Auftragsverarbeitungsvertrag — flydeal.ch
Startseite Preise So funktioniert's Kontakt
Anmelden
oder weiter mit
Google Facebook

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 1. März 2026

Dieser Auftragsverarbeitungsvertrag („AVV") wird zwischen dem Nutzer des Flugschnäppchen-Alarmdienstes von flydeal.ch („Verantwortlicher", „Sie" oder „Ihr") und Back Hills Assets LLC, einem im Bundesstaat Delaware, Vereinigte Staaten gegründeten und eingetragenen Unternehmen („Auftragsverarbeiter", „flydeal.ch", „wir", „uns" oder „unser"), geschlossen.

Dieser AVV ist wesentlicher Bestandteil der Nutzungsbedingungen (die „Vereinbarung") zwischen dem Verantwortlichen und dem Auftragsverarbeiter und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des Flugschnäppchen-Alarmdienstes von flydeal.ch (der „Dienst").

Dieser AVV dient der Sicherstellung der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") und aller sonstigen anwendbaren Datenschutzgesetze und ist im Einklang mit der DSGVO auszulegen.

Durch die Nutzung des Dienstes stimmt der Verantwortliche den Bedingungen dieses AVV zu. Stimmt der Verantwortliche diesem AVV nicht zu, darf er den Dienst nicht nutzen.

1. Begriffsbestimmungen

Für die Zwecke dieses AVV haben die folgenden Begriffe die nachstehend festgelegte Bedeutung. Alle großgeschriebenen Begriffe, die hierin nicht definiert sind, haben die ihnen in der DSGVO oder der Vereinbarung zugewiesene Bedeutung.

  • „Verantwortlicher" bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, wie in Artikel 4 Nr. 7 DSGVO definiert. Im Rahmen dieses AVV ist der Verantwortliche der Nutzer des Dienstes.
  • „Auftragsverarbeiter" bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie in Artikel 4 Nr. 8 DSGVO definiert. Im Rahmen dieses AVV ist der Auftragsverarbeiter Back Hills Assets LLC.
  • „Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person") beziehen, wie in Artikel 4 Nr. 1 DSGVO definiert. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person.
  • „Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, wie in Artikel 4 Nr. 2 DSGVO definiert.
  • „Betroffene Person" bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
  • „Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter (oder von einem nachfolgenden Unterauftragsverarbeiter) beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
  • „Verletzung des Schutzes personenbezogener Daten" bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, wie in Artikel 4 Nr. 12 DSGVO definiert.
  • „Aufsichtsbehörde" bezeichnet eine von einem EU-Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtete unabhängige staatliche Stelle. Die zuständige Aufsichtsbehörde wird durch den EU-Mitgliedstaat des gewöhnlichen Aufenthaltsorts, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes der betroffenen Person bestimmt.
  • „Standardvertragsklauseln" (SVK) bezeichnet die von der Europäischen Kommission gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO genehmigten Vertragsklauseln für die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), die nicht von einem Angemessenheitsbeschluss profitieren.
  • „EWR" bezeichnet den Europäischen Wirtschaftsraum, bestehend aus den Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

2. Umfang und Zweck der Verarbeitung

2.1 Umfang

Dieser AVV gilt für die gesamte Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung des Dienstes durchführt. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich in dem Umfang, der zur Erfüllung seiner Pflichten aus der Vereinbarung erforderlich ist, und gemäß den dokumentierten Weisungen des Verantwortlichen.

2.2 Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen für folgende bestimmte Zwecke:

  • Erstellung, Pflege und Verwaltung von Benutzerkonten, einschließlich Authentifizierung, Sicherheit und Kontowiederherstellung.
  • Speicherung und Verarbeitung von Reisepräferenzen (Abflughäfen, Zielpräferenzen, Budgetspannen, Reisedatenflexibilität) zur Erstellung personalisierter Flugschnäppchen-Benachrichtigungen.
  • Zustellung von Benachrichtigungen und Flugschnäppchen-Benachrichtigungen per E-Mail.
  • Abwicklung von Abonnementzahlungen und Rechnungsverwaltung über autorisierte Zahlungsdienstleister.
  • Bereitstellung von Kundensupport und Beantwortung von Anfragen im Zusammenhang mit dem Dienst.
  • Erstellung anonymisierter und aggregierter Analysen zur Überwachung, Wartung und Verbesserung des Dienstes.
  • Gewährleistung der Sicherheit, Integrität und Verfügbarkeit des Dienstes und seiner zugrunde liegenden Infrastruktur.
  • Einhaltung geltender gesetzlicher Verpflichtungen, einschließlich steuerlicher, buchhalterischer und regulatorischer Anforderungen.

2.3 Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer der Vereinbarung, sofern nicht schriftlich etwas anderes vereinbart oder durch geltendes Recht vorgeschrieben ist. Nach Beendigung der Vereinbarung gelten die Bestimmungen des Abschnitts 13 (Rückgabe und Löschung von Daten).

3. Kategorien betroffener Personen

Die im Rahmen dieses AVV verarbeiteten personenbezogenen Daten beziehen sich auf die folgenden Kategorien betroffener Personen:

  • Registrierte Nutzer: Natürliche Personen, die ein Konto auf der Plattform flydeal.ch erstellt haben, einschließlich Nutzer des Free-, Pro-, Max- und Ultra-Tarifs.
  • Website-Besucher: Natürliche Personen, die die Website von flydeal.ch besuchen und deren Daten möglicherweise durch Cookies und ähnliche Technologien erfasst werden, wie in unserer Cookie-Richtlinie beschrieben.
  • Kundensupport-Kontakte: Natürliche Personen, die flydeal.ch für Support, Anfragen oder Feedback kontaktieren und deren personenbezogene Daten im Zusammenhang mit diesen Mitteilungen verarbeitet werden.

4. Arten personenbezogener Daten

Die folgenden Kategorien personenbezogener Daten werden im Rahmen dieses AVV verarbeitet:

  • Identitätsdaten: E-Mail-Adresse (als Kontokennung verwendet).
  • Kontaktdaten: E-Mail-Adresse.
  • Kontodaten: Kontokennung, gehashtes Passwort, Kontoerstellungsdatum, Tarifart und Kontostatus.
  • Reisepräferenzdaten: Bevorzugte(r) Abflughafen(en), Zielpräferenzen (Regionen, Länder oder bestimmte Städte), Budgetspannen, Reisedatenflexibilität, Reisedauerpräferenzen, benutzerdefinierte Routenkonfigurationen (Max-Tarif).
  • Kommunikationspräferenzdaten: Gewählte Benachrichtigungskanäle (E-Mail), Benachrichtigungshäufigkeitseinstellungen, Opt-in-Status für Werbemitteilungen.
  • Zahlungs- und Abonnementdaten: Tarifart, Abonnementstart- und -enddaten, Abrechnungszyklusdaten, Transaktionskennungen, letzte vier Ziffern der Zahlungskarte, Kartenmarke, Kartenablaufdatum, Abrechnungsland. Vollständige Zahlungskartendaten werden ausschließlich von Stripe verarbeitet und nicht vom Auftragsverarbeiter gespeichert.
  • Nutzungsdaten: Besuchte Seiten, genutzte Funktionen, angesehene und angeklickte Angebote, geöffnete und angeklickte Benachrichtigungen, Sitzungsdauer und Interaktionszeitstempel.
  • Technische Daten: IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp, Bildschirmauflösung, Gerätespracheinstellungen und eindeutige Gerätekennungen.
  • Supportdaten: Inhalte von Supportanfragen, Korrespondenz und Feedback der betroffenen Person.

Der Auftragsverarbeiter verarbeitet im Rahmen dieses AVV keine besonderen Kategorien personenbezogener Daten (im Sinne von Artikel 9 DSGVO) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (im Sinne von Artikel 10 DSGVO).

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

5.1 Verarbeitungsanweisungen

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, der Auftragsverarbeiter ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  • Den Verantwortlichen unverzüglich informieren, wenn nach Auffassung des Auftragsverarbeiters eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.

5.2 Vertraulichkeit

  • Sicherstellen, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Den Zugang zu personenbezogenen Daten auf diejenigen Mitarbeiter, Auftragnehmer und Beauftragten beschränken, die den Zugang zur Erfüllung ihrer Aufgaben im Zusammenhang mit dem Dienst benötigen und in Datenschutzpflichten geschult wurden.

5.3 Sicherheit

  • Geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 DSGVO, wie in Abschnitt 8 (Datensicherheitsmaßnahmen) dieses AVV näher beschrieben.

5.4 Unterauftragsverarbeitung

  • Keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige allgemeine oder spezifische schriftliche Genehmigung des Verantwortlichen zu beauftragen, wie in Abschnitt 7 (Unterauftragsverarbeiter) dieses AVV näher beschrieben.

5.5 Unterstützung des Verantwortlichen

  • Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht zu unterstützen, auf Anträge zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) zu reagieren.
  • Den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Benachrichtigung der betroffenen Personen über Verletzungen und Datenschutz-Folgenabschätzungen) unterstützen.

5.6 Nachweis der Einhaltung

  • Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 DSGVO und diesem AVV festgelegten Pflichten zur Verfügung stellen und Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, ermöglichen und zu diesen beitragen, wie in Abschnitt 10 (Überprüfungen und Inspektionen) dieses AVV näher beschrieben.

6. Pflichten des Verantwortlichen

Der Verantwortliche wird:

  • Sicherstellen, dass eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorliegt und alle erforderlichen Einwilligungen, Genehmigungen und Hinweise gemäß den geltenden Datenschutzgesetzen eingeholt oder erteilt wurden.
  • Dem Auftragsverarbeiter dokumentierte Weisungen zur Verarbeitung personenbezogener Daten erteilen und den Auftragsverarbeiter unverzüglich über Änderungen dieser Weisungen informieren.
  • Sicherstellen, dass die dem Auftragsverarbeiter übermittelten personenbezogenen Daten korrekt, vollständig und aktuell sind.
  • Seine Pflichten als Verantwortlicher gemäß der DSGVO und den geltenden Datenschutzgesetzen erfüllen.
  • Den Auftragsverarbeiter unverzüglich über jede Anfrage einer betroffenen Person informieren, die sich unmittelbar auf die Verarbeitungstätigkeiten des Auftragsverarbeiters bezieht.

7. Unterauftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten im Rahmen dieses AVV, vorbehaltlich der in diesem Abschnitt 7 festgelegten Bedingungen.

7.2 Aktuelle Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter werden derzeit vom Auftragsverarbeiter eingesetzt:

  • Amazon Web Services, Inc. (AWS)
    Zweck: Cloud-Infrastruktur, Hosting, Datenspeicherung und Rechendienste.
    Verarbeitete Daten: Alle in Abschnitt 4 aufgeführten Kategorien personenbezogener Daten, die auf der AWS-Infrastruktur gespeichert und verarbeitet werden.
    Standort: Europäische Union (Region EU-West, hauptsächlich Irland).
    Garantien: AWS DSGVO-Auftragsverarbeitungszusatz; ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 Zertifizierungen.
  • Stripe, Inc.
    Zweck: Zahlungsabwicklung für Abonnementabrechnungen (Pro- und Max-Pläne).
    Verarbeitete Daten: Zahlungskartendaten (direkt von Stripe verarbeitet), Rechnungsinformationen, Transaktionskennungen, Abonnement-Metadaten.
    Standort: Europäische Union und Vereinigte Staaten.
    Garantien: Stripe Auftragsverarbeitungsvertrag; PCI DSS Level 1 Zertifizierung; EU-US Datenschutzrahmen; Standardvertragsklauseln.
  • Postmark (ActiveCampaign, LLC)
    Zweck: Transaktions- und Benachrichtigungs-E-Mail-Zustellung, einschließlich Flugangebots-Benachrichtigungen und servicebezogener E-Mails.
    Verarbeitete Daten: E-Mail-Adresse, Name, E-Mail-Inhalt (Details der Angebotsbenachrichtigungen), Zustell- und Engagement-Metadaten.
    Standort: Vereinigte Staaten, mit Zusagen zur Datenverarbeitung für EU-Daten.
    Garantien: Auftragsverarbeitungsvertrag; Standardvertragsklauseln; SOC 2 Typ II Zertifizierung.

7.3 Benachrichtigung über Änderungen

Der Auftragsverarbeiter wird den Verantwortlichen schriftlich (einschließlich per E-Mail) über beabsichtigte Änderungen an der Liste der Unterauftragsverarbeiter informieren, einschließlich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern, mindestens 14 Kalendertage bevor die Änderung wirksam wird. Die Benachrichtigung enthält den Namen des Unterauftragsverarbeiters, die Art der Verarbeitung und den Ort der Datenverarbeitung.

7.4 Widerspruchsrecht

Der Verantwortliche kann der Beauftragung eines neuen oder Ersatz-Unterauftragsverarbeiters widersprechen, indem er den Auftragsverarbeiter innerhalb von 14 Kalendertagen nach Erhalt der in Abschnitt 7.3 beschriebenen Benachrichtigung schriftlich benachrichtigt. Der Widerspruch muss auf begründeten datenschutzrechtlichen Erwägungen beruhen. Wenn der Verantwortliche Einspruch erhebt:

  • Der Auftragsverarbeiter wird angemessene Anstrengungen unternehmen, dem Verantwortlichen eine alternative Lösung anzubieten, die den Einsatz des beanstandeten Unterauftragsverarbeiters vermeidet.
  • Wenn keine Alternative in angemessener Weise verfügbar ist und der Auftragsverarbeiter berechtigterweise feststellt, dass der Unterauftragsverarbeiter für die Erbringung des Dienstes erforderlich ist, kann jede Partei den Vertrag mit einer schriftlichen Frist von 30 Tagen kündigen.

7.5 Pflichten der Unterauftragsverarbeiter

Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, wird der Auftragsverarbeiter:

  • Eine angemessene Sorgfaltsprüfung durchführen, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das in diesem AVV und der DSGVO geforderte Datenschutzniveau zu gewährleisten.
  • Dem Unterauftragsverarbeiter durch einen schriftlichen Vertrag die gleichen Datenschutzpflichten auferlegen, wie sie in diesem AVV festgelegt sind, insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten.
  • Gegenüber dem Verantwortlichen für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus dem Unterauftragsverarbeitungsvertrag uneingeschränkt haftbar bleiben.

8. Datensicherheitsmaßnahmen

Der Auftragsverarbeiter wird die folgenden technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 DSGVO umsetzen und aufrechterhalten, um personenbezogene Daten gegen versehentliche oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu schützen:

8.1 Technische Maßnahmen

  • Verschlüsselung bei der Übertragung: Alle zwischen Nutzern und dem Dienst übertragenen Daten werden mit Transport Layer Security (TLS) 1.3 verschlüsselt.
  • Verschlüsselung im Ruhezustand: Alle auf Servern und in Datenbanken gespeicherten personenbezogenen Daten werden im Ruhezustand mit AES-256-Verschlüsselung verschlüsselt.
  • Passwort-Hashing: Benutzerpasswörter werden mit dem kryptografischen Hashing-Verfahren bcrypt mit einem hohen Kostenfaktor gespeichert, wodurch sichergestellt wird, dass Passwörter nicht im Klartext wiederhergestellt werden können.
  • Firewall und Netzwerksicherheit: Produktionssysteme werden durch Firewalls und Netzwerksegmentierung geschützt. Der Zugang zu internen Netzwerken ist auf autorisiertes Personal über VPN mit Multi-Faktor-Authentifizierung beschränkt.
  • Einbruchserkennung und Überwachung: Kontinuierliche Überwachungs- und Einbruchserkennungssysteme sind implementiert, um potenzielle Sicherheitsbedrohungen in Echtzeit zu erkennen und darauf zu reagieren.
  • Schwachstellenmanagement: Regelmäßige Schwachstellenscans und Penetrationstests werden durchgeführt. Sicherheitspatches werden umgehend auf alle Systeme und Software angewendet.
  • Automatische Sicherungen: Automatische, verschlüsselte Sicherungen werden regelmäßig durchgeführt. Sicherungen werden redundant innerhalb der EU gespeichert und regelmäßig getestet, um die Wiederherstellbarkeit der Daten sicherzustellen.
  • Protokollierung und Prüfpfade: Der Zugriff auf personenbezogene Daten wird protokolliert und Prüfpfade werden geführt, um unbefugte Zugriffe oder anomale Aktivitäten zu erkennen.
  • Sichere Entwicklung: Der Dienst wird nach sicheren Softwareentwicklungspraktiken entwickelt, einschließlich Code-Reviews, statischer Analyse, Abhängigkeitsüberprüfung und Sicherheitstests.

8.2 Organisatorische Maßnahmen

  • Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC) wird nach dem Prinzip der geringsten Berechtigung implementiert. Zugriff auf personenbezogene Daten wird nur dem Personal gewährt, das ihn für seine zugewiesenen Aufgaben benötigt.
  • Vertraulichkeitsvereinbarungen: Alle Mitarbeiter und Auftragnehmer mit Zugang zu personenbezogenen Daten sind durch schriftliche Vertraulichkeitsverpflichtungen gebunden.
  • Datenschutzschulung: Das an der Verarbeitung personenbezogener Daten beteiligte Personal erhält regelmäßige Schulungen zu Datenschutzgrundsätzen, der DSGVO und den internen Datenschutzrichtlinien des Auftragsverarbeiters.
  • Notfallplan: Ein dokumentierter Notfallplan wird geführt und getestet, um eine prompte und effektive Reaktion auf Verletzungen des Schutzes personenbezogener Daten und andere Sicherheitsvorfälle sicherzustellen.
  • Geschäftskontinuität und Notfallwiederherstellung: Pläne für Geschäftskontinuität und Notfallwiederherstellung werden geführt und regelmäßig getestet, um die Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme sicherzustellen.
  • Lieferantenrisikomanagement: Unterauftragsverarbeiter unterliegen Sorgfaltsprüfungen und einer laufenden Überwachung, um sicherzustellen, dass sie angemessene Datenschutz- und Sicherheitsstandards einhalten.

9. Meldung von Datenschutzverletzungen

9.1 Benachrichtigung des Verantwortlichen

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter den Verantwortlichen unverzüglich und in jedem Fall spätestens 48 Stunden nach Kenntnisnahme der Verletzung benachrichtigen. Die Benachrichtigung erfolgt per E-Mail an die registrierte E-Mail-Adresse des Verantwortlichen und enthält:

  • Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze.
  • Den Namen und die Kontaktdaten der Datenschutz-Kontaktstelle des Auftragsverarbeiters, von der weitere Informationen eingeholt werden können.
  • Eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
  • Eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung der Verletzung des Schutzes personenbezogener Daten, einschließlich, sofern angemessen, Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

9.2 Fortlaufende Zusammenarbeit

Wenn es nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, wird der Auftragsverarbeiter die Informationen phasenweise ohne weitere unangemessene Verzögerung bereitstellen. Der Auftragsverarbeiter wird:

  • Mit dem Verantwortlichen zusammenarbeiten und alle angemessenen Schritte unternehmen, um bei der Untersuchung, Minderung und Behebung der Verletzung zu helfen.
  • Sofortige Maßnahmen ergreifen, um die Verletzung einzudämmen und ihre Auswirkungen zu minimieren.
  • Beweismittel im Zusammenhang mit der Verletzung für forensische Untersuchungszwecke sichern.
  • Den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde gemäß Artikel 33 DSGVO und gegenüber den betroffenen Personen gemäß Artikel 34 DSGVO unterstützen, soweit anwendbar.
  • Ohne die vorherige schriftliche Zustimmung des Verantwortlichen keine öffentlichen Erklärungen oder Benachrichtigungen in Bezug auf die Verletzung abgeben, es sei denn, dies ist gesetzlich vorgeschrieben.

9.3 Aufbewahrung von Aufzeichnungen

Der Auftragsverarbeiter führt ein Verzeichnis aller Verletzungen des Schutzes personenbezogener Daten, einschließlich der Fakten zur Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, gemäß Artikel 33 Absatz 5 DSGVO.

10. Anfragen betroffener Personen

10.1 Unterstützung

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Kapitel III DSGVO zu reagieren, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

10.2 Benachrichtigung

Erhält der Auftragsverarbeiter eine Anfrage von einer betroffenen Person bezüglich personenbezogener Daten, die im Auftrag des Verantwortlichen verarbeitet werden, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich (und in jedem Fall innerhalb von 5 Werktagen) benachrichtigen und die Anfrage nicht direkt beantworten, es sei denn, er ist vom Verantwortlichen dazu ermächtigt oder gesetzlich dazu verpflichtet.

10.3 Technische Maßnahmen

Der Auftragsverarbeiter wird geeignete technische und organisatorische Maßnahmen umsetzen, die es dem Verantwortlichen ermöglichen, effizient auf Anfragen betroffener Personen zu reagieren, einschließlich der Möglichkeit, personenbezogene Daten auf Anweisung des Verantwortlichen zu suchen, abzurufen, zu exportieren, zu korrigieren und zu löschen.

11. Prüfungen und Inspektionen

11.1 Prüfungsrecht

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Artikel 28 DSGVO und diesem AVV festgelegten Pflichten erforderlich sind, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten unabhängigen Prüfer durchgeführt werden.

11.2 Prüfungsverfahren

Prüfungen werden unter folgenden Bedingungen durchgeführt:

  • Der Verantwortliche wird den Auftragsverarbeiter mindestens 30 Kalendertage im Voraus schriftlich über jede beabsichtigte Prüfung informieren.
  • Prüfungen werden während der normalen Geschäftszeiten und in einer Weise durchgeführt, die die Störung des Betriebs des Auftragsverarbeiters minimiert.
  • Der Verantwortliche (oder sein Prüfer) wird die angemessenen Sicherheits- und Vertraulichkeitsanforderungen des Auftragsverarbeiters einhalten.
  • Prüfungen sind auf maximal eine pro Kalenderjahr beschränkt, es sei denn, es bestehen begründete Anhaltspunkte für einen wesentlichen Verstoß gegen diesen AVV oder die DSGVO, oder eine Prüfung wird von einer Aufsichtsbehörde verlangt.
  • Der Verantwortliche trägt die Kosten der Prüfung, es sei denn, die Prüfung deckt eine wesentliche Nichteinhaltung durch den Auftragsverarbeiter auf, in diesem Fall trägt der Auftragsverarbeiter die angemessenen Kosten.

11.3 Zertifizierungen und Berichte

Anstelle einer Vor-Ort-Prüfung kann der Auftragsverarbeiter nach eigenem Ermessen dem Verantwortlichen einschlägige Prüfberichte Dritter, Zertifizierungen (wie ISO 27001 oder SOC 2) oder sonstige Unterlagen zur Verfügung stellen, die die Einhaltung der Datenschutzanforderungen diesem AVV nachweisen.

12. Internationale Datenübermittlungen

12.1 Allgemeiner Grundsatz

Der Auftragsverarbeiter wird personenbezogene Daten vorrangig innerhalb des Europäischen Wirtschaftsraums (EWR) speichern und verarbeiten. Der Auftragsverarbeiter wird personenbezogene Daten nicht in ein Land außerhalb des EWR oder an eine internationale Organisation übermitteln, sofern nicht angemessene Garantien gemäß Kapitel V DSGVO umgesetzt wurden.

12.2 Übermittlungsmechanismen

Werden personenbezogene Daten außerhalb des EWR übermittelt (z. B. an Unterauftragsverarbeiter in den Vereinigten Staaten), stellt der Auftragsverarbeiter sicher, dass eine oder mehrere der folgenden Garantien bestehen:

  • Angemessenheitsbeschluss: Die Europäische Kommission hat festgestellt, dass das Drittland oder die internationale Organisation gemäß Artikel 45 DSGVO ein angemessenes Datenschutzniveau bietet.
  • Standardvertragsklauseln: Die Übermittlung unterliegt den von der Europäischen Kommission gemäß Artikel 46 Absatz 2 Buchstabe c DSGVO erlassenen Standardvertragsklauseln in ihrer jeweils aktuellen Fassung.
  • EU-US-Datenschutzrahmen: Sofern anwendbar, hat der Empfänger seine Teilnahme am EU-US-Datenschutzrahmen zertifiziert, der von der Europäischen Kommission als ein angemessenes Schutzniveau bietend anerkannt wurde.
  • Ergänzende Maßnahmen: Soweit es die Bewertung des Schutzniveaus im Empfängerland erfordert, wird der Auftragsverarbeiter zusätzliche technische Maßnahmen (wie Verschlüsselung und Pseudonymisierung) und organisatorische Maßnahmen umsetzen, um sicherzustellen, dass die übermittelten Daten ein Schutzniveau erhalten, das dem im EWR garantierten im Wesentlichen gleichwertig ist.

12.3 Transferfolgenabschätzung

Der Auftragsverarbeiter wird für jede internationale Übermittlung eine Transferfolgenabschätzung durchführen und dokumentieren, wobei die Gesetze und Praktiken des Empfängerlandes bewertet werden, um festzustellen, ob ergänzende Maßnahmen zur Gewährleistung eines im Wesentlichen gleichwertigen Datenschutzniveaus erforderlich sind.

13. Laufzeit und Beendigung

13.1 Laufzeit

Dieser AVV tritt mit der Annahme der Vereinbarung durch den Verantwortlichen in Kraft und bleibt für die Dauer der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen wirksam.

13.2 Fortgeltung

Die Pflichten des Auftragsverarbeiters aus diesem AVV bestehen nach Beendigung der Vereinbarung in dem Umfang fort, der erforderlich ist, um die Rückgabe oder Löschung personenbezogener Daten abzuschließen und geltendes Recht einzuhalten.

14. Rückgabe und Löschung von Daten

14.1 Wahlrecht des Verantwortlichen

Nach Beendigung der Vereinbarung oder auf schriftliche Anforderung des Verantwortlichen wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

  • Alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (wie JSON oder CSV) an den Verantwortlichen zurückgeben; oder
  • Alle personenbezogenen Daten und alle vorhandenen Kopien löschen, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Aufbewahrung der personenbezogenen Daten vor.

14.2 Zeitrahmen

Der Auftragsverarbeiter wird die Rückgabe oder Löschung personenbezogener Daten innerhalb von 30 Kalendertagen nach Erhalt der Weisung des Verantwortlichen oder, bei fehlenden spezifischen Weisungen, innerhalb von 30 Kalendertagen nach Beendigung der Vereinbarung abschließen.

14.3 Bestätigung der Löschung

Nach Abschluss der Löschung stellt der Auftragsverarbeiter dem Verantwortlichen eine schriftliche Bestätigung aus, dass alle personenbezogenen Daten sicher gelöscht wurden, einschließlich aus Backups und archivierten Systemen, außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist. Bestehen gesetzliche Aufbewahrungspflichten, informiert der Auftragsverarbeiter den Verantwortlichen über die konkreten aufbewahrten Daten, die Rechtsgrundlage für die Aufbewahrung und den voraussichtlichen Aufbewahrungszeitraum.

14.4 Backup-Löschung

Personenbezogene Daten in routinemäßigen Backup-Systemen werden gemäß dem Standard-Backup-Rotationsplan des Auftragsverarbeiters gelöscht, der 90 Kalendertage nicht überschreiten darf. Während der Aufbewahrungsfrist werden diese Backup-Daten weiterhin gemäß diesem AVV geschützt und nicht aktiv verarbeitet.

15. Haftung

15.1 Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet für Schäden, die durch eine Verarbeitung entstehen, die nicht den speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO entspricht, oder wenn der Auftragsverarbeiter außerhalb der oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat, gemäß Artikel 82 DSGVO.

15.2 Haftungsbeschränkung

Die Haftungsbestimmungen diesem AVV unterliegen den in der Vereinbarung festgelegten Beschränkungen, es sei denn, das anwendbare Recht (einschließlich der DSGVO) lässt eine solche Beschränkung nicht zu.

15.3 Freistellung

Jede Partei stellt die andere Partei von allen Kosten, Ansprüchen, Schäden oder Ausgaben frei, die der anderen Partei entstehen oder für die sie haftbar werden kann, aufgrund eines Versäumnisses der ersten Partei oder ihrer Mitarbeiter, Beauftragten oder Unterauftragsverarbeiter, ihren Pflichten aus diesem AVV oder der DSGVO nachzukommen.

16. Änderungen

Dieser AVV kann vom Auftragsverarbeiter von Zeit zu Zeit geändert werden, um Änderungen der Datenverarbeitungspraktiken, Unterauftragsverarbeiter, rechtlichen Anforderungen oder Sicherheitsmaßnahmen widerzuspiegeln. Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen mindestens 30 Kalendertage vor deren Inkrafttreten. Stimmt der Verantwortliche den Änderungen nicht zu, kann er die Vereinbarung gemäß ihren Bedingungen kündigen. Die fortgesetzte Nutzung des Dienstes durch den Verantwortlichen nach dem Inkrafttreten der Änderungen gilt als Annahme der überarbeiteten AVV.

17. Verhältnis zur Vereinbarung

Im Falle eines Konflikts oder einer Inkonsistenz zwischen den Bestimmungen diesem AVV und der Vereinbarung haben die Bestimmungen diesem AVV in Bezug auf Datenschutzangelegenheiten Vorrang. Im Übrigen gelten die Bestimmungen der Vereinbarung weiterhin.

18. Anwendbares Recht

Dieser AVV unterliegt dem Recht des Staates Delaware, USA, und wird entsprechend ausgelegt, ohne Berücksichtigung kollisionsrechtlicher Grundsätze, vorbehaltlich der zwingenden Bestimmungen der DSGVO und anderer anwendbarer EU-Datenschutzgesetze. Streitigkeiten im Zusammenhang mit diesem AVV unterliegen der ausschließlichen Zuständigkeit der zuständigen Gerichte in Delaware, USA, vorbehaltlich zwingender Verbraucherschutzbestimmungen des EU-Rechts.

19. Kontakt

Bei Fragen, Anfragen oder Mitteilungen zu dieser Datenverarbeitungsvereinbarung wenden Sie sich bitte an:

  • E-Mail: [email protected]
  • Unternehmen: Back Hills Assets LLC
  • Adresse: 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA

Sie können sich auch bei datenschutzrechtlichen Bedenken an Ihre lokale Datenschutzbehörde wenden. Ihre lokale Behörde finden Sie auf der Website des Europäischen Datenschutzausschusses.