EinloggenEinloggenAnmeldenDemo buchen

Datenverarbeitungsvertrag

Diese Datenverarbeitungsvereinbarung („DPA„) ist Bestandteil der Adapty-Nutzungsbedingungen (wie unten definiert), die zwischen dem Kunden und Adapty geschlossen wurden und die Nutzung durch den Kunden sowie die Bereitstellung von Dienstleistungen durch Adapty regeln.

Der Kunde und Adapty werden nachstehend gemeinsam als die „Parteien“ und einzeln als „Partei“ bezeichnet. Die Einzelheiten der Parteien sind im Anhang 1 aufgeführt.

Im Falle von Konflikten oder Inkonsistenzen mit den Bedingungen der Adapty-Nutzungsbedingungen hat diese DPA Vorrang vor anderen Bedingungen in Adapty-Nutzungsbedingungen, soweit ein solcher Konflikt oder eine solche Inkonsistenz besteht.

Die großgeschriebenen Begriffe, die hier nicht anders definiert sind, haben die in den Adapty-Nutzungsbedingungen festgelegte Bedeutung.

HINTERGRUND
Die DPA, einschließlich aller Anhänge, legt die Verpflichtungen zum Datenschutz der Parteien in Bezug auf die personenbezogenen Daten fest, die von Adapty im Auftrag des Kunden verarbeitet werden, wie im Anhang 1 zu dieser DPA beschrieben, in Übereinstimmung mit dem anwendbaren Datenschutzrecht.

Inhaltsverzeichnis

1. Definitionen

1.1. Adapty Nutzungsbedingungen bedeutet die Nutzungsbedingungen, die unter https://adapty.io/terms/ oder in einem anderen schriftlichen oder elektronischen Vertrag zwischen dem Kunden und Adapty verfügbar sind.

1.2. Anwendbares Datenschutzrecht bedeutet alle Gesetze, Vorschriften, Verordnungen, Erlass, Kodizes, Regeln, Leitlinien, Anordnungen oder andere gesetzliche Ansprüche, die von einer Regierungsbehörde herausgegeben werden und die Erhebung, Nutzung, Übertragung und Offenlegung personenbezogener Daten regeln.

1.3. Datenverantwortlicher bedeutet die natürliche Person oder Entität, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt oder anderweitig für die Entscheidungsfindung bezüglich der Verarbeitung personenbezogener Daten zuständig ist.

1.4. Datenverarbeiter bedeutet eine natürliche oder juristische Person oder ein anderes Organ, das personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

1.5. Anfrage der betroffenen Person hat die im Absatz 3.2 dieser DPA gegebene Bedeutung.

1.6. Betroffene Person bedeutet die direkt oder indirekt identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.

1.7. DSGVO bedeutet die Verordnung des Europäischen Parlaments und des Rates der EU Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie die Aufhebung der Richtlinie 95/46/EG.

1.8. UK DSGVO bedeutet die im UK geltende EU-Rechtsversion der Datenschutz-Grundverordnung (DSGVO) ((EU) 2016/679), soweit sie Teil des Rechts von England und Wales, Schottland und Nordirland ist, aufgrund von Abschnitt 3 des Gesetzes über den Austritt der Europäischen Union (Withdrawal) Act 2018 und wie durch Anlage 1 zur Datenschutz-, Privatsphäre- und elektronischen Kommunikationsgesetzgebung (Änderungen usw.) (EU Exit) Regulations 2019 (SI 2019/419) geändert.

1.9. Personenbezogene Daten bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die durch das anwendbare Datenschutzrecht, das vom Kunden zur Verarbeitung bereitgestellt wird, geregelt sind, einschließlich Informationen über eine identifizierte oder identifizierbare Person.

1.10. Datenschutzverletzung hat die im Absatz 6.1 dieser DPA gegebene Bedeutung.

1.11. Verarbeitung, Prozesse und prozess bedeuten jede Aktivität, die die Nutzung personenbezogener Daten umfasst oder wie das anwendbare Datenschutzrecht Verarbeitung, Prozesse oder Prozess anders definieren kann. Dazu gehören alle Vorgänge oder Vorgangsarten, die an personenbezogenen Daten oder an Datensätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies automatisiert geschieht oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abstimmung oder Kombination, Einschränkung, Löschung oder Zerstörung. Verarbeitung umfasst auch die Übermittlung personenbezogener Daten an Dritte.

1.12. Standardvertragsklauseln (SCC) bezeichnet die standardisierten Vertragsklauseln, die von der Europäischen Kommission genehmigt wurden (wie von Zeit zu Zeit aktualisiert, geändert, ersetzt oder aufgehoben durch die Europäische Kommission). Wenn die Europäische Kommission die Standardvertragsklauseln durch geänderte oder neue Standardvertragsklauseln ersetzt, werden die hierin enthaltenen Verweise auf „Standardvertragsklauseln“ in dem Maße gelesen, in dem die zuständige Aufsichtsbehörde die Verwendung solcher geänderter oder neuer Standardvertragsklauseln genehmigt.

