DATENVERARBEITUNGSVEREINBARUNG
DPA
Standard-DPA · Version 1.0 · EvaluationsHub von Vockam SAS
Klicken Sie hier, um Ihr Konto zu unterschreiben. Kopieren
| Vertragsparteien | |
| Controller | [Name der Kundengesellschaft], eingetragen in [Gerichtsbarkeit], mit Sitz in [Adresse] („der Verantwortliche“) |
| Prozessor | Vockam SAS, eine französische Société par Actions Simplifiée (SAS), Registrierungsnr. 899272736 RCS Meaux, 1 Boulevard du huit mai 1945, 77260 La Ferté-sous-Jouarre, Frankreich, in Betrieb EvaluationsHub („der Prozessor“) |
| Datum des Inkrafttretens | [DATUM] |
| Geltendes Recht | Französisches Recht und EU-DSGVO |
| Gerichtsstand & Anwendbares Recht | Pariser Gerichte, Frankreich |
Diese Datenverarbeitungsvereinbarung („DPA“) ist die Standard-Datenverarbeitungsvereinbarung, die von Vockam SAS (Betreiber von Vockam SAS) herausgegeben wird. EvaluationsHub) gegenüber seinen Kunden. Sie ist Bestandteil des Rahmenvertrags bzw. der Nutzungsbedingungen („Hauptvertrag“) zwischen den oben genannten Parteien und legt die Bedingungen fest, unter denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der EvaluationsHub Mit der untenstehenden Unterschrift akzeptiert der Verantwortliche die Bedingungen dieser Datenverarbeitungsvereinbarung.
- Definitionen
In dieser Datenverarbeitungsvereinbarung haben die folgenden Begriffe die nachstehend angegebenen Bedeutungen:
| Datenschutzgesetze | Alle anwendbaren Rechtsvorschriften in Bezug auf Datenschutz und Privatsphäre, einschließlich der EU-Datenschutz-Grundverordnung 2016/679 („DSGVO“), des französischen Datenschutzgesetzes (Loi Informatique et Libertés) und aller anwendbaren nationalen Umsetzungsgesetze in ihrer jeweils gültigen Fassung. |
| Personenbezogene Daten | Hat die in Artikel 4(1) DSGVO angegebene Bedeutung: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. |
| Verarbeitung | Hat die in Artikel 4(2) DSGVO angegebene Bedeutung: jede mit personenbezogenen Daten durchgeführte Operation. |
| Datensubjekt | Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen. |
| Verletzung personenbezogener Daten | Hat die in Artikel 4 Absatz 12 DSGVO angegebene Bedeutung: eine Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt. |
| Unterauftragsverarbeiter | Jeder Dritte, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird. |
| Standardvertragsklauseln (SCCs) | Der Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer in der jeweils gültigen Fassung. |
| EWR | Der Europäische Wirtschaftsraum. |
| Toms | Technische und organisatorische Maßnahmen gemäß Anhang 2. |
- Umfang und Dauer
2.1 Gegenstand. Der Prozessor bietet eine Plattform für Lieferantenbeziehungsmanagement (SRM) und Kundenerfahrungsbewertung („EvaluationsHubDer Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich in dem Umfang, wie es für die Erbringung dieser Dienstleistungen gemäß dem Hauptvertrag erforderlich ist.
2.2 Dauer. Diese Auftragsverarbeitungsvereinbarung bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Rahmen des Hauptvertrags verarbeitet. Sie endet automatisch mit der Beendigung oder dem Ablauf des Hauptvertrags, vorbehaltlich der Fortgeltung der Verpflichtungen gemäß Ziffer 8 (Löschung oder Rückgabe von Daten).
- Verarbeitung nur nach Anweisung
3.1 Dokumentierte Anweisungen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen, wie in dieser Auftragsverarbeitungsvereinbarung oder dem Hauptvertrag festgelegt, es sei denn, dies ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, die Verarbeitung ist aus Gründen des öffentlichen Interesses gesetzlich untersagt.
