Data Processing Agreement (DPA)

Wirksamkeitsdatum: 20. August 2025
Zuletzt aktualisiert: 20. August 2025

Vertragsabschluss und Annahme

Proin bibendum, augue a auctor consectetur, nisi elit imperdiet dui, ac eleifend quam nibh quis mauris. Nullam consequat, nibh in faucibus euismod, justo nulla dignissim quam, sit amet aliquet enim felis ut est.

Zweck und Umfang

Zweck dieser DPA ist es, angemessene Schutzmaßnahmen zum Schutz der Privatsphäre sicherzustellen und sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß den rechtlichen Verpflichtungen des Datenverantwortlichen und des Auftragsverarbeiters unter geltendem Datenschutzrecht erfolgt.

DURCH DIESE DPA ENTHALTEN:

  1. Standardvertragsklauseln, beigefügt als ANHANG 1
  2. Anhang 1 zu den Standardvertragsklauseln (Datenübertragungsspezifika)
  3. Anhang 2 zu den Standardvertragsklauseln (technische und organisatorische Sicherheitsmaßnahmen)
  4. Liste der Unterauftragsverarbeiter, beigefügt als ANHANG 2

Definitions

"Controller" bezeichnet die natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festlegt.

"Data Protection Law" bezeichnet alle geltenden Datenschutzgesetze, einschließlich der DSGVO, sowie nationale Umsetzungsgesetze in einem Mitgliedstaat der Europäischen Union oder anderen anwendbaren Rechtsordnungen.

"Data Subject" bezeichnet die betroffene Person, auf die sich personenbezogene Daten beziehen.

"GDPR" bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.

"Instruction" bezeichnet die dokumentierte Anweisung, die vom Verantwortlichen an den Auftragsverarbeiter erteilt wird und die Durchführung einer bestimmten Aktion in Bezug auf personenbezogene Daten festlegt.

"Personal Data" bezeichnet alle Informationen, die sich auf eine identifizierbare Person beziehen, wobei solche Informationen in Kundendaten enthalten sind und gemäß geltendem Datenschutzrecht als personenbezogene Daten geschützt sind.

"Personal Data Breach" bezeichnet eine Sicherheitsverletzung, die zu versehentlicher oder unbefugter Zerstörung, Verlust, Veränderung, Offenlegung oder Zugriff auf personenbezogene Daten führt.

"Processing" bezeichnet jede Operation, die mit personenbezogenen Daten durchgeführt wird, einschließlich Sammlung, Aufnahme, Organisation, Strukturierung, Speicherung, Anpassung, Abruf, Nutzung, Offenlegung, Angleichung, Beschränkung oder Löschung.

"Processor" bezeichnet eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

"Standard Contractual Clauses" bezeichnet die Klauseln, die gemäß Entscheidungen der Europäischen Kommission für angemessene Datenschutzniveaus beigefügt sind.

Details der Verarbeitung

Kategorien von Betroffenen: Kontakte des Kunden und Endbenutzer einschließlich Mitarbeiter, Auftragnehmer, Mitarbeiter, Kunden, Prospects, Lieferanten und Unterauftragnehmer. Betroffene schließen auch Personen ein, die versuchen, mit den Endbenutzern des Kunden zu kommunizieren oder personenbezogene Daten an diese zu übertragen.

Arten personenbezogener Daten: Kontaktdaten, Navigationsdaten, E-Mail-Daten, Systemnutzungsdaten, Integrationsdaten der Anwendung und andere elektronische Daten, die über unsere Dienste übermittelt, gespeichert, gesendet oder empfangen werden.

Gegenstand und Art der Verarbeitung: Bereitstellung von E-Commerce-Plattform-Diensten, die die Verarbeitung personenbezogener Daten wie im Vertrag angegeben umfassen.

Zweck der Verarbeitung: Personal Data wird verarbeitet, um die im Vertrag umrissenen Dienste bereitzustellen.

Dauer der Verarbeitung: Für die Dauer des Vertrags, vorbehaltlich der Bestimmungen zur Datenaufbewahrung und -löschung unten.

Verantwortlichkeiten des Kunden

Sie als Verantwortlicher sind allein verantwortlich für:

  • Nichteinhaltung aller geltenden Datenschutzanforderungen
  • Sicherstellen einer rechtmäßigen Offenlegung und Übermittlung personenbezogener Daten an uns
  • Bereitstellen rechtmäßiger Anweisungen für die Verarbeitung
  • Informationen über Fehler oder Unregelmäßigkeiten in Bezug auf Datenschutzanforderungen

Ihre Anweisungen zur Verarbeitung personenbezogener Daten müssen dem Datenschutzrecht entsprechen. Diese DPA stellt Ihre vollständige Anweisung an Tamio GmbH zur Verarbeitung personenbezogener Daten dar. Weitere Anweisungen bedürfen einer schriftlichen Vereinbarung zwischen den Parteien.

