Auftragsverarbeitungsvertrag

1. Begriffsbestimmungen

• „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, gemäß Artikel 4(1) GDPR.
• „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung, Abfrage, Konsultation, Verwendung, Offenlegung durch Übermittlung, Verbreitung, Löschung oder Vernichtung.
• „Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Namen des Verantwortlichen beauftragt wird.
• „Betroffene Person“ bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
• „GDPR“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.
• „Standardvertragsklauseln“ (SCCs) bezeichnet die von der Europäischen Kommission genehmigten Vertragsklauseln zur Übermittlung personenbezogener Daten in Drittländer.

2. Anwendungsbereich und Zweck

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen ausschließlich zu folgenden Zwecken:

• Bereitstellung des INCI-API-Dienstes, einschließlich Inhaltsstoffanalyse, Produktsuche, Sicherheitsbewertung, Allergenerkennung und Hautverträglichkeitsanalyse
• Kontoverwaltung, Authentifizierung und Autorisierung
• Nutzungsverfolgung, Ratenbegrenzung und Abrechnung
• Dienstverbesserung, Leistungsüberwachung und Analyse
• Kundensupport und Kommunikation

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu keinem anderen Zweck als den in diesem DPA festgelegten oder vom Verantwortlichen schriftlich dokumentierten.

3. Arten verarbeiteter personenbezogener Daten

• Kontodaten: Name, E-Mail-Adresse, gehashtes Passwort
• API-Nutzungsdaten: Anfrageprotokolle, Zeitstempel, IP-Adressen, aufgerufene Endpunkte, Antwortcodes, API-Schlüsselkennungen
• Abrechnungsdaten: Abonnementstufe, Metadaten der Zahlungsmethode (vollständige Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert)
• Technische Daten: Browsertyp, Geräteinformationen, Betriebssystem, Verweis-URLs (zur Dienstverbesserung über Analytik erfasst)

Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten (Artikel 9 GDPR) und keine personenbezogenen Daten zu strafrechtlichen Verurteilungen (Artikel 10 GDPR).

4. Kategorien betroffener Personen

Die unter diesem DPA verarbeiteten personenbezogenen Daten beziehen sich auf folgende Kategorien betroffener Personen:

• Mitarbeiter und Auftragnehmer des Kunden, die auf INCI API zugreifen und es nutzen
• Endnutzer der Anwendungen des Kunden, die in INCI API integriert sind (soweit ihre Daten über API-Anfragen übertragen werden)

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Übermittlungen in ein Drittland, sofern nicht durch Unionsrecht oder das Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, etwas anderes vorgeschrieben ist
2. sicherzustellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
3. geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Artikel 32 GDPR zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
4. ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Bei allgemeiner Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen bezüglich Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter und gibt ihm Gelegenheit zum Widerspruch
5. den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen zu unterstützen
6. den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 GDPR genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen zu unterstützen
7. nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung von Verarbeitungsdienstleistungen zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht das Unionsrecht oder das Recht eines Mitgliedstaats die Speicherung verlangt
8. dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Pflichten gemäß Artikel 28 GDPR nachzuweisen, und Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von ihm beauftragten Prüfer zu ermöglichen und dazu beizutragen

6. Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 32 GDPR:

• Verschlüsselung bei der Übertragung: Alle Daten zwischen Clients und Servern werden mit TLS 1.2 oder höher (HTTPS) verschlüsselt
• Verschlüsselung im Ruhezustand: Die Datenbankspeicherung verwendet die MongoDB-Verschlüsselung im Ruhezustand für alle gespeicherten personenbezogenen Daten
• Zugriffskontrollen: Authentifizierung über JWT-Token und API-Schlüssel; rollenbasierte Zugriffskontrolle; Prinzip der geringsten Privilegien
• Passwort-Sicherheit: Nutzerpasswörter werden mit bcrypt-Hashing und angemessenen Cost-Faktoren gespeichert; API-Schlüssel werden als sichere Hashes gespeichert
• Infrastruktur-Sicherheit: Firewallgesicherte Infrastruktur (UFW mit eingeschränkten Ports), regelmäßige Sicherheitsupdates und Patches
• Serverstandort: DigitalOcean-Infrastruktur (derzeit in den USA; Migration in ein EU/EWR-Rechenzentrum geplant)
• Zahlungsdaten: Keine Speicherung von Zahlungskartendaten auf unseren Servern. Die gesamte Zahlungsabwicklung erfolgt durch Stripe, das die PCI-DSS-Stufe-1-Konformität einhält
• Überwachung: Automatisierte Überwachung, Protokollierung und Alarmierung bei Sicherheitsereignissen und Anomalien

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, die folgenden Unterauftragsverarbeiter zu beauftragen. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mit einer schriftlichen Vorankündigung von mindestens 30 Tagen, um dem Verantwortlichen Gelegenheit zum Widerspruch zu geben.

Widerspricht der Verantwortliche einem neuen Unterauftragsverarbeiter aus berechtigten datenschutzrechtlichen Gründen, erörtern die Parteien die Angelegenheit nach Treu und Glauben. Wird innerhalb von 30 Tagen keine Lösung erzielt, kann der Verantwortliche die betroffenen Dienste ohne Vertragsstrafe kündigen.

8. Datenübermittlungen

Personenbezogene Daten können in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums übermittelt und dort verarbeitet werden. In diesem Fall stellt der Auftragsverarbeiter sicher, dass geeignete Schutzmaßnahmen gemäß Kapitel V GDPR getroffen werden, einschließlich:

• Standardvertragsklauseln (SCCs), genehmigt durch die Europäische Kommission (Durchführungsbeschluss (EU) 2021/914)
• Angemessenheitsbeschlüsse der Europäischen Kommission, soweit anwendbar
• Zusätzliche technische und organisatorische Maßnahmen zur Ergänzung von Übermittlungsmechanismen, soweit erforderlich, gemäß dem Schrems-II-Urteil (Rs. C-311/18)

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten gemäß Artikel 4(12) GDPR bekannt wurde. Die Meldung enthält:

• eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze
• Name und Kontaktdaten der für den Datenschutz zuständigen Person, bei der weitere Informationen eingeholt werden können
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen

Der Auftragsverarbeiter kooperiert mit dem Verantwortlichen und unternimmt angemessene wirtschaftliche Schritte, um bei der Untersuchung, Abmilderung und Behebung jeder solchen Verletzung zu helfen.

10. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen, die ihre Rechte nach Kapitel III GDPR ausüben, einschließlich:

• Auskunftsrecht (Artikel 15)
• Recht auf Berichtigung (Artikel 16)
• Recht auf Löschung / Recht auf Vergessenwerden (Artikel 17)
• Recht auf Einschränkung der Verarbeitung (Artikel 18)
• Recht auf Datenübertragbarkeit (Artikel 20)
• Widerspruchsrecht (Artikel 21)

Erhält der Auftragsverarbeiter einen Antrag direkt von einer betroffenen Person, benachrichtigt er den Verantwortlichen unverzüglich und beantwortet den Antrag nicht ohne dessen vorherige schriftliche Genehmigung, sofern nicht gesetzlich erforderlich.

11. Auditrechte

Der Verantwortliche kann die Einhaltung dieses DPA durch den Auftragsverarbeiter prüfen. Audits unterliegen folgenden Bedingungen:

• Der Verantwortliche kündigt mindestens 30 Tage im Voraus schriftlich an
• Audits werden höchstens einmal pro Kalenderjahr durchgeführt, sofern nicht eine Aufsichtsbehörde dies verlangt oder eine Datenschutzverletzung vorausgeht
• Audits werden während der üblichen Geschäftszeiten durchgeführt und dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen
• Der Verantwortliche trägt die Kosten des Audits, sofern das Audit nicht eine wesentliche Nichteinhaltung durch den Auftragsverarbeiter aufdeckt
• Der Verantwortliche kann einen qualifizierten, unabhängigen externen Prüfer beauftragen, vorbehaltlich angemessener Vertraulichkeitspflichten

12. Laufzeit und Kündigung

Dieser DPA bleibt für die Dauer der Dienstleistungsvereinbarung zwischen den Parteien in Kraft. Nach Beendigung der Dienstleistungsvereinbarung gilt:

• Der Auftragsverarbeiter wird nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von 30 Tagen ab dem Beendigungsdatum löschen oder zurückgeben
• Der Auftragsverarbeiter wird vorhandene Kopien personenbezogener Daten löschen, sofern nicht Unionsrecht oder das Recht eines Mitgliedstaats die Speicherung verlangt (z. B. Steuer- und Finanzunterlagen nach spanischem Recht)
• Der Auftragsverarbeiter stellt auf Anforderung des Verantwortlichen eine schriftliche Bestätigung über die Löschung aus

13. Anwendbares Recht

Dieser DPA unterliegt den Gesetzen des Königreichs Spanien und ist in Übereinstimmung mit diesen auszulegen, ohne Berücksichtigung kollisionsrechtlicher Vorschriften. Die GDPR gilt für alle Angelegenheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten. Streitigkeiten aus diesem DPA unterliegen der ausschließlichen Zuständigkeit der Gerichte der Kanarischen Inseln, Spanien (Santa Cruz de Tenerife).

14. Kontakt

Bei Fragen, Bedenken oder Anfragen zu diesem Auftragsverarbeitungsvertrag kontaktieren Sie uns bitte: