abschnitt ausgewählten Auditor und trägt zu diesen bei.

Informations- und Auditrechte des Datenverantwortlichen ergeben sich aus diesem Abschnitt nur insofern, als dass die DPA dem Datenverantwortlichen nicht anderweitig Informations- und Auditrechte gemäß den einschlägigen Anforderungen der DSGVO einräumt.

Der Datenverantwortliche ist dazu befugt, regelmäßig eine Überprüfung in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter einzuleiten. Die Parteien vertreten einvernehmlich die Auffassung, dass im Rahmen eines normalen Geschäftsbetriebs ein Audit pro Jahr durch den Datenverantwortlichen ausreichen sollte. Der Datenverantwortliche muss mindestens vier Wochen vor dem vorgeschlagenen Starttermin einen detaillierten Auditplan vorlegen, aus dem Umfang, Dauer und Starttermin hervorgehen. Die Parteien entscheiden gemeinsam, ob das Audit durch einen Drittanbieter vorgenommen werden soll. Der Datenverantwortliche kann dem Datenverarbeiter jedoch gestatten, die Sicherheitsüberprüfung durch einen neutralen Drittanbieter seiner Wahl durchführen zu lassen, da es sich um ein Verarbeitungsumfeld mit mehreren Datenverantwortlichen handelt.

Wenn der vorgeschlagene Umfang des Audits einem ISAE-, ISO- oder einem ähnlichen Zertifizierungsbericht folgt, der von einem qualifizierten externen Auditor durchgeführt wurde, und der Datenverarbeiter bestätigt, dass innerhalb der letzten zwölf Monate seit einem solchen Audit keine wesentlichen Änderungen bei den überprüften Maßnahmen erfolgt sind, sollte dies ausreichen.

Jegliche Audits dürfen die reguläre Geschäftstätigkeit des Datenverarbeiters nicht unverhältnismäßig beeinträchtigen. Der Datenverantwortliche ist für jegliche durch Audits entstehende Kosten verantwortlich.

Einsatz von Unterauftragsverarbeitern
und
Datenübermittlungen

Einsatz von Unterauftragsverarbeitern: Um dem Benutzer/dem Datenverantwortlichen die Dienstleistungen zur Verfügung zu stellen, kann der Datenverarbeiter Unterauftragsverarbeiter einsetzen ("Unterauftragsverarbeiter"). Die vom Datenverarbeiter eingesetzten Unterauftragsverarbeiter sind innerhalb und außerhalb der EU/des EWR ansässig und sind in den entsprechenden Abschnitten aufgeführt, in denen die einzelnen Verarbeitungsaktivitäten in der Datenschutzrichtlinie beschrieben sind, die von Zeit zu Zeit geändert werden kann. Die Namen von Privatpersonen, die als Unterauftragsverarbeiter fungieren (Auftragnehmer, Mitarbeiter, Freiberufler des Datenverarbeiters), werden in der Datenschutzrichtlinie zum Schutz ihrer Privatsphäre nicht aufgeführt, können jedoch auf rechtmäßigen Antrag des Datenverantwortlichen oder der Behörden angegeben werden.Der Datenverantwortliche erklärt sich damit einverstanden, dass der Datenverarbeiter alle vorgenannten Unterauftragsverarbeiter damit beauftragen kann, personenbezogene Daten im Namen des Datenverarbeiters oder/und des Datenverantwortlichen zu den in dieser DPA festgelegten Bedingungen und gemäß der DSGVO zu verarbeiten.

Der Datenverarbeiter muss: (i) schriftliche Vereinbarungen mit allen (derzeitigen und neuen) Unterauftragsverarbeitern treffen, die Datenschutzbestimmungen auferlegen, die die Unterauftragsverarbeiter verpflichten, die privaten Daten gemäß dem von der DSGVO geforderten Standard zu schützen; und (ii) die Einhaltung der DSGVO durch seine Unterauftragsverarbeiter laufend überwachen und kontrollieren. Die Dokumentation oder der Nachweis einer solchen Überwachung und Kontrolle kann dem Datenverantwortlichen vorbehaltlich anderweitiger gesetzlicher Vorschriften auf schriftlichen Antrag zur Verfügung gestellt werden und iii) er bleibt für alle Handlungen oder Unterlassungen der Unterauftragsverarbeiter verantwortlich, die die Parteien dazu veranlassen, Verpflichtungen aus dieser DPA zu verletzen.

Datenübermittlungen:

Im üblichen Geschäftsgang übermittelt der Datenverarbeiter keine Daten, die zu Verarbeitungszwecken vom Datenverantwortlichen an den Datenverarbeiter übermittelt wurden, in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR") oder in Länder, die für die Zwecke der geltenden Gesetzgebung von der EU-Kommission nicht anerkannt wurden ("von der Kommission anerkannte Gebiete").

In einigen Fällen werden personenbezogene Daten auf Speicherlösungen gespeichert, die Server außerhalb des Europäischen Wirtschaftsraums (EWR) oder außerhalb der von der Kommission anerkannten Gebiete haben (z.B. Dropbox oder Google). Der Verarbeiter verwendet ausschließlich Speicherlösungen, die sichere Dienste mit angemessenen relevanten Schutzbestimmungen bereitstellen.

Wenn der Datenverarbeiter personenbezogene Daten, die er vom Datenverantwortlichen erhalten hat, außerhalb des EWR oder der von der Kommission anerkannten Gebiete übermitteln muss, informiert er den Datenverantwortlichen, um ihm die Möglichkeit zu geben, einer solchen Übermittlung zu widersprechen. Wenn eine solche Übermittlung für den Datenverantwortlichen nicht zu beanstanden ist, hat dieser sicherzustellen, dass er mit derartigen Unterauftragsverarbeitern angemessene Vereinbarungen über die Datenübermittlung in Drittländer, getroffen hat. Eine solche Vereinbarung muss dem Datenverantwortlichen auf Anfrage zur Überprüfung zur Verfügung gestellt werden.

Zum Zeitpunkt des Abschlusses der DPA bestätigt der Datenverantwortliche, dass er darüber informiert worden ist, dass die folgenden Datenverarbeitungsaktivitäten, die von Unterauftragsverarbeitern des Datenverarbeiters durchgeführt werden, außerhalb des EWR stattfinden werden. Derartige Verarbeitungsaktivitäten, die hiermit vom Datenverantwortlichen ausdrücklich genehmigt werden, finden in den unten aufgeführten Ländern und unter strikter Einhaltung der Rechtsgrundlagen für die Datenübermittlung gemäß der DSGVO für jedwede Verarbeitungsaktivität Anwendung.

Zur Vermeidung von Zweifeln wird betont, dass der Datenverantwortliche dem Datenverarbeiter ein klares Mandat erteilt, um im Namen und im Auftrag des Datenverantwortlichen Standardvertragsklauseln (Musterklauseln 2010/87/EU, zu finden unter: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087) zu regeln, wobei der Verarbeiter der Datenexporteur und die betreffenden Unterauftragsverarbeiter die Datenimporteure sind. Der Datenverantwortliche hat den Inhalt der Anhänge 1 und 2 der beigefügten Standardvertragsklauseln (Musterklauseln 2010/87/EU) geprüft und stimmt diesen zu.

Der Datenverarbeiter kann von Zeit zu Zeit die Liste der Auftragsverarbeitungsprozesse in den entsprechenden Abschnitten der Datenschutzrichtlinie ändern, die dem Datenverantwortlichen ordnungsgemäß mitgeteilt wird. Die Namen von Privatpersonen, die als Unterauftragsverarbeiter fungieren (Auftragnehmer, Mitarbeiter, Freiberufler des Datenverarbeiters), werden zum Schutz ihrer Privatsphäre in der Datenschutzrichtlinie weiterhin nicht aufgeführt, können jedoch auf rechtmäßigen Antrag des Datenverantwortlichen oder der Behörden angegeben werden.

Möchte der Datenverantwortliche den Einsatz eines Unterauftragsverarbeiters ablehnen, muss der Datenverantwortliche dem Datenverarbeiter unverzüglich eine schriftliche Mitteilung zukommen lassen. Liegen seitens des Datenverarbeiters keine Einwände vor, so gilt dies gemäß dieser DPA als volle Zustimmung zum Einsatz von Unterauftragsverarbeitern. Für den Fall, dass der Datenverantwortliche den Einsatz eines Unterauftragsverarbeiters ablehnt und der Datenverarbeiter dem Einwand des Datenverantwortlichen nicht stattgeben kann, bietet der Dienstanbieter an, die Bereitstellung der Dienste für den Benutzer zu beenden.

Dauer und Beendigung

Diese DPA bleibt in Kraft, solange der Datenverarbeiter personenbezogene Daten für die in dieser DPA festgelegten Zwecke verarbeitet.

Nach Beendigung der Dienste kann der Benutzer/der Datenverantwortliche ein Verfahren zur Löschung der beim Datenverarbeiter gespeicherten personenbezogenen Daten einleiten oder deren Rückgabe verlangen, wenn dies technisch möglich/durchführbar ist und sofern von den anwendbaren gesetzlichen Bestimmungen nicht anders vorgesehen, werden in einem solchen Fall private Daten in Übereinstimmung mit den technischen und organisatorischen Schutzbestimmungen des Datenverarbeiters/Dienstanbieters aufbewahrt.

Der Datenverantwortliche kann alle seine zulässigen personenbezogenen Daten auf der Plattform/Anwendung des Dienstanbieters abrufen. Fordert der Datenverantwortliche eine zusätzliche Unterstützung für die Datenbeschaffung an, so werden die damit verbundenen Kosten auf der Grundlage der Komplexität des Prozesses und der Zeit, die für die Durchführung im gewählten Format erforderlich ist, festgelegt.

Änderungen der DPA

Die Parteien vereinbaren, dass der Dienstanbieter jederzeit berechtigt ist, die Bedingungen dieser DPA unter Berücksichtigung der rechtmäßigen Interessen des Datenverantwortlichen zu ändern. Der Dienstanbieter unterrichtet den Benutzer rechtzeitig über die Änderungen, wie vom Benutzer/Datenverantwortlichen in den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN angegeben und vereinbart. Ist der Benutzer/Datenverantwortliche mit den Änderungen nicht einverstanden, steht es diesem zu, die Dienstleistungen und diese DPA jederzeit über das Benutzerkonto oder durch Mitteilung an die E-Mail-Adresse des Dienstanbieters unter hello@finom.co (oder eine andere auf der Website des Dienstanbieters angegebene E-Mail-Adresse) zu kündigen.

Schlussbestimmungen

Die Haftung für Verstöße gegen diese DPA unterliegt der DSGVO, den ALLGEMEINEN GESCHÄFTSBEDINGUNGEN und der geltenden Gesetzgebung.

Diese DPA unterliegt den Gesetzen der Niederlande und ist gemäß diesen auszulegen. Die ausschließliche Zuständigkeit für die Entscheidung von Streitigkeiten, die diese DPA und/oder ihren Gegenstand betreffen, liegt bei den Gerichten der Niederlande.

Sollten einzelne Bestimmungen dieser DPA unwirksam sein oder werden, so hat dies keinen Einfluss auf die Gültigkeit der übrigen Bestimmungen.

Anhänge 1 und 2

Anhang 1
zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können gemäß ihren einzelstaatlichen Verfahren alle zusätzlichen erforderlichen Informationen in diesem Anhang ergänzen oder spezifizieren.

Datenexporteur

Der Datenexporteur übermittelt (bitte kurz Ihre für die Übermittlung relevanten Aktivitäten angeben):

• dem Datenimporteur personenbezogene Daten, die für die Bereitstellung von Produkten und Dienstleistungen für den Datenexporteur und seine Benutzer erforderlich sind.

Datenimporteur

Der Datenimporteur verarbeitet (bitte kurz Ihre für die Übermittlung relevanten Aktivitäten angeben):

• personenbezogene Daten des Datenexporteurs gemäß den Anweisungen des Datenexporteurs, um Produkte und Dienstleistungen für den Datenexporteur und seine Benutzer anzubieten.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte angeben):

• Kunden;
• potentielle Kunden;
• Internetnutzer;
• Mitarbeiter, Partner, Belegschaftsmitglieder;
• interne Berater.

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien (bitte angeben):

• personenbezogene Daten (z.B. Name, Nachname, E-Mail-Adresse, Telefonnummer)
• statistische oder andere im Internet beobachtete Nutzungsdaten (z.B. über Analysen, Dienstleistungen usw.)
• Kundenhistorie
• Rechnungs-, Rechnungsstellungs- und Zahlungsdaten

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen folgende besondere Datenkategorien (bitte angeben):

• Nicht zutreffend

Verarbeitungsvorgänge

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten (bitte angeben):

• Bereitstellung der Dienste: End-to-End-Analyse eines Projekts, einschließlich Analyse der Werbewirksamkeit, Webanalyse, CRM und Skalierung.

Anhang 2
zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur in Übereinstimmung mit den Klauseln 4(d) und 5(c) (oder dem beigefügten Dokument/der beigefügten Rechtsvorschrift) ergriffen wurden:

1. Organisatorische und Sicherheitsmaßnahmen

   Der Datenimporteur erklärt hiermit Folgendes:

   • Der Datenimporteur verfügt über interne Richtlinien zur Verarbeitung personenbezogener Daten. Jeder Mitarbeiter des Datenimporteurs ist verpflichtet, sich mit den Richtlinien vertraut zu machen, bevor er auf personenbezogene Daten zugreift.
   • Jeder Mitarbeiter des Datenimporteurs ist verpflichtet, eine Geheimhaltungsvereinbarung (NDA) zu unterzeichnen, bevor er seine Arbeit beim Datenimporteur aufnimmt.
   • Die Richtlinien werden jährlich überprüft, um sie gemäß den Standards der Branche auf dem neuesten Stand zu halten. Die Überprüfung beruht auf der Erprobung, Beurteilung und Bewertung der Wirksamkeit der betreffenden Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung personenbezogener Daten.
   • Abhängig vom verursachten Schaden kann die Verletzung der Richtlinien durch einen Mitarbeiter zu Strafen führen, die von einer schriftlichen Mahnung bis zur Entlassung reichen.
   • Sicherheitsverletzungen werden der Unternehmensleitung gemeldet.
   • Zur Einhaltung der aktuellen Sicherheitsstandards führt der Datenimporteur Sicherheitsaudits für geschäftskritische Anwendungen durch.
   • Der Datenimporteur pflegt eine Richtlinie zur Verarbeitung personenbezogener Daten und sorgt dafür, dass diese innerhalb des Unternehmens angemessen bekannt ist.
   • Der Datenimporteur gewährleistet die Einhaltung der geltenden Datenschutzbestimmungen durch Unterauftragsverarbeiter und Partner, die für die Datenverarbeitung zuständig sind.
   • Der Datenimporteur gewährleistet, dass innerhalb des Unternehmens ein angemessenes Bewusstsein für die geltenden Datenschutzbestimmungen vorhanden ist.

2. Datenzugriff

   1. Physischer Zugriff auf die Produktionsumgebung

      • Angestellte Hosting-Dienstanbieter nutzen gemäß den neuesten Sicherheitsstandards sichere Räumlichkeiten für die Speicherung und verschlüsselte physische Kommunikationskanäle.

