Datenverarbeitungsvertrag

1. Definitionen

Die folgenden Begriffe haben die unten angegebenen Bedeutungen:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Salon-Kunden)
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erhebung, Speicherung, Übermittlung, Löschung)
• Verantwortlicher: Der Salon - legt die Zwecke und Mittel der Verarbeitung von Kundendaten fest
• Auftragsverarbeiter: Primer (WISE PEOPLE SRL) - verarbeitet Daten im Namen des Salons
• Betroffene Person: Salon-Kunden, deren Daten verarbeitet werden
• Unterauftragsverarbeiter: Dritte, die Primer in die Verarbeitung einbezieht (Twilio, Meta usw.)
• DSGVO: Datenschutz-Grundverordnung (EU) 2016/679
• SKV: Von der Europäischen Kommission genehmigte Standardvertragsklauseln
• Verletzung des Schutzes personenbezogener Daten: Sicherheitsvorfall, der zu unbefugtem Zugriff, Zerstörung, Verlust oder Offenlegung personenbezogener Daten führt

2. Gegenstand und Dauer

Gegenstand

Dieser Datenverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Primer im Namen des Salons zum Zweck der Bereitstellung von WhatsApp Business Messaging-Diensten über die Primer-Plattform.

Dauer

Dieser Datenverarbeitungsvertrag bleibt in Kraft, während der Salon die WhatsApp-Messaging-Dienste von Primer abonniert. Datenaufbewahrungspflichten überdauern die Beendigung.

Art der Verarbeitung

• Erhebung von Kundentelefonnummern und Zustimmungsaufzeichnungen
• Übermittlung von Nachrichten über die WhatsApp Business API
• Speicherung von Nachrichtenprotokollen und Zustellstatus
• Verarbeitung von Zustimmungs-/Abmeldeanfragen

3. Arten von verarbeiteten personenbezogenen Daten

4. Kategorien betroffener Personen

• Salon-Kunden, die ihre Telefonnummer angegeben haben
• Kunden, die dem Empfang von WhatsApp-Nachrichten zugestimmt haben
• Personen, die die WhatsApp Business-Nummer des Salons kontaktieren

5. Auftragsverarbeiter-Verpflichtungen (Primer-Verpflichtungen)

Primer wird:

5.1 Rechtmäßige Verarbeitung

• Personenbezogene Daten nur auf dokumentierte Anweisungen des Salons hin verarbeiten
• Daten nur für die in diesem Datenverarbeitungsvertrag angegebenen Zwecke verarbeiten
• Den Salon benachrichtigen, wenn eine Anweisung die DSGVO verletzt

5.2 Vertraulichkeit

• Sicherstellen, dass alle Mitarbeiter, die Daten verarbeiten, Vertraulichkeitsverpflichtungen haben
• Zugang zu personenbezogenen Daten auf diejenigen beschränken, die ihn für die Dienstleistung benötigen

5.3 Sicherheitsmaßnahmen

• Datenverschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
• Zugriffskontrolle und Authentifizierung
• Regelmäßige Sicherheitstests und Audits
• Sichere Rechenzentren (Microsoft Azure, EU-Region)
• Protokollierung und Überwachung des Datenzugriffs
• Sicherheitsschulung für Mitarbeiter

5.4 Unterauftragsverarbeiter-Verwaltung

• Zustimmung des Salons vor der Einbindung neuer Unterauftragsverarbeiter einholen
• Sicherstellen, dass Unterauftragsverarbeiter gleichwertige Datenschutzverpflichtungen haben
• Für die Einhaltung durch Unterauftragsverarbeiter verantwortlich bleiben
• Liste aktueller Unterauftragsverarbeiter pflegen und bereitstellen

5.5 Unterstützung bei Rechten betroffener Personen

• Dem Salon bei der Beantwortung von Anfragen betroffener Personen helfen (Zugang, Berichtigung, Löschung, Übertragbarkeit)
• Datenexportfunktionen bereitstellen
• Löschanfragen innerhalb von 30 Tagen bearbeiten
• Salon über direkte Anfragen von betroffenen Personen informieren

5.6 Meldung von Datenschutzverletzungen

• Salon innerhalb von 48 Stunden nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten benachrichtigen
• Details des Vorfalls angeben, einschließlich Art, betroffener Kategorien, wahrscheinlicher Folgen und ergriffener Maßnahmen
• Salon bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden unterstützen

5.7 Datenschutz-Folgenabschätzungen

• Salon bei Datenschutz-Folgenabschätzungen unterstützen, wenn erforderlich
• Notwendige Informationen über Verarbeitungsaktivitäten bereitstellen

5.8 Audit-Rechte

• Dem Salon die Prüfung der Einhaltung des Datenverarbeitungsvertrags ermöglichen
• Relevante Dokumentation auf Anfrage bereitstellen
• Mit Inspektionen der Aufsichtsbehörde zusammenarbeiten

