Zwischen:
Verantwortlicher (Controller): Kunde
Auftragsverarbeiter (Processor): antegma GmbH, Deutschland
1. Gegenstand und Dauer
Dieser DPA regelt die Verarbeitung personenbezogener Daten durch antegma GmbH im Zusammenhang mit Integrationen und Anwendungen, die dem Verantwortlichen zur Verfügung gestellt werden.
Dauer: Gültig solange der Hauptvertrag zwischen den Parteien besteht.
2. Art und Zweck der Verarbeitung
Zweck: Bereitstellung, Wartung und Verbesserung von Integrationen zwischen Drittanbieter-Anwendungen (z. B. Hootsuite, Adobe, Canto, Microsoft usw.).
Verarbeitungstätigkeiten: Hosting, Speicherung, Übertragung und technische Bearbeitung personenbezogener Daten.
3. Art der Daten & Kategorien betroffener Personen
Datenarten: Benutzer-IDs, Zugangsdaten, Nutzungsprotokolle, Inhalts-Metadaten, Kommunikationsdaten (je nach Integration).
Kategorien betroffener Personen: Mitarbeiter des Verantwortlichen, Kunden, Social-Media-Nutzer, Geschäftspartner.
4. Pflichten des Auftragsverarbeiters (antegma GmbH)
Verarbeitung nur auf dokumentierte Weisungen des Verantwortlichen.
Sicherstellung der Vertraulichkeit des Personals.
Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) (Anlage 1).
Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten (Art. 15–22 DSGVO).
Unterstützung des Verantwortlichen bei der Einhaltung von Art. 32–36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, DSFA).
Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende.
Bereitstellung von Nachweisen und Auditrechten (nach angemessener Ankündigung).
5. Unterauftragsverarbeiter
Der Verantwortliche ermächtigt den Auftragsverarbeiter, die folgenden Unterauftragsverarbeiter einzusetzen:
Microsoft Ireland Operations Ltd. – Microsoft Azure (Hosting in Amsterdam, Niederlande, Region Europe West).
Der Auftragsverarbeiter informiert den Verantwortlichen rechtzeitig über Änderungen der Unterauftragsverarbeiter.
6. Internationale Datenübermittlungen
Die Daten werden innerhalb der EU (Amsterdam, Niederlande) gehostet.
Werden Daten durch Unterauftragsverarbeiter außerhalb der EU/des EWR übermittelt, stellt der Auftragsverarbeiter geeignete Garantien sicher (z. B. Standardvertragsklauseln, Angemessenheitsbeschlüsse).
7. Pflichten des Verantwortlichen
Sicherstellung einer rechtmäßigen Grundlage für die Verarbeitung.
Bereitstellung notwendiger Weisungen.
Führung von Verzeichnissen der Verarbeitungstätigkeiten.
8. Haftung
Jede Partei haftet im Rahmen der DSGVO und des geltenden Rechts.
Gemeinsame Haftung, soweit nach Art. 82 DSGVO vorgesehen.
9. Anwendbares Recht & Gerichtsstand
Dieser DPA unterliegt deutschem Recht.
Gerichtsstand: Freiburg im Breisgau
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
Verschlüsselung von Daten bei Speicherung und Übertragung.
Rollenbasierte Zugriffskontrolle, Prinzip der minimalen Rechte.
Multi-Faktor-Authentifizierung für Administratoren.
Regelmäßige Backups und Notfallwiederherstellung.
Protokollierung und Überwachung von Zugriffen.
Sicherheits-Patch-Management.
Anlage 2: Liste der Unterauftragsverarbeiter
- Microsoft Azure (Europe West – Amsterdam).