Unsere Pflichten als Auftragsverarbeiter

Anweisungen gemäß Vorgaben befolgen

Wir verarbeiten personenbezogene Daten nur im Rahmen Ihrer Anweisungen. Falls wir der Ansicht sind, dass eine Anweisung gegen Datenschutzgesetze verstößt, werden wir Sie umgehend informieren. Wenn wir personenbezogene Daten aufgrund rechtlicher Anforderungen nicht gemäß den Anweisungen verarbeiten können, werden wir:

  • Sie unverzüglich über die Rechtsvorschrift informieren (wo zulässig)
  • Die Verarbeitung einstellen, bis Sie konforme Anweisungen erteilen

Sicherheitsmaßnahmen

Wir implementieren geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Veränderung, Offenbarung oder Zerstörung, einschließlich:

  • Physische Zugangskontrollen zu Verarbeitungssystemen
  • Logische Zugangskontrollen, die unbefugte Systemnutzung verhindern
  • Datenzugangskontrollen, die sicherstellen, dass autorisierte Personen nur auf notwendige Daten zugreifen
  • Kontrollen zur Datenübertragung für eine sichere Übertragung und Speicherung
  • Zutrittskontrollen, die den Zugriff auf Datenverarbeitungssysteme und Änderungen dokumentieren
  • Anweisungssteuerung, die sicherstellt, dass Verarbeitung nur gemäß Ihren Anweisungen erfolgt
  • Verfügbarkeitskontrollen zum Schutz vor zufälliger Zerstörung oder Verlust

Auf Ihre Anfrage stellen wir Details zu unserem aktuellen Sicherheitsprogramm bereit und unterstützen Ihre Einhaltung der Sicherheitsverpflichtungen gemäß Artikel 32-34 GDPR.

Vertraulichkeit

Alle Personen, die befugt sind, personenbezogene Daten zu verarbeiten, unterliegen Vertraulichkeitsverpflichtungen, die auch nach Beendigung ihrer Tätigkeit fortbestehen.

KI und automatisierte Verarbeitung

Wenn unsere Dienste Funktionen der künstlichen Intelligenz oder automatisierte Entscheidungsfindung enthalten, die personenbezogene Daten verarbeiten, werden wir:

  • Klarheit über die zugrunde liegende Logik geben
  • Sie über die Bedeutung und erwartete Folgen informieren
  • Geeignete Schutzmaßnahmen für die Rechte der betroffenen Personen implementieren
  • Sicherstellen, dass eine menschliche Aufsicht dort besteht, wo dies gesetzlich vorgeschrieben ist

Datenlokalisierung und Aufbewahrung

Wir speichern personenbezogene Daten gemäß geltenden Lokalisierungsanforderungen. Auf Anfrage können wir Informationen darüber geben, wo Ihre personenbezogenen Daten gespeichert und verarbeitet werden.

Zeitplan für Datenschutzverletzungen

Wir werden Sie bei jeder Datenschutzverletzung informieren:

  • ohne unangemessene Verzögerung, soweit möglich innerhalb von 24 Stunden nach Bekanntwerden
  • mit allen verfügbaren Informationen zum Zeitpunkt der Benachrichtigung
  • mit nachfolgenden Informationen, sobald diese verfügbar werden

Anfragen betroffener Personen

Wir unterstützen Sie angemessen, damit Sie Anfragen betroffener Personen zur Ausübung ihrer Rechte nach Datenschutzgesetzen beantworten können. Wenn Anfragen direkt an uns gestellt werden, informieren wir Sie umgehend und verweisen die betroffene Person an Sie. Sie sind allein verantwortlich für die Beantwortung von Anfragen betroffener Personen und erstattet uns Kosten, die durch solche Unterstützung entstehen.

Unterauftragsverarbeiter

Wir können Unterauftragsverarbeiter nur mit Ihrer Zustimmung einsetzen. Sie stimmen dem Einsatz verbundener Unternehmen und Dritten gemäß Anhang 2 zu.

Für neue Unterauftragsverarbeiter, die nicht in Anhang 2 aufgeführt sind, werden wir:

  • Schriftliche Mitteilung (E-Mail an Ihre Kontoadresse genügt)
  • 30 Tage, um aus vernünftigen Gründen Widerspruch einzulegen
  • Wenn Widersprüche nicht gelöst werden können, kann jede Partei die Vereinbarung mit schriftlicher Mitteilung kündigen

Alle Unterauftragsverarbeiter müssen dieselben Datenschutzverpflichtungen übernehmen, die auch für uns gelten. Wir bleiben haftbar für die Erfüllung dieser Verpflichtungen durch den Unterauftragsverarbeiter.

Internationale Datenübermittlungen

Personenbezogene Daten dürfen an Tamio GmbH in Deutschland sowie an Unterauftragsverarbeiter an verschiedenen Standorten übertragen werden. Wir stellen sicher, dass für alle Übermittlungen außerhalb des EWR geeignete Schutzmaßnahmen vorhanden sind durch:

  • Standardvertragsklauseln (aktuelle Version 2021, Aktualisierung auf 2025-Version, sobald verfügbar)
  • Angemessenheitsbeschlüsse, soweit zutreffend
  • Andere genehmigte Übermittlungsmechanismen gemäß Kapitel V DSGVO
  • Regelmäßige Ombudschaftliche Bewertungen von Übermittlungen (TIAs) nach Bedarf

Wir überwachen regulatorische Entwicklungen hinsichtlich internationaler Übermittlungen und implementieren erforderliche zusätzliche Schutzmaßnahmen durch Aufsichtsbehörden.