1.13. Sub-Unternehmer bedeutet einen Drittanbieter, der als Datenverarbeiter von Adapty eingesetzt wird und Zugang zu personenbezogenen Daten hat oder diese verarbeitet oder potenziell haben könnte.

1.14. Mitteilung über Änderungen bei Subverarbeitern hat die im Absatz 4.1 dieser DPA gegebene Bedeutung.

2. Verarbeitung personenbezogener Daten

2.1. Rollen der Parteien. Die Parteien erkennen an und stimmen zu, dass im Hinblick auf die Verarbeitung personenbezogener Daten der Kunde der Verantwortliche und Adapty der Auftragsverarbeiter ist.

2.2. Einzelheiten zur Datenverarbeitung. Der Gegenstand, die Dauer, die Art und die Zwecke der Verarbeitung personenbezogener Daten sowie die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anlage 1 angegeben.

2.3. Umfang der Verarbeitung. Adapty wird von der Verarbeitung personenbezogener Daten absehen, die über den in den Dokumenten des Kunden festgelegten angemessenen und üblichen Anweisungen hinausgeht, wie in den Adapty-Nutzungsbedingungen oder diesem DPA angegeben, es sei denn, eine solche Verarbeitung ist durch anwendbare Gesetze erforderlich, denen Adapty unterliegt.

2.4. Die Anweisungen des Kunden. Die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten müssen den anwendbaren Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Genauigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Mittel, durch die der Kunde personenbezogene Daten erlangt hat. Unbeschadet dessen ist der Kunde allein verantwortlich dafür, sicherzustellen, dass er eine angemessene rechtmäßige Grundlage und das Recht hat, die Verarbeitung personenbezogener Daten gemäß den Bedingungen der Adapty-Nutzungsbedingungen und diesem DPA zu ermöglichen. Der Kunde erkennt ausdrücklich an und stimmt zu, dass seine Nutzung der Dienste nicht die Rechte einer betroffenen Person verletzen wird.

2.5. Rechtliche Grundlage der Verarbeitung. Der Kunde erkennt an und stimmt zu, dass die Dienstleistungen von Adapty von einer nachgewiesenen rechtmäßigen Grundlage abhängen, die vom Kunden erlangt wird und auf die Adapty sich verlässt. Der Kunde erklärt, dass eine solche rechtmäßige Grundlage besteht.

2.6. Datenschutz von Kindern. Bei der Verarbeitung personenbezogener Daten von Kindern (wie in den anwendbaren Datenschutzgesetzen beschrieben) ist der Kunde verpflichtet, die zusätzlichen Anforderungen einzuhalten, die durch Plattformrichtlinien, Vorschriften und anwendbares Datenschutzrecht zum Schutz von Kindern festgelegt sind. Einige dieser Gesetze konzentrieren sich speziell auf Kinder (wie COPPA), während andere breiter gefasst sind, jedoch spezifische Schutzmaßnahmen für Kinder enthalten (wie die DSGVO und ähnliche regionale Gesetze).

3. Anfragen von betroffenen Personen

3.1. Reaktion auf Anfragen von Betroffenen. Der Kunde ist alleinig verantwortlich für die Einhaltung von gesetzlichen Verpflichtungen in Bezug auf Anfragen zur Ausübung von Betroffenenrechten gemäß dem anwendbaren Datenschutzgesetz. Die Parteien stimmen zu und erkennen an, dass Adapty nicht in der Lage ist, auf Anfragen von Betroffenen zu reagieren.

3.2. Anfragen des Betroffenen. Adapty wird, soweit gesetzlich zulässig, den Kunden umgehend benachrichtigen, wenn es Anfragen von einem Betroffenen erhält, um die Rechte des Betroffenen gemäß dem anwendbaren Datenschutzgesetz auszuüben (jede eine „Anfrage des Betroffenen“).
Die Zusammenarbeit bei der Umsetzung der Rechte des Betroffenen. Adapty wird dem Kunden angemessene und rechtzeitige Unterstützung (einschließlich geeigneter technischer und organisatorischer Maßnahmen) bieten, um dem Kunden zu ermöglichen, auf die Daten zu reagieren.

3.3. Anfrage des Betroffenen. Wenn der Kunde Adapty bittet, bei der Antwort auf eine Anfrage zu helfen, wird Adapty, soweit möglich, angemessene kommerzielle Anstrengungen unternehmen, um dem Kunden bei der Beantwortung solcher Anfragen zu helfen, soweit Adapty rechtlich dazu berechtigt ist und die Antwort auf eine solche Anfrage nach dem anwendbaren Datenschutzgesetz erforderlich ist.

