EinloggenEinloggenAnmeldenDemo buchen

Datenverarbeitungsvertrag

Diese Datenverarbeitungsvereinbarung („DPA“) ist in die allgemeinen Geschäftsbedingungen von Adapty integriert und Teil der unter https://adapty.io/terms/ verfügbaren Vereinbarung oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen dem Kunden und Adapty (die „Vereinbarung“) ist.

Datenverarbeiter und Datenverantwortlicher werden nachfolgend jeweils als „Partei“ und zusammen als „Parteien“ bezeichnet. Der Datenverarbeiter und der Datenverantwortliche stimmen wie folgt zu:

Wenn Sie diese Bedingungen im Namen eines Unternehmens akzeptieren, erklären Sie, dass Sie die Befugnis haben, diese Einheit zu binden. Wenn Sie nicht über eine solche Befugnis verfügen oder diesen Bedingungen nicht bedingungslos zustimmen, haben Sie kein Recht, die Software zu nutzen.

Inhaltsverzeichnis

1. Definitionen

1.1. Anwendbares Datenschutzrecht bedeutet alle Gesetze, Vorschriften, Verordnungen, Erlass, Vorschriften, Leitlinien, Befehle oder ein anderes rechtliches Entgegenkommen, das von einer Regierungsbehörde herausgegeben wird und die Erhebung, Nutzung, Übertragung und Offenlegung personenbezogener Daten regelt.
1.2. Datenverantwortlicher bezeichnet den Kunden im Rahmen der Vereinbarung.
1.3. Datenverarbeiter bezieht sich auf Adapty.
1.4. Betroffene Person bedeutet die direkt oder indirekt identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.
1.5. DSGVO bedeutet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
1.6. UK-DSGVO bedeutet die übernommene EU-Rechtsversion der Datenschutz-Grundverordnung ((EU) 2016/679) (EU-DSGVO), soweit sie Teil des Rechts von England und Wales, Schottland und Nordirland im Sinne von Abschnitt 3 des Gesetzes über den Austritt der Europäischen Union (Withdrawal) Act 2018 und durch Anhang 1 zum Datenschutz, der Privatsphäre und den elektronischen Kommunikationsgesetzen (Änderungen usw.) (EU-Austrittsregulierungen) 2019 (SI 2019/419) geändert wurde.
1.7. Personenbezogene Daten bedeutet alle Informationen, die durch das anwendbare Datenschutzrecht geregelt sind und vom Datenverantwortlichen bereitgestellt werden, einschließlich Informationen über eine identifizierte oder identifizierbare Person.
1.8. Verarbeitung, Prozesse und Prozess beziehen sich auf jede Aktivität, die die Nutzung personenbezogener Daten umfasst oder wie das anwendbare Datenschutzrecht die Verarbeitung, Prozesse oder Prozess anderweitig definieren kann. Dazu gehören alle Operationen oder eine Reihe von Operationen, die mit personenbezogenen Daten oder mit Datensätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob diese automatisiert sind oder nicht, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung. Verarbeitung umfasst auch die Übertragung personenbezogener Daten an Dritte.
1.9. Standardvertragsklauseln (SCC) bedeutet vertragliche Klauseln, die durch die Durchführungsentscheidung der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021 zu den standardisierten vertraglichen Klauseln für die Übertragung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates verfügbar sind: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.
1.10. Sub-Auftragsverarbeiter sind Drittanbieter-Datenverarbeiter, die vom Datenverarbeiter beauftragt werden und die Zugang zu personenbezogenen Daten haben oder potenziell haben werden oder personenbezogene Daten verarbeiten.

2. Verarbeitung personenbezogener Daten

2.1. Der Gegenstand, die Dauer, die Art und die Zweck(e) der Verarbeitung personenbezogener Daten sowie der Typ der personenbezogenen Daten und Kategorien von betroffenen Personen sind im Anhang I festgelegt.
2.2. Der Datenverarbeiter wird von der Verarbeitung personenbezogener Daten absehen, die über den im Anhang I festgelegten Umfang hinausgeht.
2.3. Die Parteien vereinbaren hiermit, dass alle Aspekte ihrer Beziehungen im Kontext der Verarbeitung personenbezogener Daten, einschließlich der Aspekte, die gemäß Art. 28 der DSGVO behandelt werden müssen, im SCC geregelt sind.

3. Grenzüberschreitende Übertragung personenbezogener Daten

3.1. Übertragung aus der EU. Soweit die Verarbeitung der personenbezogenen Daten durch die DSGVO geschützt ist, vereinbaren die Parteien hiermit, dass diese Übertragung den SCC unterliegt, die durch Verweisung in diese DPA aufgenommen und einen integralen Bestandteil davon darstellen. Die Anhänge der SCC gelten als basierend auf Anhang 1 dieser DPA ausgefüllt. Die durch die SCC gebotenen Optionen gelten als basierend auf Anhang 2 dieser DPA ausgewählt.
3.2. Übertragungen aus der Schweiz. Soweit die Verarbeitung der personenbezogenen Daten durch das Bundesgesetz der Schweiz über den Datenschutz vom 19. Juni 1992 („FADP“) geschützt ist, vereinbaren die Parteien hiermit, dass diese Übertragung den SCC mit den Anpassungen unterliegt, die notwendig sind, damit die SCCs den schweizerischen Gesetzen entsprechen und damit ein angemessenes Schutzniveau für Datenübertragungen von der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a FADP gewährleistet ist. Die Liste der Anpassungen ist in Klausel 4.3. der Übertragung personenbezogener Daten in ein Land mit einem unzureichenden Schutzniveau auf Grundlage datierter, anerkannter Standardvertragsklauseln und Musterverträge vom 27. August 2021 durch den Bundesdatenschutz- und Informationsbeauftragten (verfügbar unter https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). Option 2 des Falls 2 findet Anwendung.
3.3. Übertragungen aus dem Vereinigten Königreich. Soweit die Verarbeitung personenbezogener Daten durch UK DSGVO geschützt ist, vereinbaren die Parteien hiermit, dass diese Übertragung dem internationalen Datenübertragungsanhang zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen unterliegt, die unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar sind, wie sie von der Informationskommission des Vereinigten Königreichs, dem Parlament oder dem Staatssekretär angenommen, geändert oder aktualisiert wurden.

4. Einwilligung

4.1. Der Datenverantwortliche erklärt und gewährleistet, dass: (i) seine Anweisungen zur Verarbeitung den anwendbaren Datenschutzgesetzen entsprechen; und (ii) er den anwendbaren Datenschutzgesetzen nachkommt, insbesondere hinsichtlich der rechtlichen Grundlage für die Verarbeitung personenbezogener Daten. Der Datenverantwortliche erkennt an und stimmt zu, dass die Dienstleistungen des Datenverarbeiters von der Zustimmung des Endbenutzers oder einer anderen nachweislich rechtmäßigen Grundlage abhängen, die vom Datenverantwortlichen eingeholt wird und auf die der Datenverarbeiter sich verlässt. Der Datenverantwortliche erklärt, dass eine solche Zustimmung oder eine andere nachweislich rechtmäßige Grundlage existiert.

5. Datenschutzrechte der Verbraucher in Kalifornien

5.1. „Personeninformationen“, „Verbraucher“ und andere großgeschriebene Begriffe in dieser Klausel 5 haben die in Kalifornien geltenden Datenschutzgesetze von 2018, Cal. Civ. Code §§ 1798.100 et. Seq, festgelegten Bedeutungen („CCPA“).
5.2. Es wird hiermit vereinbart, dass jede Weitergabe personenbezogener Daten zwischen den Parteien ausschließlich zur Erfüllung eines Geschäftszwecks erfolgt und Adapty keine personenbezogenen Daten als Gegenleistung für die Dienstleistungen erhält oder verarbeitet.
5.3. Der Datenverantwortliche ist somit allein verantwortlich für die Einhaltung des CCPA hinsichtlich seiner Nutzung der Dienstleistungen. Es liegt in der alleinigen Verantwortung und Haftung des Datenverantwortlichen, zu bestimmen, ob die Weitergabe oder Übertragung personenbezogener Daten von Verbrauchern im Rahmen der Dienstleistungen einen Verkauf personenbezogener Daten darstellt.
5.4. Der Datenverarbeiter wird personenbezogene Daten nicht aufbewahren, verwenden oder offenlegen zu kommerziellen Zwecken außerhalb der Bereitstellung der in der Vereinbarung spezifizierten Dienstleistungen.

6. Laufzeit

6.1. Dieser DPA tritt mit dem Wirksamkeitsdatum der Vereinbarung in Kraft. Dieser DPA bleibt in Kraft und wirksam, solange die Vereinbarung in Kraft bleibt.

7. Salvatorische Klausel

7.1. Sollte eine Bestimmung dieses DPA ganz oder teilweise ungültig, unwirksam oder nicht durchsetzbar sein oder werden, bleibt die Gültigkeit, Wirksamkeit und Durchsetzbarkeit der anderen Bestimmungen dieses DPA dadurch unberührt.
7.2. Jede solche ungültige, unwirksame oder nicht durchsetzbare Bestimmung wird, soweit gesetzlich zulässig, durch eine derartigen gültigen, wirksamen und durchsetzbaren Bestimmung ersetzt, die dem wirtschaftlichen Zweck und der Absicht der ungültigen, unwirksamen oder nicht durchsetzbaren Bestimmung in Bezug auf ihren Gegenstand, Umfang, Zeit, Ort und Anwendungsbereich am nächsten kommt.
7.3. Die oben genannte Regelung findet mutatis mutandis Anwendung, um etwaige Lücken, die in diesem DPA bestehen oder gefunden werden, zu schließen.

8. Gesamte Vereinbarung

8.1. Die Parteien erklären ausdrücklich, dass dieser DPA und die hierin erwähnten Dokumente die gesamte Vereinbarung zwischen den Parteien darstellen und alle früheren Entwürfe, Vereinbarungen, Verpflichtungen, Verständnisse, Bedingungen und Regelungen ersetzen, unabhängig von einer widersprüchlichen Reihenfolge von Prioritäten, gleich welcher Art zwischen den Parteien, unabhängig davon, ob schriftlich oder nicht, in Bezug auf den Gegenstand dieses DPA.

9. Anwendbares Recht und Gerichtsbarkeit

9.1. Der DPA unterliegt dem Recht, wie im Vertrag angegeben.
9.2. Die Parteien unterwerfen sich hiermit der im Vertrag festgelegten Gerichtsstandswahl hinsichtlich aller Streitigkeiten oder Ansprüche, die sich in irgendeiner Weise aus diesem DPA ergeben, einschließlich Streitigkeiten bezüglich seiner Existenz, Gültigkeit oder Kündigung oder der Folgen seiner Nichtigkeit.

10. Sonstiges

10.1. Im Falle von Konflikten oder Unklarheiten zwischen:
10.1.1. einer Bestimmung des DPA und einer Bestimmung der Vereinbarung haben die Bestimmungen des DPA Vorrang;
10.1.2. einer Bestimmung in diesem Vertrag und einer Bestimmung in den Anhängen haben die Bestimmungen im Text dieses Vertrags Vorrang;
10.1.3. einer Bestimmung dieses Vertrags und einer ausgeführten SCC haben die Bestimmungen der ausgeführten SCC Vorrang.

Anhang 1

Anhang I

A. Liste der Parteien
Verantwortlicher (Datenexporteur)
Name
Die im Vertrag identifizierte Kundeneinheit, während der Registrierung oder auf einem separaten Bestellformular
Adresse 
Die Adresse des Kunden, die während der Registrierung oder auf einem separaten Bestellformular angegeben ist
Offizielle Registrierungsnummer 
Die Registrierungsnummer des Kunden, die bei der Registrierung oder auf einem separaten Bestellformular angegeben ist
Name, Position und Kontaktdaten der Kontaktperson 
Der während der Registrierung oder auf einem separaten Bestellformular identifizierte Kundenvertreter
Aktivitäten, die für die nach diesen Klauseln übertragenen Daten relevant sind 
Übertragung von Daten an den Datenimporteur, um dem Datenimporteur zu ermöglichen, Dienstleistungen gemäß dem Vertrag bereitzustellen
Rolle
Verantwortlicher
Auftragsverarbeiter (Datenimporteur)
Name
Adapty Tech Inc.
Adresse 
2093 Philadelphia Pike #9181 Claymont, DE 19703 US
Name, Position und Kontaktdaten der Kontaktperson 
Kirill Potekhin, Chief Technology Officer, [email protected]
Aktivitäten, die für die nach diesen Klauseln übertragenen Daten relevant sind 
Erhalt von Daten vom Datenexporteur, um Dienstleistungen gemäß dem Vertrag bereitzustellen
Rolle
Auftragsverarbeiter
B. Beschreibung der Übertragung (Verarbeitung)
Kategorien von betroffenen Personen, deren personenbezogenen Daten übertragen werden 
Endbenutzer der von dem Datenexporteur betriebenen mobilen Anwendung(en) 
Kategorien der übertragenen personenbezogenen Daten  
(für jede Kategorie von betroffenen Personen, falls mehrere)
IT-Informationen (technische Informationen vom Gerät (IDFA, IDFV, Werbe-ID, IP-Adresse, Gerätemodell, OS, Spracheinstellungen), Nutzungsdaten (In-App-Ereignisse), Kontaktinformationen (E-Mail, Vorname, Nachname und andere Eigenschaften, die Entwickler uns absichtlich senden)
Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbeschränkung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung durchlaufen haben), Führung eines Zugriffsprotokolls, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen 
Die Parteien beabsichtigen nicht, sensible Daten zu übertragen
Die Frequenz der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden)
Daten werden kontinuierlich während der Laufzeit des Vertrags übertragen
Natur der Verarbeitung 
Erhalt, Nutzung, Speicherung, Löschung
Zweck(e) der Datenübertragung und der weiteren Verarbeitung 
Dem Datenimporteur die Bereitstellung der Analyse-Dienstleistungen auf Grundlage des Vertrags für den Datenexporteur zu ermöglichen
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden 
Die Daten werden nach Ablauf/Kündigung des Vertrags nicht aufbewahrt

Für Übertragungen an (Sub-)Auftragsverarbeiter auch das Thema, die Natur und die Dauer der Verarbeitung angeben 
Cloud-Service-Anbieter, die zur Speicherung von Daten für die gesamte Dauer der Verarbeitung verwendet werden

Anhang II. Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Maßnahmen für 
Ergriffene Maßnahmen (Y/N)
Wenn Ja, bitte spezifische Details angeben
Pseudonymisierung und Verschlüsselung personenbezogener Daten
Personenbezogene Daten werden während der Übertragung verschlüsselt.
Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste
Alle Daten werden innerhalb eines internen Netzwerks gespeichert und verarbeitet, das durch eine Firewall geschützt ist. Die Daten werden kontinuierlich zwischen mehreren Rechenzentren repliziert. Wir speichern auch inkrementelle Sicherungskopien.
Gewährleistung der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen
Die Daten werden kontinuierlich zwischen mehreren Rechenzentren repliziert. Wir speichern auch inkrementelle Sicherungskopien.
Prozesse zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Der gesamte Code, der in der Produktion eingesetzt wird, wird peer-reviewed. Autotests (einschließlich Sicherheitstests) sind Teil des Bereitstellungsprozesses. Drittanbieter-Software wird regelmäßig auf die neueste stabile Version aktualisiert, einschließlich, aber nicht beschränkt auf: OS, Datenbanken, Caches, IDE, Orchestrierungsdienste usw.
Benutzerauthentifizierung und Autorisierung
Benutzer werden mit E-Mail und Passwort autorisiert. Alle Passwörter werden verschlüsselt mit randomisiertem Salt gespeichert.
Schutz der Daten während der Übertragung
Alle Daten werden dank SSL-Zertifikaten verschlüsselt übertragen.
Schutz der Daten während der Speicherung
Alle Daten werden innerhalb eines internen Netzwerks gespeichert und verarbeitet, das durch eine Firewall geschützt ist.
Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden
Tier-1-Rechenzentren werden zur Speicherung und Verarbeitung von Daten verwendet.
Gewährleistung der Ereignisprotokollierung
Es wird ein verteiltes Protokollierungssystem verwendet, das auch Daten hinter einer Firewall speichert.
Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Die Systemkonfiguration, einschließlich der Standardkonfiguration, wird peer-reviewed und ständig überwacht. Standardports und Passwörter werden immer geändert.
Interne IT- und IT-Sicherheitsverwaltung und -management
Adapty implementiert mehrere und vielfältige Infrastruktur-Sicherheitsmaßnahmen, um Kundendaten vor unbefugtem Zugriff, Verlust, Veränderung, Viren, Trojanern und ähnlichem schädlichen Code zu schützen. Dazu gehören:
• Regelmäßige Updates von Betriebssystemen, Hardware und jeglicher Drittanbieter-Software, um Sicherheitsanfälligkeiten zu vermeiden.
• Verwendung von Firewalls und Intrusion Prevention Systems (IPS), um den Zugriff einzuschränken und Adapty-Server zu schützen.
• Sicherstellung der Kommunikation über Remote-Zugriff mittels Mehrfaktorauthentifizierung.
• Tägliche Sicherung der Kundendaten gemäß einem Rotationsschema.
Zertifizierung/Sicherung von Prozessen und Produkten
Nein
Gewährleistung der Datenminimierung
Nur die persönlichen Informationen, die für die Zwecke der Erbringung der Dienstleistungen erforderlich sind, werden erfasst. Keine persönlichen Daten werden für andere Zwecke verwendet als die, die im DPA und im Vertrag festgelegt wurden, und nur so lange aufbewahrt, wie dies erforderlich ist, um diese Zwecke zu erfüllen.
Gewährleistung der Datenqualität
Der Datenexporteur kann die Änderung oder Löschung der Endnutzer-Daten anfordern.
Gewährleistung der eingeschränkten Datenaufbewahrung
Personenbezogene Daten werden gemäß den vertraglichen Bedingungen, die mit dem Datenexporteur vereinbart wurden, und gemäß den gesetzlichen Vorgaben aufbewahrt.
Gewährleistung der Rechenschaftspflicht
Personenbezogene Daten sind eindeutig, einem bestimmten Datenexporteur zugeordnet und werden nicht zwischen Benutzern geteilt. Ereignisse und Prüfpfade in Bezug auf den Zugang zur Plattform und zum System werden protokolliert, überwacht und regelmäßig überprüft.
Gewährleistung der Datenportabilität und -löschung
Wir garantieren Datenportabilität und Löschung auf schriftliche Anfrage.

Anhang III. Liste der Subauftragsverarbeiter

Der Verantwortliche hat die Verwendung der folgenden Subauftragsverarbeiter autorisiert:
Name 
Adresse
Beschrei­bung der Ver­arbeitung
Amazon Web Servi­ces, Inc.
410 Terry Avenue North, Seattle, WA 98109-5210, U.S.A.
Cloud-Hosting-Infrastruktur
OVH US, LLC 
11480 Commerce Park Dr Ste 500 Reston, VA, 20191-1556 Vereinigte Staaten
Cloud-Hosting-Infrastruktur
Anhang 2

Bedingungen der SCCs

Modul
Zwei (Übertragung vom Verantwortlichen zum Auftragsverarbeiter)
Klausel 7: Anlegelklausel 
Die optionale Anlegelklausel findet keine Anwendung.
Klausel 9: Verwendung von Subauftragsverarbeitern
Option 2. Der Zeitraum beträgt 30 Geschäftstage.
Klausel 11: Rechtsbehelfe 
Die optionale Sprache findet keine Anwendung.
Klausel 17: Anwendbares Recht
Option 1. Die Gesetze von Irland
Klausel 18. Wahl des Gerichtsstands und der Gerichtsbarkeit
Die Gerichte von Irland
Letzte Aktualisierung: März 15, 2023.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.