Letztes Update: 18.04.2024
zenloop Auftragsverarbeitungsvereinbarung (AVV)
Vereinbarung über die Verarbeitung von Daten im Auftrag gemäß Artikel 28 DSGVO
Dieser Auftragsverarbeitungsvertrag gilt zwischen Ihnen
Kundenname
– Auftraggeber –
und der
SaaS.group zenloop GmbH
Attilastraße 18
12529 Schönefeld
-Auftragsverarbeiter –
§ 1 Präambel, Gegenstand und Rangfolge
(1) Allgemeines. Diese Vereinbarung (die „Auftragsverarbeitungsvereinbarung” oder die „AVV”) ist Teil des Vertrages über die Bereitstellung unserer Dienste zwischen Ihnen und zenloop (der „Vertrag”).
(2) Gegenstand der Vereinbarung. Diese AVV beschreibt, wie zenloop Befragungsdaten, die Sie uns im Zusammenhang mit Ihrer Nutzung unserer Dienste zur Verfügung stellen, gemäß den Anforderungen der Datenschutzgesetze verarbeitet.
(3) Konflikte. Im Falle eines Konfliktes haben die Bestimmungen dieser AVV Vorrang gegenüber den Bestimmungen frühere oder künftige Geheimhaltungsvereinbarungen und andere zwischen den Parteien geschlossene Vereinbarungen.
§ 2 Definitionen
In dieser AVV werden wir bestimmte Worte oder Sätze verwendet, und es ist wichtig, dass Sie deren Bedeutung verstehen. Die Liste ist nicht allumfassend und keine Definition sollte als verbindlich angesehen werden, sobald sie diese AVV als sinnwidrig erscheinen lässt:
(1) „Kunde” oder „Sie” bezieht sich auf Sie, die Person, die den Vertrag (einschließlich dieser AVV) mit zenloop eingeht. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen der Organisation zu und Sie versichern, dass Sie dazu berechtigt sind. In einem solchen Fall bezieht sich „Kunde” oder „Sie” auf diese Organisation.
(2) „Datenschutzgesetze” bezeichnet alle Gesetze und Vorschriften, einschließlich solchen der Europäischen Union, des Europäischen Wirtschaftsraumes und seiner Mitgliedstaaten, die auf die Verarbeitung von personenbezogenen Daten (inklusive Daten bezüglich der Bereitstellung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) Anwendung finden, insbesondere die DSGVO, das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das deutsche Telekommunikationsgesetz (TKG) und das deutsche Telemediengesetz (TMG).
(3) „DSGVO” bezeichnet die europäische Datenschutzgrundverordnung.
(4) „Einzelvertrag“ ist der zwischen dem Kunden und zenloop geschlossene Purchase Order, letter of agreement, Vereinbarung über SaaS-basierte Leistungen oder SaaS-Vertrag über die Bereitstellung von SaaS-Diensten und/oder Zusatzleistungen.
(5) „Auftragsverarbeitung” oder „Verarbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, welche von zenloop als Teil der Dienste in Bezug auf Befragtendaten durchgeführt wird, unabhängig davon, ob dies durch automatische Mittel erfolgt oder nicht, insbesondere die Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abfrage, Beratung, Verwendung, Veröffentlichung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Angleichung oder Kombination, Blockierung, Löschung oder Vernichtung von Daten.
(6) „Dienste” bezeichnet die Dienste, die wir über unsere Site zur Verfügung stellen, inklusive unserer Insight- und Loyalty-Dienste für Kunden.
(7) „Site” bezeichnet sowohl unsere Website, www.zenloop.com/de, als auch die angeschlossene Plattform.
(8) „Unterauftragnehmer” bezeichnet einen von zenloop beauftragten Dritten, der im Rahmen seiner Beauftragung Befragtendaten verarbeitet.
(9) „Vertrag“ ist der Einzelvertrag, die AGB und diese Auftragsverarbeitungsvereinbarung.
(10) „Befragter” bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen ist und die über unsere Site von Ihnen kontaktiert wurde oder kontaktiert werden wird.
(11) „Befragtendaten” bezeichnet personenbezogene Informationen eines Befragten, die Sie oder einer Ihrer Befragten zenloop in Verbindung mit Ihrer Nutzung der Dienste zur Verfügung gestellt haben. Befragtendaten umfassen auch alle Informationen und Daten der vom Kunden über die von zenloop betriebene Software-as-a-Service-Plattform mittels zenloop Online Reputation Management Services auf Online-Plattformen anderer Anbieter abgerufenen Online-Bewertungen.
(12) „Besondere Kategorien von Daten“ bezeichnet Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (vgl. Art. 9 Abs. 1 DSGVO).
Andere Begriffe haben die Bedeutung, die ihnen unter dieser Vereinbarung oder im Vertrag gegeben wurden.
§ 3 Gegenstand und Dauer der Verarbeitung, Art der Befragtendaten und Kategorien betroffener Personen
(1) Allgemeiner Gegenstand. Unter dieser AVV verarbeitet zenloop Befragtendaten im Auftrag des Kunden gemäß Artikel 28 DSGVO.
(2) Dauer. Diese AVV gilt solange, wie zenloop Dienste unter dem Vertrag erbringt, und endet automatisch mit Ablauf oder Kündigung des Vertrages.
(3) Gegenstand, Art und Zweck der Verarbeitung. Gegenstand der Verarbeitung ist die Erfassung von Kundenzufriedenheitsbefragungen und Bewertungen zu Produkten und Dienstleistungen des Auftraggebers. Die Art der Verarbeitung von Befragtendaten ist im Einzelvertrag, in unseren Allgemeinen Geschäftsbedingungenund in unserer Datenschutzerklärung definiert. Zweck der Datenverarbeitung ist die Prozessoptimierung beim Auftraggeber.
(4) Art der Daten. Die Verarbeitung kann folgende Typen/Kategorien von Befragtendaten enthalten: personenbezogene Informationen, einschließlich Name oder E-Mailadresse, IP Adresse, Nutzungsdaten, Gerätedaten, Referenzdaten und Informationen von Cookies und Page-Tags.
(5) Kategorien betroffener Personen. Die von der Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet: (i) Kunden des Kunden; (ii) Mitarbeiter des Kunden; (iii) Geschäftskontakte des Kunden; in jedem der zuvor genannten Fälle (i) bis (iii) jeweils in dem Umfang, in welchem ein solcher Kunde, Mitarbeiter oder Geschäftskontakt von Ihnen über unsere Site kontaktiert wurde oder kontaktiert werden wird.
(6) Ausschluss der Verarbeitung von besonderen Kategorien von personenbezogenen Daten. Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist ausgeschlossen.
§ 4 Weisungen des Kunden
(1) Weisungen. Solange wir für Sie Dienste erbringen, können Sie uns im Hinblick auf die Verarbeitung von Befragtendaten ergänzend zu den in dieser AVV niedergelegten Bestimmungen weitere Anweisungen über Art, Umfang und Verfahren der Datenverarbeitung erteilen (jede dieser Anweisungen wird hiernach als eine „Weisung” bezeichnet). Weisungen können in schriftlicher oder elektronischer Form erteilt werden. Wir werden Ihre Befragtendaten entsprechend den Weisungen verarbeiten.
(2) Änderungsanträge. Jede Weisung, die diese AVV verändert oder davon abweicht, stellt einen Änderungsantrag dar und unterliegt den in § 14 (1) beschriebenen Anforderungen. Im Hinblick auf Änderungen der Dienste und/oder der Gebühren, die aus Ihren Weisungen resultieren, werden wir nach Treu und Glauben mit Ihnen verhandeln.
(3) Übereinstimmung mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, sicherzustellen, dass Ihre Weisungen mit den Datenschutzgesetzen übereinstimmen.
(4) Mitteilung. Sind wir der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, werden wir Sie unverzüglich darüber informieren.
§ 5 Rechte und Pflichten des Kunden
(1) Übereinstimmung der Verarbeitung mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, sicherzustellen, dass die Verarbeitung von Befragtendaten nach dieser Vereinbarung mit den Anforderungen der Datenschutzgesetze übereinstimmt, insbesondere hinsichtlich (i) der Übertragung von Befragtendaten an zenloop (inklusive der Bereitstellung jeglicher erforderlicher Mitteilungen und dem Einholen aller erforderlichen Zustimmungen), (ii) der Verwendung von Befragtendaten in Verbindung mit von Ihnen durchgeführter Vermarktung oder Werbung und (iii) Ihrer Entscheidungen und Tätigkeiten im Hinblick auf die Verarbeitung und Verwendung der Befragtendaten.
(2) Der Kunde als Verantwortlicher. Sie sind gemäß Artikel 4 Paragraf 7 DSGVO Verantwortlicher. Sie tragen die alleinige Verantwortung für die Richtigkeit, Beschaffenheit und Rechtsgültigkeit der Befragtendaten sowie für die Mittel, mit denen Sie die Befragtendaten erworben haben.
(3) Besondere Kategorien personenbezogener Daten. Der Verantwortliche hat es zu unterlassen, die Site oder die Dienste für die Verarbeitung von besonderen Kategorien personenbezogener Daten zu verwenden.
(4) Aufzeichnung von Verarbeitungsaktivitäten. Sie sind gemäß Artikel 30 DSGVO dafür verantwortlich, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.
(5) Mitteilungspflicht. Sie werden uns unverzüglich über jeden Fehler, den Sie in unseren Diensten entdecken, und über jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Vorschriften zum Datenschutz informieren.
§ 6 Pflichten von zenloop
(1) Verarbeitung nur zur Bereitstellung der Dienste. Wir werden Ihre Befragtendaten nur gemäß Ihrer dokumentierten Weisungen und nur zur Bereitstellung unserer Dienste in Übereinstimmung mit Artikel 28 Paragraf 3 DSGVO verarbeiten. Wir werden (i) Ihre Befragtendaten zu keinen anderen Zwecken verarbeiten oder verwenden als zu jenen, die im Vertrag einschließlich in dieser AVV festgesetzt sind, und (ii) Ihre Befragtendaten nicht gegenüber Dritten (außer gegenüber Unterauftragnehmern zu den vorgenannten Zwecken) offenlegen, es sei denn, dass dies aufgrund von Unionsrecht oder Rechtsvorschriften der Mitgliedstaaten, denen wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese gesetzliche Anforderung informieren, falls das Gesetz solche Informationen nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
(2) Verarbeitung innerhalb und außerhalb der EU/des EWR. Grundsätzlich verarbeitet der Auftragsverarbeiter Daten innerhalb der Bundesrepublik Deutschland, einem Mitgliedstaat der Europäischen Union oder eines anderen Unterzeichners des Abkommens über den Europäischen Wirtschaftsraum oder in einem Land mit einem angemessenen Datenschutzniveau gemäß der Entscheidung der Europäischen Kommission. Die Server zur Datenverarbeitung befinden sich ausschließlich im Geltungsbereich der EU-DSGVO. Der Auftragsverarbeiter darf die Daten an seine Unterauftragnehmer übertragen. Diese können die Daten an verbundene Unternehmen und andere Unterauftragnehmer aus Drittländern übermitteln. In diesem Fall sichert der Unterauftragnehmer die Einhaltung der Pflichten nach Art. 44 ff. DSGVO zu.
(3) Mitarbeiter von zenloop. Wir gewährleisten, dass unsere an der Verarbeitung von Befragtendaten beteiligten und hierfür autorisierten Mitarbeiter über die Vertraulichkeit der Befragtendaten informiert sind und sich entweder vertraglich zur Geheimhaltung dieser Daten verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
(4) Unsere Datenschutzbeauftragte. Wir haben eine Datenschutzbeauftragte. Diese ist per E-Mail erreichbar über dpo@zenloop.com.
§ 7 Technische und organisatorische Maßnahmen
(1) zenloop TOM-Maßnahmen. Wenn wir Befragtendaten in Ihrem Namen verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO dafür erforderlichen Maßnahmen. Wir haben bestimmte technische und organisatorische Maßnahmen, wie in Anlage 1 spezifiziert, für die Verarbeitung solcher Daten eingeführt und werden diese aufrechterhalten. Diese Maßnahmen dienen dem Zweck, Befragtendaten gegen versehentlichen oder unberechtigten Verlust, Vernichtung, Veränderung, Veröffentlichung oder Zugriff und gegen alle anderen rechtswidrigen Verarbeitungsformen zu schützen.
(2) Änderungen der TOMs. Alle technischen und organisatorischen Maßnahmen zur Datensicherheit unterliegen dem technischen Fortschritt und der technischen Entwicklung. Dementsprechend dürfen wir unsere Sicherheitsmaßnahmen ändern und/oder alternative Sicherheitsmaßnahmen einführen, vorausgesetzt jedoch, dass diese nicht hinter dem Sicherheitsstandard, der vertraglich in Anlage 1 vereinbart wurde, zurückbleiben.
§ 8 Kontrollrechte des Kunden
(1) Kundenprüfungen. Sie können vor Beginn unserer Dienste und bis zu einmal pro Jahr während der Durchführung unserer Dienste die von zenloop eingeführten technischen und organisatorischen Maßnahmen überprüfen. Sie können häufigere Überprüfungen bis zu dem Umfang, den die Datenschutzgesetze fordern, durchführen.
(2) Details in Bezug auf Prüfungen. Im Verlauf einer solchen Prüfung können Sie insbesondere die folgenden Maßnahmen durchführen: (i) Sie können sämtliche Informationen von zenloop erhalten, die notwendig sind, um darzulegen, dass alle in dieser AVV festgehaltenen Pflichten erfüllt werden. (ii) Sie können nach angemessener vorheriger Ankündigung, während der regulären Geschäftszeiten und ohne Beeinträchtigung von zenloops Geschäftstätigkeiten, vor Ort eine Inspektion jener Teile von zenloops Geschäftsräumen (vorbehaltlich zenloops Sicherheits-Richtlinien) durchführen, in denen Befragtendaten verarbeitet werden.
(3) Vor-Ort-Inspektionen. Um eine vor Ort-Inspektion zu beantragen, müssen sie uns mindestens zwei Wochen vor dem vorgeschlagenen Inspektionstermin einen Inspektionsplan zukommen lassen, der den vorgeschlagenen Rahmen, die Dauer und den Starttermin der Inspektion beschreibt. Wir werden den Inspektionsplan überprüfen und Ihnen unsere Anliegen oder Fragen zukommen lassen (z. B. Anfragen zu Informationen, die zenloops Sicherheits-, Datenschutz,- Mitarbeiter- oder andere relevante Bestimmungen beeinträchtigen könnten).
(4) Bericht anstelle einer Prüfung. Wenn der beantragte Prüfungsrahmen in einem SSAE 16/ISAE Typ 2, ISO, NIST oder einem ähnlichen Prüfbericht behandelt wurde und von einem qualifizierten externen Prüfer innerhalb der vorausgegangenen zwölf Monate durchgeführt wurde, erklären Sie sich damit einverstanden, anstelle der von Ihnen beantragten Prüfung der Systeme den Prüfbericht zu akzeptieren.
(5) Nutzung von Berichten. Sie stellen uns alle nach diesem Abschnitt generierten Prüfberichte zur Verfügung, falls dies nicht gesetzlich verboten ist. Sie dürfen die Prüfberichte nur dazu benutzen, zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen die Anforderungen dieser AVV erfüllen. Die Prüfberichte sind gemäß den Bedingungen des Vertrages vertrauliche Informationen der Parteien.
(6) Prüfungskosten. Jede Prüfung erfolgt auf Ihre eigenen Kosten. Jede Anfrage an zenloop um Unterstützung bei einer Prüfung wird als separater Dienst angesehen, sofern eine solche Prüfungsunterstützung die Verwendung von anderen oder zusätzlichen Ressourcen erforderlich macht. Wir werden Ihre schriftliche Genehmigung und Ihr Einverständnis zur Zahlung der damit verbundenen Gebühren einholen, bevor wir eine solche Prüfungsunterstützung zur Verfügung stellen.
Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z. B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.
(7) Externe Prüfer. Wenn ein Dritter die Prüfung durchführt, müssen sich der Kunde und zenloop gemeinsam mit dem Dritten einverstanden erklären und, bevor die Prüfung durchgeführt wird, muss eine für zenloop akzeptable schriftliche Vertraulichkeitsvereinbarung abgeschlossen werden.
§ 9 Unterauftragnehmer
(1) Unterauftragnehmer. Wir dürfen Unterauftragnehmer einsetzen, um uns bei der Verarbeitung Ihrer Befragtendaten zu unterstützen. Durch den Abschluss dieser AVV geben Sie uns Ihre allgemeine schriftliche Genehmigung zu der Verwendung von Unterauftragnehmern gemäß Artikel 28 Paragraf 2 DSGVO. Die Liste der Unterauftragnehmer finden Sie in Anlage 2. Wenn wir beabsichtigen, einen Unterauftragnehmer hinzuzuziehen oder zu ersetzen, werden wir Sie darüber informieren, um Ihnen die Möglichkeit zu geben, gegen eine solche Änderung Einspruch zu erheben wenn es begründete Bedenken hinsichtlich des angemessenen Schutzes personenbezogener Daten gibt. Wenn Sie nicht innerhalb von zwei Wochen nach unserer Mitteilung über die Änderung eines Unterauftragsverarbeiters widersprechen, hat dies die gleiche Wirkung wie eine Zustimmung. Widerspricht der Kunde einer Änderung, behält sich zenloop das Recht vor, das Vertragsverhältnis mit einer Frist von zwei Wochen außerordentlich zu kündigen.
(2) Unsere Vereinbarungen mit Unterauftragnehmern. Wir gewährleisten, dass unsere Unterauftragnehmer sich im Rahmen dieser AVV an dieselben Verpflichtungen wie zenloop halten. Dies gilt insbesondere für die Anforderungen in § 4, § 7, § 8, und § 10bis § 13. zenloop bleibt jederzeit verantwortlich für die Erfüllung der Bedingungen dieser AVV durch alle Unterauftragnehmer, die an der Erbringung unserer Dienste für Sie beteiligt sind.
(3) Soweit wir mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellen wir sicher, dass wir nur mit solchen Freelancern zusammenarbeiten, die technische und organisatorische Maßnahmen so umzusetzen, dass die Datenverarbeitung den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Datenverarbeitung durch einen Freelancer unterliegt einem Datenverarbeitungsvertrag, der den gleichen Datenschutzstandard gewährleistet, den Sie und wir vereinbart haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung.
(4) Kopien der relevanten Bestimmungen. Sie sind dazu berechtigt, Kopien der relevanten Bestimmungen aus zenloops Vereinbarungen mit unseren Unterauftragnehmern zu erhalten, der Ihre Befragtendaten verarbeiten, falls die Vereinbarung keine vertraulichen Inhalte enthält; sollte dies der Fall sein, kann zenloop eine redigierte Version der Vereinbarung zur Verfügung stellen.
(5) Zusätzliche Dienste. Dieser § 9 gilt nicht, wenn wir dritte Parteien für zusätzliche Dienste einsetzen; diese umfassen insbesondere Telekommunikationsdienste, Post- und Versanddienste, Gebäudesicherheitsdienste, Gebäudemanagementdienste und Dienste im Zusammenhang mit der Reinigung oder Entsorgung von Datenmedien.
§ 10 Betroffenenrechte
(1) Weiterleiten von Anfragen. Wenn ein Betroffener uns dazu auffordert, Befragtendaten zu berichtigen, zu sperren oder zu löschen, leiten wir die Anfrage an Sie weiter. zenloop wird ohne Ihre vorherige schriftliche Genehmigung keine Anfragen von Betroffenen beantworten.
(2) Unterstützung. Wenn ein Betroffener Sie dazu auffordert, Befragtendaten zu berichtigen, zu sperren oder zu löschen, oder wenn ein Betroffener Auskunft über die Erhebung, Verarbeitung oder Verwendung der Befragtendaten in Verbindung mit unserem Dienst erbittet, und Sie nicht dazu in der Lage sind, die Anfrage über unsere Site selbst abzuhandeln, sowie in den Fällen der Art. 18, 20 und 21 DSGVO werden wir Sie, soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung und der Erledigung der Anfrage unterstützen, vorausgesetzt dass (i) Sie uns schriftlich oder in Textform eine entsprechende Weisung erteilen und (ii) Sie uns für die Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstehen, entschädigen.
Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z. B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.
§ 11 Löschen von Daten
(1) Keine Kopien oder Duplikate. Wir werden ohne Ihr vorheriges Wissen keine Kopien oder Duplikate Ihrer Umfrage Empfängerdaten erstellen. Ungeachtet des vorstehenden Satzes sind wir berechtigt, (i) Sicherungskopien und Replikationen unserer Datenbanken zu erstellen, soweit dies erforderlich ist, um die ordnungsgemäße Verarbeitung der Daten der Umfrageempfänger, die Funktionalität unserer Plattform und die Produktentwicklung sicherzustellen (ii) Kopien der Befragtendaten erstellen und aufbewahren, soweit dies zur Erfüllung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.
(2) Löschen von Daten. Nach der Löschung Ihres Accounts, oder nach Ihrer schriftlichen Anfrage zu einem früheren Zeitpunkt, werden wir alle Kopien Ihrer Befragtendaten innerhalb eines Monats aus unseren Systemen löschen. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung ergeben. Es liegt in Ihrer Verantwortung, sicherzustellen, dass alle Befragtendaten vor der Löschung ein Back-up erhalten oder kopiert werden.
(3) Weitere Nutzung zur Erfüllung gesetzlicher Verpflichtungen. Ungeachtet des oben Gesagten werden wir nur solche Befragtendaten behalten, die zur Erfüllung unserer gesetzlichen Verpflichtungen, zur Lösung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen nötig sind.
§ 12 Service-Analysen und Datenanonymisierung
(1) Service Analysen. Wir können statistische und andere Informationen in Bezug auf die Leistung, den Betrieb und die Nutzung unserer Dienste zusammenstellen. In die Service Analyse werden die Daten der Umfrageteilnehmer des Kunden nicht in einer Form aufgenommen, die einen Umfrageteilnehmer identifizieren oder zur Identifizierung dienen könnte.
(2) Anonymisierung der Daten. Wie in §11(1) angegeben, sind wir berechtigt, Sicherungskopien und Replikationen unserer Datenbanken zu erstellen. zenloop ist auch berechtigt, die Daten der Umfrageteilnehmer in solchen Sicherungskopien und Replikationen zu anonymisieren und die für eine solche Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Der ursprüngliche Datenbestand ist von der Anonymisierung nicht betroffen.
(3) Anonymisierte oder aggregierte Daten gelten nicht mehr als personenbezogene Daten. Unter Wahrung der Anonymität kann zenloop alle erzeugten Daten für eigene Zwecke wie statistische Analysen, Branchenvergleiche, Benchmarking, Forschung und Entwicklung und andere Zwecke verwenden. zenloop ist berechtigt, diese Daten über das Vertragsende hinaus für eigene Zwecke zu nutzen und aufzubewahren.
§ 13 Mitteilungspflichten und weiterer Support
(1) Mitteilungen von (behördlichen) Durchsuchung und Beschlagnahmen. Wir werden Sie unverzüglich darüber informieren, wenn Ihre Befragtendaten unter unserer Kontrolle zum Gegenstand einer Durchsuchung oder Beschlagnahme, eines Pfändungsbeschlusses, einer Konfiszierung während einer Insolvenz oder eines Insolvenzverfahrens oder ähnlichen Maßnahmen durch Dritte geworden sind. In einem solchen Fall werden wir alle an einer solchen Aktion beteiligten Parteien darüber informieren, dass jegliche hier betroffenen Daten sich in Ihrem alleinigen Eigentum befinden und in Ihren Verantwortungsbereich fallen, dass die Daten zu Ihrer alleinigen Verfügung stehen und dass Sie der für die Verarbeitung Verantwortliche im Sinne der DSGVO sind.
(2) Mitteilung über Zwischenfälle und Rechtsverstöße. Wir werden Sie unverzüglich informieren, wenn wir erkennen, dass (i) Ihre Befragtendaten Gegenstand eines Sicherheitsvorfalls (inklusive durch einen zenloop-Mitarbeiter) geworden sind oder (ii) wenn durch zenloop ein Rechtsverstoß (inklusive durch einen zenloop-Mitarbeiter) gegen die Datenschutzgesetze, die für die Durchführung unserer Dienste Ihnen gegenüber gelten, oder gegen eine der Bestimmungen, die in dieser AVV festgesetzt wurden, stattgefunden hat. In einem solchen Fall werden wir den Sicherheitsvorfall oder den Rechtsverstoß sofort untersuchen und angemessene Maßnahmen zur Identifizierung der Grundursache und der Verhinderung einer Wiederholung ergreifen.
(3) Unterstützung. Falls Sie aufgrund des Sicherheitsvorfalls oder des Rechtsverstoßes Offenlegungspflichten gemäß Artikel 33 DSGVO erfüllen müssen, werden wir Sie bei der Erfüllung solcher Pflichten unterstützen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform dazu anweisen und (ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen. Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z. B. aus der DSGVO und dem BDSG ergeben, sind durch den Hauptvertrag abgedeckt und es werden keine zusätzlichen Gebühren für diese Dienstleistungen erhoben.
(4) Weiterer Support. Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen werden wir Sie unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32-36 DSGVO genannten Pflichten unterstützen, vorausgesetzt dass (i) Sie uns schriftlich oder in Textform dazu anweisen und (ii) Sie uns für unsere angemessenen und dokumentierten Kosten und Ausgaben, die bei der Bereitstellung einer solchen Unterstützung entstanden sind, entschädigen.
§ 14 Änderungen
(1) Änderungen dieser Bedingungen. zenloop kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern,wenn das Datenschutzniveau mind. beibehalten wird, zum Beispiel, um Änderungen im geltenden Recht wiederzugeben, um Updates unserer Dienste oder der technischen und/oder organisatorischen Maßnahmen, die wir einsetzen, zu reflektieren, oder um neue Dienste oder Funktionalitäten zu berücksichtigen.
(2) Mitteilung über Änderungen. Üblicherweise werden wir Sie über Änderungen oder Updates der Bedingungen dieser Vereinbarung nicht im Vorhinein informieren. Wenn Sie sich jedoch nach einer solchen Änderung oder einem Update zum ersten Mal in unsere Site einloggen, werden wir Sie auf elektronischem Weg über die Änderung informieren. Wenn Sie damit fortfahren, unsere Dienste zu nutzen, erteilen Sie Ihre Zustimmung zu solchen Änderungen oder Anpassungen, falls zenloop keine rechtzeitigen Widerspruch von Ihnen erhält.
(3) Aktuelle Version. Änderungen dieser Bedingungen werden mit Eintrag auf unserer Site wirksam. Sie sind dafür verantwortlich, sich mit den aktuellsten Bedingungen unserer Vereinbarung vertraut zu machen. Sie können die aktuellste Version immer unter www.zenloop.com/de/legal/data-processing finden.
§ 15 Sonstiges
(1) Salvatorische Klausel. Sollten einzelne Vorschriften dieser AVV ungültig oder nicht durchsetzbar sein, so berührt dies nicht die Gültigkeit und Durchsetzbarkeit der anderen Vorschriften dieser AVV. Gleiches gilt für Fälle einer Lücke in dieser AVV.
(2) Rechtswahl und Gerichtsstand. Diese AVV unterliegt deutschem Recht. Für Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, sind allein die Gerichte in Berlin zuständig
Hinweis: Diese Auftragsverarbeitungsvereinbarunug ist ohne Unterschrift durch Abschluss eines Einzelvertrages mit zenloop wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Auftraggeber den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.
Kunde
Name:
Titel:
Datum:
Unterschrift:
zenloop
Name:
Titel:
Datum:
Unterschrift:
Anlage 1 zur Auftragsverarbeitungsvereinbarung (AVV)
Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:
1. Maßnahmen zur Sicherung der Vertraulichkeit
1.1. Zutrittskontrolle
Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren. Beschreibung des Zutrittskontrollsystems:
- Sicherheitsschlösser an den Eingangstüren
- Sorgfältige Auswahl von Reinigungspersonal
- Kontrollierte Schlüsselvergabe
- Zugangs-Management: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert
zenloop besitzt kein eigenes Rechenzentrum. Alle unsere Server und unser Hosting-Equipment werden als Service von Amazon AWS (Amazon Web Services EMEA SARL, Luxemburg) gemietet.
1.2. Zugangskontrolle
Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können. Beschreibung des Zugangskontrollsystems:
- System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
- Nutzer müssen sich mit Nutzername und Passwort identifizieren
- Nutzern werden nur eingeschränkt Rechte gewährt
- Role-Based Access Control (RBAC)
- Alle logins/logoffs werden aufgezeichnet
- Einsatz einer zentralen Passwort Policy
1.3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Beschreibung des Zugriffskontrollsystems:
- System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
- Nutzer müssen sich mit Nutzername und Passwort identifizieren
- Alle Datenzugänge werden automatisch aufgezeichnet
- Eine kleine Anzahl an System Administratoren
- Protokollierung von Zugriffen und Missbrauchsversuchen
- 4-eye principle beim Umgang mit dem Zugang zu Produktionsdaten
1.4. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist. Beschreibung des Trennungskontrollvorgangs:
- Systeme erlauben Daten Segregation durch unterschiedliche Software
- Produktiv- und Testsysteme sind getrennt voneinander
- Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind Datenbanken Nutzerrechte werden zentral ausgegeben und verwaltet
- 4-eye principle beim Umgang mit dem Zugang zu Produktionsdaten
1.5. Pseudonymisierung
Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.
- Keine, da auf einem Zentral-Server verarbeitet wird
- Datenbank-Backups sind verschlüsselt
2. Maßnahmen zur Sicherung der Integrität
2.1. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. Beschreibung der Weitergabekontrolle:
- HTTPS
- VPN
- Unnötige Ausdrucke und Fehldrucke werden vernichtet
- Keine Benutzung von physischen Datenträgern
- Umfassende Logging Prozeduren
- Private Datenträger vom Personal dürfen nicht bei der Arbeit genutzt werden
2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Beschreibung des Eingabekontrollvorgangs:
- Logging von allen System Aktivitäten und Behalten der Logs für mindestens 6 Monate
- Nutzung der zentralen Rechteverwaltung für die Eingabe, Ändern und Löschen von Daten
3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
3.1. Verfügbarkeitskontrolle
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Beschreibung des Verfügbarkeitskontrollsystems:
- Es werden regelmäßig Backups erstellt
- Backup- und Wiederherstellungsplan ist vorhanden
- Datensicherung Dateien werden an einem sicheren und entfernten Ort gespeichert
- Lokalisierung
- Datenrettung wird regelmäßig getestet
- Sowie diverse weitere Maßnahmen der Server Dienstleister
3.2. Rasche Widerherstellbarkeit
Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Beschreibung der Maßnahmen:
- Datensicherungsverfahren
- Verfahren zum Code-Backup und -Wiederherstellung
- Infrastructure as a Code for fast recreation
4. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung Maßnahmen,
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen. Beschreibung der Überprüfungsverfahren:
- Hinzuziehung der externen Datenschutzbeauftragten zu allen Datenschutzrelevanten Fragen
- Formalisierter Prozess für den Fall eines Datenschutzvorfalls
Anlage 2 zur Auftragsverarbeitungsvereinbarung (AVV)
Unterauftragsverhältnisse gemäß der Vereinbarung zur Auftragsverarbeitung
Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
1. Amazon Web Services
Name/Firma: Amazon Web Services EMEA SARL (“AWS”), Registrierungsland: Luxembourg
Funktion: Data center
Speicherort: Region Irland und Frankfurt
2. ElasticSearch
Name/Firma: ElasticSearch B.V., Registrierungsland: Die Niederlande
Funktion: Suchmaschine, Indizierung, Suchkriterien
Speicherort: Region Irland
3. Google Cloud Platform
Name/Firma: Google Cloud EMEA Limited, Registrierungsland: Irland
Funktion/Tätigkeit: Data center
Speicherort: Frankfurt, Deutschland
4. Microsoft Azure: Cloud Computing Services
Name/Firma: Microsoft Azure, Registrierungsland: Frankreich
Funktion/Tätigkeit: Data processing center
Speicherort: Frankreich