3.4. Kosten. Soweit gesetzlich zulässig, trägt der Kunde die Verantwortung für alle Kosten, die sich aus der Bereitstellung solcher Unterstützung durch Adapty ergeben, einschließlich aller Gebühren, die mit der Bereitstellung zusätzlicher Funktionen verbunden sind. In solchen Fällen wird Adapty Sie im Voraus über diese Kosten informieren.

4. Unterverarbeitung

4.1. Ernennung des Subunternehmers. Der Kunde autorisiert Adapty, Subunternehmer gemäß diesem Abschnitt und den Einschränkungen im DPA zu ernennen. Der Kunde erkennt an und stimmt zu, dass Adapty Subunternehmer ohne vorherige Zustimmung des Kunden beauftragen kann. Als Bedingung für die Erlaubnis, dass ein Dritte Subunternehmer personenbezogene Daten verarbeitet, wird Adapty mit jedem Subunternehmer einen schriftlichen Vertrag abschließen, der Datenschutzverpflichtungen enthält, die mindestens dasselbe Schutzniveau für personenbezogene Daten bieten wie die im DPA. Adapty wird den Kunden schriftlich über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder des Austauschs von Subunternehmern informieren, bevor solche Änderungen an den Subunternehmern (die “Änderungsmitteilung zum Subunternehmer”) erfolgen. Der Kunde kann solchen Änderungen am Subunternehmer gemäß Klausel 4.2 dieses DPA widersprechen.

4.2. Aktuelle Liste der Subunternehmer. Die aktuelle Liste der Subunternehmer, die Adapty in der Verarbeitung einsetzt, ist in Anlage 3 zu diesem DPA enthalten. Innerhalb von zehn (10) Tagen nach Änderungen bezüglich der Hinzufügung oder des Austauschs von Subunternehmern wird Adapty die Liste der Subunternehmer in diesem DPA aktualisieren.

4.3. Haftung. In Bezug auf jeden Subunternehmer wird Adapty: (i) angemessene Schritte unternehmen, um sicherzustellen, dass der Subunternehmer sich verpflichtet, das erforderliche Schutzniveau für personenbezogene Daten gemäß dem DPA bereitzustellen, und (ii) vollumfänglich gegenüber dem Kunden für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers haften, wenn der Subunternehmer diese Verpflichtungen nicht erfüllt.

4.4. Widerspruchsrecht gegen Subunternehmer. Der Kunde kann angemessen gegen Adapty Widerspruch bezüglich aller beabsichtigten Änderungen zur Hinzufügung oder zum Austausch von Subunternehmern einlegen (z. B. wenn das Bereitstellen personenbezogener Daten an den Subunternehmer die geltenden Datenschutzgesetze verletzen oder die Schutzmaßnahmen für solche personenbezogenen Daten schwächen könnte), indem er Adapty unverzüglich schriftlich innerhalb von zehn (10) Tagen nach Erhalt der Änderungsmitteilung zum Subunternehmer informiert. Eine solche Mitteilung des Kunden muss die angemessenen Gründe für den Widerspruch erläutern.
Wenn der Kunde Adapty von einem solchen Widerspruch informiert, werden die Parteien das Problem in gutem Glauben besprechen, um eine kommerziell angemessene Lösung zu erreichen. Wenn solche Widersprüche innerhalb von fünfzehn (15) Tagen nicht gelöst werden können und die Verarbeitung nicht ordnungsgemäß fortgesetzt werden kann, ohne dass derartige Subunternehmer beteiligt sind, hat Adapty das Recht, die weitere Verarbeitung unter diesem DPA abzulehnen und die Adapty Nutzungsbedingungen ohne Haftung für eine solche Kündigung zu kündigen.

5. Transnationaler Transfer von personenbezogenen Daten

5.1. Übertragung aus der EU. Soweit die Verarbeitung der personenbezogenen Daten durch die DSGVO geschützt ist, vereinbaren die Parteien hiermit, dass eine solche Übertragung den SCC unterliegt, der durch Verweis in diese DPA integriert ist und einen integralen Bestandteil hiervon darstellt. Die Optionen und Anhänge der SCCs gelten als ausgefüllt basierend auf Anhang 4 zu dieser DPA.

5.2. Übertragungen aus der Schweiz. Soweit die Verarbeitung der personenbezogenen Daten durch das Bundesgesetz der Schweiz vom 19. Juni 1992 über den Datenschutz („FADP“) geschützt ist, vereinbaren die Parteien hiermit, dass eine solche Übertragung den SCC mit den Anpassungen unterliegt, die erforderlich sind, damit die SCCs mit der schweizerischen Gesetzgebung übereinstimmen und somit geeignet sind, ein angemessenes Schutzniveau für Datenübertragungen von der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a FADP zu gewährleisten. Die Liste der Anpassungen ist in Klausel 4.3. der Übertragung personenbezogener Daten in ein Land mit einem unzureichenden Schutzniveau gemäß den anerkannten Standardvertragsklauseln und Musterverträgen vom 27. August 2021 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit aufgeführt (verfügbar unter https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). Option 2 des Falls 2 findet Anwendung.

