Datenverarbeitungszusatz

Dieser Datenverarbeitungszusatz („DPA“) gilt, wenn und nur soweit Aidfine LLC („Aidfine“) personenbezogene Kundendaten im Auftrag eines Geschäftskunden („Kunde“) im Zusammenhang mit den Services verarbeitet.

Dieser DPA soll die anwendbaren Terms & Conditions, ein Bestellformular, den Checkout-Prozess, Abonnementbedingungen oder eine sonstige Vereinbarung ergänzen, die die Nutzung der Services durch den Kunden regelt (zusammen die „Vereinbarung“).

Dieser DPA gilt nicht für Verarbeitungen, bei denen Aidfine als unabhängiger Verantwortlicher oder als Unternehmen für eigene Zwecke handelt, einschließlich Verarbeitungen im Zusammenhang mit Kontoverwaltung, Abrechnungs- und Zahlungsvorgängen, Betrugsprävention, Servicesicherheit, rechtlicher Compliance und damit verbundenen Geschäftsvorgängen außerhalb des Umfangs der Kundendaten, die im Auftrag des Kunden verarbeitet werden.

Zwischen den Parteien handelt der Kunde in Bezug auf personenbezogene Kundendaten als Verantwortlicher oder vergleichbarer Geschäftskunde, und Aidfine handelt als Auftragsverarbeiter oder vergleichbarer Dienstleister, soweit Aidfine personenbezogene Kundendaten, die in Kundendaten enthalten sind, im Auftrag des Kunden verarbeitet.

Der Kunde bleibt verantwortlich für die Festlegung der Zwecke der Verarbeitung, die Auswahl der Kategorien personenbezogener Daten, die an die Services übermittelt werden, die Festlegung einer geeigneten Rechtsgrundlage sowie die Bereitstellung aller erforderlichen Informationen an betroffene Personen.

Aidfine handelt als unabhängiger Verantwortlicher oder als Unternehmen für eigene Zwecke in Bezug auf Daten, die Aidfine für eigene Zwecke verarbeitet, einschließlich Daten im Zusammenhang mit Kontoverwaltung, Abonnement- und Abrechnungsmanagement, Zahlungsvorgängen, Betrugsprävention, Servicesicherheit, direktem Kundenbeziehungsmanagement und rechtlicher Compliance.

Die Nutzung der Services durch den Kunden, die administrative Konfiguration der Services, die Vereinbarung sowie die schriftlichen Mitteilungen und Support-Weisungen des Kunden stellen zusammen die dokumentierten Weisungen des Kunden an Aidfine für die Verarbeitung personenbezogener Kundendaten im Rahmen dieses DPA dar.

Aidfine verarbeitet personenbezogene Kundendaten nur auf dokumentierte Weisung des Kunden, soweit dies erforderlich ist, um die Services gemäß der Vereinbarung bereitzustellen, zu sichern, zu unterstützen, zu warten und zu verbessern, oder soweit dies nach geltendem Recht anderweitig erforderlich ist.

Aidfine kann jede Weisung ablehnen oder aussetzen, die rechtswidrig, technisch unsicher, mit der Vereinbarung unvereinbar oder vernünftigerweise geeignet ist, die Sicherheit, Integrität oder den zuverlässigen Betrieb der Services zu beeinträchtigen.

Aidfine beschränkt den Zugang zu personenbezogenen Kundendaten auf Personal, Auftragnehmer und Unterauftragsverarbeiter, die ein berechtigtes Erfordernis haben, diese Daten zu kennen, um die Services bereitzustellen, zu unterstützen, zu sichern oder rechtmäßig zu betreiben.

Personen, die zur Verarbeitung personenbezogener Kundendaten befugt sind, unterliegen angemessenen Vertraulichkeitsverpflichtungen, unabhängig davon, ob diese vertraglicher, gesetzlicher oder anderweitig rechtlich verbindlicher Natur sind.

Support-, Fehlerbehebungs-, Wartungs- und Sicherheitszugriffe sind auf das beschränkt, was für den jeweiligen Service-, Sicherheits- oder Rechtszweck angemessen erforderlich ist.

Aidfine unterhält technische und organisatorische Maßnahmen, die darauf ausgelegt sind, personenbezogene Kundendaten vor unbefugtem oder rechtswidrigem Zugriff, Offenlegung, Veränderung, Verlust oder Zerstörung zu schützen, wobei die Art der Services und die mit der Verarbeitung verbundenen Risiken berücksichtigt werden.

Weitere Einzelheiten zu den technischen und organisatorischen Maßnahmen von Aidfine sind in Anhang II zusammengefasst. Keine Methode der Übertragung, Speicherung oder Verarbeitung ist vollständig sicher, und die in diesem DPA beschriebenen Maßnahmen sind als risikobasiert, angemessen und wirtschaftlich glaubwürdig zu verstehen und stellen keine absoluten Garantien dar.

Der Kunde erteilt Aidfine eine allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen, die vernünftigerweise erforderlich sind, um die Services bereitzustellen, zu unterstützen, zu sichern oder zu warten.

Aidfine wird Unterauftragsverarbeitern schriftliche Datenschutz- und Vertraulichkeitsverpflichtungen auferlegen, die den von ihnen erbrachten Services angemessen sind und den Schutz personenbezogener Kundendaten in einer Weise verlangen, die diesem DPA in wesentlichen Punkten entspricht.

Aidfine bleibt für seine Unterauftragsverarbeiter verantwortlich, soweit dies nach geltendem Recht erforderlich ist.

Aidfine kann seine Unterauftragsverarbeiter oder Kategorien von Unterauftragsverarbeitern von Zeit zu Zeit aktualisieren und wird wesentliche Änderungen mit angemessener Vorankündigung auf angemessene Weise mitteilen. Der Kunde kann einer wesentlichen Änderung aus angemessenen datenschutzrechtlichen Gründen innerhalb von 15 Tagen nach der Mitteilung widersprechen.

Können die Parteien einen angemessenen Widerspruch nicht nach Treu und Glauben lösen, kann Aidfine eine wirtschaftlich angemessene Alternative bereitstellen oder, wenn keine solche Alternative vernünftigerweise verfügbar ist, dem Kunden gestatten, die betroffenen Services zu kündigen.

Drittanbieterdienste, die direkt vom Kunden ausgewählt, verbunden oder angewiesen werden, gelten nicht als Unterauftragsverarbeiter von Aidfine, soweit sie im Rahmen der eigenen Beziehung, Konfiguration oder Weisungen des Kunden tätig werden. Ebenso fallen Anbieterbeziehungen, die Aidfine in seiner Eigenschaft als unabhängiger Verantwortlicher nutzt, einschließlich bestimmter Abrechnungs-, Zahlungs-, Betrugspräventions-, Sicherheits-, Website- oder Compliance-Vorgänge, nicht in den Geltungsbereich dieses DPA, außer soweit sie personenbezogene Kundendaten im Auftrag von Aidfine als Auftragsverarbeiter verarbeiten.

Aidfine kann personenbezogene Kundendaten in den Vereinigten Staaten und in anderen Ländern verarbeiten, in denen Aidfine oder seine Unterauftragsverarbeiter tätig sind.

Soweit dies nach geltendem Recht für internationale Übermittlungen personenbezogener Kundendaten erforderlich ist, vereinbaren die Parteien, dass die Standardvertragsklauseln der Europäischen Kommission zusammen mit etwaigen anwendbaren Übermittlungsmechanismen des Vereinigten Königreichs und der Schweiz gelten, ergänzt, soweit dies für das jeweilige Übermittlungsszenario angemessen erforderlich ist.

Aidfine wird personenbezogene Kundendaten nicht in einer Weise übermitteln, die nach geltendem Datenschutzrecht verboten ist, und wird einen Übermittlungsrahmen aufrechterhalten, der den Services und den jeweiligen Rechtsordnungen angemessen ist.

Unter Berücksichtigung der Art der Verarbeitung wird Aidfine dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen leisten, die ihre Rechte nach geltendem Datenschutzrecht ausüben möchten.

Erhält Aidfine eine direkte Anfrage einer betroffenen Person in Bezug auf personenbezogene Kundendaten, kann Aidfine den Antragsteller an den Kunden verweisen oder den Kunden benachrichtigen, sofern Aidfine rechtlich nicht daran gehindert ist.

Der Kunde bleibt als Verantwortlicher für die Bewertung und Beantwortung von Anfragen betroffener Personen verantwortlich, außer soweit das geltende Recht ausdrücklich verlangt, dass Aidfine anders handelt.

Aidfine wird den Kunden unverzüglich nach Kenntniserlangung von einer bestätigten Verletzung des Schutzes personenbezogener Daten benachrichtigen, die personenbezogene Kundendaten betrifft, die im Rahmen dieses DPA verarbeitet werden.

Die Mitteilung von Aidfine kann die zu diesem Zeitpunkt verfügbaren Informationen über die Art des Vorfalls, die Kategorien betroffener personenbezogener Kundendaten, die wahrscheinlichen Auswirkungen sowie die ergriffenen oder vorgeschlagenen Abhilfe- oder Minderungsmaßnahmen enthalten.

Informationen können schrittweise bereitgestellt werden, sobald sie vernünftigerweise verfügbar sind. Der Kunde bleibt verantwortlich für die Entscheidung, ob Mitteilungen an Aufsichtsbehörden, Regulierungsbehörden, betroffene Personen oder Dritte nach geltendem Recht erforderlich sind.

Während der Laufzeit der Vereinbarung und während eines etwaigen begrenzten nachvertraglichen Abrufzeitraums, der im Rahmen der Vereinbarung zur Verfügung gestellt wird, kann der Kunde Kundendaten über die verfügbaren Funktionen der Services oder über sonstige von Aidfine angebotene Standard-Offboarding-Unterstützung abrufen oder exportieren.

Nach Beendigung oder Ablauf können personenbezogene Kundendaten zunächst unzugänglich werden, bevor die vollständige Löschung abgeschlossen ist. Die Löschung kann asynchron durch gewöhnliche betriebliche Prozesse erfolgen, einschließlich Speicher-Workflows, in Warteschlangen befindlicher Löschaufgaben, Archivierungsprozessen und Backup-Rotation.

Aidfine kann personenbezogene Kundendaten aufbewahren, soweit dies nach geltendem Recht erforderlich oder für legitime Zwecke der Sicherheit, Betrugsprävention, Geschäftskontinuität, Streitbeilegung, rechtlichen Aufbewahrung oder Compliance vernünftigerweise erforderlich ist. Alle aufbewahrten Daten bleiben für die Dauer ihrer Aufbewahrung angemessenen Schutzmaßnahmen unterworfen.

Aidfine kann die Prüfungs- und Informationsrechte des Kunden zunächst durch die Bereitstellung angemessener Dokumentation und Compliance-Unterlagen erfüllen, einschließlich Sicherheitszusammenfassungen, Richtlinieninformationen, Informationen zu Unterauftragsverarbeitern und Antworten auf angemessene Due-Diligence-Fragebögen.

Soweit zusätzliche Überprüfungen nach geltendem Recht erforderlich oder angesichts des Verarbeitungsrisikos des Kunden vernünftigerweise gerechtfertigt sind, muss jede weitere Prüfung begrenzt, kontrolliert, nicht störend und angemessenen Vertraulichkeitsbeschränkungen unterworfen sein.

Kein Prüfungsrecht im Rahmen dieses DPA verpflichtet Aidfine zur Offenlegung von Quellcode, Schwachstellendetails, die das Sicherheitsrisiko wesentlich erhöhen würden, Geschäftsgeheimnissen, internen Preisinformationen oder Daten anderer Kunden.

Sofern nicht gesetzlich vorgeschrieben oder durch einen bestätigten Vorfall ausgelöst, der personenbezogene Kundendaten wesentlich betrifft, ist eine vertiefte Prüfungstätigkeit auf höchstens einmal jährlich und während der normalen Geschäftszeiten beschränkt.

Dieser DPA soll Bestandteil der Vereinbarung werden, wenn er durch Verweis einbezogen oder anderweitig zwischen Aidfine und dem Kunden vereinbart wird.

Bei einem Konflikt zwischen diesem DPA und der Vereinbarung hat dieser DPA ausschließlich in Bezug auf die Verarbeitung personenbezogener Kundendaten Vorrang, die diesem DPA unterliegt.

Die Haftungsbeschränkungen, Ausschlüsse und Risikoverteilungsbestimmungen der Vereinbarung gelten für diesen DPA im größtmöglichen nach geltendem Recht zulässigen Umfang.

Nichts in diesem DPA erweitert die Verpflichtungen von Aidfine über den Umfang der Verarbeitung personenbezogener Kundendaten hinaus, bei der Aidfine als Auftragsverarbeiter oder vergleichbarer Dienstleister im Rahmen der Vereinbarung handelt.

Gegenstand und Dauer. Aidfine verarbeitet personenbezogene Kundendaten, soweit dies erforderlich ist, um die Services während der Laufzeit der Vereinbarung sowie während eines begrenzten Abruf-, Lösch-, Backup-, gesetzlichen Aufbewahrungs- oder Sicherheitszeitraums bereitzustellen, zu sichern, zu unterstützen, zu warten und zu verwalten, soweit dies nach der Vereinbarung oder geltendem Recht zulässig ist.

Art und Zweck der Verarbeitung. Die Verarbeitung kann die Erhebung, das Hochladen, die Speicherung, Organisation, Überprüfung, Umwandlung, den Abruf, die Anzeige, Analyse, Abstimmung, Berichterstattung, den Supportzugriff, die Fehlerbehebung, Sicherheitsüberwachung und Löschung personenbezogener Kundendaten im Zusammenhang mit den Services umfassen.

Kategorien betroffener Personen können autorisierte Nutzer des Kunden, Administratoren, Finanz- und Buchhaltungspersonal, Mitarbeiter, Auftragnehmer, Gegenparteien, Lieferanten, Zahlungsempfänger, Zahler und andere Personen umfassen, deren personenbezogene Daten in den an die Services übermittelten Kundendaten erscheinen.

Arten personenbezogener Daten können Namen, geschäftliche Kontaktdaten, Rollen- und Kontoidentifikatoren, Inhalte hochgeladener Dateien, Tabellenkalkulationsdaten, Transaktionsreferenzen, Beschreibungen, Daten, Beträge, Salden, Berichtsergebnisse, Kommentare, Supportinhalte und sonstige personenbezogene Daten umfassen, die vom Kunden oder in dessen Auftrag in Kundendaten aufgenommen werden.

Aidfine unterhält Maßnahmen, die darauf ausgelegt sind, personenbezogene Kundendaten in einer Weise zu schützen, die den Services und den mit der Verarbeitung verbundenen Risiken angemessen ist. Diese Maßnahmen können die folgenden Kategorien von Kontrollen umfassen:

Aidfine kann Unterauftragsverarbeiter oder dienstleistungsseitige Anbieter in Kategorien einsetzen, die vernünftigerweise erforderlich sind, um die Services zu betreiben. Je nach Bereitstellung und Servicekonfiguration können diese Kategorien Folgendes umfassen:

Vom Kunden gesteuerte Integrationen und Drittanbieterdienste, die direkt vom Kunden ausgewählt oder aktiviert werden, gelten nicht als Unterauftragsverarbeiter von Aidfine, soweit sie unter der eigenen Konfiguration, Beziehung oder den vertraglichen Bedingungen des Kunden betrieben werden.

Anbieter, die Aidfine in seiner Eigenschaft als unabhängiger Verantwortlicher einsetzt, einschließlich bestimmter Anbieter im Zusammenhang mit Abrechnung, Zahlungen, Betrugsprävention, Website und Unternehmensvorgängen, fallen nicht in den Geltungsbereich dieses Anhangs, außer soweit sie personenbezogene Kundendaten im Auftrag von Aidfine als Auftragsverarbeiter verarbeiten.