DPA
Vereinbarung zur Datenverarbeitung
Zuletzt aktualisiert am 12. Februar 2024
Diese Datenverarbeitungsvereinbarung ("DPA") bildet einen rechtsverbindlichen Vertrag zwischen Ihnen ("Unternehmen") und Footprint Intelligence (mit Sitz in der Balanstr. 63, München, Bayern 81379, Deutschland) und gilt in dem Umfang, in dem Footprint Intelligence ("Lieferant") personenbezogene Kundendaten in Ihrem Namen verarbeitet, wenn Sie der für die Datenverarbeitung Verantwortliche sind. Diese DPA ist Bestandteil des Hauptvertrags und unterliegt dessen Bedingungen.
WENN
(A) Das Unternehmen handelt als Datenverantwortlicher.
(B) Das Unternehmen möchte die Dienste des Anbieters nutzen, die die Verarbeitung personenbezogener Daten des Unternehmens durch den Anbieter beinhalten, wie im Dienstleistungsvertrag zwischen dem Unternehmen und dem Anbieter, der die Nutzung der Dienste durch das Unternehmen regelt ("Hauptvertrag"), dargelegt. Der Lieferant handelt bei der Verarbeitung der personenbezogenen Daten des Unternehmens als Datenverarbeiter.
(C) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des derzeitigen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
(D) Die Parteien möchten ihre Rechte und Pflichten festlegen.
WIRD WIE FOLGT VEREINBART:
1. Definitionen und Auslegung
1.1 Sofern hier nicht anders definiert, haben die in dieser DPA verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:
1.1.1 "DPA" bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
1.1.2 "Personenbezogene Daten des Unternehmens" sind alle personenbezogenen Daten, die vom Datenverarbeiter oder einem seiner Unterauftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
1.1.4 "Datenschutzgesetze" sind die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;
1.1.5 "EWR" bezeichnet den Europäischen Wirtschaftsraum;
1.1.6 "EU-Datenschutzgesetze" bezeichnet die EU-Richtlinie 95/46/EG in der in den einzelnen Mitgliedstaaten in nationales Recht umgesetzten Fassung, die von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.7 "GDPR" bedeutet die EU-Datenschutzgrundverordnung 2016/679;
1.1.8 "Datenübermittlung" bedeutet:
1.1.8.1 eine Übermittlung personenbezogener Unternehmensdaten vom Unternehmen an den Lieferanten; oder
1.1.8.2 eine Weitergabe von personenbezogenen Daten des Unternehmens vom Lieferanten an einen Unterauftragsverarbeiter, in jedem Fall, wenn eine solche Weitergabe durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu berücksichtigen) verboten wäre;
1.1.9 "Dienstleistungen" bezeichnet die digitale Nachhaltigkeits- und Dekarbonisierungsplattform, die Online-Bildung oder die E-Learning-Dienste, die der Lieferant anbietet.
1.1.10 "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom oder im Namen des Datenverarbeiters mit der Verarbeitung personenbezogener Daten im Namen des Unternehmens in Verbindung mit der DSGVO beauftragt wird.
1.2 Die Begriffe "Kommission", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung, und ihre verwandten Begriffe sind entsprechend auszulegen.
2. Verarbeitung personenbezogener Daten des Unternehmens
2.1 Der Datenverarbeiter verpflichtet sich:
2.1.1 bei der Verarbeitung personenbezogener Daten des Unternehmens alle geltenden Datenschutzgesetze einzuhalten; und
2.1.2 die personenbezogenen Daten des Unternehmens nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Unternehmens zu verarbeiten.
3. Personal des Verarbeiters
Der Datenverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit seiner Mitarbeiter, Beauftragten oder Auftragnehmer sowie der Mitarbeiter, Beauftragten oder Kontrolleure seiner Unterauftragsverarbeiter zu gewährleisten, die Zugang zu den personenbezogenen Daten des Unternehmens haben, wobei in jedem Fall sichergestellt wird, dass der Zugang strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Datenverarbeiter oder Unterauftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.
4. Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Datenverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
Zu den Sicherheitsmaßnahmen der Unterauftragsverarbeiter gehören unter anderem: Datenhosting bei einem Cloud-Anbieter mit hohen Sicherheitsstandards, z. B. HIPAA, GDPR, ISO, PCI, SOC 2 Typ 2, sichere Datenübertragungen durch Verschlüsselung mit sicheren Protokollen wie HTTPS und schriftliche interne Sicherheitsrichtlinien.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus hat der Datenverarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.
5. Weiterverarbeitung
5.1 Der Datenverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine Unterauftragsverarbeiter ernennen (oder personenbezogene Daten des Unternehmens an diese weitergeben).
5.2 Mit der Unterzeichnung dieser DPA erteilt das Unternehmen seine Zustimmung zu den aufgeführten Unterauftragsverarbeitern:
AWS, Azure Cloudflare, Cloudinary, Docker Hub, Google Cloud, MongoDB Atlas, Open AI, Open Telekom Cloud, Paypal, Sentry, Stripe, Vercel, Vultr, Weglot
5.3 Beauftragt der Datenverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Unternehmens), so erfolgt dies im Rahmen eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt wie dem Datenverarbeiter gemäß dieser DSGVO. Der Datenverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen das Unternehmen gemäß dieser DSGVO und dem geltenden Datenschutzrecht unterliegt.