5.3. Übertragungen aus dem Vereinigten Königreich. Soweit die Verarbeitung der personenbezogenen Daten durch die UK-DSGVO geschützt ist, vereinbaren die Parteien hiermit, dass eine solche Übertragung dem internationalen Datenübertragungszusatz zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen unterliegt, verfügbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, wie sie vom Informationsbeauftragten des Vereinigten Königreichs, vom Parlament oder vom Secretary of State angenommen, geändert oder aktualisiert wurden.

6. Technische und organisatorische Maßnahmen

6.1. Technische und organisatorische Maßnahmen. Adapty wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein angemessenes Maß an Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten, einschließlich der Maßnahmen, die gegebenenfalls in Artikel 32 der DSGVO und in Anhang 2 zu diesem DPA aufgeführt sind, um personenbezogene Daten vor:

  1. zufälliger oder unrechtmäßiger Zerstörung, und
  2. Verlust, Änderung, unbefugter Offenlegung oder Zugang zu personenbezogenen Daten (alle als „Verletzung der personenbezogenen Daten“ bezeichnet).

6.2. Compliance-Kontrolle. Adapty überwacht regelmäßig die Einhaltung der in Anhang 2 zu diesem DPA vorgesehenen Maßnahmen.6.3. Unterstützung zur Sicherstellung der Compliance. In Anbetracht der Art der Verarbeitung und der Adapty zur Verfügung stehenden personenbezogenen Daten unterstützt Adapty den Kunden bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO.

7. Datenschutzverletzung

7.1. Benachrichtigung über eine Verletzung personenbezogener Daten. Wenn Adapty von einer Verletzung personenbezogener Daten Kenntnis erlangt, wird Adapty, soweit dies gesetzlich zulässig ist, den Kunden ohne unnötige Verzögerung per E-Mail benachrichtigen, sobald Adapty oder ein Subunternehmer von einer Verletzung personenbezogener Daten Kenntnis erlangt, die die personenbezogenen Daten des Kunden betrifft, und angemessene Informationen bereitstellen (soweit in Adapty’s angemessenem Besitz und/oder Kontrolle).

7.2. Zusammenarbeit. Adapty wird die Zusammenarbeit unter Berücksichtigung der Art der Verarbeitung und der Adapty zur Verfügung stehenden Informationen bereitstellen, um dem Kunden zu helfen, seinen Verpflichtungen zur Information der Betroffenen oder der Datenschutzbehörden über die Verletzung personenbezogener Daten gemäß dem anwendbaren Datenschutzrecht nachzukommen. Darüber hinaus wird Adapty alle angemessenen notwendigen Maßnahmen und Aktionen ergreifen, um die Auswirkungen der Verletzung personenbezogener Daten zu beheben oder zu mindern, und den Kunden über alle wesentlichen Entwicklungen im Zusammenhang mit der Verletzung personenbezogener Daten informieren.

8. Audit

8.1. Recht des Kunden auf Durchführung eines Audits. Adapty stellt dem Kunden alle Informationen zur Verfügung, die angemessen erforderlich sind, um die Einhaltung der in diesem DPA festgelegten Verpflichtungen nachzuweisen, und erlaubt und trägt zu Audits, einschließlich Inspektionen, bei, die vom Kunden oder einem anderen vom Kunden mandatierten Prüfer in Bezug auf die Erfüllung der Verpflichtungen aus diesem DPA durchgeführt werden.

8.2. Zusammenarbeit von Adapty bei der Durchführung des Audits. Adapty wird dem Kunden alle Informationen, Systeme und Mitarbeiter zur Verfügung stellen, die angemessen erforderlich sind, damit der Kunde oder seine Drittprüfer ein solches Audit durchführen können, vorausgesetzt, dass der Kunde:

8.2.1. vierundvierzig (45) Tage zuvor vor dem Audit informiert;

8.2.2. das Audit während der normalen Geschäftszeiten durchführt;

8.2.3. alle angemessenen Maßnahmen ergreift, um unnötige Störungen der Abläufe von Adapty zu verhindern. Dieses Audit wird sich strikt auf den Umfang der Informationen beziehen, die mit der Verarbeitung der personenbezogenen Daten in Zusammenhang stehen.

8.3. Parameter des Audits. Die Parteien werden einvernehmlich über den Umfang, den Zeitpunkt und die Dauer des Audits oder der Inspektion entscheiden.

8.4. Vertraulichkeit. Alle Audits nach diesem DPA unterliegen den Vertraulichkeitsverpflichtungen. Der Kunde wird den vollständigen Prüfungsbericht mit Adapty teilen und darf ihn nicht mit Dritten teilen, ausgenommen seinen Buchhaltern und Rechtsberatern, die zur Vertraulichkeit verpflichtet sind. Der Kunde darf diesen Prüfungsbericht nicht für andere Zwecke verwenden als zur Bewertung der Einhaltung von Adapty mit diesem DPA.

8.5. Kosten. Der Kunde trägt die Kosten eines solchen Audits, es sei denn, die Parteien haben etwas anderes vereinbart.

8.6. Häufigkeit der Audits. Der Kunde darf seine Prüfungsrechte nicht mehr als einmal innerhalb eines Zeitraums von zwölf (12) Kalendermonaten ausüben, es sei denn:

8.6.1. wenn und wann es durch Anweisung einer zuständigen Datenschutzbehörde erforderlich ist;

8.6.2. wenn es aufgrund eines vorgekommenen Datenschutzvorfalls bei Adapty und (oder) Auftragsverarbeitern erforderlich ist.

9. Vertraulichkeit

9.1. Adapty wird alle angemessenen Schritte unternehmen, um die Zuverlässigkeit der Mitarbeiter, die zur Verarbeitung personenbezogener Daten autorisiert sind, sicherzustellen und sicherzustellen, dass diese Mitarbeiter angemessenen Vertraulichkeitsverpflichtungen unterliegen und jederzeit in Übereinstimmung mit dem anwendbaren Datenschutzgesetz handeln.

10. Löschung oder Rückgabe von personenbezogenen Daten

10.1. Bei (i) Beendigung dieser DPA, oder (ii) schriftlicher Anfrage des Kunden, oder (iii) wenn Adapty nicht mehr verpflichtet ist, personenbezogene Daten zu verarbeiten, um seinen Verpflichtungen gemäß den Adapty-Nutzungsbedingungen und dieser DPA nachzukommen, oder (iv) der Weigerung von Adapty, die Verarbeitung gemäß Klausel 4.4 dieser DPA durchzuführen, wird Adapty nach dem Ermessen des Kunden entweder alle personenbezogenen Daten löschen, zerstören oder an den Kunden zurückgeben und alle vorhandenen Kopien zerstören oder zurückgeben, es sei denn, Adapty ist nach den anwendbaren Datenschutzgesetzen verpflichtet, eine Kopie personenbezogener Daten für einen bestimmten Zeitraum aufzubewahren. Nach Ablauf eines solchen Aufbewahrungszeitraums wird Adapty unverzüglich alle verbleibenden personenbezogenen Daten löschen oder zerstören.

10.2. Im Falle, dass personenbezogene Daten von Sub-Auftragsverarbeitern verarbeitet wurden, wird Adapty sicherstellen, dass in den festgelegten Fällen auch diese Sub-Auftragsverarbeiter alle personenbezogenen Daten, die sie besitzen, zurückgeben, löschen oder zerstören, gemäß den in diesem Abschnitt festgelegten Bedingungen.

11. Datenschutzrechte der Verbraucher in Kalifornien

11.1. Die Begriffe “Persönliche Informationen”, “Verbraucher” und andere großgeschriebene Begriffe in diesem Abschnitt 11 haben die in dem California Consumer Privacy Act von 2018, Cal. Civ. Code §§ 1798.100 et. Seq. festgelegten Bedeutungen, wie sie von Zeit zu Zeit geändert werden (“CCPA”).

11.2. Hiermit wird vereinbart, dass jede Weitergabe von Persönlichen Daten zwischen den Parteien ausschließlich zum Zwecke der Erfüllung eines Geschäftszwecks erfolgt und Adapty keine Persönlichen Daten als Gegenleistung für die Dienstleistungen erhält oder verarbeitet.

11.3. Der Kunde ist daher allein verantwortlich für die Einhaltung des CCPA in Bezug auf die Nutzung der Dienstleistungen. Es liegt in der alleinigen Verantwortung und Haftung des Kunden zu bestimmen, ob die Weitergabe oder Übertragung Persönlicher Daten von Betroffenen im Verlauf der Dienstleistungen einen Verkauf Persönlicher Daten darstellt.

11.4. Adapty wird Persönliche Daten nicht für kommerzielle Zwecke behalten, verwenden oder offenlegen, die über die Bereitstellung der in den Adapty Nutzungsbedingungen angegebenen Dienstleistungen hinausgehen.

12. Begriff

12.1. Diese DPA tritt am Wirksamkeitsdatum der Adapty-Nutzungsbedingungen in Kraft. Diese DPA bleibt in Kraft, solange die Adapty-Nutzungsbedingungen in Kraft sind.

13. Salvatorische Klausel

13.1. Sollte eine Bestimmung dieser DPA ganz oder teilweise nichtig, unwirksam oder durchsetzbar werden, bleiben die Gültigkeit, Wirksamkeit und Durchsetzbarkeit der anderen Bestimmungen dieser DPA davon unberührt.

13.2. Eine solche nichtige, unwirksame oder nicht durchsetzbare Bestimmung wird, soweit gesetzlich zulässig, durch eine solche gültige, wirksame und durchsetzbare Bestimmung ersetzt, die den wirtschaftlichen Intent und Zweck der nichtigen, unwirksamen oder nicht durchsetzbaren Bestimmung hinsichtlich ihres Gegenstands, Umfangs, Zeit, Ort und Anwendungsbereich am nächsten kommt.

13.3. Die vorgenannte Regel gilt mutatis mutandis zur Schließung von Lücken, die in dieser DPA bestehen könnten.

14. Gesamte Vereinbarung

14.1. Die Parteien erklären ausdrücklich, dass diese DPA (einschließlich der hierin genannten Anhänge) und die hierin genannten Dokumente die gesamte Vereinbarung zwischen den Parteien darstellen und alle vorherigen Entwürfe, Vereinbarungen, Verpflichtungen, Verständnisse, Bedingungen und Regelungen außer Kraft setzen, unabhängig von jeder widersprüchlichen Reihenfolge der Priorität, welcher Art auch immer zwischen den Parteien, unabhängig davon, ob schriftlich oder nicht, in Bezug auf den Gegenstand dieser DPA.

15. Anwendbares Recht und Gerichtsbarkeit

15.1. Die DPA unterliegt dem Recht, das in den Adapty-Nutzungsbedingungen festgelegt ist.

15.2. Die Parteien unterwerfen sich hiermit der in der Vereinbarung festgelegten Wahl des Gerichtsstands in Bezug auf alle Streitigkeiten oder Ansprüche aller Art, die aus dieser DPA entstehen, einschließlich Streitigkeiten über ihre Existenz, Gültigkeit oder Kündigung oder die Folgen ihrer Nichtigkeit.

16. Verschiedenes

16.1. Im Falle eines Konflikts oder von Mehrdeutigkeiten zwischen:

16.1.1. einer Bestimmung des DPA und einer Bestimmung der Adapty-Nutzungsbedingungen haben die Bestimmungen des DPA Vorrang;

16.1.2. einer Bestimmung dieser Vereinbarung und einer ausgeführten SCC haben die Bestimmungen der ausgeführten SCC Vorrang.

Zeitplan 1. Datenverarbeitungsparameter

Teil A. Liste der Parteien
Controller
Name
Die im Adapty-Servicebedingungen identifizierte Kundenentität, während der Registrierung oder auf einem separaten Bestellformular
Adresse
Die Adresse des Kunden, die während der Registrierung oder auf einem separaten Bestellformular angegeben ist
Offizielle Registrierungsnummer
Die Registrierungsnummer des Kunden, die bei der Registrierung oder auf einem separaten Bestellformular angegeben ist
Name, Position und Kontaktdaten der Kontaktperson
Der während der Registrierung oder auf einem separaten Bestellformular identifizierte Kundenvertreter
Rolle
Verantwortlicher
Prozessor
Name
Adapty Tech Inc.
Adresse
2093 Philadelphia Pike #9181 Claymont, DE 19703 US
Name, Position und Kontaktdaten der Kontaktperson
Kirill Potekhin, Chief Technology Officer, [email protected]
Rolle
Auftragsverarbeiter
Teil B. Beschreibung der Verarbeitung
Kategorien von betroffenen Datenpersonen
Endbenutzer der von dem Kunden betriebenen mobilen Anwendung(en) 
Kategorien personenbezogener Daten, die übertragen werden
Die von Adapty während der Erbringung seiner Dienste verarbeiteten Datenkategorien können Folgendes umfassen, vorbehaltlich der Konfiguration und Anweisungen des Kunden:

i.Technische Informationen
Diese Kategorie umfasst technische Daten, die sich auf das Gerät beziehen, das vom Endbenutzer verwendet wird, um auf die digitalen Dienste des Kunden (wie mobile Spiele oder Apps) zuzugreifen. Solche Informationen können beispielsweise IP-Adresse, Gerätemodell, Betriebssystem und Spracheinstellungen umfassen.

ii. Identifikatoren
Diese Kategorie umfasst verschiedene Identifikatoren, die mit dem Gerät oder der Anwendungsinstanz des Endbenutzers verbunden sind. Solche Identifikatoren können beispielsweise die Apple Identifier for Advertisers (IDFA), Identifier for Vendors (IDFV), Google Advertising ID und andere ähnliche Identifikatoren umfassen.

