Allgemeine Datenschutzverordnung

Verehrte Kunden,

Der Schutz personenbezogener Daten war für Templafy schon immer von höchster Priorität, und wir begrüßen die neue Allgemeine Datenschutzverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist. Eine Anforderung der DSGVO ist, dass wir erklären müssen, wie wir die Einhaltung der DSGVO sicherstellen und uns in einer Datenverarbeitungsvereinbarung unseren Kunden gegenüber dazu verpflichten.

Einige von Ihnen haben bereits einzelne Datenverarbeitungsvereinbarungen mit Templafy und für diejenigen, die diese nicht haben, wird die folgende Datenverarbeitungsvereinbarung diesen wichtigen Teil unserer Geschäftsbeziehung regeln.

Mit freundlichen Grüßen

Jesper Theill Eriksen
CEO, Templafy

Datenverarbeitungsvereinbarung


ZWISCHEN:

Templafy APS

CVR No.: 25662946
Wilders Plads 15A
1403 Copenhagen K
Denmark

(dem „Datenverarbeiter“)

UND

Jeder einzelne Kunde von Templafy, für den Templafy ApS Daten verarbeitet und der nicht eine anderweitig gültige Datenverarbeitungsvereinbarung mit Templafy ApS abgeschlossen hat.

(dem „Datenverantwortlichen“)

(im Folgenden einzeln als „Partei“ oder zusammen als „Parteien“ bezeichnet)

1. EINLEITUNG

Die vorliegende Datenverarbeitungsvereinbarung (DPA) spezifiziert die Verpflichtungen der Parteien in Bezug auf den Datenschutz, die sich aus der Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen durch den Datenverarbeiter gemäß Angebot, Servicevereinbarung oder sonstigen Vereinbarungen ergeben.

Die Datenverarbeitungsvereinbarung gilt als Anhang zu dem Vertrag. Sollte eine Klausel in dieser Datenverarbeitungsvereinbarung einer oder mehreren Vorschriften der Vereinbarung widersprechen, hat die Datenverarbeitungsvereinbarung (DPA) Priorität.

2. ZWECK, UMFANG UND VERANTWORTLICHKEITEN

2.1          Der Datenverarbeiter verpflichtet sich, die personenbezogenen Daten ausschließlich gemäß den Bestimmungen dieser DPA zu verarbeiten.

2.2            Der Datenverarbeiter verpflichtet sich, die personenbezogenen Daten ausschließlich zur Erfüllung der Verpflichtungen gemäß der Vereinbarung zu verarbeiten.

2.3            Die Datenverarbeitung durch den Datenverarbeiter beinhaltet alle in der Vereinbarung festgelegten Vorgänge.

2.4            Die Klauseln dieser DPA sind bis zur Beendigung der Vereinbarung oder bis zu dem Datum wirksam, an dem der Datenverarbeiter keine weiteren personenbezogenen Daten im Auftrag des Datenverantwortlichen mehr verarbeitet.

3. DATENVERKEHR

3.1.             Der Datenverarbeiter ist eine Softwareentwicklungsgesellschaft, die von dem Datenverantwortlichen damit beauftragt wurde, dem Datenverantwortlichen Software als Service zur Unterstützung der Erstellung geschäftlicher Schriftstücke bereitzustellen. Der Inhalt dieser Datenverarbeitungsvereinbarung reflektiert die begrenzte Menge personenbezogener Daten, die der Datenverarbeiter im Auftrag des Datenverantwortlichen verarbeitet.

3.2.             Eine allgemeine Liste der vom Datenverarbeiter verarbeiteten Daten kann jederzeit auf Wunsch vom Datenverarbeiter verlangt werden.

3.3.             Keinesfalls beinhalten die vom Datenverarbeiter verarbeiteten Daten (wobei dies nur eine beispielhafte, jedoch keine umfassende Auflistung ist):

  • Personenbezogene Daten gemäß Art. 7 oder 8 des dänischen Datenschutzgesetzes
  • Personenbezogene Daten gemäß Art. 9 oder 10 der Verordnung 2016/679 vom 27. April 2016
  • Finanzielle Daten,
  • Personenbezogene Daten in Bezug auf kriminelle Gesetzesverstöße oder
  • Daten bezüglich der wirtschaftlichen Situation einer Person, ihrer Steuern, Schulden, der krankheitsbedingten Arbeitsausfälle, Wohn- und Familienverhältnisse, Autobesitz, Persönlichkeitstests, Prüfungen oder Lebensläufe.

Der Datenstrom des Datenverarbeiters wird in Anhang 1 (der „Datenstrom“) beschrieben.

 3.4          Der Datenstrom des Datenverarbeiters wird in Anhang 1 (der „Datenstrom“) beschrieben.

4. PFLICHTEN DES DATENVERARBEITERS

Der Datenverarbeiter verpflichtet sich:

1) die gültigen Datenschutzgesetze bezüglich der Pflichten des Datenverarbeiters gemäß der Vereinbarung („Datenschutzgesetz“) zu beachten und einzuhalten,

2) alle personenbezogenen Daten, die an den Datenverarbeiter übermittelt oder von diesem erfasst worden sind, nur als „Verarbeiter“ im Sinne des Datenschutzgesetzes im Auftrag des Datenverantwortlichen zu verarbeiten,

3) technische und organisatorische Maßnahmen zu ergreifen, um zu gewährleisten, dass die Verarbeitung den Anforderungen des geltenden Datenschutzgesetzes entspricht und den Schutz der Rechte der Datensubjekte sicherzustellen,

4) sicherzustellen, dass die Unterverarbeiter bei der Verarbeitung personenbezogener Daten das Datenschutzgesetz beachten und einhalten,

5) den Datenverantwortlichen durch adäquate technische und organisatorische Maßnahmen unter Berücksichtigung der Verarbeitungsart nach Möglichkeit dabei zu unterstützen, seinen Verpflichtungen hinsichtlich der Reaktion auf Wünsche bezüglich der Ausübung der Rechte des Datensubjekts gemäß Datenschutzgesetz nachzukommen,

6) den Datenverantwortlichen im relevanten Umfang dabei zu unterstützen, die Einhaltung der Vorschriften zum Schutz personenbezogener Daten zu gewährleisten,

7) dem Datenverantwortlichen alle benötigten Informationen zukommen zu lassen, um die Einhaltung der Vorschriften dieser DPA nachweisen zu können und auch Audits zu erlauben beziehungsweise an entsprechenden Audits mitzuarbeiten. Dies beinhaltet auch vom Datenverantwortlichen oder einem vom Datenverantwortlichen eingeschalteten Auditor durchgeführte Inspektionen der Einrichtungen, die sich unter der Kontrolle des Datenverarbeiters befinden.

5.  TECHNISCHE UND ORGANISATORISCHE SCHUTZMASSNAHMEN

5.1.             Während der Laufzeit der DPA sorgt der Datenverarbeiter für die Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Sicherungsmaßnahmen und verpflichtet auch seine Unterverarbeiter zur Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Schäden oder Änderung sowie vor unberechtigtem Zugriff sowie Offenlegung oder anderweitiger Verarbeitung in einer Weise, die das Datenschutzgesetz verletzt.

5.2.             Der Datenverarbeiter gewährleistet, dass er und seine Unterverarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben, unter allen Umständen die Mindestanforderungen in Bezug auf die Datensicherheit beachten und einhalten, wie in Anhang 2 beschrieben.

6.  MITARBEITER

6.1.             Der Datenverarbeiter gewährleistet, dass alle Mitarbeiter des Datenverarbeiters, die Zugriff auf personenbezogene Daten haben müssen, sich der Geheimhaltungsvorschrift gemäß der Vereinbarung verpflichtet haben oder einer gesetzlichen Geheimhaltungsverpflichtung unterliegen.

6.2.             Der Datenverarbeiter sorgt dafür, dass alle Mitarbeiter des Datenverarbeiters, die Zugriff auf die personenbezogenen Daten haben müssen, auf die Vertraulichkeit der personenbezogenen Daten und die Sicherheitsmaßnahmen im Zusammenhang mit der Verarbeitung der personenbezogenen Daten oder dem Zugriff auf diese Daten hingewiesen werden.

6.3.             Die Verpflichtung der Mitarbeiter des Datenverarbeiters zur Einhaltung der fraglichen Geheimhaltungsvorschriften dauert über das Ende dieser Datenverarbeitungsvereinbarung hinaus fort.

7.  WEITERE VERANTWORTLICHKEITEN DES DATENVERARBEITERS

7.1   Der Datenverarbeiter verpflichtet sich, soweit möglich:

7.1.1.         Den Datenverantwortlichen unverzüglich über alle Überwachungsaktivitäten und Maßnahmen, die von einer Aufsichtsbehörde gemäß der Datenschutzgesetzgebung durchgeführt werden zu informieren, wenn sich diese Überwachungsaktivitäten und Maßnahmen auf die im Rahmen der Vereinbarung verarbeiteten Daten beziehen;
7.1.2          Den Datenverantwortlichen innerhalb von fünf (5) Werktagen schriftlich zu benachrichtigen, wenn er (i) einen Antrag eines Datensubjekts auf Zugang zu den personenbezogenen Daten dieser Person oder (ii) eine Beschwerde oder einen Antrag in Bezug auf die Verpflichtungen des Datenverantwortlichen gemäß der Datenschutzgesetzgebung erhält.

8.  UNTERVERARBEITER

8.1.             Die zum Zeitpunkt der Unterzeichnung dieser Datenverarbeitungsvereinbarung zugelassenen Unterverarbeiter sind dem Dokument 3 zu entnehmen.

8.2.             Der Datenverarbeiter ist berechtigt, weitere oder andere Unterverarbeiter einzuschalten, wenn der Datenverarbeiter dies zum Zweck der Erfüllung seiner Verpflichtungen gemäß der Vereinbarung für relevant oder notwendig hält. In diesem Fall verpflichtet sich der Datenverarbeiter, den Datenverantwortlichen spätestens 30 Tage vor dem Einschalten weiterer oder anderer Unterverarbeiter auf seine Absicht hinzuweisen. Der Datenverantwortliche kann sich der Einschaltung neuer Unterverarbeiter aus berechtigten Gründen widersetzen. Im Fall eines berechtigten Widerspruchs verhandeln die Parteien nach Treu und Glauben miteinander und versuchen einvernehmlich, eine alternative Lösung zu finden. Kann keine solche alternative Lösung gefunden werden und der Datenverarbeiter möchte die Tätigkeit mit dem fraglichen Unterverarbeiter fortführen, kann der Datenverantwortliche die Vereinbarung unter Einhaltung einer Kündigungsfrist von 30 Tagen auflösen. Im Fall einer derartigen Vertragsauflösung hat sich keine der Parteien einer Vertragsverletzung schuldig gemacht;

8.3.             Wenn und insofern als der Datenverarbeiter seine Verpflichtungen gemäß der vorstehenden Beschreibung an andere Parteien vergibt, bedarf dies einer entsprechenden schriftlichen Vereinbarung mit dem Unterverarbeiter, der die Unterverarbeiter zur Beachtung und Einhaltung der Pflichten im Zusammenhang mit dem Datenschutzgesetz verpflichtet.

8.4.             Der Datenverarbeiter darf nur personenbezogene Daten an Adressen innerhalb der EU/des EWR oder in von der EU-Kommission anerkannte Länder übermitteln, um einen adäquaten Datenschutz zu gewährleisten. Der Datenverarbeiter darf keine Daten an Adressen außerhalb dieser Länder übermitteln; dies bedarf der vorherigen schriftlichen Genehmigung des Datenverantwortlichen. Wenn die fragliche Genehmigung erteilt wird, verpflichtet sich der Datenverarbeiter zur Einhaltung der Vorschriften des Datenschutzgesetzes für die Datenübertragung an Adressen außerhalb der EU / des Europäischen Wirtschaftsraums (EWR), beispielsweise durch die Verwendung der Modellverträge der Kommission, des Privacy Shield Instituts, durch Einholung des Einverständnisses der Datensubjekte oder durch ähnliche Maßnahmen, je nach Anwendbarkeit.

8.5.             Zum Zeitpunkt der Unterzeichnung dieser Datenverarbeitungsvereinbarung ist eine Genehmigung zur Übermittlung personenbezogener Daten an Adressen außerhalb der EU / des Europäischen Wirtschaftsraums (EWR) (vgl. Abschnitt 8.4) für die Übertragung an die im Dokument 3 genannten Subunternehmen erteilt worden.

8.6.             Auf Wunsch kann der Datenverarbeiter jederzeit eine Liste der vom Datenverarbeiter eingeschalteten Unterverarbeiter sowie eine Kopie der Datenverarbeitungsvereinbarung(en) zwischen dem Datenverarbeiter und den Unterverarbeitern vorlegen.

9.  VERPFLICHTUNGEN DES DATENVERANTWORTLICHEN

9.1.             Der Datenverantwortliche und der Datenverarbeiter sind eigenständig für die Beachtung und Einhaltung des Datenschutzgesetzes verantwortlich, insofern als sie diesem unterliegen.

9.2.             Der Datenverantwortliche informiert den Datenverarbeiter umgehend schriftlich von seiner eventuellen Entdeckung der Nichteinhaltung des Datenschutzgesetzes in Bezug auf die Verarbeitung personenbezogener Daten gemäß dieser DPA.

10.  HINWEIS AUF DATENSCHUTZVERLETZUNG

10.1.             Der Datenverarbeiter verpflichtet sich, den Datenverantwortlichen umgehend schriftlich auf eventuelle festgestellte oder potenzielle Verletzung personenbezogener Daten hinzuweisen, die gemäß der Datenverarbeitungsvereinbarung verarbeitet werden / wurden.

10.2.             Der im Abschnitt 10.1. genannte Hinweis muss soweit wie möglich die folgenden Angaben enthalten:

a) die Art der Verletzung der Datensicherheit im Zusammenhang mit den personenbezogenen Daten beschreiben, einschließlich, wenn möglich (z. B. Verlust, Diebstahl, Kopie) der Kategorien und der ungefähren Zahl der betroffenen Datensubjekte sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze,

b) den Namen und die Kontaktdaten der Person mit dem Datenverarbeiter, wo weitere Informationen erhältlich sind,

c) die vermutlichen Konsequenzen der Verletzung der Datensicherheit im Zusammenhang mit den personenbezogenen Daten und

d) die ergriffenen oder vorgeschlagenen Maßnahmen des Datenverarbeiters bezüglich der Verletzung der Datensicherheit im Zusammenhang mit den personenbezogenen Daten, einschließlich (falls zutreffend) der Maßnahmen zur Minderung der möglichen negativen Auswirkungen.

11.  LÖSCHEN PERSONENBEZOGENER DATEN

11.1.             Nach dem Ende der Laufzeit oder der Beendigung der Vereinbarung vernichtet der Datenverarbeiter alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten, die sich im Besitz oder unter der Kontrolle des Datenverarbeiters befinden, sofern die weitere Speicherung der personenbezogenen Daten nicht aufgrund des Datenschutzgesetzes erforderlich ist.

11.2.             Auf Wunsch des Datenverantwortlichen bestätigt der Datenverarbeiter die Vernichtung / endgültige Löschung der personenbezogenen Daten schriftlich.

12.  UNTERSCHRIFTEN

Unterzeichnet für und im Auftrag des Datenverarbeiters

Datum: Montag, 30. April 2018


Name: Jesper Theill Eriksen

Titel: CEO

Dokument 1: DATENVERKEHR

Dieses Dokument 1 beschreibt den Datenverkehr zwischen dem Datenverantwortlichen und dem Datenverarbeiter gemäß der Datenverarbeitungsvereinbarung.

Der Datenverarbeiter ist eine globale, allgemeine Multi-Tenant Software-as-a-Service-Lösung, die in der Microsoft Azure Cloud gehostet wird.

Der Datenverkehr des Datenverarbeiters lässt sich wie folgt darstellen:

Dokument 2: BESCHREIBUNG DER MINIMAL ERFORDERLICHEN DATENSICHERHEIT

Der Datenverarbeiter verpflichtet sich zur Einhaltung der folgenden Mindestsicherheitsanforderungen und gewährleistet auch, dass alle seine Unterverarbeiter unter allen Umständen die folgenden Mindestsicherheitsanforderungen beachten und einhalten:

1.1.1. Verfügbarkeit

Der Datenverarbeiter hat die erforderlichen Schutzmaßnahmen ergriffen, um sicherzustellen, dass Daten verfügbar sind, beispielsweise durch Virenschutzprogramme und DDoS-Minimierungstechnologien usw.

1.1.2. Daten-Integrität

Der Datenverarbeiter hat die erforderlichen Schutzmaßnahmen ergriffen, um sicherzustellen, dass die Daten authentisch sind und bei der Verarbeitung, Speicherung oder Übertragung nicht böswillig oder versehentlich geändert wurden, beispielsweise durch ein Backup sowie entsprechende Authentifizierungscodes und Signaturen.

1.1.3. Geheimhaltung

Der Datenverarbeiter hat die erforderlichen Sicherheitsmaßnahmen ergriffen, um die Geheimhaltung der personenbezogenen Daten sicherzustellen, einschließlich entsprechender Verschlüsselungstechnologien, Schulungsprogramme, Autorisierungssysteme, Vertragsklauseln usw.

1.1.4 Isolierung (Zweck: Begrenzung)

Der Datenverarbeiter hat die nötigen Verfahren implementiert und Kontrollen eingerichtet, um sicherzustellen, dass nur legitime Personen Zugriff auf die personenbezogenen Daten haben und diese ausschließlich für legitime Zwecke verwendet werden können, beispielsweise durch die entsprechende Verwaltung der Zugriffsrechte auf die Daten sowie die Aufteilung der Rollen und Zuständigkeiten usw.

1.1.5. Datenübertragbarkeit

Der Datenverarbeiter hat die Übertragbarkeit personenbezogener Daten gewährleistet, beispielsweise durch die Verwendung standardisierter oder offener Datenformate und Schnittstellen.

1.1.6. Zurechenbarkeit

Der Datenverarbeiter hat die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, um die Zurechenbarkeit und die Datenrückverfolgbarkeit im Zusammenhang mit der Verarbeitung personenbezogener Daten sicherzustellen, beispielsweise durch entsprechende Aufzeichnungen, Eigenkontrolle usw.

1.1.7. Physikalische Datensicherung

Die Geschäftstätigkeiten des Datenverarbeiters sind Cloud-basiert und der Datenverarbeiter verwendet keine physische Speicherung personenbezogener Daten beziehungsweise bietet diese auch nicht an. Solche Standorte werden von den Unterverarbeitern gemäß der Beschreibung im Dokument 3 bereitgestellt.

Dokument 3: UNTERVERARBEITER

Dieses Dokument 3 spezifiziert die Verarbeitung personenbezogener Daten durch den Datenverarbeiter und seine Unterverarbeiter gemäß der Datenverarbeitungsvereinbarung.

Name


Microsoft Azure

Microsoft Ireland Operations Ltd, Atrium Building Block B, Carmenhall Road, Sandyford Industrial Estate, Dublin 18, IrlandDatenverarbeitung bei Azure Data Centers in Dublin, Irland und Amsterdam in den Niederlanden


Microsoft PowerBI

Microsoft Ireland Operations Ltd, Atrium Building Block B, Carmenhall Road, Sandyford Industrial Estate, Dublin 18, IrlandDatenverarbeitung bei Azure Data Centers in Dublin, Irland und Amsterdam in den Niederlanden

Arten von personenbezogenen Daten


IP-Adresse des externen Unternehmens
Arbeitendes Unternehmen
E-Mail-Adresse Arbeit
 
+ weitere Eigenschaften, für deren Verarbeitung der Datenverantwortliche Templafy konfiguriert, beispielsweise:
 
Name
Arbeitstitel
Firmentelefone
Arbeitsstandort
usw.


IP-Adresse des externen Unternehmens
Arbeitendes Unternehmen
Anonymisierte E-Mail-Adresse Arbeit

Beschreibung


Templafy verwendet die verfügbaren Funktionalitäten und Services von Microsoft Azure zur Verarbeitung und Speicherung der genannten Datentypen.

Die Microsoft Azure Plattform genießt das Vertrauen des amerikanischen Militärs sowie von 85% der Fortune 500 – Unternehmen im Kernbereich der IT-Infrastruktur. Microsoft-Datenzentren entsprechen der neuesten Technologie, was die Sicherheitsprozesse betrifft.

Bitte beachten Sie https://azure.microsoft.com/en-us/support/trust-center/ für weitere Informationen zu Microsoft Azure Zertifikaten, Compliance- und Sicherheitsprozessen.Microsoft gehört zum EU/US Privacy Shield und hält sich an die internationalen Datenschutzgesetze bezüglich der grenzüberschreitenden Übertragung kundenbezogener Daten.


Templafy verwendet Microsoft PowerBI für Nutzungsstatistiken.

PowerBI ist ein Microsoft Service auf Microsoft Azure.

Bitte beachten Sie https://www.microsoft.com/en-us/trustcenter/cloudservices/powerbi für weitere Informationen zu Microsoft PowerBI-Zertifikaten, Compliance- und Sicherheitsprozessen.Microsoft gehört zum EU/US Privacy Shield und hält sich an die internationalen Datenschutzgesetze bezüglich der grenzüberschreitenden Übertragung kundenbezogener Daten.