5.4 Auf Verlangen des Unternehmens stellt der Datenverarbeiter dem Unternehmen eine Kopie des Unterauftragsverarbeitungsvertrags und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenverarbeiter den Text der Vereinbarung vor der Weitergabe der Kopie unkenntlich machen.
5.5 Der Datenverarbeiter bleibt gegenüber dem Unternehmen für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Datenverarbeiter voll verantwortlich. Der Datenverarbeiter muss das Unternehmen über jede wesentliche Nichterfüllung der vertraglichen Verpflichtungen des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten des Datenverarbeiters in Übereinstimmung mit dieser DSGVO informieren.
6. Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
6.2 Der Datenverarbeiter muss:
6.2.1 das Unternehmen unverzüglich zu benachrichtigen, wenn es eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und
6.2.2 sicherstellen, dass er auf diese Anfrage nicht antwortet, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder ist nach geltendem Recht, dem der Datenverarbeiter unterliegt, erforderlich; in diesem Fall muss der Datenverarbeiter, soweit dies nach geltendem Recht zulässig ist, das Unternehmen über diese rechtliche Anforderung informieren, bevor der Auftragsverarbeiter auf die Anfrage antwortet.
7. Verletzung des Schutzes personenbezogener Daten
7.1 Der Datenverarbeiter hat das Unternehmen unverzüglich zu benachrichtigen, wenn er von einer Verletzung des Schutzes personenbezogener Daten erfährt, die sich auf personenbezogene Daten des Unternehmens bezieht, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Unterrichtung der betroffenen Personen oder einer Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Der Datenverarbeiter arbeitet mit dem Unternehmen zusammen und unternimmt auf Anweisung des Unternehmens angemessene kommerzielle Schritte, um bei der Untersuchung, Abschwächung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
8. Schutz der Daten
Folgenabschätzung und vorherige Konsultation. Der Datenverarbeiter unterstützt das Unternehmen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar in jedem Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch den Datenverarbeiter und die Unterauftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der ihnen zur Verfügung stehenden Informationen.
9. Löschung oder Rückgabe von personenbezogenen Daten des Unternehmens
9.1 Vorbehaltlich dieses Abschnitts 9. Der Datenverarbeiter löscht unverzüglich und in jedem Fall innerhalb von 10 Werktagen nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), alle Kopien dieser personenbezogenen Daten des Unternehmens und sorgt für deren Löschung, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor.
10. Prüfungsrechte
10.1 Vorbehaltlich dieses Abschnitts 10 hat der Datenverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung dieser DSGVO erforderlich sind, und Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die Auftragsverarbeiter zuzulassen und daran mitzuwirken.
10.2 Auskunfts- und Prüfungsrechte des Unternehmens ergeben sich aus Abschnitt 10.1 nur insoweit, als die DSGVO ihnen nicht anderweitig Auskunfts- und Prüfungsrechte einräumt, die den einschlägigen datenschutzrechtlichen Anforderungen genügen.
11. Datenübertragung
11.1 Der Datenverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine personenbezogenen Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Werden personenbezogene Daten, die im Rahmen dieser DPA verarbeitet werden, von einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, muss der Datenverarbeiter sicherstellen, dass die personenbezogenen Daten angemessen geschützt und in Übereinstimmung mit den EU-Datenschutzgesetzen übermittelt werden. Zu diesem Zweck überträgt der Datenverarbeiter, sofern nicht anders vereinbart, personenbezogene Daten an Unterauftragsverarbeiter in Ländern, die von der Europäischen Union einen "Angemessenheitsbeschluss" erhalten haben, oder er stützt sich auf von der EU genehmigte Standardvertragsklauseln für die Weiterübermittlung personenbezogener Daten an einen Unterauftragsverarbeiter außerhalb der EU/des EWR in einem Land ohne Angemessenheitsbeschluss.
12. Allgemeine Begriffe
12.1 Vertraulichkeit. Jede Partei muss diese DPA und die Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit dieser DPA und dem Hauptvertrag erhält ("vertrauliche Informationen"), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass:
(a) die Offenlegung gesetzlich vorgeschrieben ist;
(b) die betreffenden Informationen sind bereits öffentlich zugänglich.
12.2 Benachrichtigungen. Alle Mitteilungen im Rahmen dieser DPA bedürfen der Schriftform und werden persönlich zugestellt oder per Post oder per E-Mail an die in der Überschrift dieser DPA angegebene Adresse oder E-Mail-Adresse bzw. an eine andere, von den Parteien von Zeit zu Zeit mitgeteilte Adresse geschickt.
13. Geltendes Recht und Gerichtsstand
13.1 Diese DPA unterliegt dem Recht der Bundesrepublik Deutschland.
13.2 Für alle Streitigkeiten im Zusammenhang mit dieser DPA, die von den Parteien nicht gütlich beigelegt werden können, sind ausschließlich die Gerichte in München, Bayern, Deutschland zuständig.