3.2 Benachrichtigung bei Konflikten. Wenn der Auftragsverarbeiter der Ansicht ist, dass eine Anweisung des Verantwortlichen gegen Datenschutzgesetze verstößt, benachrichtigt er den Verantwortlichen unverzüglich und kann die betreffende Verarbeitung bis zur Klärung des Problems aussetzen.
3.3 Vertraulichkeit des Personals. Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung personenbezogener Daten befugten Personen vertragliche oder gesetzliche Vertraulichkeitsverpflichtungen eingegangen sind.
- Sicherheit
4.1 Angemessene Maßnahmen. Der Auftragsverarbeiter implementiert und erhält die in Anhang 2 (TOMs) aufgeführten technischen und organisatorischen Maßnahmen. Diese Maßnahmen gewährleisten ein dem Risiko angemessenes Sicherheitsniveau unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos für die Rechte und Freiheiten der betroffenen Personen.
4.2 Aktualisierungen der TOMs. Der Auftragsverarbeiter kann die TOMs von Zeit zu Zeit aktualisieren oder ändern, sofern eine solche Aktualisierung das allgemeine Sicherheitsniveau nicht wesentlich verringert. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen mindestens 30 Tage im Voraus über jede wesentliche Verringerung der Sicherheitsmaßnahmen.
4.3 Mitarbeiterschulung. Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter mit Zugriff auf personenbezogene Daten angemessen und regelmäßig in Bezug auf Datenschutzpflichten und Sicherheitspraktiken geschult werden.
- Unterauftragsverarbeitung
5.1 Allgemeine Genehmigung. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung zur Beauftragung der in Anhang 3 aufgeführten Unterauftragsverarbeiter unter den in dieser Ziffer 5 enthaltenen Bedingungen.
5.2 Pflichten von Unterauftragnehmern. Bevor der Auftragsverarbeiter einen Unterauftragnehmer einsetzt, verpflichtet er diesen zu Datenschutzpflichten, die den in dieser Auftragsverarbeitungsvereinbarung festgelegten Pflichten gleichwertig sind, insbesondere durch die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter Kontrollmechanismen. Der Auftragsverarbeiter haftet dem Verantwortlichen weiterhin uneingeschränkt für Handlungen und Unterlassungen seiner Unterauftragnehmer.
5.3 Änderungen der Unterauftragnehmer. Der Auftragsverarbeiter hat den Verantwortlichen mindestens 30 Tage im Voraus schriftlich über beabsichtigte Änderungen der Liste der Unterauftragnehmer (Hinzufügungen oder Ersetzungen) zu informieren. Der Verantwortliche kann solchen Änderungen innerhalb von 15 Tagen nach Erhalt der Mitteilung aus triftigen Gründen widersprechen. Widerspricht der Verantwortliche und kann der Auftragsverarbeiter dem Widerspruch nicht nachkommen, kann der Verantwortliche die betreffenden Dienstleistungen nach schriftlicher Mitteilung ohne Vertragsstrafe beenden.
5.4 Unterauftragnehmer außerhalb des EWR. Befindet sich ein Unterauftragnehmer außerhalb des EWR in einem Land, das von der Europäischen Kommission nicht als Land mit angemessenem Datenschutzniveau anerkannt ist, stellt der Auftragsverarbeiter sicher, dass ein geeigneter Übermittlungsmechanismus (z. B. Standardvertragsklauseln) vorhanden ist, bevor personenbezogene Daten an diesen Unterauftragnehmer übermittelt werden. Bestätigte Übermittlungsmechanismen für derzeitige Unterauftragnehmer außerhalb des EWR sind in Anhang 3 aufgeführt.
- Internationale Datenübertragungen
6.1 Primärspeicherung. Personenbezogene Daten werden primär innerhalb des EWR gespeichert und verarbeitet, wobei die AWS-Infrastruktur in der EU (Regionen Irland und Frankfurt) genutzt wird.
6.2 Übermittlungen außerhalb des EWR. Werden personenbezogene Daten in ein Land außerhalb des EWR übermittelt, für das kein Angemessenheitsbeschluss vorliegt, stellt der Auftragsverarbeiter sicher, dass vor der Übermittlung eine der folgenden Garantien besteht: a) Die EU-Standardvertragsklauseln (2021/914) wurden mit dem betreffenden Unterauftragsverarbeiter abgeschlossen; oder b) ein anderer nach Artikel 46 DSGVO anerkannter rechtmäßiger Übermittlungsmechanismus findet Anwendung. Einzelheiten zu den jeweils anwendbaren Garantien für jeden Unterauftragsverarbeiter sind in Anhang 3 aufgeführt.
6.3 Benachrichtigung. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn eine in Ziffer 6.2 genannte Schutzmaßnahme ihre Gültigkeit verliert oder sich wesentlich ändert.
- Unterstützung bei den Rechten betroffener Personen
7.1 Anfragen von betroffenen Personen. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß Kapitel III DSGVO ausüben (einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch).
7.2 Weiterleitung von Anfragen. Erhält der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person, leitet er diese innerhalb von 5 Werktagen an den Verantwortlichen weiter und darf die Anfrage selbst nicht ohne vorherige schriftliche Genehmigung des Verantwortlichen beantworten, es sei denn, dies ist gesetzlich vorgeschrieben.
7.3 Weitergehende Unterstützung. Der Auftragsverarbeiter unterstützt den Verantwortlichen auch bei der Einhaltung seiner Pflichten in Bezug auf: (a) die Sicherheit der Verarbeitung (Artikel 32 DSGVO); (b) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen (Artikel 33–34 DSGVO); und (c) Datenschutz-Folgenabschätzungen und vorherige Konsultation (Artikel 35–36 DSGVO).
- Benachrichtigung über Datenschutzverletzungen
8.1 Benachrichtigung des Verantwortlichen. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die personenbezogene Daten betrifft, die im Rahmen dieser Vereinbarung zur Auftragsverarbeitung verarbeitet werden.
8.2 Inhalt der Benachrichtigung. Diese Benachrichtigung muss, soweit bekannt, Folgendes enthalten: (a) eine Beschreibung der Art der Verletzung, einschließlich Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze; (b) Name und Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters (team@evaluationshub.com); c) eine Beschreibung der wahrscheinlichen Folgen des Verstoßes; und d) eine Beschreibung der zur Behebung des Verstoßes ergriffenen oder vorgeschlagenen Maßnahmen, einschließlich der Maßnahmen zur Schadensbegrenzung.
8.3 Weitere Informationen. Sofern zum Zeitpunkt der ersten Benachrichtigung nicht alle Informationen verfügbar sind, übermittelt der Auftragsverarbeiter die weiteren Informationen schrittweise, sobald diese verfügbar sind, ohne unangemessene Verzögerung.
8.4 Aufzeichnungspflicht. Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten, einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen, und stellt diese Aufzeichnungen dem Verantwortlichen auf Anfrage zur Verfügung.
- Datenerhaltung
9.1 Aufbewahrungsfristen. Der Auftragsverarbeiter speichert personenbezogene Daten nicht länger als für die in Anhang 1 genannten Zwecke erforderlich. Sofern nicht schriftlich anders vereinbart, gelten folgende maximale Aufbewahrungsfristen:
| Datenkategorie | Aufbewahrungsfrist |
| Aktive Benutzerkontodaten | Dauer des Hauptvertrags |
| Leistungsbeurteilungen und -bewertungen | 3 Jahre ab Erstellung, es sei denn, die Löschung wird früher beantragt. |
| Anmeldeinformationen (Zugriffsprotokolle) | 12 Monate ab Entstehung |
| Sicherungskopien | 90 Tage nach Beendigung des Hauptvertrags |
| Prüfprotokolle | 3 Jahre ab Entstehung (rechtliche Verpflichtung) |
- Löschung oder Rückgabe von Daten
10.1 Bei Beendigung. Nach Beendigung oder Ablauf des Hauptvertrags hat der Auftragsverarbeiter nach Wahl des Verantwortlichen und innerhalb von 30 Tagen nach Erhalt einer schriftlichen Aufforderung: (a) alle personenbezogenen Daten sicher in einem gängigen maschinenlesbaren Format an den Verantwortlichen zurückzugeben; oder (b) alle personenbezogenen Daten (und alle Kopien davon) sicher zu löschen und zu vernichten, es sei denn, das Recht der Union oder eines Mitgliedstaats schreibt eine weitere Speicherung vor.
10.2 Bestätigung. Der Auftragsverarbeiter übermittelt dem Verantwortlichen innerhalb von 30 Tagen nach Abschluss der Maßnahme eine schriftliche Bestätigung über die Löschung oder Rückgabe.
10.3 Restkopien. Der Auftragsverarbeiter trifft wirtschaftlich zumutbare Anstrengungen, um sicherzustellen, dass Unterauftragsverarbeiter personenbezogene Daten ebenfalls gemäß dieser Klausel 10 löschen oder zurückgeben.
- Prüfungsrechte
11.1 Informationen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen aus dieser Auftragsverarbeitungsvereinbarung und Artikel 28 DSGVO nachzuweisen.
11.2 Prüfungen. Der Auftragsverarbeiter gestattet und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, sofern folgende Bedingungen erfüllt sind: (a) Der Verantwortliche kündigt den Auftragsverarbeiter mindestens 30 Tage im Voraus schriftlich an; (b) Prüfungen werden höchstens einmal pro Kalenderjahr durchgeführt (außer nach einem vermuteten Verstoß gegen die Datenschutzbestimmungen); (c) die Prüfung wird während der üblichen Geschäftszeiten und so durchgeführt, dass Störungen minimiert werden; und (d) die Kosten der Prüfung trägt der Verantwortliche, es sei denn, die Prüfung deckt wesentliche Verstöße auf; in diesem Fall trägt der Auftragsverarbeiter die Kosten.
11.3 Zertifizierungen. Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter Kopien relevanter Zertifizierungen Dritter (z. B. ISO 27001, sobald diese vorliegen) oder Zusammenfassungen von Sicherheitsbewertungen anstelle oder zusätzlich zu einem Vor-Ort-Audit zur Verfügung, sofern dies erforderlich ist. Der Auftragsverarbeiter strebt derzeit eine ISO-27001-Zertifizierung an.
- Datenschutz-Folgenabschätzungen
12.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise bei der Durchführung der nach Artikel 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung (DSFA), indem er: (a) relevante Informationen über die Verarbeitungsvorgänge, Risiken und bestehenden TOMs bereitstellt; (b) nach angemessener Vorankündigung an Konsultationstreffen teilnimmt; und (c) schriftliche Anfragen zu den in Anhang 1 beschriebenen Verarbeitungstätigkeiten unverzüglich beantwortet.
- Haftungsausschluss
13.1 Haftungsbeschränkung. Soweit gesetzlich zulässig, ist die Gesamthaftung des Auftragsverarbeiters gegenüber dem Verantwortlichen im Rahmen oder im Zusammenhang mit dieser Auftragsverarbeitungsvereinbarung (unabhängig davon, ob sie auf Vertrag, unerlaubter Handlung, Fahrlässigkeit oder sonstigen Gründen beruht) auf die Summe der vom Verantwortlichen an den Auftragsverarbeiter in den zwölf Monaten vor dem anspruchsbegründenden Ereignis gezahlten oder zu zahlenden Gebühren beschränkt (die „Haftungsbeschränkung“). Sofern die Laufzeit des Hauptvertrags zum Zeitpunkt der Anspruchserhebung weniger als zwölf Monate beträgt, entspricht die Haftungsbeschränkung der bis dahin gemäß dem Hauptvertrag gezahlten oder zu zahlenden Gesamtgebühr.
13.2 Ausnahmen von der Haftungsbeschränkung. Die Haftungsbeschränkung gilt nicht für: (a) die Haftung einer Partei für Tod oder Körperverletzung aufgrund von Fahrlässigkeit; (b) die Haftung einer Partei für Betrug oder arglistige Täuschung; oder (c) jegliche Haftung, die nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann.
13.3 Gegenseitige Haftung. Sind beide Parteien für einen durch einen Verstoß gegen die DSGVO verursachten Schaden verantwortlich, haftet jede Partei gemäß Artikel 82 DSGVO anteilig für ihren jeweiligen Schaden. Die Haftungsbegrenzung in Ziffer 13.1 gilt für den Anteil des Auftragsverarbeiters an einer solchen Haftung.
13.4 Schadensminderung. Jede Partei trifft angemessene Maßnahmen, um den ihr durch einen Verstoß der anderen Partei gegen diese Datenschutzvereinbarung entstehenden Verlust oder Schaden zu mindern.
- Geltendes Recht und Gerichtsstand
14.1 Diese Datenverarbeitungsvereinbarung unterliegt französischem Recht und anwendbarem EU-Recht, einschließlich der DSGVO, und ist entsprechend auszulegen.
14.2 Alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Datenschutzvereinbarung entstehen, unterliegen der ausschließlichen Zuständigkeit der Gerichte von Paris, Frankreich, sofern nicht durch geltendes Recht etwas anderes vorgeschrieben ist.
- Unterschriften
Mit ihrer Unterschrift unten stimmen die Parteien den Bedingungen dieser Datenverarbeitungsvereinbarung zu.
| Für und im Namen des Verantwortlichen (Kunden) | Für und im Namen von Vockam SAS (Auftragnehmer) |
| Vollständiger Name: _______________________________ | Vollständiger Name: Bert Paesbrugghe |
| Titel: ____________________________________ | Titel: Gründer & CEO, Vockam SAS |
| Unternehmen: _________________________________ | Unternehmen: Vockam SAS |
| Signatur: | Signatur: |
ANHANG 1 — Beschreibung der Verarbeitungstätigkeiten
| Kategorien betroffener Personen | • Mitarbeiter des Kunden und autorisierte Plattformnutzer • Vertreter der Lieferanten und Händler des Kunden |
| Arten von personenbezogenen Daten | • Namen und Berufsbezeichnungen • Berufliche E-Mail-Adressen • Geschäftliche Kontaktdaten (Telefon, Adresse) • Namen von Lieferanten und Kunden • Daten zur Leistungsbeurteilung • Anmeldedaten für die Plattform (werden nur als Einweg-Hashwerte gespeichert; Klartext-Anmeldedaten werden niemals aufbewahrt) • Benutzerverhaltens- und Nutzungsprotokolle |
| Art der Verarbeitung | Erhebung, Speicherung, Abruf, Nutzung, Weitergabe (an autorisierte Benutzer) und Löschung personenbezogener Daten. |
| Zweck der Verarbeitung | Um Lieferanten- und Kundenbewertungen, Risikoanalysen und die Verwaltung der SRM-Plattform im Rahmen der EvaluationsHub ist es machbar. |
| Rechtsgrundlage (Grundlage des Verantwortlichen) | Der Verantwortliche ist dafür verantwortlich, seine eigene Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 DSGVO zu ermitteln und zu dokumentieren (z. B. Artikel 6(1)(b) – Erfüllung eines Vertrags; oder Artikel 6(1)(f) – berechtigte Interessen). EvaluationsHub verarbeitet personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen und legt die Rechtsgrundlage nicht fest. |
ANHANG 2 – Technische und organisatorische Maßnahmen (TOMs)
| Messen | Umsetzung |
| Verschlüsselung in Ruhe | AES-256-Verschlüsselung für alle in AWS S3- und RDS-Datenbanken gespeicherten personenbezogenen Daten. |
| Verschlüsselung während der Übertragung | Für alle Datenübertragungen wird TLS 1.2 oder höher verwendet. TLS 1.0 und 1.1 sind deaktiviert. |
| Zugangskontrolle | Strenge rollenbasierte Zugriffskontrolle (RBAC). Der Zugriff auf personenbezogene Daten wird nur nach dem Need-to-know-Prinzip gewährt. |
| Authentifizierung | Die Zwei-Faktor-Authentifizierung (2FA) ist für alle Mitarbeiter- und Administratorenkonten mit Zugriff auf personenbezogene Daten obligatorisch. |
| Umgang mit Anmeldeinformationen | Benutzerpasswörter werden ausschließlich als Einweg-Salt-Hashes (bcrypt oder ein gleichwertiges Verfahren) gespeichert. Passwörter im Klartext werden niemals gespeichert oder protokolliert. |