Datenaufbewahrung und -löschung

Bei Beendigung oder Ablauf der Vereinbarung löschen wir alle personenbezogenen Daten, sofern kein Gesetz sie zur Aufbewahrung zwingt. Sollte eine Löschung aus technischen Gründen nicht möglich sein, sperren wir die Daten für weitere Verarbeitung. Sie können spezifische Rückgabe- oder Löschungsverfahren durch Anweisungen innerhalb unserer festgelegten Frist anfordern. Zusätzliche Kosten für Datenrückgabe oder Löschung nach Beendigung gehen zu Lasten des Kunden.

Audits

Sie dürfen unsere technischen und organisatorischen Maßnahmen auditiieren, indem Sie:

  • Anfordern von Informationen bei uns
  • Anfordern vorhandener Zertifizierungen oder Attestationen
  • Vor Ort Inspektionen während der Geschäftszeiten mit angemessener Vorankündigung durchführen

Wir werden notwendige Audit-Informationen innerhalb unserer Kontrolle bereitstellen und nicht durch Gesetz oder Vertraulichkeitsverpflichtungen ausgeschlossen.

Allgemeine Bestimmungen

Änderungen: Diese DPA kann gemäß den Änderungsbestimmungen in unseren Nutzungsbedingungen aktualisiert werden. Wir informieren über wesentliche Änderungen.

Vorrang: Im Falle eines Widerspruchs geht diese DPA vor den allgemeinen Vertragsbedingungen vor. Wenn eine Bestimmung ungültig ist, bleiben die übrigen Bestimmungen durchsetzbar.

Standardvertragsklauseln: Soweit zutreffend, haben die Standardvertragsklauseln in Anhang 1 Vorrang vor widersprechenden DPA-Bestimmungen. Die Europäische Kommission plant 2025 eine Aktualisierung der SCCs, und wir werden erforderliche Aktualisierungen einbeziehen.

Wirksamkeitsdatum: Diese DPA entspricht aktuellen GDPR-Anforderungen und wird aktualisiert, um neue regulatorische Anforderungen widerzuspiegeln.

Parteien und Behörde

Durch Ihre Zustimmung zu dieser DPA während der Registrierung:

  • Sie versichern, dass Sie befugt sind, dieser DPA im Namen Ihrer Organisation zuzustimmen
  • Sie stimmen ausschließlich im Namen der Verantwortlichenstelle zu
  • Sowohl Sie als auch die Tamio GmbH werden Parteien dieser DPA und der enthaltenen Standardvertragsklauseln

ANHANG 1: Standardvertragsklauseln (Verarbeiter)

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG über die Übermittlung personenbezogener Daten an Verarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten,

Der Kunde (der „Datenexporteur“)
Tamio GmbH (der „Datenimporteur“)

Haben die folgenden Vertragsklauseln vereinbart, um angemessene Schutzmaßnahmen für die Übermittlung personenbezogener Daten gemäß Anhang 1 zu gewährleisten.

Klausel 1: Definitionen

Für die Zwecke der Klauseln:

  1. „personenbezogene Daten“, „besondere Kategorien von Daten“, „verarbeiten/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffenePerson“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz der Personen bei der Verarbeitung personenbezogener Daten und zur freien Bewegung solcher Daten;
  2. „der Datenexporteur“ bedeutet den Verantwortlichen, der die personenbezogenen Daten übermittelt;
  3. „der Datenimporteur“ bedeutet den Auftragsverarbeiter, der sich bereit erklärt, personenbezogene Daten im Auftrag des Datenexporteurs nach dessen Anweisungen und den Bedingungen der Klauseln zu empfangen und der nicht dem System eines Drittlandes mit angemessenem Schutz unterliegt;
  4. „der Unterauftragsverarbeiter“ bedeutet jeden von dem Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragten Verarbeiter, der zustimmt, personenbezogene Daten ausschließlich zu Verarbeitungszwecken zu empfangen, die im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und dem schriftlichen Untervertrag zu verarbeiten sind;
  5. „das anwendbare Datenschutzrecht“ bedeutet die Gesetzgebung zum Schutz der Grundrechte und Freiheiten von Personen und insbesondere deren Recht auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für einen Datenverantwortlichen in dem Mitgliedstaat gilt, in dem der Datenexporteur ansässig ist;
  6. „technische und organisatorische Sicherheitsmaßnahmen“ bedeuten diejenigen Maßnahmen, die darauf abzielen, personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder Verlust, Veränderung, unbefugte Offenlegung oder Zugriff zu schützen, insbesondere dort, wo die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet.

Klausel 2: Details zur Übermittlung

Die Details sind in Anhang 1 festgelegt, der integraler Bestandteil der Klauseln ist.

Klausel 3: Bestimmung zugunsten Dritter

Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 als Drittnutznießer geltend machen.

Die betroffene Person kann gegen den Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 geltend machen, in Fällen, in denen der Datenexporteur faktisch verschwunden ist oder rechtlich nicht mehr existiert, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag oder Rechtsakt übernommen, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt, in welchem Fall die betroffene Person diese gegen eine solche Einheit geltend machen kann.

Die betroffene Person kann gegen den Unterauftragsverarbeiter diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 geltend machen, in Fällen, in denen sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder rechtlich nicht mehr existieren oder insolvent geworden sind, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs durch Vertrag oder Rechtsakt übernommen. Die Haftung des Unterauftragsverarbeiters ist auf dessen eigene Verarbeitungsoperationen gemäß den Klauseln beschränkt.

Die Parteien lehnen es ab, dass der betroffene Datensubjekt durch einen Verband oder eine andere Körperschaft vertreten wird, wenn der Datensubjekt dies ausdrücklich wünscht und vom nationalen Recht erlaubt ist.

Klausel 4: Verpflichtungen des Datenexporteurs

Der Datenexporteur stimmt zu und gewährleistet:

  1. dass die Verarbeitung, einschließlich der Übermittlung selbst, gemäß den relevanten Bestimmungen des anwendbaren Datenschutzrechts erfolgt (und, soweit zutreffend, den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur ansässig ist, mitgeteilt wurde) und diese Bestimmungen dieses Staates nicht verletzen;
  2. dass er dem Datenimporteur während der gesamten Laufzeit der Dienste-Verarbeitung die Verarbeitung der übertragenen personenbezogenen Daten ausschließlich im Auftrag des Datenexporteurs und gemäß dem anwendbaren Datenschutzrecht und den Klauseln anweist;
  3. dass der Datenimporteur genügend Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 dieses Vertrags bietet;
  4. dass nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder Verlust, Veränderung, unbefugte Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, und gegen alle anderen unrechtmäßigen Formen der Verarbeitung, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung und der Art der zu schützenden Daten verbundenen Risiken entspricht, unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung;
  5. dass er die Einhaltung der Sicherheitsmaßnahmen sicherstellt;
  6. dass, falls die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person informiert wurde oder vor der Übermittlung informiert wird, dass ihre Daten möglicherweise in ein Drittland ohne angemessenen Schutz gemäß Richtlinie 95/46/EG übertragen werden können;
  7. alle Benachrichtigungen des Datenimporteurs oder eines Unterverarbeiters gemäß Klausel 5(b) und Klausel 8(3) an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur entscheidet, die Übermittlung fortzusetzen oder die Sperrung aufzuheben;
  8. dem betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine Zusammenfassung der Sicherheitsmaßnahmen und eine Kopie eines Vertrags über Unterverarbeitung zur Verfügung zu stellen, der gemäß den Klauseln abgeschlossen werden muss, es sei denn, die Klauseln oder der Vertrag enthalten geschäftliche Informationen, in welchem Fall solche Informationen entfernt werden dürfen;
  9. dass im Falle von Unterverarbeitung die Verarbeitung gemäß Klausel 11 von einem Unterverarbeiter durchgeführt wird, der mindestens dasselbe Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und
  10. dass er die Einhaltung von Klausel 4(a) bis (i) sicherstellt.

Klausel 5: Verpflichtungen des Datenimporteurs

Der Datenimporteur stimmt zu und gewährleistet:

  1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit seinen Anweisungen und den Klauseln zu verarbeiten; wenn er eine solche Übereinstimmung aus welchem Grund auch immer nicht gewährleisten kann, verpflichtet er sich, den Datenexporteur umgehend über seine Unfähigkeit zur Einhaltung zu informieren, wodurch der Datenexporteur berechtigt ist, die Übermittlung von Daten zu suspendieren und/oder den Vertrag zu kündigen;
  2. dass er keinen Grund zu der Annahme hat, dass die Gesetzgebung, die auf ihn anwendbar ist, ihn daran hindert, die vom Datenexporteur erhaltenen Anweisungen zu erfüllen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Gesetzgebung, die voraussichtlich wesentliche negative Auswirkungen auf die in den Klauseln enthaltenen Garantien und Verpflichtungen haben wird, dem Datenexporteur diese Änderung umgehend mitzuteilen, sobald ihm dies bekannt wird, woraufhin der Datenexporteur berechtigt ist, die Übermittlung von Daten zu suspendieren und/oder den Vertrag zu kündigen;
  3. dass er die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 vor der Verarbeitung der übertragenen personenbezogenen Daten implementiert hat;
  4. dass er den Datenexporteur unverzüglich über Folgendes informiert: jede gesetzlich bindende Aufforderung zur Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern nicht anders untersagt, wie z.B. ein Verbot zur Wahrung der Vertraulichkeit einer strafverfolgungsrechtlichen Untersuchung, jeden unbeabsichtigten oder unbefugten Zugriff; und jede direkt von betroffenen Personen erhaltene Aufforderung, ohne auf diese Aufforderung zu antworten, es sei denn, er ist anderweitig dazu befugt;
  5. sich zügig und ordnungsgemäß mit allen Anfragen des Datenexporteurs in Bezug auf deren Verarbeitung der übertragenen personenbezogenen Daten zu befassen und den Rat der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übertragenen Daten zu befolgen;
  6. auf Aufforderung des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der Verarbeitungsaktivitäten gemäß den Klauseln zu unterziehen, die vom Datenexporteur oder einer Prüfungseinrichtung bestehend aus unabhängigen Mitgliedern und mit den erforderlichen beruflichen Qualifikationen durch den Datenexporteur beauftragt wird, sofern zutreffend in Übereinstimmung mit der Aufsichtsbehörde;
  7. dem betroffenen Personen auf Anfrage eine Kopie der Klauseln oder eines bestehenden Unterverarbeitungsvertrags zur Verfügung zu stellen, sofern die Klauseln oder der Vertrag keine geschäftlichen Informationen enthalten, in welchem Fall solche Informationen entfernt werden dürfen, mit Ausnahme von Anhang 2, der in solchen Fällen durch eine Zusammenfassung der Sicherheitsmaßnahmen ersetzt wird, wenn der betroffene Datensatz nicht in der Lage ist, eine Kopie vom Datenexporteur zu erhalten;
  8. dass er im Fall von Unterverarbeitung den Datenexporteur zuvor informiert hat und dessen vorherige schriftliche Zustimmung erhalten hat;
  9. dass die Verarbeitungsdienste des Unterverarbeiters gemäß Klausel 11 durchgeführt werden;
  10. eine Kopie jeder Unterverarbeitervereinbarung, die er gemäß den Klauseln abschließt, unverzüglich an den Datenexporteur zu senden.

Klausel 6: Haftung

Die Parteien vereinbaren, dass jede betroffene Person, die durch einen Verstoß gegen die Verpflichtungen gemäß Klausel 3 oder Klausel 11 durch eine Partei oder einen Unterverarbeiter einen Schaden erlitten hat, Anspruch auf Entschädigung durch den Datenexporteur hat.

Wenn eine betroffene Person keinen Anspruch auf Entschädigung gegen den Datenexporteur gemäß Absatz 1 geltend machen kann, der sich aus einer Verletzung durch den Datenimporteuer oder dessen Unterverarbeiter ergibt, weil der Datenexporteur faktisch verschwunden oder rechtlich nicht mehr existent ist oder zahlungsunfähig geworden ist, so stimmt der Datenimporteur zu, dass die betroffene Person eine Klage gegen den Datenimporteur erheben kann, als ob dieser der Datenexporteur wäre, sofern eine nachfolgende Einheit nicht alle rechtlichen Verpflichtungen des Datenexporteurs durch Vertrag oder Rechtsakt übernommen hat, in welchem Fall die betroffene Person ihre Rechte gegen eine solche Einheit durchsetzen kann.

Der Datenimporteur darf sich nicht darauf berufen, dass eine Verletzung durch einen Unterverarbeiter ihn daran hindert, seine eigenen Verpflichtungen zu erfüllen.

Wenn eine betroffene Person keinen Anspruch gegen den Datenexporteur oder den Datenimporteur geltend machen kann, der sich aus einer Verletzung durch den Unterverarbeiter ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder rechtlich nicht mehr existieren oder insolvent geworden sind, so stimmt der Unterverarbeiter zu, dass die betroffene Person eine Klage gegen den Unterverarbeiter in Bezug auf dessen eigene Verarbeitungsaktivitäten gemäß den Klauseln erheben kann, als ob es der Datenexporteur oder der Datenimporteur wäre, sofern eine nachfolgende Einheit alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs durch Vertrag oder Rechtsakt übernommen hat. Die Haftung des Unterverarbeiters ist auf dessen eigene Verarbeitungsaktivitäten gemäß den Klauseln beschränkt.

Klausel 7: Vermittlung und Gerichtsstand

  1. Der Datenimporteur stimmt zu, dass, wenn die betroffene Person gegenüber ihm Drittnutzungsrechte geltend macht und/oder eine Entschädigung für Schäden gemäß den Klauseln verlangt, der Datenimporteur die Entscheidung der betroffenen Person akzeptiert:
  2. die Streitigkeit der Mediation, durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde, zu referieren;
  3. die Streitigkeit vor die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.
  4. Die Parteien stimmen überein, dass die Wahl der betroffenen Person ihre materiellen oder Verfahrensrechte zur Wahrung von Rechtsmitteln nach anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Klausel 8: Zusammenarbeit mit Aufsichtsbehörden

Der Datenexporteur stimmt zu, eine Kopie dieses Vertrags der Aufsichtsbehörde vorzulegen, falls diese dies verlangt oder falls eine solche Vorlage gemäß geltendem Datenschutzrecht erforderlich ist.

Die Parteien stimmen überein, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und eines Unterverarbeiters durchzuführen, die denselben Umfang hat und den gleichen Bedingungen unterliegt wie eine Prüfung des Datenexporteurs gemäß dem geltenden Datenschutzrecht.

Der Datenimporteur informiert den Datenexporteur unverzüglich über das Vorliegen einer Gesetzgebung, die die Durchführung einer Prüfung des Datenimporteurs oder eines Unterverarbeiters gemäß Absatz 2 verhindert. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5(b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9: Anwendbares Recht

Die Klauseln unterliegen dem Recht des Landes bzw. Staates, in dem der Datenexporteur ansässig ist.

Klausel 10: Vertragsänderung

Die Parteien verpflichten sich, die Klauseln nicht zu verändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf klaußenbezogene Geschäftsinhalte ergänzen, solange sie der Klausel nicht widersprechen.

Klausel 11: Unterverarbeitung

Der Datenimporteur darf keine seiner Verarbeitungsoperationen, die im Namen des Datenexporteurs unter den Klauseln durchgeführt werden, ohne vorherige schriftliche Zustimmung des Datenexporteurs unterverarbeiten. Wenn der Datenimporteur seine Verpflichtungen aus den Klauseln unter Verrechnung seiner Verpflichtungen mit Zustimmung des Datenexporteurs unterverarbeitet, muss dies nur durch eine schriftliche Vereinbarung mit dem Unterverarbeiter erfolgen, die dieselben Verpflichtungen auferlegt wie dem Datenimporteur gemäß den Klauseln. Wenn der Unterverarbeiter seine Datenschutzverpflichtungen gemäß einer solchen schriftlichen Vereinbarung nicht erfüllt, bleibt der Datenimporteur dem Datenexporteur gegenüber voll haftbar für die Leistung der Verpflichtungen des Unterverarbeiters gemäß dieser Vereinbarung.

Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterverarbeiter muss auch eine Drittnutzungsregelung gemäß Klausel 3 vorsehen, für Fälle, in denen die betroffene Person nicht in der Lage ist, den Anspruch auf Entschädigung gemäß Absatz 1 von Klausel 6 gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil sie faktisch verschwunden sind oder rechtlich nicht mehr existieren und kein Nachfolger die gesamten rechtlichen Verpflichtungen übernommen hat. Eine solche Drittparteienhaftung des Unterverarbeiters ist auf dessen eigene Verarbeitungsoperationen gemäß den Klauseln beschränkt.

Die Bestimmungen zu Datenschutzaspekten für die Unterverarbeitung des im Absatz 1 erwähnten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

Der Datenexporteur führt eine Liste der Unterverarbeitungsverträge, die gemäß Klauseln abgeschlossen und dem Datenimporteur gemäß Klausel 5(j) mitgeteilt wurden, und diese wird mindestens einmal jährlich aktualisiert. Die Liste steht der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung.

Klausel 12: Verpflichtung nach Beendigung der personenbezogenen Datenverarbeitung

Die Parteien vereinbaren, dass bei Beendigung der Erbringung von Datenverarbeitungsdiensten der Datenimporteur und der Unterverarbeiter nach Wahl des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien hiervon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten löschen und dem Datenexporteur bestätigen, dass dies geschehen ist, es sei denn, Gesetze verlangen, dass der Datenimporteur die Rückgabe oder Löschung ganz oder teilweise der übertragenen personenbezogenen Daten verhindert. In diesem Fall gewährleistet der Datenimporteur die Vertraulichkeit der übertragenen personenbezogenen Daten und wird die weitere Verarbeitung dieser Daten nicht aktiv fortsetzen.

Der Datenimporteur und der Unterverarbeiter versprechen, dem Datenexporteur und/oder der Aufsichtsbehörde auf Anfrage ihre Verarbeitungsanlagen für ein Audit der Maßnahmen gemäß Absatz 1 vorzulegen.

ANHANG 2: Liste der Unterauftragsverarbeiter

UnterauftragsverarbeiterBeschreibungDatenschutzerklärung
StripeKreditkartenzahlungsverarbeitunghttps://stripe.com/en-gb-ro/privacy
Meta (Facebook)Pixel-Tracking für Besuche und Verkäufehttps://www.facebook.com/policy.php
Google AnalyticsAnalyse von Website-Traffic und Nutzerverhalten (anonymisiert)https://policies.google.com/privacy
Google OptimizeTesten von Inhaltsvarianten (anonymisiert)https://policies.google.com/privacy

ANHANG 1: Details zum Datentransfer

Datenexporteur: Sie, die Kundenstelle, die diese DPA annimmt

Datenimporteur: Tamio GmbH, Anbieter von E-Commerce-Plattform-Diensten

Datenbetroffene: Ihre Mitarbeiter, Auftragnehmer, Kunden und Endbenutzer Ihrer E-Commerce-Plattform

Kategorien von Daten: Benutzer-IDs, E-Mail-Adressen, Dokumente, Bilder, Kalendereinträge, Aufgaben und andere elektronische Daten, die über unsere Dienste übermittelt werden

Besondere Kategorien: Jegliche besondere Kategorie-Daten, die von Endbenutzern über die Dienste übermittelt werden

Verarbeitungsoperationen:

  • Bereitstellung von E-Commerce-Plattform-Diensten
  • Erkennung, Verhinderung und Behebung von Sicherheitsproblemen
  • Beantwortung von Support-Anfragen
  • Erfüllung von Verpflichtungen aus dem Servicevertrag

Laufzeit: Die Dauer der Verarbeitung folgt der Laufzeit des Servicevertrags, mit angemessenem Zugriff nach Beendigung zum Datenexport.

ANHANG 2: Technische und organisatorische Sicherheitsmaßnahmen

Dieser Anhang ist Bestandteil der Klauseln.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß Klauseln 4(d) und 5(c) umgesetzt werden (bzw. Dokument/ Gesetzgebung beigefügt):

Tamio GmbH beachtet derzeit die in diesem Anhang 2 beschriebenen Sicherheitspraktiken. Unbeschadet anderer etwaiger Vereinbarungen mit dem Datenexporteur kann Tamio GmbH diese Praktiken nach eigenem Ermessen ändern oder aktualisieren, sofern durch solche Änderungen keine wesentliche Verschlechterung des Schutzes dieser Praktiken erfolgt. Alle nicht definierten Großbuchstabenbegriffe haben die im Vertrag festgelegte Bedeutung.

1. Zugriffskontrolle

Verhinderung unbefugten Produktzugriffs

Ausgelagerte Verarbeitung: Tamio GmbH hostet seinen Dienst bei externen Cloud-Infrastruktur-Anbietern. Zudem unterhält Tamio GmbH vertragliche Beziehungen zu Anbietern, um den Dienst gemäß unserem Data Processing Agreement bereitzustellen. Tamio GmbH verlässt sich auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Compliance-Programme der Anbieter, um Daten zu schützen, die von diesen verarbeitet oder gespeichert werden.

Physische und Umwelt-Sicherheit: Tamio GmbH hostet seine Produktinfrastruktur bei mehrmietigen, ausgelagerten Infrastruktur-Anbietern. Die physischen und Umweltsicherheitskontrollen werden auf ISO 27001-Konformität geprüft, neben anderen Zertifizierungen.

Authentifizierung: Tamio GmbH hat eine einheitliche Passwort-Richtlinie für seine Kundendprodukte eingeführt. Kunden, die über die Benutzeroberfläche mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten werden in Mehrmandanten-Speichersystemen gespeichert, die Kunden nur über Anwendungsoberflächen und Anwendungsprogrammierschnittstellen zugänglich sind. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Das Autorisierungsmodell in jedem Produkt von Tamio GmbH sorgt dafür, dass nur entsprechend zugewiesene Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung zu Datensätzen erfolgt durch Validierung der Benutzerberechtigungen gegen die Attribute, die jedem Datensatz zugeordnet sind.

APIs: Öffentliche Produkt-APIs können mit einem API-Schlüssel oder über OAuth-Autorisierung genutzt werden.

2. Verhinderung unbefugter Produktverwendung

Tamio GmbH implementiert branchenübliche Zugriffskontrollen und Erkennungskapazitäten für die internen Netzwerke, die seine Produkte unterstützen.

Zugriffskontrollen: Netzwerkzugriffskontrollmechanismen sind darauf ausgelegt, Netzverkehr über unautorisierte Protokolle daran zu hindern, die Produktinfrastruktur zu erreichen. Die technischen Maßnahmen unterscheiden sich je nach Infrastruktur-Anbieter und umfassen Virtual Private Cloud (VPC) Implementierungen, Sicherheitsgruppen-Zuordnung und traditionelle Firewall-Regeln.

Intrusion Detection and Prevention: Tamio GmbH implementierte eine Web Application Firewall (WAF), um gehostete Kundenwebsites und andere öffentlich zugängliche Anwendungen zu schützen. Die WAF soll Angriffe gegen öffentlich verfügbare Netzwerkdienste identifizieren und verhindern.

Statische Code-Analyse: Sicherheitsprüfungen des Codes in den Quellcode-Repositorien von Tamio GmbH werden durchgeführt, um bewährte Programmierpraktiken und erkennbare Softwarefehler zu prüfen.

Penetrationstests: Tamio GmbH pflegt Beziehungen zu branchenführenden Anbietern von Penetrationstests für vier jährliche Penetrationstests. Ziel der Tests ist es, vorhersehbare Angriffswege und Missbrauchsszenarien zu identifizieren und zu beheben.

Bug-Bounty: Ein Bug-Bounty-Programm lädt unabhängige Sicherheitsforscher ein und belohnt sie, Sicherheitslücken zu entdecken. Tamio GmbH führte ein Bug-Bounty-Programm ein, um die Einbindung in die Sicherheitsgemeinschaft zu erweitern und Produktabwehr gegen anspruchsvolle Angriffe zu verbessern.

