Datenverarbeitungsvereinbarung
1. Einleitung
Diese Datenverarbeitungsvereinbarung (“DPA”) ist Teil der Vereinbarung zwischen Godfrey Engineering Ltd (“Auftragsverarbeiter”, “wir”, “uns”) und dem diese zustimmenden Unternehmen oder der Person (“Verantwortlicher”, “Sie”) zur Erbringung der in den Nutzungsbedingungen (“Vereinbarung”) beschriebenen Dienstleistungen.
Diese DPA gilt, soweit und nur insoweit Godfrey Engineering im Rahmen der Erbringung der Dienstleistungen personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, und diese personenbezogenen Daten der UK General Data Protection Regulation (UK GDPR), der EU General Data Protection Regulation (EU GDPR) oder einer anderen geltenden Datenschutzgesetzgebung unterliegen.
Die in dieser DPA verwendeten Begriffe haben die in der UK GDPR festgelegten Bedeutungen, sofern sie hier nicht anders definiert sind.
2. Definitionen
- “Anwendbare Datenschutzgesetze” bedeutet alle Gesetze und Verordnungen zur Verarbeitung personenbezogener Daten, einschließlich der UK GDPR, des Data Protection Act 2018, der EU GDPR und der Privacy and Electronic Communications Regulations 2003 (PECR), soweit anwendbar.
- “Verantwortlicher” ist das Unternehmen, das die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
- “Betroffene Person” ist die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
- “Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- “Verarbeitung” ist jede Vornahme oder jeder Vorgang, die oder der auf personenbezogene Daten angewendet wird, einschließlich Erhebung, Speicherung, Verwendung, Offenlegung und Löschung.
- “Auftragsverarbeiter” ist das Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- “Unterauftragsverarbeiter” ist eine dritte Partei, die vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
- “Sicherheitsvorfall” ist ein Verstoß gegen die Sicherheit, der zu zufälliger oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten führt.
3. Umfang und Zweck der Verarbeitung
3.1 Verarbeitungsgegenstand
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Erbringung der in der Vereinbarung beschriebenen Dienstleistungen, einschließlich:
- Hosting und Bereitstellung der Konto- und Anwendungsdaten des Verantwortlichen
- Verarbeitung von Konstruktionsberechnungen und Analysen über ChainSolve
- Versand von transaktionalen Mitteilungen im Namen des Verantwortlichen
- Kundensupport
3.2 Kategorien betroffener Personen
- Mitarbeiter und Vertreter des Verantwortlichen
- Endbenutzer und Kunden des Verantwortlichen
- Alle anderen Personen, deren personenbezogene Daten vom Verantwortlichen an die Dienstleistungen übermittelt werden
3.3 Arten personenbezogener Daten
- Namen und Kontaktinformationen (E-Mail-Adressen, Telefonnummern)
- Anmeldeinformationen (gehashte Passwörter)
- Nutzungsdaten (besuchte Seiten, verwendete Funktionen, Zeitstempel)
- Konstruktionsdaten (Berechnungseingaben und -ausgaben)
- Zahlungs- und Rechnungsinformationen (verarbeitet von Stripe)
- Kommunikationsinhalte (Support-Nachrichten, Kontaktformularübermittlungen)
3.4 Dauer der Verarbeitung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer der Vereinbarung, sofern nicht schriftlich anders vereinbart. Bei Beendigung der Vereinbarung behandelt der Auftragsverarbeiter personenbezogene Daten gemäß Abschnitt 10 dieser DPA.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter:
- verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen, sofern nicht durch Gesetze eine andere Verarbeitung erforderlich ist. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung von der gesetzlichen Anforderung, sofern das Gesetz dies nicht verbietet.
- stellt sicher, dass Personen, die zu der Verarbeitung personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.
- führt geeignete technische und organisatorische Maßnahmen ein und behält diese bei, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in Abschnitt 7 beschrieben.
- beauftragt einen anderen Verarbeiter (Unterauftragsverarbeiter) nicht ohne vorherige schriftliche Genehmigung des Verantwortlichen, vorbehaltlich Abschnitt 6.
- unterstützt den Verantwortlichen bei der Gewährleistung der Compliance mit den Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, Benachrichtigung von Sicherheitsvorfällen, Datenschutz-Folgenabschätzungen und vorherige Konsultation mit Aufsichtsbehörden.
- löscht oder gibt auf Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienstleistungen zurück und löscht bestehende Kopien, sofern nicht anwendbares Recht die Speicherung erfordert.
- stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Compliance mit den in dieser DPA festgelegten Verpflichtungen nachzuweisen, und ermöglicht sowie unterstützt Audits und Inspektionen, die vom Verantwortlichen oder dessen autorisiertem Auditor durchgeführt werden.
5. Pflichten des Verantwortlichen
Der Verantwortliche:
- stellt sicher, dass die Verarbeitung personenbezogener Daten im Rahmen dieser DPA rechtmäßig, fair und transparent gemäß den anwendbaren Datenschutzgesetzen erfolgt.
- stellt dem Auftragsverarbeiter dokumentierte Anweisungen zur Verarbeitung personenbezogener Daten zur Verfügung und stellt sicher, dass solche Anweisungen den anwendbaren Datenschutzgesetzen entsprechen.
- stellt sicher, dass betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten durch den Auftragsverarbeiter informiert wurden und dass erforderlichenfalls ihre Zustimmung gegeben haben.
6. Unterauftragsverarbeiter
6.1 Autorisierte Unterauftragsverarbeiter
Der Verantwortliche erteilt allgemeine schriftliche Genehmigung für den Auftragsverarbeiter, die folgenden Unterauftragsverarbeiter zu beauftragen:
| Unterauftragsverarbeiter | Zweck | Datenlokation |
|---|---|---|
| Cloudflare, Inc. | Hosting, CDN, Sicherheit | Global (EU/US) |
| Supabase, Inc. | Datenbank, Authentifizierung | EU (Frankfurt) |
| Stripe, Inc. | Zahlungsverarbeitung | EU |
| Resend, Inc. | Transaktionale E-Mail | US (with SCCs) |
| PostHog, Inc. | Produktanalysen | EU (Frankfurt) |
6.2 Änderungen an Unterauftragsverarbeitern
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen mindestens 14 Tage vor beabsichtigten Änderungen seiner Unterauftragsverarbeiter (Hinzufügungen oder Ersetzungen). Der Verantwortliche kann gegen solche Änderungen innerhalb von 14 Tagen nach Benachrichtigung Einspruch erheben. Sofern der Verantwortliche Einspruch erhebt und die Parteien den Einspruch nicht beilegen können, kann der Verantwortliche die Vereinbarung beenden.
6.3 Verpflichtungen der Unterauftragsverarbeiter
Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter an Datenschutzverpflichtungen gebunden ist, die nicht weniger schützend sind als die in dieser DPA festgelegten.
7. Sicherheitsmaßnahmen
Der Auftragsverarbeiter führt die folgenden technischen und organisatorischen Maßnahmen ein und behält diese bei:
- Verschlüsselung während der Übertragung: TLS 1.3 für alle Daten während der Übertragung
- Verschlüsselung in Ruhe: AES-256-Verschlüsselung für gespeicherte Daten
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle mit dem Prinzip der geringsten Berechtigung
- Authentifizierung: Mehrfaktor-Authentifizierung für den gesamten administrativen Zugriff
- Passwort-Hashing: bcrypt mit einem Arbeitsfaktor von 12
- Überwachung: Kontinuierliche Überwachung über Cloudflare für Infrastruktursicherheit und Observability auf Anforderungsebene
- Sicherung: Regelmäßige automatische Sicherungen von Anwendungsdaten mit Verschlüsselung
- Vorfallreaktion: Dokumentierte Vorfallreaktionsverfahren mit definierten Rollen und Eskalationswegen
8. Sicherheitsvorfälle
8.1 Benachrichtigung
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne Verzögerung und in jedem Fall innerhalb von 48 Stunden, nachdem er von einem Sicherheitsvorfall erfährt, der die personenbezogenen Daten des Verantwortlichen betrifft.
8.2 Benachrichtigungsinhalt
Die Benachrichtigung enthält:
- Eine Beschreibung der Art des Sicherheitsvorfalls, einschließlich der Kategorien und ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze
- Name und Kontaktdaten des Ansprechpartners des Auftragsverarbeiters
- Eine Beschreibung der wahrscheinlichen Auswirkungen des Sicherheitsvorfalls
- Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Sicherheitsvorfalls
8.3 Zusammenarbeit
Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen zusammen und ergreift angemessene Maßnahmen, um die Untersuchung, Minderung und Behebung des Sicherheitsvorfalls zu unterstützen.
9. Internationale Datenübertragungen
Wenn der Auftragsverarbeiter personenbezogene Daten an einen Unterauftragsverarbeiter überträgt, der sich außerhalb des Vereinigten Königreichs oder des EWR befindet, stellt der Auftragsverarbeiter sicher, dass eine der folgenden Garantien vorhanden ist:
- Ein Angemessenheitsbeschluss des britischen Staatssekretärs oder der Europäischen Kommission
- Die International Data Transfer Agreement (IDTA) des Vereinigten Königreichs oder die EU Standardvertragsklauseln (SCCs)
- Zertifizierung gemäß einem genehmigten Übertragungsmechanismus (z. B. EU-US Data Privacy Framework)
Einzelheiten zu den Übertragungsgarantien für jeden Unterauftragsverarbeiter sind auf Anfrage verfügbar.
10. Datenrückgabe und Löschung
10.1 Nach Beendigung
Nach Beendigung der Vereinbarung gibt der Auftragsverarbeiter auf Wahl des Verantwortlichen:
- alle personenbezogenen Daten an den Verantwortlichen in strukturierter, allgemein verwendeter und maschinenlesbarer Form (JSON oder CSV) zurück; oder
- löscht alle personenbezogenen Daten sicher und bescheinigt diese Löschung schriftlich
10.2 Aufbewahrungsausnahmen
Der Auftragsverarbeiter kann personenbezogene Daten insoweit aufbewahren, wie dies durch anwendbare Datenschutzgesetze erforderlich ist, vorausgesetzt, dass der Auftragsverarbeiter die Vertraulichkeit solcher Daten gewährleistet und diese nur zum Zweck der Erfüllung der gesetzlichen Verpflichtung verarbeitet.
11. Audits
11.1 Auditrecht
Der Verantwortliche hat das Recht, die Compliance des Auftragsverarbeiters mit dieser DPA zu prüfen, vorbehaltlich angemessener Vorankündigung (mindestens 30 Tage) und während der normalen Geschäftszeiten.
11.2 Umfang der Audits
Audits können die Inspektion der Einrichtungen, Systeme und Aufzeichnungen des Auftragsverarbeiters in Bezug auf die Verarbeitung personenbezogener Daten sowie Interviews mit dem Personal des Auftragsverarbeiters einschließen.
11.3 Kosten
Der Verantwortliche trägt die Kosten für Audits, sofern das Audit keinen wesentlichen Verstoß des Auftragsverarbeiters gegen diese DPA aufdeckt.
12. Haftung
Die Haftung jeder Partei unter dieser DPA unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüssen.
13. Anwendbares Recht
Diese DPA unterliegt und wird nach dem Recht von England und Wales ausgelegt. Jeder Streit, der sich aus oder im Zusammenhang mit dieser DPA ergibt, unterliegt der ausschließlichen Gerichtsbarkeit der Gerichte von England und Wales.
14. Kontakt
Bei Fragen zu dieser DPA oder zum Anfordern einer unterzeichneten Kopie kontaktieren Sie bitte:
- E-Mail: legal@godfreyengineering.com
- Website: www.godfreyengineering.com
Godfrey Engineering Ltd
United Kingdom