| Datenresidenz | Alle personenbezogenen Daten werden in AWS-EU-Regionen (Irland/Frankfurt) gespeichert. Eine Übertragung personenbezogener Daten außerhalb des EWR erfolgt nur, wenn ein gültiger Übermittlungsmechanismus vorhanden ist (siehe Anhang 3). |
| Datensicherung und Ausfallsicherheit | Automatisierte tägliche Backups werden in AWS-Verfügbarkeitszonen innerhalb der EU gespeichert. RPO: 24 Stunden. RTO: 8 Stunden. |
| Prüfprotokolle | Für alle Datenzugriffe, -änderungen und -löschungen werden unveränderliche Protokolle geführt. Diese Protokolle werden drei Jahre lang aufbewahrt. |
| Schwachstellenmanagement | Regelmäßige Sicherheitstests werden gemäß dem Sicherheitsprogramm des Prozessors durchgeführt. Der Prozessor strebt aktiv die ISO 27001-Zertifizierung an. Kritische Schwachstellen werden nach Risikopriorisierung behoben. |
| Vorfallreaktion | Ein dokumentierter Notfallplan wird geführt und jährlich getestet. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen innerhalb von 72 Stunden nach einer bestätigten Verletzung des Schutzes personenbezogener Daten zu benachrichtigen (siehe Ziffer 8). |
| Lieferantenmanagement | Unterauftragnehmer unterliegen vor ihrer Beauftragung einer datenschutzrechtlichen Sorgfaltspflicht und vertraglichen Datenschutzverpflichtungen. |
ANHANG 3 – Zugelassene Unterauftragnehmer
Die folgenden Unterauftragnehmer sind zum Stichtag autorisiert. Der Auftragsverarbeiter wird Änderungen gemäß Ziffer 5.3 30 Tage im Voraus ankündigen.
| Unterauftragsverarbeiter | Zweck | Land auswählen | Übertragungsmechanismus | Datenkategorien |
| Amazon Web Services (AWS) | Cloud-Infrastruktur und Hosting | EWR (Irland / Frankfurt) | Angemessenheit – EWR-basiert; AWS-Datenschutzvereinbarung vorhanden | Alle personenbezogenen Daten |
| Stripe | Zahlungsabwicklung (sofern zutreffend) | USA | SCCs (Modul 2: Controller-zu-Prozessor) ausgeführt | Name des Rechnungskontakts, E-Mail-Adresse, Zahlungsmetadaten |
| Zoho Corporation | CRM, E-Mail-Kampagnen, Support-Chat | USA / Indien | Standardvertragsklauseln (Modul 2) ausgeführt; Option für EU-Datenresidenz in Zoho aktiviert. Hinweis: Der Umfang der von KI-Funktionen in Zoho verarbeiteten Daten unterliegt der Datenverarbeitungsvereinbarung und den Datenschutzbestimmungen von Zoho, abrufbar unter zoho.com/privacy.html | Namen, E-Mail-Adressen, geschäftliche Kontaktdaten |
| Pitangent Technologies | Softwareentwicklung und -wartung | Indien | Standardvertragsklauseln (Modul 2: Verantwortlicher-Auftragsverarbeiter) ausgeführt; Zugriff beschränkt auf anonymisierte/Testdaten; kein Zugriff auf personenbezogene Produktionsdaten ohne Zustimmung des Verantwortlichen. | Anonymisierte/pseudonymisierte Daten nur im Normalfall |
| Mixpanel | Analyse der Plattformnutzung | USA | Standardvertragsklauseln (Modul 2) ausgeführt; EU-Datenspeicherung aktiviert | ausschließlich pseudonymisierte Verhaltens- und Nutzungsprotokolle |
* EvaluationsHub (Vockam SAS) gewährleistet, dass mit allen oben genannten Unterauftragnehmern außerhalb des EWR Standardvertragsklauseln (SCCs) bzw. gleichwertige Übertragungsmechanismen bestehen. Kopien der relevanten SCCs sind dem Verantwortlichen auf schriftliche Anfrage an team@ erhältlich.evaluationshub. Com.