   2. Verfügbarkeit

      • Der Datenimporteur verwendet skalierbare Anwendungen für geschäftskritische Funktionalitäten, um seinen Benutzern seine Produkte und Dienstleistungen in vollem Umfang zur Verfügung zu stellen.
      • Der Datenimporteur nutzt die stabile Infrastruktur von externen Hosting-Dienstanbietern, um die Verfügbarkeit seiner Produkte und Dienstleistungen zu verbessern.
      • Angestellte Dienstanbieter stellen dem Datenimporteur die Funktionalität zur Verfügung, geschäftskritische Prozesse aus Backups wiederherzustellen und die Verfügbarkeit von personenbezogenen Daten und den Zugriff darauf zeitnah wiederherzustellen.

   3. Systemzugriff

      • Der Zugang zu Produktionssystemen ist auf befugte Mitarbeiter beschränkt, die den Zugang zur Erfüllung ihrer Aufgaben benötigen.
      • Konten, die für den Zugriff auf Produktionssysteme verwendet werden, werden aufgelöst, wenn ein Mitarbeiter den Datenimporteur verlässt.

   4. Berechtigungsverwaltung

      • Der Zugriff auf Daten oder Systeme erfolgt auf der Grundlage des "Wissen müssens".
      • Personenbezogene Daten werden insofern pseudonymisiert, als sie die Datensicherheit merklich verbessern könnten.
      • Mitarbeiter, die an der Entwicklung beteiligt sind, haben keinen Zugang zur Produktionsinfrastruktur, es sei denn, diese ist für die Unterstützung oder Bereitstellung von Dienstleistungen erforderlich.
   5. Der Datenimporteur verfolgt (protokolliert) alle wichtigen Datenverarbeitungsaktivitäten, d.h. das Kopieren, Ändern, Löschen usw., um es dem Datenimporteur und dem Kunden zu ermöglichen, einen angemessenen Schutz jedweder verarbeiteten personenbezogenen Daten und die Einhaltung der Datenschutzbestimmungen im Allgemeinen nachzuweisen.

3. Datensicherheit

   • Der Datenimporteur unternimmt wirtschaftlich vertretbare Anstrengungen, um verarbeitete personenbezogene Daten vor unbefugtem Zugriff zu schützen und die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste permanent zu gewährleisten.
   • Datenspeicher werden verschlüsselt, insofern die Verschlüsselung die Datensicherheit merklich verbessert. Die Datenübermittlung außerhalb der Räumlichkeiten des Datenimporteurs oder der Räumlichkeiten, die der Datenimporteur unterhält, wird mit Zertifikaten der aktuellen TLS-Versionen gesichert, um zu verhindern, dass Unbefugte die personenbezogenen Daten, die Gegenstand der Übermittlung sind, erfassen und lesen können.

4. Störfallmanagement

   Um die Privatsphäre seiner Benutzer zu respektieren und das Unternehmen vor Risiken durch sicherheitsrelevante Vorfälle zu schützen, sieht der Datenimporteur Folgendes vor:

   • Er hält die Richtlinien zur Reaktion auf Verstöße und zur Benachrichtigung bei Verstößen aufrecht.
   • Er führt ein Register über Datenschutzverletzungen.

   • Er unternimmt wirtschaftlich vertretbare Anstrengungen mit dem Ziel:

     • Das Bewusstsein für die geltenden Vorschriften innerhalb des Unternehmens aufrechtzuerhalten.
     • Prüfungstätigkeiten in Bezug auf personenbezogene Daten.
   • Er benachrichtigt den Verantwortlichen (und, falls der Verantwortliche dies wünscht, die entsprechende Behörde oder die betroffenen Personen, wobei letztere den Einschränkungen gemäß Art. 34 Absatz 3 DSGVO unterliegen) unverzüglich und in Übereinstimmung mit der DSGVO über einen Vorfall.