Datenverarbeitungsvertrag

1. Begriffsbestimmungen

Die in diesem DVV verwendeten Begriffe haben dieselbe Bedeutung wie im UK General Data Protection Regulation (UK GDPR, auch: britische Datenschutz-Grundverordnung) und (soweit anwendbar) der EU-DSGVO. Sofern dieser DVV auf 'Anwendbares Datenschutzrecht' Bezug nimmt, ist darunter je nach Sachlage die UK GDPR, der Data Protection Act 2018, die EU-DSGVO, die Privacy and Electronic Communications Regulations 2003 sowie sonstige datenschutzrechtliche Vorschriften oder Leitlinien einer zuständigen Aufsichtsbehörde zu verstehen, die auf die Verarbeitung der Parteien Anwendung finden.

2. Gegenstand und Rollen

Gegenstand der Verarbeitung nach diesem DVV sind die personenbezogenen Daten, die der Kunde oder Personen in seinem Auftrag in die Dienste eingespeist haben, wie in Anhang A näher beschrieben. Der Kunde ist der Verantwortliche und Specialist Electronics Ltd ist der Auftragsverarbeiter für diese personenbezogenen Daten. Soweit Specialist Electronics Ltd personenbezogene Daten für eigene Zwecke verarbeitet (beispielsweise für interne Analysen, Betrugsprävention oder zur Erfüllung gesetzlicher Verpflichtungen wie die AML/KYC-Aufbewahrungspflicht), handelt Specialist Electronics Ltd als Verantwortliche, und es gilt die Datenschutzerklärung.

3. Pflichten des Auftragsverarbeiters

Wir werden:

• Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden hin verarbeiten, einschließlich in Bezug auf Übermittlungen in ein Drittland, sofern wir nicht durch das anwendbare Recht hierzu verpflichtet sind (in diesem Fall werden wir den Kunden vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, das betreffende Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses).
• Sicherstellen, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen.
• Alle gemäß Artikel 32 UK/EU GDPR erforderlichen Maßnahmen ergreifen, wie in Anhang B näher ausgeführt.
• Die Bedingungen für die Hinzuziehung von Unterauftragsverarbeitern gemäß Klausel 6 einhalten.
• Unter Berücksichtigung der Art der Verarbeitung den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit möglich, dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach dem Anwendbaren Datenschutzrecht nachzukommen.
• Den Kunden dabei unterstützen, die Einhaltung seiner Verpflichtungen gemäß den Artikeln 32 bis 36 UK/EU GDPR zu gewährleisten, unter Berücksichtigung der Art der Verarbeitung und der uns vorliegenden Informationen.
• Nach Wahl des Kunden alle personenbezogenen Daten nach Beendigung der Erbringung der Dienste an den Kunden zurückgeben oder löschen und bestehende Kopien vernichten, sofern nicht das Anwendbare Datenschutzrecht eine Speicherung vorschreibt.
• Dem Kunden alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in diesem DVV niedergelegten Verpflichtungen nachzuweisen, und Überprüfungen, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer zu ermöglichen und dabei mitzuwirken (vorbehaltlich der Bedingungen in Klausel 8).

4. Pflichten des Kunden

Der Kunde versichert, dass er alle erforderlichen Datenschutzhinweise erteilt und, soweit relevant, alle notwendigen Einwilligungen der betroffenen Personen eingeholt hat, um unsere Verarbeitung ihrer personenbezogenen Daten im Rahmen der Vereinbarung und dieses DVV zu ermöglichen. Der Kunde trägt die Verantwortung für die Richtigkeit der von ihm eingespeisten personenbezogenen Daten, dafür, dass seine Weisungen dem Anwendbaren Datenschutzrecht entsprechen, und dafür, die Rechtmäßigkeit jeder Weitergabe personenbezogener Daten an Specialist Electronics Ltd im Rahmen dieses DVV zu beurteilen.

5. Sicherheit

Wir werden die in Anhang B dargelegten technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten. Wir können diese Maßnahmen von Zeit zu Zeit aktualisieren, sofern das Sicherheitsniveau dabei nicht wesentlich gesenkt wird.

6. Unterauftragsverarbeiter

7. Internationale Datenübermittlungen

Soweit die Verarbeitung personenbezogener Daten im Rahmen dieses DVV eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich oder dem Europäischen Wirtschaftsraum in ein Land umfasst, für das kein Angemessenheitsbeschluss vorliegt, vereinbaren die Parteien, an das UK International Data Transfer Agreement oder die EU-Standardvertragsklauseln (Modul Zwei: Verantwortlicher an Auftragsverarbeiter) (die 'SCC') gebunden zu sein, ergänzt bei Bedarf durch den UK Addendum zu den SCC. Die SCC werden durch Bezugnahme in diesen DVV einbezogen. Im Falle eines Widerspruchs zwischen diesem DVV und den SCC haben die SCC Vorrang.

8. Überprüfungen

Auf Anfrage des Kunden und höchstens einmal pro Kalenderjahr (es sei denn, dies ist infolge einer Verletzung des Schutzes personenbezogener Daten erforderlich) werden wir Informationen bereitstellen, die vernünftigerweise notwendig sind, um unsere Einhaltung dieses DVV nachzuweisen, unter anderem durch Beantwortung eines schriftlichen Prüffragebogens und durch Weitergabe der Ergebnisse einschlägiger Drittanbieter-Zertifizierungen und Prüfberichte (wie ISO 27001 oder SOC 2, soweit vorhanden). Jede Vor-Ort-Prüfung ist auf Kosten des Kunden durch einen unabhängigen Drittprüfer durchzuführen, der für Specialist Electronics Ltd zumutbar akzeptabel ist, mit einer Ankündigungsfrist von mindestens 30 Tagen, während der normalen Geschäftszeiten und auf eine Weise, die unseren Betrieb nicht unangemessen beeinträchtigt und keine personenbezogenen Daten anderer Kunden offenbart.

9. Verletzung des Schutzes personenbezogener Daten

Wir werden den Kunden unverzüglich (und in jedem Fall innerhalb von 72 Stunden) benachrichtigen, nachdem wir von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt haben, die personenbezogene Daten des Kunden betrifft. Die Benachrichtigung wird, soweit zu diesem Zeitpunkt verfügbar, die Art der Verletzung beschreiben (einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und Datensätze), einen Ansprechpartner für weitere Informationen benennen, die voraussichtlichen Folgen beschreiben sowie die zur Behebung der Verletzung und zur Minderung nachteiliger Auswirkungen ergriffenen oder geplanten Maßnahmen darlegen.

10. Anfragen betroffener Personen

Wendet sich eine betroffene Person direkt an uns mit einem Antrag auf Ausübung ihrer Rechte nach dem Anwendbaren Datenschutzrecht in Bezug auf personenbezogene Daten, die wir im Auftrag des Kunden verarbeiten, werden wir die betroffene Person darauf hinweisen, sich direkt an den Kunden zu wenden, und (soweit mit unseren gesetzlichen Verpflichtungen vereinbar) den Antrag an den Kunden weiterleiten. Wir werden den Kunden durch geeignete technische und organisatorische Maßnahmen bei der Beantwortung solcher Anfragen unterstützen, wobei wir die Art der Verarbeitung berücksichtigen.

11. Rückgabe oder Löschung

Bei Beendigung der zugrunde liegenden Vereinbarung und nach Wahl des Kunden, die uns schriftlich innerhalb von 30 Tagen nach Beendigung mitzuteilen ist, werden wir die personenbezogenen Daten des Kunden, einschließlich aller Kopien, zurückgeben oder löschen, sofern nicht das anwendbare Recht eine fortdauernde Speicherung vorschreibt. Soweit personenbezogene Daten aus rechtlichen Gründen aufbewahrt werden, werden wir diesen DVV weiterhin auf sie anwenden.

12. Haftung

Die Haftung jeder Partei unter diesem DVV unterliegt den Haftungsbeschränkungen der zugrunde liegenden Vereinbarung, sofern das Anwendbare Datenschutzrecht nichts anderes vorschreibt.

13. Rangfolge

Im Falle eines Widerspruchs zwischen diesem DVV und der zugrunde liegenden Vereinbarung hat dieser DVV im Umfang des Widerspruchs Vorrang, sofern in den SCC nicht ausdrücklich etwas anderes bestimmt ist.

Anhang A — Beschreibung der Verarbeitung

Gegenstand

Erbringung der Dienste für den Kunden gemäß der zugrunde liegenden Vereinbarung.

Dauer

Für die Laufzeit der Vereinbarung zuzüglich jedes Zeitraums, während dessen wir personenbezogene Daten in Übereinstimmung mit diesem DVV oder dem anwendbaren Recht aufbewahren.

Art und Zweck

Hosting, Verarbeitung, Speicherung, Übertragung und Sicherung personenbezogener Daten im Zusammenhang mit den Diensten; Nutzerauthentifizierung; Auftragserteilung, -abwicklung und Support; Analysen; Sicherheit.

Kategorien betroffener Personen

Die Endnutzer des Kunden (typischerweise natürliche Personen, die über die Dienste beim Kunden kaufen), die Mitarbeiter und autorisierten Kontakte des Kunden sowie alle sonstigen Personen, deren personenbezogene Daten der Kunde in die Dienste einspeist.

Kategorien personenbezogener Daten

Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift), Kontodaten, Bestelldaten, Zahlungsmetadaten, Inhalt von Kommunikation, Identitätsverifizierungsdaten soweit zutreffend, Geräte- und Verbindungsdaten, Sicherheitstelemetrie.

Besondere Kategorien

Bilder von Identitätsdokumenten, die biometrische Daten enthalten können; Staatsangehörigkeitsinformationen, die in Identitätsdokumenten erscheinen können.

Anhang B — Technische und organisatorische Maßnahmen

• Verschlüsselung: TLS 1.2 oder höher für Daten während der Übertragung; AES-256 für ruhende Daten in Cloud-Speichern; spaltenweise Verschlüsselung für hochsensible Felder, wo angemessen.
• Identitäts- und Zugangsverwaltung: eindeutige Nutzer-IDs; rollenbasierte Zugriffskontrolle nach dem Prinzip der minimalen Rechtevergabe; obligatorische Multi-Faktor-Authentifizierung für administrative Konten.
• Trennung: Identitätsdokumente werden in verschlüsseltem Objektspeicher aufbewahrt, der von der Anwendungsdatenbank isoliert ist; getrennte Umgebungen für Entwicklung, Staging und Produktion.
• Protokollierung und Überwachung: strukturierte Prüfprotokolle für sicherheitsrelevante Ereignisse; Alarmierung bei anomalen Mustern; Protokollspeicherung mit eingeschränktem Zugang.
• Schwachstellenmanagement: Scannen von Abhängigkeiten auf Sicherheitslücken; regelmäßige Infrastruktur-Scans; dokumentierter Patch-Rhythmus mit kürzeren SLAs für kritische Schwachstellen.
• Reaktion auf Sicherheitsvorfälle: dokumentierter Vorfallreaktionsplan; Rufbereitschaft; Benachrichtigungs-Runbooks bei Datenpannen, ausgerichtet an diesem DVV.
• Sicherungen: regelmäßige verschlüsselte Sicherungskopien; geprüfte Wiederherstellungsverfahren; eingeschränkter Zugang zu Sicherungsmedien.
• Personal: Vertraulichkeitsverpflichtungen bei der Einstellung; jährliche Sicherheitsschulungen; Entzug von Zugriffsrechten beim Ausscheiden aus dem Unternehmen.
• Lieferantenmanagement: Sorgfaltsprüfung vor der Einbindung von Auftragsverarbeitern; schriftliche Verarbeitungsverträge gemäß Artikel 28 UK GDPR; regelmäßige Neubewertung.
• Betriebskontinuität: redundante Infrastruktur; dokumentierte Wiederherstellungsziele; regelmäßige Kontinuitätsübungen.