iii. NutzungsdatenDiese Kategorie bezieht sich auf Informationen darüber, wie Endbenutzer mit den Diensten des Kunden interagieren. Dazu gehören, aber nicht beschränkt auf die folgenden Daten: In-App-Events; Aktionen des Endbenutzers wie Klicks auf Kundenanzeigen; Ansichten (Impressionen) von Kundenanzeigen; Zeitpunkt des Downloads und der Installation der App; App-Starts; In-App-Käufe (einschließlich Kaufzeit und Betrag); alle zusätzlichen Ereignis- oder Interaktionsdaten, die der Kunde basierend auf der Natur seines Dienstes verfolgen und analysieren möchte.

iv. Kontaktinformationen
Diese Kategorie umfasst personenbezogene Daten, die direkt eine Einzelperson identifizieren oder sich auf eine solche beziehen und für die Kommunikation oder benutzerspezifische Funktionalität erforderlich sind. Solche Daten können beispielsweise E-Mail-Adresse, Vorname, Nachname und andere Attribute umfassen, die der Kunde absichtlich an Adapty übermittelt.
Sensible Daten übertragen (sofern zutreffend) und angewandte Einschränkungen oder Sicherheitsmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strikte Zwecker limitation, Zugangs Einschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führen eines Protokolls über den Zugang zu den Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
N/A
Art der Verarbeitung (Umfang der Verarbeitungsaktivitäten)
Empfang, Nutzung, Speicherung, Löschung
Zweck(e) der Datenverarbeitung
Personenbezogene Daten dürfen nur für die folgenden Zwecke verarbeitet werden: Bereitstellung der Dienste gemäß den Adapty-Nutzungsbedingungen.
Adapty wird die personenbezogenen Daten des Kunden nicht verkaufen.
Der Zeitraum, für den die personenbezogenen Daten verarbeitet werden, oder, wenn das nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden
Die Daten werden nach Ablauf/Kündigung der Adapty-Nutzungsbedingungen nicht gespeichert

Planen 2. Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten

Maßnahmen für
Ergriffene Maßnahmen (Y/N)
Wenn Ja, bitte spezifische Details angeben
Pseudonymisierung und Verschlüsselung personenbezogener Daten
Personenbezogene Daten werden während der Übertragung verschlüsselt.
Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste
Alle Daten werden innerhalb eines internen Netzwerks gespeichert und verarbeitet, das durch eine Firewall geschützt ist. Die Daten werden kontinuierlich in mehreren Rechenzentren repliziert. Adapty speichert außerdem inkrementelle Backups.
Gewährleistung der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen
Die Daten werden kontinuierlich über mehrere Rechenzentren repliziert. Adapty speichert auch inkrementelle Backups.
Prozesse zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Der gesamte Code, der in der Produktion eingesetzt wird, wird peer-reviewed. Autotests (einschließlich Sicherheitstests) sind Teil des Bereitstellungsprozesses. Drittanbieter-Software wird regelmäßig auf die neueste stabile Version aktualisiert, einschließlich, aber nicht beschränkt auf: OS, Datenbanken, Caches, IDE, Orchestrierungsdienste usw.
Kundenidentifikation und Autorisierung
Der Kunde ist mit E-Mail und Passwort autorisiert. Alle Passwörter werden verschlüsselt mit randomisiertem Salt gespeichert.
Schutz der Daten während der Übertragung
Alle Daten werden dank SSL-Zertifikaten verschlüsselt übertragen.
Schutz der Daten während der Speicherung
Alle Daten werden innerhalb eines internen Netzwerks gespeichert und verarbeitet, das durch eine Firewall geschützt ist.
Sicherung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden
Rechenzentren der Stufe 1 werden verwendet, um Daten zu speichern und zu verarbeiten.
Gewährleistung der Ereignisprotokollierung
Es wird ein verteiltes Protokollierungssystem verwendet, das auch Daten hinter einer Firewall speichert.
Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Die Systemkonfiguration, einschließlich der Standardkonfiguration, wird peer-reviewed und ständig überwacht. Standardports und Passwörter werden immer geändert.
Interne IT- und IT-Sicherheitsverwaltung und -management
Adapty implementiert mehrere und vielfältige Infrastruktur-Sicherheitsmaßnahmen, um Kundendaten vor unbefugtem Zugriff, Verlust, Veränderung, Viren, Trojanern und ähnlichem schädlichen Code zu schützen. Dazu gehören:
• Regelmäßige Updates von Betriebssystemen, Hardware und jeglicher Drittanbieter-Software, um Sicherheitsanfälligkeiten zu vermeiden.
• Verwendung von Firewalls und Intrusion Prevention Systems (IPS), um den Zugriff einzuschränken und Adapty-Server zu schützen.
• Sicherstellung der Kommunikation über Remote-Zugriff mittels Mehrfaktorauthentifizierung.
• Tägliche Sicherung der Kundendaten gemäß einem Rotationsschema.
Zertifizierung/Sicherung von Prozessen und Produkten
Nein
Gewährleistung der Datenminimierung
Es werden nur die personenbezogenen Daten erfasst, die für die Erbringung der Dienste erforderlich sind. Keine personenbezogenen Daten werden für andere Zwecke verwendet als die, die im DPA und in den Adapty-Nutzungsbedingungen angegeben sind, und sie werden nur so lange aufbewahrt, wie es erforderlich ist, um diese Zwecke zu erfüllen.
Gewährleistung der Datenqualität
Der Kunde kann die Änderung oder Löschung der Daten des Endbenutzers anfordern.
Gewährleistung der eingeschränkten Datenaufbewahrung
Personenbezogene Daten werden gemäß den vertraglichen Vereinbarungen mit dem Kunden und den gesetzlichen Anforderungen aufbewahrt.
Gewährleistung der Rechenschaftspflicht
Personenbezogene Daten sind einzigartig, einem bestimmten Kunden zugeordnet und werden nicht zwischen Benutzern geteilt. Ereignisse und Audit-Protokolle im Zusammenhang mit dem Zugang zur Plattform und zum System werden protokolliert, überwacht und regelmäßig überprüft.
Gewährleistung der Datenportabilität und -löschung
Adapty garantiert Datenportabilität und Löschung auf schriftliche Anfrage.

