Last Update: 11.05.2018

zenloop

Auftragsverarbeitungsvereinbarung

(AVV)

Vereinbarung über die Verarbeitung von Daten im Auftrag gemäß Artikel 28 DSGVO

Dieser Auftragsverarbeitungsvertrag gilt zwischen Ihnen

- Auftraggeber -

und der

zenloop GmbH
Brunnenstr. 196
10119 Berlin

-Auftragsverarbeiter -

§ 1
Präambel, Gegenstand und Rangfolge

(1) Allgemeines. Diese Vereinbarung (die „Auftragsverarbeitungsvereinbarung" oder die "AVV") ist Teil des Rahmenvertrages über die Bereitstellung unserer Dienste zwischen Ihnen und zenloop (der „Vertrag").

(2) Gegenstand der Vereinbarung. Diese AVV beschreibt, wie zenloop Befragtendaten, die Sie uns im Zusammenhang mit Ihrer Nutzung unserer Dienste zur Verfügung stellen, gemäß den Anforderungen der Datenschutzgesetze verarbeitet.

(3) Konflikte. Im Falle eines Konfliktes haben die Bestimmungen dieser AVV Vorrang gegenüber den Bestimmungen des Vertrages.

§ 2
Definitionen

In dieser Auftragsverarbeitungsvereinbarung werden wir bestimmte Worte oder Sätze verwendet, und es ist wichtig, dass Sie deren Bedeutung verstehen. Die Liste ist nicht allumfassend und keine Definition sollte als verbindlich angesehen werden, sobald sie diese Auftragsverarbeitungsvereinbarung als sinnwidrig erscheinen lässt:

(1) „Vertrag" bezeichnet den Vertrag zwischen Ihnen und zenloop über die Bereitstellung unserer Dienste, wie in unseren Allgemeinen Geschäftsbedingungen niedergelegt.

(2) „Kunde" oder „Sie" bezieht sich auf Sie, die Person, die den Vertrag (einschließlich dieser AVV) mit zenloop eingeht. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen der Organisation zu und Sie versichern, dass Sie dazu berechtigt sind. In einem solchen Fall bezieht sich „Kunde" oder „Sie" auf diese Organisation.

(3) „Datenschutzgesetze" bezeichnet alle Gesetze und Vorschriften, einschließlich solchen der Europäischen Union, des Europäischen Wirtschaftsraumes und seiner Mitgliedstaaten, die auf die Verarbeitung von personenbezogenen Daten (inklusive Daten bezüglich der Bereitstellung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) Anwendung finden, insbesondere die DSGVO, das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das deutsche Telekommunikationsgesetz (TKG) und das deutsche Telemediengesetz (TMG).

(4) „DSGVO" bezeichnet die europäische Datenschutzgrundverordnung.

(5) „Auftragsverarbeitung" oder „Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, welche von zenloop als Teil der Dienste in Bezug auf Befragtendaten durchgeführt wird, unabhängig davon, ob dies durch automatische Mittel erfolgt oder nicht, insbesondere die Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abfrage, Beratung, Verwendung, Veröffentlichung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Blockierung, Löschung oder Vernichtung von Daten.

(6) „Dienste" bezeichnet die Dienste, die wir über unsere Site zur Verfügung stellen, inklusive unserer Insight- und Loyalty-Dienste für Kunden.

(7) „Site" bezeichnet sowohl unsere Website, www.zenloop.com, als auch die angeschlossene Plattform.

(8) „Unterauftragnehmer" bezeichnet einen von zenloop beauftragten Dritten, der im Rahmen seiner Beauftragung Befragtendaten verarbeitet.

(9) „Befragter" bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen ist und die über unsere Site von Ihnen kontaktiert wurde oder kontaktiert werden wird.

(10) „Befragtendaten" bezeichnet personenbezogene Informationen eines Befragten, die Sie oder einer Ihrer Befragten zenloop in Verbindung mit Ihrer Nutzung der Dienste zur Verfügung gestellt haben.

Andere Begriffe haben die Bedeutung, die ihnen unter dieser Vereinbarung oder im Vertrag gegeben wurden.

§ 3
Gegenstand und Dauer der Verarbeitung, Art der Befragtendaten und Kategorien betroffener Personen

(1) Allgemeiner Gegenstand. Unter dieser Auftragsverarbeitungsvereinbarung verarbeitet zenloop Befragtendaten im Auftrag des Kunden gemäß Artikel 28 DSGVO.

(2) Dauer. Diese Auftragsverarbeitungsvereinbarung gilt solange, wie zenloop Dienste unter dem Vertrag erbringt, und endet automatisch mit Ablauf oder Kündigung des Vertrages.

(3) Gegenstand, Art und Zweck der Verarbeitung. Gegenstand, Art und Zweck der Verarbeitung von Befragtendaten sind im Vertrag und in unserer Datenschutzerklärung definiert.

(4) Art der Daten. Die Verarbeitung kann folgende Typen/Kategorien von Befragtendaten enthalten: personenbezogene Informationen, einschließlich Name oder E-Mailadresse, Nutzungsdaten, Gerätedaten, Referenzdaten und Informationen von Cookies und Page-Tags.

(5) Kategorien betroffener Personen. Die von der Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet: (i) Kunden des Kunden; (ii) Mitarbeiter des Kunden; (iii) Geschäftskontakte des Kunden; in jedem der zuvor genannten Fälle (i) bis (iii) jeweils in dem Umfang, in welchem ein solcher Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen über unsere Site kontaktiert wurde oder kontaktiert werden wird.

§ 4
Weisungen des Kunden

(1) Weisungen. Solange wir für Sie Dienste erbringen, können Sie uns im Hinblick auf die Verarbeitung von Befragtendaten ergänzend zu den in dieser AVV niedergelegten Bestimmungen weitere Anweisungen über Art, Umfang und Verfahren der Datenverarbeitung erteilen (jede dieser Anweisungen wird hiernach als eine „Weisung" bezeichnet). Weisungen können in schriftlicher oder elektronischer Form erteilt werden. Wir werden Ihre Befragtendaten entsprechend den Weisungen verarbeiten.

(2) Änderungsanträge. Jede Weisung, die diese AVV verändert oder davon abweicht, stellt einen Änderungsantrag dar und unterliegt den in § 14 (1) beschriebenen Anforderungen. Im Hinblick auf Änderungen der Dienste und/oder der Gebühren, die aus Ihren Weisungen resultieren, werden wir nach Treu und Glauben mit Ihnen verhandeln.

(3) Übereinstimmung mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, sicherzustellen, dass Ihre Weisungen mit den Datenschutzgesetzen übereinstimmen.

(4) Mitteilung. Sind wir der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, werden wir Sie unverzüglich darüber informieren.

§ 5
Rechte und Pflichten des Kunden

(1) Übereinstimmung der Verarbeitung mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, sicherzustellen, dass die Verarbeitung von Befragtendaten nach dieser Vereinbarung mit den Anforderungen der Datenschutzgesetze übereinstimmt, insbesondere hinsichtlich (i) der Übertragung von Befragtendaten an zenloop (inklusive der Bereitstellung jeglicher erforderlicher Mitteilungen und dem Einholen aller erforderlichen Zustimmungen), (ii) der Verwendung von Befragtendaten in Verbindung mit von Ihnen durchgeführter Vermarktung oder Werbung und (iii) Ihrer Entscheidungen und Tätigkeiten im Hinblick auf die Verarbeitung und Verwendung der Befragtendaten.

(2) Der Kunde als Verantwortlicher. Sie sind gemäß Artikel 4 Paragraf 7 DSGVO Verantwortlicher. Sie tragen die alleinige Verantwortung für die Richtigkeit, Beschaffenheit und Rechtsgültigkeit der Befragtendaten sowie für die Mittel, mit denen Sie die Befragtendaten erworben haben.

(3) Aufzeichnung von Verarbeitungsaktivitäten. Sie sind gemäß Artikel 30 DSGVO dafür verantwortlich, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

(4) Mitteilungspflicht. Sie werden uns unverzüglich über jeden Fehler, den Sie in unseren Diensten entdecken, und über jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Vorschriften zum Datenschutz informieren.

§ 6
Pflichten von zenloop

(1) Verarbeitung nur zur Bereitstellung der Dienste. Wir werden Ihre Befragtendaten nur gemäß Ihrer dokumentierten Weisungen und nur zur Bereitstellung unserer Dienste in Übereinstimmung mit Artikel 28 Paragraf 3 DSGVO verarbeiten. Wir werden (i) Ihre Befragtendaten zu keinen anderen Zwecken verarbeiten oder verwenden als zu jenen, die im Vertrag oder in dieser Auftragsverarbeitungsvereinbarung festgesetzt sind, und (ii) Ihre Befragtendaten nicht gegenüber Dritten (außer gegenüber Unterauftragnehmern zu den vorgenannten Zwecken) offenlegen, es sei denn, dass dies aufgrund von Unionsrecht oder Rechtsvorschriften der Mitgliedstaaten, denen wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese gesetzliche Anforderung informieren, falls das Gesetz solche Informationen nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

(2) Verarbeitung innerhalb und außerhalb der EU/des EWR. Grundsätzlich verarbeiten wir Befragtendaten innerhalb der Bundesrepublik Deutschland, einem Mitgliedstaat der Europäischen Union oder eines anderen Unterzeichners des Abkommens über den Europäischen Wirtschaftsraum. In einzelnen Fällen übertragen wir außerdem Befragtendaten an unsere Unterauftragnehmer in den USA, siehe Anlage 2.

(3) Mitarbeiter von zenloop. Wir gewährleisten, dass unsere an der Verarbeitung von Befragtendaten beteiligten und hierfür autorisierten Mitarbeiter über die Vertraulichkeit der Befragtendaten informiert sind und sich entweder vertraglich zur Geheimhaltung dieser Daten verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

(4) Unsere Datenschutzbeauftragte. Wir haben eine Datenschutzbeauftragte ernannt: Inna Gendelman, ISiCO Datenschutz GmbH, Am Hamburger Bahnhof 4, 10557 Berlin. Diese Person ist per E-Mail erreichbar über dpo@zenloop.com.

§ 7
Technische und organisatorische Maßnahmen

(1) zenloop TOM-Maßnahmen. Wenn wir Befragtendaten in Ihrem Namen verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO dafür erforderlichen Maßnahmen. Wir haben bestimmte technische und organisatorische Maßnahmen, wie in Anlage 1 spezifiziert, für die Verarbeitung solcher Daten eingeführt und werden diese aufrechterhalten. Diese Maßnahmen dienen dem Zweck, Befragtendaten gegen versehentlichen oder unberechtigten Verlust, Vernichtung, Veränderung, Veröffentlichung oder Zugriff und gegen alle anderen rechtswidrigen Verarbeitungsformen zu schützen.

(2) Änderungen der TOMs. Alle technischen und organisatorischen Maßnahmen zur Datensicherheit unterliegen dem technischen Fortschritt und der technischen Entwicklung. Dementsprechend dürfen wir unsere Sicherheitsmaßnahmen ändern und/oder alternative Sicherheitsmaßnahmen einführen, vorausgesetzt jedoch, dass diese nicht hinter dem Sicherheitsstandard, der vertraglich in Anlage 1 vereinbart wurde, zurückbleiben.

§ 8
Kontrollrechte des Kunden

(1) Kundenprüfungen. Sie können vor Beginn unserer Dienste und bis zu einmal pro Jahr während der Durchführung unserer Dienste die von zenloop eingeführten technischen und organisatorischen Maßnahmen überprüfen. Sie können häufigere Überprüfungen bis zu dem Umfang, den die Datenschutzgesetze fordern, durchführen.

(2) Details in Bezug auf Prüfungen. Im Verlauf einer solchen Prüfung können Sie insbesondere die folgenden Maßnahmen durchführen: (i) Sie können sämtliche Informationen von zenloop erhalten, die notwendig sind, um darzulegen, dass alle in dieser AVV festgehaltenen Pflichten erfüllt werden. (ii) Sie können zenloop dazu auffordern, Ihnen ein bestehendes Zertifikat eines qualifizierten externen Prüfers zu übermitteln. (iii) Sie können nach angemessener vorheriger Ankündigung, während der regulären Geschäftszeiten und ohne Beeinträchtigung von zenloops Geschäftstätigkeiten, vor Ort eine Inspektion jener Teile von zenloops Geschäftsräumen (vorbehaltlich zenloops Sicherheits-Richtlinien) durchführen, in denen Befragtendaten verarbeitet werden.

(3) Vor-Ort-Inspektionen. Um eine vor Ort-Inspektion zu beantragen, müssen sie uns mindestens zwei Wochen vor dem vorgeschlagenen Inspektionstermin einen Inspektionsplan zukommen lassen, der den vorgeschlagenen Rahmen, die Dauer und den Starttermin der Inspektion beschreibt. Wir werden den Inspektionsplan überprüfen und Ihnen unsere Anliegen oder Fragen zukommen lassen (z.B. Anfragen zu Informationen, die zenloops Sicherheits-, Datenschutz,- Mitarbeiter- oder andere relevante Bestimmungen beeinträchtigen könnten).

(4) Bericht anstelle einer Prüfung. Wenn der beantragte Prüfungsrahmen in einem SSAE 16/ISAE Typ 2, ISO, NIST oder einem ähnlichen Prüfbericht behandelt wurde und von einem qualifizierten externen Prüfer innerhalb der vorausgegangenen zwölf Monate durchgeführt wurde, erklären Sie sich damit einverstanden, anstelle der von Ihnen beantragten Prüfung der Systeme den Prüfbericht zu akzeptieren.

(5) Nutzung von Berichten. Sie stellen uns alle nach diesem Abschnitt generierten Prüfberichte zur Verfügung, falls dies nicht gesetzlich verboten ist. Sie dürfen die Prüfberichte nur dazu benutzen, zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen die Anforderungen dieser Auftragsverarbeitungsvereinbarung erfüllen. Die Prüfberichte sind gemäß den Bedingungen des Vertrages vertrauliche Informationen der Parteien.

(6) Prüfungskosten. Jede Prüfung erfolgt auf Ihre eigenen Kosten. Jede Anfrage an zenloop um Unterstützung bei einer Prüfung wird als separater Dienst angesehen, sofern eine solche Prüfungsunterstützung die Verwendung von anderen oder zusätzlichen Ressourcen erforderlich macht. Wir werden Ihre schriftliche Genehmigung und Ihr Einverständnis zur Zahlung der damit verbundenen Gebühren einholen, bevor wir eine solche Prüfungsunterstützung zur Verfügung stellen.

(7) Externe Prüfer. Wenn ein Dritter die Prüfung durchführt, müssen sich der Kunde und zenloop gemeinsam mit dem Dritten einverstanden erklären und, bevor die Prüfung durchgeführt wird, muss eine für zenloop akzeptable schriftliche Vertraulichkeitsvereinbarung abgeschlossen werden.

§ 9
Unterauftragnehmer

(1) Unterauftragnehmer. Wir dürfen Unterauftragnehmer einsetzen, um uns bei der Verarbeitung Ihrer Befragtendaten zu unterstützen. Durch den Abschluss dieser AVV geben Sie uns Ihre allgemeine schriftliche Genehmigung zu der Verwendung von Unterauftragnehmern gemäß Artikel 28 Paragraf 2 DSGVO. Die Liste der Unterauftragnehmer finden Sie in Anlage 2. Wenn wir beabsichtigen, einen Unterauftragnehmer hinzuzuziehen oder zu ersetzen, werden wir Sie darüber informieren, um Ihnen die Möglichkeit zu geben, gegen eine solche Änderung Einspruch zu erhebe.

(2) Unsere Vereinbarungen mit Unterauftragnehmern. Wir gewährleisten, dass unsere Unterauftragnehmer sich im Rahmen dieser AVV an dieselben Verpflichtungen wie zenloop halten. Dies gilt insbesondere für die Anforderungen in § 4, § 7, § 8, und § 10bis § 13. zenloop bleibt jederzeit verantwortlich für die Erfüllung der Bedingungen dieser AVV durch alle Unterauftragnehmer, die an der Erbringung unserer Dienste für Sie beteiligt sind.

(3) Kopien der relevanten Bestimmungen. Sie sind dazu berechtigt, Kopien der relevanten Bestimmungen aus zenloops Vereinbarungen mit unseren Unterauftragnehmern zu erhalten, der Ihre Befragtendaten verarbeiten, falls die Vereinbarung keine vertraulichen Inhalte enthält; sollte dies der Fall sein, kann zenloop eine redigierte Version der Vereinbarung zur Verfügung stellen.

(4) Zusätzliche Dienste. Dieser § 9 gilt nicht, wenn wir dritte Parteien für zusätzliche Dienste einsetzen; diese umfassen insbesondere Telekommunikationsdienste, Post- und Versanddienste, Gebäudesicherheitsdienste, Gebäudemanagementdienste und Dienste im Zusammenhang mit der Reinigung oder Entsorgung von Datenmedien.

§ 10
Betroffenenrechte

(1) Weiterleiten von Anfragen. Wenn ein Betroffener uns dazu auffordert, Befragtendaten zu berichtigen, zu sperren oder zu löschen, leiten wir die Anfrage an Sie weiter. zenloop wird ohne Ihre vorherige schriftliche Genehmigung keine Anfragen von Betroffenen beantworten.

(2) Unterstützung. Wenn ein Betroffener Sie dazu auffordert, Befragtendaten zu berichtigen, zu sperren oder zu löschen, oder wenn ein Betroffener Auskunft über die Erhebung, Verarbeitung oder Verwendung der Befragtendaten in Verbindung mit unserem Dienst erbittet, und Sie nicht dazu in der Lage sind, die Anfrage über unsere Site selbst abzuhandeln, werden wir Sie, soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung und der Erledigung der Anfrage unterstützen, vorausgesetzt dass (i) Sie uns schriftlich oder in Textform eine entsprechende Weisung erteilen und (ii) Sie uns für die Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstehen, entschädigen.

§ 11
Löschen von Daten und Rückgabe der Datenmedien

(1) Keine Kopien oder Duplikate. Wir werden ohne Ihr vorheriges Wissen keine Kopien oder Duplikate Ihrer Befragtendaten anfertigen. Ungeachtet des vorhergehenden Satzes dürfen wir (i) Backup-Kopien im erforderlichen Umfang anfertigen, um das korrekte Verarbeiten der Befragtendaten sicherzustellen, und (ii) Kopien der Befragtendaten erstellen und aufbewahren, soweit dies zur Erfüllung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.

(2) Löschen von Daten. Nach der Löschung Ihres Accounts, oder nach Ihrer schriftlichen Anfrage zu einem früheren Zeitpunkt, werden wir nach Ihrer Wahl alle Kopien Ihrer Befragtendaten entweder aus unseren Systemen löschen oder an Sie zurücksenden. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung oder Rückgabe ergeben. Es liegt in Ihrer Verantwortung, sicherzustellen, dass alle Befragtendaten vor der Löschung oder der Rücksendung an Sie ein Back-up erhalten oder kopiert werden.

(3) Rücksendung von Datenmedien. Wenn wir im Rahmen unserer Dienste von Ihnen Datenmedien erhalten haben, die Befragtendaten enthalten, werden wir Ihnen solche Datenmedien, die sich zum Zeitpunkt des Löschens Ihres Accounts oder nach Ihrer schriftlichen Anfrage noch in unserem Besitz befinden, zurücksenden.

(4) Weitere Nutzung zur Erfüllung gesetzlicher Verpflichtungen. Ungeachtet des oben Gesagten werden wir Ihre Befragtendaten zur Erfüllung unserer gesetzlichen Verpflichtungen, zur Lösung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen bewahren und nutzen.

§ 12
Service-Analysen

(1) Service-Analysen. Wir dürfen (i) statistische und andere Informationen im Zusammenhang mit der Durchführung, des Betreibens und der Verwendung unserer Dienste zusammenstellen und (ii) Daten aus unserer Dienstleistungs-Umgebung in aggregierter Form für das Sicherheits- und Betriebsmanagement verwenden, um statistische Analysen zu erstellen, sowie für Forschungs- und Entwicklungszwecke (die Fälle (i) und (ii) werden kollektiv als „Service-Analysen" bezeichnet).

(2) Keine persönlichen Daten in Service-Analysen. Service-Analysen werden keine Befragtendaten der Kunden in einer Form enthalten, die einen Befragten identifizieren oder zur Identifizierung beitragen könnte. zenloop behält alle geistigen Eigentumsrechte an den Service-Analysen.

§ 13
Mitteilungspflichten und weiterer Support

(1) Mitteilungen von (behördlichen) Durchsuchung und Beschlagnahmen. Wir werden Sie unverzüglich darüber informieren, wenn Ihre Befragtendaten unter unserer Kontrolle zum Gegenstand einer Durchsuchung oder Beschlagnahme, eines Pfändungsbeschlusses, einer Konfiszierung während einer Insolvenz oder eines Insolvenzverfahrens oder ähnlichen Maßnahmen durch Dritte geworden sind. In einem solchen Fall werden wir alle an einer solchen Aktion beteiligten Parteien darüber informieren, dass jegliche hier betroffenen Daten sich in Ihrem alleinigen Eigentum befinden und in Ihren Verantwortungsbereich fallen, dass die Daten zu Ihrer alleinigen Verfügung stehen und dass Sie der für die Verarbeitung Verantwortliche im Sinne der DSGVO sind.

(2) Mitteilung über Zwischenfälle und Rechtsverstöße. Wir werden Sie unverzüglich informieren, wenn wir erkennen, dass (i) Ihre Befragtendaten Gegenstand eines Sicherheitsvorfalls (inklusive durch einen zenloop-Mitarbeiter) geworden sind oder (ii) wenn durch zenloop ein Rechtsverstoß (inklusive durch einen zenloop-Mitarbeiter) gegen die Datenschutzgesetze, die für die Durchführung unserer Dienste Ihnen gegenüber gelten, oder gegen eine der Bestimmungen, die in dieser AVV festgesetzt wurden, stattgefunden hat. In einem solchen Fall werden wir den Sicherheitsvorfall oder den Rechtsverstoß sofort untersuchen und angemessene Maßnahmen zur Identifizierung der Grundursache und der Verhinderung einer Wiederholung ergreifen.

(3) Unterstützung. Falls Sie aufgrund des Sicherheitsvorfalls oder des Rechtsverstoßes Offenlegungspflichten gemäß Artikel 33 DSGVO erfüllen müssen, werden wir Sie bei der Erfüllung solcher Pflichten unterstützen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform dazu anweisen und (ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen.

(4) Weiterer Support. Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen werden wir Sie unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32-36 DSGVO genannten Pflichten unterstützen, vorausgesetzt dass (i) Sie uns schriftlich oder in Textform dazu anweisen und (ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen.

§ 14
Änderungen

(1) Änderungen dieser Bedingungen. zenloop kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, zum Beispiel, um Änderungen im geltenden Recht wiederzugeben, um Updates unserer Dienste oder der technischen und/oder organisatorischen Maßnahmen, die wir einsetzen, zu reflektieren, oder um neue Dienste oder Funktionalitäten zu berücksichtigen.