3. Einschränkungen von Privilege & Authorization Anforderungen

Produzentszugang: Ein Teil der Mitarbeiter von Tamio GmbH hat Zugriff auf die Produkte und Kundendaten über kontrollierte Schnittstellen. Ziel des Zugriffs auf einen Teil der Mitarbeiter ist es, einen effektiven Kundendienst, die Fehlerbehebung, die Erkennung und Reaktion auf Sicherheitsvorfälle sowie die Umsetzung von Datensicherheit zu ermöglichen. Der Zugriff erfolgt durch „Just-in-Time“-Anfragen; alle Anfragen werden protokolliert. Mitarbeiter erhalten Zugriff nach Rolle, und Überprüfungen von risikoreichen Zugriffsrechten werden täglich initiiert. Die Rollen der Mitarbeiter werden mindestens alle sechs Monate überprüft.

Hintergrundprüfungen: Alle Mitarbeiter von Tamio GmbH unterliegen vor einem Arbeitsangebot einer externen Hintergrundprüfung, gemäß geltendem Recht. Alle Mitarbeiter müssen sich entsprechend den Unternehmensrichtlinien, Geheimhaltungsanforderungen und ethischen Standards verhalten.

4. Übertragungskontrolle

Transit: Tamio GmbH bietet HTTPS-Verschlüsselung (auch bekannt als SSL oder TLS) auf jedem Login-Interface und kostenlos auf jeder Kundenseite, die auf Tamio GmbH-Produkten gehostet wird. Die HTTPS-Implementierung von Tamio GmbH verwendet branchenübliche Algorithmen und Zertifikate.

Ruhe: Tamio GmbH speichert Benutzernamen/Passwörter gemäß Richtlinien, die branchenüblich sind. Seit dem 25. Mai 2018 hat Tamio GmbH Technologien implementiert, um gespeicherte Daten im Ruhezustand zu verschlüsseln.

5. Eingabekontrolle

Erkennung: Tamio GmbH entwirft seine Infrastruktur so, dass umfangreiche Informationen über Systemverhalten, empfangenen Datenverkehr, Systemauthentifizierung und andere Anfragen protokolliert werden. Interne Systeme aggregieren Protokolldaten und benachrichtigen geeignete Mitarbeiter über schädliche, unbeabsichtigte oder anormale Aktivitäten. Tamio-GmbH-Personal, einschließlich Sicherheits-, Betriebs- und Support-Personal, reagiert auf bekannte Vorfälle.

Reaktion und Nachverfolgung: Tamio GmbH führt ein Protokoll bekannter Sicherheitsvorfälle, einschließlich Beschreibung, Datum und Uhrzeit relevanter Aktivitäten und des Vorfalls. Verdächtige und bestätigte Vorfälle werden von Sicherheits-, Betriebs- oder Support-Personal untersucht; geeignete Behebungsmaßnahmen werden identifiziert und dokumentiert. Bei bestätigten Vorfällen ergreift Tamio GmbH geeignete Schritte, um Schaden am Produkt und beim Kunden bzw. unbefugte Offenlegung zu minimieren.

Kommunikation: Wenn Tamio GmbH von rechtswidrigem Zugriff auf Kundendaten, die in seinen Produkten gespeichert sind, Kenntnis erlangt, wird Tamio GmbH: 1) die betroffenen Kunden über den Vorfall informieren; 2) eine Beschreibung der Schritte zur Behebung des Vorfalls liefern; und 3) dem Kontaktdatenträger des Kunden Statusupdates geben, wie von Tamio GmbH für notwendig erachtet. Benachrichtigungen über Vorfälle werden an einen oder mehrere Kontakte des Kunden geliefert, in einer von Tamio GmbH gewählten Form, die E-Mail oder Telefon umfassen kann.

6. Verfügbarkeitskontrolle

Infrastrukturverfügbarkeit: Die Infrastruktur-Anbieter setzen angemessene kommerzielle Anstrengungen ein, um eine Mindestverfügbarkeit von 99,95% sicherzustellen. Die Anbieter gewährleisten eine Mindestausstattung von N+1 Redundanz für Strom, Netzwerk und HLK-Dienste.

Fehlertoleranz: Backup- und Replikationsstrategien sind so gestaltet, dass Redundanz und Failover bei signifikanten Verarbeitungsfehlern gewährleistet sind. Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Verfügbarkeitszonen repliziert.

Online-Replikas und Backups: Wo möglich, sind Produktionsdatenbanken so konzipiert, dass sie Daten zwischen mindestens 1 Primär- und 1 Sekundärdatenbank replizieren. Alle Datenbanken werden mit branchenüblichen Methoden gesichert und gepflegt.

Produkte von Tamio GmbH sind darauf ausgelegt, Redundanz und nahtlosen Failover zu gewährleisten. Die Serverinstanzen, die die Produkte unterstützen, sind ebenfalls so konzipiert, dass Single Points of Failure vermieden werden. Dieses Design unterstützt den Betrieb von Tamio GmbH bei der Wartung und Aktualisierung der Produktanwendungen und des Backends und minimiert Ausfallzeiten.

Nunc interdum nibh nec tincidunt pellentesque. Mauris faucibus risus vel sapien tincidunt, eu accumsan nisl auctor

Tamio GmbH
Rahmannstr. 11
65760 Eschborn, Germania
TVA: DE329477216
Director General: George Spitaliotis