Zeitplan 3. Liste der Unterauftragsverarbeiter

Der Kunde hat die Verwendung der folgenden Unterprozessoren genehmigt:
Name
Adresse
Beschrei­bung der Verar­bei­tung
Amazon Web Services, Inc.
410 Terry Avenue North, Seattle, WA 98109-5210, U.S.A.
Cloud-Hosting-Infrastruktur
OVH US, LLC
11480 Commerce Park Dr Ste 500 Reston, VA, 20191-1556 Vereinigte Staaten
Cloud-Hosting-Infrastruktur

Anlage 4. Bedingungen der SCCs

Die Bedingungen der EU-Standardvertragsklauseln, die im Anhang der Durchführungsentscheidung (EU) 2021/914 vom 4. Juni 2021 festgelegt sind (die „EU SCCs“), werden wie folgt durch Verweis in die DPA aufgenommen:
1. Das Modul, das für die Übertragung von personenbezogenen Daten des Verantwortlichen aus der EU im Rahmen des Vertrags gilt, ist Modul 2 – „Verantwortlicher zu Auftragsverarbeiter“.
2. Die folgenden Auswahlen werden getroffen, wo die Durchführungsentscheidung (EU) 2021/914 die Auswahl von Optionen in den Klauseln der EU SCCs zulässt:
Klausel 7: Anlegelklausel
Die optionale Andockklausel findet keine Anwendung.
Klausel 9: Verwendung von Subauftragsverarbeitern
Option 2. Der Zeitraum beträgt 30 Geschäftstage.
Klausel 11: Rechtsbehelfe
Die optionale Sprache findet keine Anwendung.
Klausel 17: Anwendbares Recht
Option 1. Die Gesetze von Irland
Klausel 18. Wahl des Gerichtsstands und der Gerichtsbarkeit
Die Gerichte von Irland

3. Annex IA zu den SCCs wird wie folgt ausgefüllt:

  • der Datenexporteur ist der Kunde, und die Details des Exporteurs stimmen mit denen in der Anlage 1 (Teil A) des DPA überein.
    Aktivitäten, die sich auf die unter den SCC übertragenen Daten beziehen: Übertragung von personenbezogenen Daten an den Datenimporteur, um dem Datenimporteur zu ermöglichen, die Dienste gemäß den Adapty-Nutzungsbedingungen bereitzustellen.
  • der Datenimporteur ist Adapty, und die Details von Adapty stimmen mit denen in der Anlage 1 (Teil A) des DPA überein.
    Aktivitäten, die sich auf die unter den SCC übertragenen Daten beziehen: Empfang von personenbezogenen Daten vom Datenexporteur, um Dienste gemäß den Adapty-Nutzungsbedingungen bereitzustellen.

4. Annex IB zu den SCCs ist identisch mit der Anlage 1 des DPA, und zusätzlich werden die folgenden Details zur Vervollständigung von Annex IB einbezogen: die Übertragungsfrequenz ist kontinuierlich.

5. Annex IC wird wie folgt ausgefüllt: Die Aufsichtsbehörde der Republik Irland.

6. Annex II zu den SCCs ist identisch mit der Anlage 2 des DPA.

7. Annex III zu den SCCs ist identisch mit der Anlage 3 des DPA.

Letzte Aktualisierung: .

Weitere Adapty-Dokumente