(2) Mitteilung über Änderungen. Üblicherweise werden wir Sie über Änderungen oder Updates der Bedingungen dieser Vereinbarung nicht im Vorhinein informieren. Wenn Sie sich jedoch nach einer solchen Änderung oder einem Update zum ersten Mal in unsere Site einloggen, werden wir Sie auf elektronischem Weg über die Änderung informieren. Wenn Sie damit fortfahren, unsere Dienste zu nutzen, erteilen Sie Ihre Zustimmung zu solchen Änderungen oder Anpassungen, falls zenloop keine rechtzeitigen Widerspruch von Ihnen erhält.

(3) Aktuelle Version. Änderungen dieser Bedingungen werden mit Eintrag auf unserer Site wirksam. Sie sind dafür verantwortlich, sich mit den aktuellsten Bedingungen unserer Vereinbarung vertraut zu machen. Sie können die aktuellste Version immer unter https://www.zenloop.com/de/legal/data-processing finden.

§ 15
Sonstiges

(1) Salvatorische Klausel. Sollten einzelne Vorschriften dieser Auftragsverarbeitungsvereinbarung ungültig oder nicht durchsetzbar sein, so berührt dies nicht die Gültigkeit und Durchsetzbarkeit der anderen Vorschriften dieser Auftragsverarbeitungsvereinbarung. Gleiches gilt für Fälle einer Lücke in dieser AVV.

(2) Rechtswahl und Gerichtsstand. Diese Auftragsverarbeitungsvereinbarung unterliegt deutschem Recht. Für Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, sind allein die Gerichte in Berlin zuständig.


Hinweis:

Dieser Vertrag zur Auftragsdatenverarbeitung ist ohne Unterschrift durch die Annahme und Bestätigung wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Auftraggeber den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.

Berlin, 09.05.2018

Unterschrift Auftraggeber, Datum

Unterschrift Auftragsverarbeiter

Anlage 1 zur Auftragsverarbeitungsvereinbarung (AVV)

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

1. Maßnahmen zur Sicherung der Vertraulichkeit

1.1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren. Beschreibung des Zutrittskontrollsystems:

  • Sicherheitsschlösser an den Eingangstüren
  • Sorgfältige Auswahl von Reinigungspersonal
  • Kontrollierte Schlüsselvergabe
  • ZugangsManagement: autorisiertes Personal und Umfang der Autorisiering sind vordefiniert
  • Maßnahmen der Dienstleister aus Anlage 2

1.2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.
 Beschreibung des Zugangskontrollsystems: 


  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  • Nutzerreicht werden nur eingeschränkt gewährt
  • All logins/logoffs werden aufgezeichnet
  • Einsatz einer zentralen PasswortPolicy

1.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 
 Beschreibung des Zugriffskontrollsystems: 


  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  • Alle Datenzugänge werden automatisch aufgezeichnet
  • Eine kleine Anzahl an System Administratoren
  • Protokollierung von Zugriffen und Missbrauchsversuchen

1.4. Trennungsgebot 


Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist. Beschreibung des Trennungskontrollvorgangs:

  • Systeme erlauben Daten Segregation durch unterschiedliche Software
  • Produktiv- und Testsysteme sind getrennt voneinander
  • Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind
  • Datenbanken Nutzerrechte werden zentral ausgegeben und verwaltet


1.5. Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren. 


  • Keine, da auf einem Zentral-Server verarbeitet wird

2. Maßnahmen zur Sicherung der Integrität

2.1. Weitergabekontrolle 


Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. 
 Beschreibung der Weitergabekontrolle:

  • HTTPS
  • Unnötige Ausdrucke und Fehldrucke werden vernichtet
  • Keine Benutzung von physischen Datenträgern
  • Umfassende Logging Prozeduren
  • Private Datenträger vom Personal dürfen nicht bei der Ar-beit genutzt werden

2.2. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und 
von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Beschreibung des Eingabekontrollvorgangs:

  • Logging von allen System Aktivitäten und Behalten der Logs für mindestens 6 Monate
  • Nutzung der zentralen Rechteverwaltung für die Eingabe, Ändern und Löschen von Daten

3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

3.1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Beschreibung des Verfügbarkeitskontrollsystems:

  • Es werden regelmäßig Backups erstellt.
  • Backup- und Wiederherstellungsplan ist vorhanden.
  • Datensicherungsdateien werden an einem sicheren und entfernten Ort gespeichert.
  • Lokalisierung
  • Datenrettung wird regelmäßig getestet
  • Sowie diverse weitere Maßnahmen der Server Dienstleis-ter

3.2. Rasche Widerherstellbarkeit


Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Beschreibung der Maßnahmen:

  • 
Datensicherungsverfahren

4. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen. Beschreibung der Überprüfungsverfahren:

  • Hinzuziehung der externen Datenschutzbeauftragten zu allen Datenschutzrelevanten Fragen
  • Formalisierter Prozess für den Fall eines Datenschutzvorfalls

Anlage 2

Unterauftragsverhältnisse gemäß der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

Sofern die Datenverarbeitung außerhalb des Europäischen Wirtschaftsraumes stattfindet oder Zugriffe von außerhalb des Europäischen Wirtschaftsraumes erfolgen, sind in der folgenden Übersicht zudem die Maßnahmen und Garantien aufzuführen, die ein angemessenes Datenschutzniveau bei der Verar-beitung gem. Art. 44 DSGVO ff. si-cherstellen (z.B. EU-Standardvertragsklauseln, Zertifizierung nach Privacy-Shield, BCR oder Angemessenheitsbeschluss der EU-Kommission).

1. Google Inc.

Name/Firma: Google Analytics von Google Inc.
Funktion/Tätigkeit: Webanalyse Service
Sitz: 1600 Amphitheatre Parkway Mountain View, CA 94043, USA

2. Segment Inc.

Name/Firma: Segment Inc.
Funktion/Tätigkeit: Segment verwendet „Cookies“ und andere Tracking-Technologien, um Website-Besucherdaten an den Service von Segment, von Segment an eine Viel-zahl von Anwendungen und Diensten Dritter, sowie von einer Anwendung oder einem Dienst zu einem anderen weiterzugeben.
Sitz: 55 2nd St, 4th Fl., San Francis-co, CA 94105 USA

3. Intercom Inc.

Name/Firma: Intercom Inc.
Funktion/Tätigkeit: Direkte Kommunikation zwischen Website-Besuchern und zenloop
Sitz: 55 2nd St, 4th Fl., San Francisco, CA 94105 USA

4. Heap Inc.

Name/Firma: Heap Inc.
Funktion/Tätigkeit: Analyse, wie Webseiten Besucher die Webseite und Plattform verwenden
Sitz: 460 Bryant St., Suite 300, San Francisco, CA 94107

5. Mixpanel Inc.

Name/Firma: Mixpanel Inc.
Funktion/Tätigkeit: Analyse von Webseite-Besuchen
Sitz: State of Delaware, USA

6. Pipedrive

Name/Firma: Pipedrive
Funktion/Tätigkeit: Vertriebsmanagement und CRM-Tool
Sitz: Paldiski mnt 80, Tallinn 10617, Estland

7. KlentySoft Inc.

Name/Firma: KlentySoft Inc.
Funktion/Tätigkeit: Vertriebsautoma-tisierungssoftware-Service, in erster Linie für die Bedürfnisse von Ver-kaufsfachleuten, Teams und Organi-sationen (die „Services” oder „Ser-vice”), um „Workflows“ zu managen und mit Kunden und potentiellen Kunden zu kommunizieren
Sitz: 340 S Lemon Ave, #2331 Wal-nut, CA 91789, USA

8. Stripe Inc.

Name/Firma: Stripe Inc.
Funktion/Tätigkeit: Zahlungsverarbeiter, um an uns geleistete Zahlungen zu verarbeiten Sitz: 185 Berry Street, Suite 550, San Francisco, CA 94107

9. Octobat Inc.

Name/Firma: Octobat Inc.
Funktion/Tätigkeit: Steuerkalkulations- und Rechnungserstellungs-dienstleister
Sitz: 230 rue du General Leclerc 95120 Ermont, Frankreich