Auftragsverarbeitungsvertrag

Die in diesem AVV verwendeten Begriffe haben die in der DSGVO (Verordnung (EU) 2016/679) festgelegten Bedeutungen. Insbesondere:

• Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verantwortlicher: der Kunde, der über die Zwecke und Mittel der Verarbeitung entscheidet.
• Auftragsverarbeiter: HummingDeck, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Unterauftragsverarbeiter: jeder von HummingDeck zur Verarbeitung personenbezogener Daten beauftragte Dritte, aufgeführt unter hummingdeck.com/sub-processors.
• Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen, einschließlich der Beschäftigten und Kontakte des Verantwortlichen sowie der Empfänger, die über HummingDeck geteilte Dokumente einsehen ("Dokumentenbetrachter").

HummingDeck handelt als Auftragsverarbeiter im Auftrag des Verantwortlichen für sämtliche im Zusammenhang mit dem Dienst verarbeiteten personenbezogenen Daten, einschließlich:

• Kontoinhaber und Teammitglieder, die der Verantwortliche einem Workspace hinzufügt.
• Kontakte und Leads, die der Verantwortliche importiert oder anlegt.
• Dokumentenbetrachter, die vom Verantwortlichen geteilte Links öffnen.
• Engagement-Ereignisse, die durch Dokumentenbetrachter erzeugt werden (Seitenaufrufe, Verweildauer pro Seite, wiederkehrende Besuche, Standort auf Länderebene, IP-basierte Signale).

Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung, die Wahl der Rechtsgrundlage gemäß Artikel 6 DSGVO sowie die Rechte der betroffenen Personen verantwortlich.

Der Verantwortliche sichert zu und gewährleistet, dass:

• er für die Verarbeitung, mit der er HummingDeck beauftragt, über eine wirksame Rechtsgrundlage gemäß Artikel 6 DSGVO verfügt.
• er den betroffenen Personen sämtliche nach Artikel 13 und 14 DSGVO erforderlichen Informationen zur Verfügung gestellt hat, einschließlich der Aufklärung der Dokumentenbetrachter über die im Rahmen der HummingDeck-Links durchgeführte Engagement-Erfassung. Der Verantwortliche ist allein für diese Information zuständig, sei es über seine eigene Datenschutzerklärung, die den Teilen-Link begleitende E-Mail oder Nachricht oder einen sonstigen geeigneten Kanal.
• er HummingDeck nicht anweisen wird, personenbezogene Daten unter Verstoß gegen geltendes Datenschutzrecht zu verarbeiten.

Zur Unterstützung des Verantwortlichen bei der Erfüllung seiner Informationspflicht stellt HummingDeck Folgendes bereit:

• eine öffentliche Datenschutzerklärung unter hummingdeck.com/privacy, die beschreibt, welche Daten von Dokumentenbetrachtern erhoben werden und auf welcher Grundlage.
• Mustertexte, die der Verantwortliche für seine eigene Datenschutzerklärung übernehmen oder anpassen kann; auf Anfrage erhältlich.
• eine öffentliche Liste der Unterauftragsverarbeiter unter hummingdeck.com/sub-processors.

Als Auftragsverarbeiter wird HummingDeck:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten, einschließlich der Weisungen, die durch die Nutzung des Dienstes selbst erteilt werden.
• sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen einer Vertraulichkeitsverpflichtung unterliegen.
• angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen (Abschnitt 5).
• Unterauftragsverarbeiter ausschließlich auf Grundlage schriftlicher Verträge beauftragen, die gleichwertige Datenschutzpflichten auferlegen, und den Verantwortlichen über beabsichtigte Änderungen gemäß Abschnitt 6 informieren.
• den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen nach Kapitel III DSGVO unterstützen.
• den Verantwortlichen bei der Sicherheit, der Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und der vorherigen Konsultation gemäß Artikel 32 bis 36 DSGVO unterstützen.
• den Verantwortlichen unverzüglich (und nach Möglichkeit binnen 72 Stunden) benachrichtigen, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die Daten des Verantwortlichen betrifft.
• nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung des Dienstes löschen oder zurückgeben und vorhandene Kopien löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• dem Verantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind, und Audits oder Inspektionen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer ermöglichen (vorbehaltlich Abschnitt 7).

HummingDeck setzt geeignete technische und organisatorische Maßnahmen um und erhält sie aufrecht, darunter:

• Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand (Standardverschlüsselung von Google Cloud Storage).
• Zugriffskontrollen nach dem Prinzip der minimalen Rechte mit Protokollierung administrativer Zugriffe.
• Authentifizierung über Google Firebase mit sicherer Sitzungsverwaltung.
• Bot- und Missbrauchserkennungssysteme zur Filterung automatisierten Datenverkehrs aus den Engagement-Analysen.
• Backup- und Notfallwiederherstellungsverfahren.
• Regelmäßige Überprüfung der Sicherheitspraktiken.

HummingDeck ist derzeit nicht nach SOC 2 zertifiziert. Kunden, die eine formale Zertifizierung benötigen, wenden sich bitte an hello@hummingdeck.com, um den aktuellen Sicherheitsfragebogen und den Zeitplan zu erhalten.

Der Verantwortliche autorisiert HummingDeck, die unter hummingdeck.com/sub-processors aufgeführten Unterauftragsverarbeiter einzusetzen. HummingDeck wird den Verantwortlichen mindestens 30 Tage im Voraus über das Hinzufügen oder den Austausch eines Unterauftragsverarbeiters informieren, der personenbezogene Daten des Verantwortlichen verarbeitet, und zwar durch:

• Aktualisierung der öffentlichen Liste der Unterauftragsverarbeiter und
• E-Mail-Benachrichtigung des Workspace-Inhabers, sofern die Änderung die Verarbeitung wesentlich berührt.

Erhebt der Verantwortliche binnen 30 Tagen nach der Mitteilung in gutem Glauben aus datenschutzrechtlichen Gründen Einwände gegen einen neuen Unterauftragsverarbeiter, werden die Parteien in gutem Glauben an einer Lösung arbeiten. Wird keine Einigung erzielt, kann der Verantwortliche den betroffenen Teil des Dienstes jederzeit aus Bequemlichkeitsgründen kündigen.

HummingDeck stellt mit angemessener Vorankündigung und höchstens einmal innerhalb eines Zeitraums von 12 Monaten (oder häufiger, wenn dies durch eine Aufsichtsbehörde verlangt wird) Folgendes bereit:

• sein aktuelles Verzeichnis von Verarbeitungstätigkeiten (Dokumentation gemäß Artikel 30).
• Informationen zu seinen Sicherheitsmaßnahmen und etwaigen Bewertungen durch Dritte.
• die Möglichkeit eines Remote-Audits (auf Fragebogenbasis oder per Videokonferenz) auf Kosten des Verantwortlichen.

Vor-Ort-Inspektionen sind nur zulässig, soweit dies nach geltendem Recht oder durch eine verbindliche behördliche Anordnung erforderlich ist, mit angemessener Vorankündigung und auf Kosten des Verantwortlichen.

Der Verantwortliche nimmt zur Kenntnis, dass einige Unterauftragsverarbeiter ihren Sitz außerhalb des Europäischen Wirtschaftsraums haben, vorrangig in den Vereinigten Staaten. Für solche Übermittlungen stützt sich HummingDeck auf die in seine Verträge mit den jeweiligen Unterauftragsverarbeitern aufgenommenen Standardvertragsklauseln der Europäischen Kommission (Modul Zwei, Verantwortlicher an Auftragsverarbeiter), ergänzt durch die in Abschnitt 5 beschriebenen technischen und organisatorischen Maßnahmen.

Nach Beendigung des Dienstes kann der Verantwortliche binnen 30 Tagen einen strukturierten Export seiner Daten über die Anwendung oder den Support anfordern. Nach Ablauf dieser 30 Tage löscht HummingDeck alle personenbezogenen Daten des Verantwortlichen innerhalb weiterer 30 Tage aus den Produktionssystemen, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. für Abrechnungsunterlagen). Sicherungskopien werden gemäß den üblichen Backup-Rotationsplänen aufbewahrt und im normalen Lauf der Dinge überschrieben.

Die Haftung jeder Partei aus diesem AVV unterliegt den im zugrunde liegenden Vertrag zwischen den Parteien festgelegten Haftungsbeschränkungen.

Im Falle eines Widerspruchs zwischen diesem AVV und dem zugrunde liegenden Vertrag (einschließlich der Nutzungsbedingungen von HummingDeck) hat dieser AVV im Umfang des Widerspruchs Vorrang, jedoch ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten.

HummingDeck kann diesen AVV von Zeit zu Zeit aktualisieren, um Änderungen geltender Rechtsvorschriften oder unserer Verarbeitungspraktiken Rechnung zu tragen. Wesentliche Änderungen werden dem Workspace-Inhaber mindestens 30 Tage vor ihrem Inkrafttreten per E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum gilt als Annahme.

Fragen zu diesem AVV, Anfragen nach einer unterschriebenen Ausfertigung oder förmliche Anträge betroffener Personen sind zu richten an hello@hummingdeck.com.