5.9 Datenlöschung

• Bei Beendigung alle personenbezogenen Daten innerhalb von 30 Tagen löschen oder zurückgeben
• Schriftliche Bestätigung der Löschung geben
• Ausnahme: Gesetzlich vorgeschriebene Datenaufbewahrung (Zustimmungsaufzeichnungen, Finanzunterlagen)

6. Verantwortlichen-Verpflichtungen (Salon-Verantwortlichkeiten)

Der Salon wird:

6.1 Rechtsgrundlage

• Gültige Rechtsgrundlage für die Verarbeitung sicherstellen (Zustimmung für Marketing, berechtigtes Interesse/Vertrag für transaktionale)
• Ordnungsgemäße Zustimmung vor dem Senden von WhatsApp-Nachrichten einholen
• Zustimmungsaufzeichnungen pflegen

6.2 Datengenauigkeit

• Sicherstellen, dass an Primer übermittelte Kundendaten korrekt und aktuell sind
• Ungenaue Daten umgehend aktualisieren oder korrigieren

6.3 Information der betroffenen Personen

• Kunden über die Verarbeitung durch Datenschutzhinweise informieren
• Informationen über ihre Rechte bereitstellen

6.4 Anweisungen

• Rechtmäßige Verarbeitungsanweisungen erteilen
• Primer nicht zur rechtswidrigen Datenverarbeitung anweisen

6.5 Einhaltung

• DSGVO und geltende lokale Datenschutzgesetze einhalten
• Auf Anfragen betroffener Personen innerhalb gesetzlicher Fristen reagieren
• Vorfälle bei Bedarf an Aufsichtsbehörden melden

7. Unterauftragsverarbeiter

Durch Unterzeichnung dieses Datenverarbeitungsvertrags autorisiert der Salon Primer, die folgenden Unterauftragsverarbeiter zu verwenden:

7.1 Autorisierte Unterauftragsverarbeiter

7.2 Neue Unterauftragsverarbeiter

• Primer wird den Salon mindestens 30 Tage vor der Einbindung neuer Unterauftragsverarbeiter benachrichtigen
• Salon kann innerhalb von 14 Tagen aus begründeten Gründen Einspruch erheben
• Wenn der Einspruch nicht gelöst werden kann, kann der Salon die WhatsApp-Dienste beenden

7.3 Unterauftragsverarbeiter-Einhaltung

• Alle Unterauftragsverarbeiter haben schriftliche Vereinbarungen mit gleichwertigem Schutz
• Primer bleibt vollständig für die Einhaltung durch Unterauftragsverarbeiter verantwortlich

8. Internationale Datenübermittlungen

8.1 Primärer Datenspeicherort

Personenbezogene Daten werden hauptsächlich in Rechenzentren der Europäischen Union gespeichert (Microsoft Azure EU-Regionen).

8.2 Übermittlungen außerhalb der EU/des EWR

• Von der Europäischen Kommission genehmigte Standardvertragsklauseln (SKV)
• EU-US Data Privacy Framework-Zertifizierung (sofern zutreffend)
• Zusätzliche technische Maßnahmen (Verschlüsselung, Pseudonymisierung)

8.3 Übermittlungsbewertungen

Primer hat Übermittlungsbewertungen für alle internationalen Übermittlungen durchgeführt und festgestellt, dass angemessene Schutzmaßnahmen vorhanden sind.

9. Sicherheitsmaßnahmen

9.1 Technische Maßnahmen

• Verschlüsselung: TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand
• Zugriffskontrolle: Rollenbasierter Zugriff, Multi-Faktor-Authentifizierung
• Netzwerksicherheit: Firewalls, Intrusion Detection, DDoS-Schutz
• Datentrennung: Logische Trennung von Salon-Daten
• Backup: Regelmäßige verschlüsselte Backups mit getesteten Wiederherstellungsverfahren

9.2 Organisatorische Maßnahmen

• Sicherheitsrichtlinien und -verfahren
• Mitarbeiter-Hintergrundprüfungen und Vertraulichkeitsvereinbarungen
• Regelmäßige Sicherheitsschulungen
• Verfahren zur Reaktion auf Vorfälle
• Lieferantensicherheitsbewertungen

9.3 WhatsApp-spezifische Sicherheit

• Ende-zu-Ende-Verschlüsselung von WhatsApp
• Sichere API-Authentifizierung mit Twilio
• Nachrichteninhalt wird nach Aufbewahrungsfrist nicht gespeichert
• Audit-Protokollierung aller Nachrichtenaktivitäten

10. Rechte betroffener Personen

10.1 Unterstützte Rechte

• Auskunftsrecht: Export von Kundendaten über Dashboard
• Recht auf Berichtigung: Aktualisierung von Kundeninformationen
• Recht auf Löschung: Löschung von Kundendaten und Nachrichtenverläufen
• Recht auf Einschränkung: Pausierung des Nachrichtenversands für bestimmte Kunden
• Recht auf Datenübertragbarkeit: Export von Daten in maschinenlesbarem Format
• Widerspruchsrecht: Verarbeitung von Abmeldeanfragen

10.2 Antwortfrist

• Primer wird innerhalb von 5 Werktagen auf Anfragen des Salons reagieren
• Dies ermöglicht es dem Salon, die 30-Tage-DSGVO-Frist einzuhalten

10.3 Direkte Anfragen

• Betroffene Personen an den relevanten Salon verweisen
• Salon über die Anfrage informieren
• Nicht direkt ohne Genehmigung des Salons antworten

11. Verfahren bei Datenschutzverletzungen

11.1 Erkennung

• Unbefugte Zugriffsversuche
• Ungewöhnliche Datenzugriffsmuster
• Systemeinbrüche
• Datenleckversuche

11.2 Benachrichtigung

• Erstmeldung an den Salon innerhalb von 48 Stunden
• Detaillierter Bericht innerhalb von 72 Stunden, einschließlich Beschreibung, betroffener Datenkategorien, ungefährer Anzahl von Datensätzen, wahrscheinlicher Folgen und Abhilfemaßnahmen

11.3 Zusammenarbeit

• Mit der Untersuchung des Vorfalls durch den Salon zusammenarbeiten
• Bei Benachrichtigungen an Aufsichtsbehörden und betroffene Personen unterstützen
• Zusätzliche Schutzmaßnahmen nach Bedarf implementieren
• Bericht nach dem Vorfall bereitstellen

12. Audit und Compliance

12.1 Dokumentation

• Verarbeitungskategorien
• Datenübermittlungen
• Sicherheitsmaßnahmen
• Unterauftragsverarbeiter-Vereinbarungen

12.2 Audit-Rechte

• Compliance-Dokumentation jährlich anfordern
• Remote-Audits mit 30 Tagen Vorlaufzeit durchführen
• Vor-Ort-Audits mit 60 Tagen Vorlaufzeit durchführen (auf Kosten des Salons)
• Qualifizierte Drittanbieter-Auditoren verwenden (gebunden durch Vertraulichkeit)

12.3 Zertifizierungen

Primer wird auf Anfrage Kopien relevanter Zertifizierungen und Auditberichte bereitstellen.

13. Haftung und Schadloshaltung

13.1 Primer-Haftung

• Verstößt gegen DSGVO-Auftragsverarbeiter-Verpflichtungen
• Verstößt gegen diesen Datenverarbeitungsvertrag
• Handelt außerhalb oder gegen rechtmäßige Anweisungen des Salons

13.2 Salon-Haftung

• Rechtswidrige Verarbeitungsanweisungen
• Versäumnis, ordnungsgemäße Zustimmung einzuholen
• Verstöße gegen DSGVO-Verantwortlichen-Verpflichtungen
• Bereitstellung ungenauer Daten

13.3 Beschränkung

Die Gesamthaftung aus diesem Datenverarbeitungsvertrag ist auf die Gebühren beschränkt, die der Salon für WhatsApp-Dienste in den 12 Monaten vor dem Anspruch gezahlt hat, es sei denn, es liegt vorsätzliche Pflichtverletzung, grobe Fahrlässigkeit oder Ansprüche von betroffenen Personen oder Aufsichtsbehörden vor.

14. Laufzeit und Beendigung

14.1 Laufzeit

Dieser Datenverarbeitungsvertrag tritt in Kraft, wenn der Salon WhatsApp-Dienste aktiviert, und bleibt gültig, bis die Dienste beendet werden.

14.2 Beendigungsfolgen

• Primer stellt die Verarbeitung innerhalb von 24 Stunden ein
• Datenlöschung innerhalb von 30 Tagen
• Zustimmungsaufzeichnungen werden 5 Jahre lang aufbewahrt (gesetzliche Anforderung)
• Schriftliche Bestätigung der Löschung

14.3 Fortbestand

• Vertraulichkeitsverpflichtungen
• Datenaufbewahrungsanforderungen
• Haftungsbestimmungen
• Audit-Rechte (2 Jahre nach Beendigung)

15. Allgemeine Bestimmungen

15.1 Anwendbares Recht

Dieser Datenverarbeitungsvertrag unterliegt rumänischem Recht und der DSGVO. Streitigkeiten werden vor den Gerichten von Cluj-Napoca, Rumänien, beigelegt.

15.2 Änderungen

• Gesetzlich oder durch behördliche Leitlinien erforderliche Aktualisierungen
• Hinzufügung von Unterauftragsverarbeitern (gemäß Abschnitt 7.2)
• Aktualisierung von Sicherheitsmaßnahmen (nur Verbesserungen)

15.3 Konflikt

Im Falle eines Konflikts zwischen diesem Datenverarbeitungsvertrag und den Hauptgeschäftsbedingungen hat dieser Datenverarbeitungsvertrag in Datenschutzangelegenheiten Vorrang.

15.4 Salvatorische Klausel

Sollte eine Bestimmung für ungültig befunden werden, bleiben die übrigen Bestimmungen in Kraft.

16. Kontaktinformationen

Bei Fragen zu dieser Vereinbarung: