Auftragsverarbeitungsvertrag f├╝r Support

um dir bestm├Âglich zu helfen

Englische Version (English version)

Please note that the following text is a translation of the German version to the best of our knowledge. In case of doubt, the German version always has legal precedence due to the domicile of devowl.io GmbH.

Data processing agreement between
the client as the responsible party
(hereinafter referred to as ÔÇťclient”)

und

devowl.io GmbH
Tannet 12
94539 Grafling
Germany
(hereinafter referred to as the ÔÇťprocessorÔÇŁ)

Preamble

The processor provides support of services to the client on the basis of a support contract. In doing so, the processor obtains access to personal data of the client. In order to specify the mutual rights and obligations under data protection law, the client and the processor conclude this contract. In case of doubt, the provisions of the contract for commissioned processing shall take precedence over the provisions of the main contract.

Term

The term of this contract shall be based on the duration of the processing.

Subject of the processing

The processor obtains access to the WordPress installation of the client in order to provide support services related to the WordPress plugin offered by the processor.

Duration of processing

The duration of the processing depends on the duration of the support request.

Processing may continue beyond the term of the support contract until the return and deletion or destruction of the personal data of the client.

Type of processing

The processor provides support services to the client and arranges, stores, adapts and/or modifies the client’s personal data for this purpose.

Purpose of the processing

The purpose of the processing is to fulfill the support request and provide the required support services.

Type of personal data and categories of data subjects

The processor obtains access to the WordPress installation of the client and also processes personal data of the client in the context of the support services to be provided by the processor. Depending on the specific use of the WordPress installation by the client, the following types of personal data may be processed:

  • Inventory data
  • Contact data
  • Photo and video data
  • IT usage data
  • Personal data
  • Meta/communications data
  • Employee and customer data
  • Contract and payment data

Depending on the specific use of the WordPress installation by the client, the following categories of individuals may be affected by the processing:

  • Employees of the client
  • Customers of the client
  • Business partners
  • Website visitors

The type of personal data and the categories of data subjects are thereby solely based on the concrete use of the WordPress installation by the client.

Right of instruction

The processor may only process personal data on the documented instructions of the client; this applies in particular with regard to the transfer of personal data to a third country or to an international organization. If the processor is required to carry out further processing by the law of the European Union or of the member states to which it is subject, it shall notify the client of these legal requirements prior to the processing, unless the law in question prohibits such notification due to an important public interest.

The client’s instructions shall initially be determined by this contract and the main contract and may thereafter be amended, supplemented or replaced by the client in writing or in text form by individual instructions. All instructions issued shall be documented by both the client and the processor.

The client is responsible for assessing the permissibility of the processing. However, if the processor is of the opinion that an instruction of the client violates data protection provisions, it shall notify the client thereof without undue delay. The processor shall be entitled to suspend the implementation of the relevant instruction until it is confirmed or amended by the client. The processor may refuse to carry out an obviously unlawful instruction.

Obligation to confidentiality

The processor shall ensure that the persons entrusted by it with the processing of personal data have committed themselves to confidentiality or are subject to an appropriate legal duty of confidentiality.

Security of processing

The processor shall take all necessary technical and organizational measures in accordance with Art. 32 GDPR to adequately protect the personal data of the client, in particular at least the measures listed in the annex. The processor reserves the right to change the measures taken, while ensuring that the contractually agreed level of protection is not undercut. The processor shall inform the client without delay of any significant changes to the measures.

Other processors

The services agreed in the main contract or the partial services described below shall be performed with the involvement of the additional processors named below:

The processor is authorized to establish subcontracting relationships with further processors within the scope of his contractual obligations. He shall notify the client thereof without undue delay, giving the client the opportunity to object to such changes. The processor shall be obliged to carefully select further processors according to their suitability and reliability. When involving further processors, the processor shall oblige them in accordance with the provisions of this contract and in doing so shall ensure that the client can also exercise its rights under this contract (in particular its control rights) directly against the further processors. If additional processors in a third country are to be involved, the processor shall ensure that an appropriate level of data protection is guaranteed (e.g. by concluding an agreement based on the EU standard contractual clauses).

Subcontracting relationships with further processors within the meaning of these provisions do not exist if the processor commissions third parties with services that are to be regarded as purely ancillary services. These include, for example, postal, transport and shipping services, cleaning work, telecommunications services and guarding services without any specific reference to services provided by the processor to the client.

Duties of assistance

The processor shall, where possible, in view of the nature of the processing, support the client with appropriate technical and organizational measures to comply with its obligation to respond to requests to exercise the rights of data subjects referred to in Chapter III of the GDPR.

The processor shall assist the client in complying with its obligations under Articles 32 to 36 of the GDPR, taking into account the nature of the processing and the information available to the processor.

Return and erasure or destruction

The processor shall, upon termination of the main contract, either erase or destroy all personal data at the choice of the client or return and erase or destroy the existing copies, unless there is an obligation under Union or member state law to store the personal data.

Rights of inspection

Upon request, the processor shall provide the client with all necessary information to demonstrate compliance with the processor’s obligations under this contract and under Article 28 of the GDPR.

For this purpose, the processor shall also enable and contribute to reviews – including inspections – carried out by the client or another auditor commissioned by the client. The client shall conduct reviews only to the extent necessary and shall not disproportionately disrupt the processor’s operations in the process.

Appendix: technical and organizational measures

.
Our systems are hosted on external servers of Scalewy SAS and Netcup GmbH (hereinafter referred to as service providers). In this respect, we refer to the security and data protection information of the service provider:

Scaleway SAS.
Information Systems Security Policy:
https://www-uploads.scaleway.com/PSSI_en_69ca10d789.pdf
Privacy Policy: https://www.scaleway.com/de/privacy-policy/
Legal Notice: https://www.scaleway.com/de/legal-notice/

Netcup
Privacy Policy: https://www.netcup.de/kontakt/datenschutzerklaerung.php
Legal Notice: https://www.netcup.de/kontakt/impressum.php

┬ž1 Organizational Control.

  • Obligation of employees to confidentiality
  • Commitment of external service providers to data secrecy, unless they are order processors

┬ž 2 Access control

Not required, as employees work remotely via telecommuting workstations. Reference is also made to the corresponding measures of our service provider.

┬ž 3 Access control

  • (Encrypted) identification and authentication of users (user ID and password, two-step authentication with magnetic/chip card or token, biometric procedure, etc.)
  • Password rules in place (minimum length, character set, validity period, exclusion of trivial passwords, etc.)
  • Temporarily assigned passwords are immediately replaced by secure individual passwords
  • Blocking in case of repeated incorrect password entry
  • Release by administrator only/release after timeout/release staggered by attempts
  • Lock terminal devices when exiting (screen saver with password protection automatically after timeout/manually etc.)
  • Hardware firewall/software firewall in place
  • Updates for firewall are regularly installed automatically/manually
  • Browser security settings are applied selectively
  • Regular automatic/manual application of browser security patches and/or updates
  • Encryption of data carriers in mobile devices
  • Secure deletion of data media before reuse
  • Encryption of mobile data carriers
  • Reference is also made to the corresponding measures of our service provider

┬ž 4 Access control

Reference is made to the corresponding measures of our service provider.

┬ž 5 Transfer control

  • Identification and authentication of the parties involved in the data transfer (user ID/password, etc.)
  • Regular automatic/manual application of security patches and/or updates for e-mail programs
  • Logging of email traffic and regular evaluation for deviating and suspicious mail behavior
  • Reference is also made to the corresponding measures of our service provider

┬ž 6 Input control

Reference is made to the corresponding measures of our service provider.

┬ž 7 Order control

  • Selection of the contractor under due diligence aspects (especially with regard to data protection)
  • Prior review of the technical and organizational measures taken at the contractor
  • It is also referred to the corresponding measures of our service provider

┬ž 8 Availability control

  • Failure protection through mirrored disk drives, RAID system, etc.
  • Backup concept
  • Regular automated/manual backups
  • Recovery concept
  • Reference is also made to the corresponding measures of our service provider

┬ž 9 Disconnection control

Reference is made to the corresponding measures of our service provider.

Last modified: 11.10.2022

Deutsche Version (German version)

Vertrag zur Auftragsverarbeitung zwischen
dem Auftraggeber als Verantwortlichem
(nachfolgend “Verantwortlicher” genannt)

und

devowl.io GmbH
Tannet 12
94539 Grafling
Deutschland
(nachfolgend “Auftragsverarbeiter” genannt)

Pr├Ąambel

Der Auftragsverarbeiter erbringt f├╝r den Verantwortlichen Support-Leistungen auf Grundlage eines Support-Vertrags. Dabei erh├Ąlt der Auftragsverarbeiter Zugriff auf personenbezogene Daten des Verantwortlichen. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schlie├čen der Verantwortliche und der Auftragsverarbeiter diesen Vertrag. Die Regelungen des Vertrages zur Auftragsverarbeitung gehen im Zweifel den Regelungen des Hauptvertrages vor.

Laufzeit

Die Laufzeit dieses Vertrages richtet sich nach der Dauer der Verarbeitung.

Gegenstand der Verarbeitung

Der Auftragsverarbeiter erh├Ąlt Zugriff auf die WordPress-Installation des Verantwortlichen, um Support-Leistungen im Zusammenhang mit dem vom Auftragsverarbeiter angebotenen WordPress-Plugin zu erbringen.

Dauer der Verarbeitung

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Support-Auftrags.

Die Verarbeitung kann ├╝ber die Laufzeit des Support-Vertrags hinaus bis zur R├╝ckgabe und L├Âschung bzw. Vernichtung der personenbezogenen Daten des Verantwortlichen andauern.

Art der Verarbeitung

Der Auftragsverarbeiter erbringt Support-Leistungen f├╝r den Verantwortlichen und ordnet, speichert, passt an und/oder ver├Ąndert dazu die personenbezogenen Daten des Verantwortlichen.

Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Erf├╝llung des Support-Auftrags und die Erbringung der erforderlichen Support-Leistungen.

Art der personenbezogenen Daten und Kategorien betroffener Personen

Der Auftragsverarbeiter erh├Ąlt Zugriff auf die WordPress-Installation des Verantwortlichen und verarbeitet im Rahmen der von ihm zu erbringenden Support-Leistungen auch personenbezogene Daten des Verantwortlichen. Abh├Ąngig von der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen k├Ânnen folgende Arten von personenbezogenen Daten verarbeitet werden:

  • Bestandsdaten
  • Kontaktdaten
  • Foto- und Videodaten
  • IT-Nutzungsdaten
  • Pers├Ânliche Daten
  • Meta-/Kommunikationsdaten
  • Mitarbeiter- und Kundendaten
  • Vertrags- und Zahlungsdaten

Abh├Ąngig von der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen k├Ânnen folgende Kategorien von Personen von der Verarbeitung betroffen sein:

  • Mitarbeiter des Verantwortlichen
  • Kunden des Verantwortlichen
  • Gesch├Ąftspartner
  • Website-Besucher

Die Art der personenbezogenen Daten und die Kategorien betroffener Personen richten sich dabei allein nach der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen.

Weisungsrecht

Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten; dies gilt insbesondere in Bezug auf die ├ťbermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragsverarbeiter durch das Recht der Europ├Ąischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen ├Âffentlichen Interesses verbietet.

Die Weisungen des Verantwortlichen werden anf├Ąnglich durch diesen Vertrag und den Hauptvertrag festgelegt und k├Ânnen vom Verantwortlichen danach in Schriftform oder in Textform durch einzelne Weisungen ge├Ąndert, erg├Ąnzt oder ersetzt werden. Alle erteilten Weisungen sind sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu dokumentieren.

Dem Verantwortlichen obliegt die Beurteilung der Zul├Ąssigkeit der Verarbeitung. Ist der Auftragsverarbeiter jedoch der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verst├Â├čt, hat er den Verantwortlichen unverz├╝glich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchf├╝hrung der betreffenden Weisung, solange auszusetzen, bis diese durch den Verantwortlichen best├Ątigt oder ge├Ąndert wird. Der Auftragsverarbeiter darf die Durchf├╝hrung einer offensichtlich rechtswidrigen Weisung ablehnen.

Verpflichtung zur Vertraulichkeit

Der Auftragsverarbeiter gew├Ąhrleistet, dass sich die von ihm mit der Verarbeitung von personenbezogenen Daten betrauten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Ma├čnahmen gem├Ą├č Art. 32 DS-GVO zum angemessenen Schutz der personenbezogenen Daten des Verantwortlichen, insbesondere mindestens die in der Anlage aufgef├╝hrten Ma├čnahmen. Eine ├änderung der getroffenen Ma├čnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. ├ťber wesentliche ├änderungen der Ma├čnahmen hat der Auftragsverarbeiter den Verantwortlichen unverz├╝glich zu unterrichten.

Weitere Auftragsverarbeiter

Die im Hauptvertrag vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der im Folgenden genannten weiteren Auftragsverarbeiter durchgef├╝hrt:

Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begr├╝ndung von Unterauftragsverh├Ąltnissen mit weiteren Auftragsverarbeitern befugt. Er setzt den Verantwortlichen hiervon unverz├╝glich in Kenntnis, wodurch der Verantwortliche die M├Âglichkeit erh├Ąlt, gegen derartige ├änderungen Einspruch zu erheben. Der Auftragsverarbeiter ist verpflichtet, weitere Auftragsverarbeiter sorgf├Ąltig nach deren Eignung und Zuverl├Ąssigkeit auszuw├Ąhlen. Der Auftragsverarbeiter hat bei der Einschaltung von weiteren Auftragsverarbeitern diese entsprechend den Regelungen dieses Vertrages zu verpflichten und dabei sicherzustellen, dass der Verantwortliche seine Rechte aus diesem Vertrag (insbesondere seine Kontrollrechte) auch direkt gegen├╝ber den weiteren Auftragsverarbeitern wahrnehmen kann. Sofern eine Einbeziehung von weiteren Auftragsverarbeitern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass ein angemessenes Datenschutzniveau gew├Ąhrleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standardvertragsklauseln).

Unterauftragsverh├Ąltnisse mit weiteren Auftragsverarbeitern im Sinne dieser Bestimmungen liegen nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu geh├Âren z. B. Post-, Transport- und Versandleistungen, Reinigungsarbeiten, Telekommunikationsleistungen und Bewachungsdienste ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter f├╝r den Verantwortlichen erbringt.

Unterst├╝tzungspflichten

Der Auftragsverarbeiter unterst├╝tzt den Verantwortlichen angesichts der Art der Verarbeitung nach M├Âglichkeit mit geeigneten technischen und organisatorischen Ma├čnahmen dabei, seiner Pflicht zur Beantwortung von Antr├Ągen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Personen nachzukommen.

Der Auftragsverarbeiter unterst├╝tzt den Verantwortlichen unter Ber├╝cksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verf├╝gung stehenden Informationen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DS-GVO.

R├╝ckgabe und L├Âschung bzw. Vernichtung

Der Auftragsverarbeiter wird nach Beendigung des Hauptvertrages alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder l├Âschen bzw. vernichten oder zur├╝ckgeben und die vorhandenen Kopien l├Âschen bzw. vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Verlangen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten des Auftragsverarbeiters nach diesem Vertrag und nach Art. 28 DS-GVO zur Verf├╝gung.

Der Auftragsverarbeiter erm├Âglicht dem Verantwortlichen hierzu auch ├ťberpr├╝fungen – einschlie├člich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Pr├╝fer durchgef├╝hrt werden, und tr├Ągt zu diesen bei. Der Verantwortliche wird ├ťberpr├╝fungen nur im erforderlichen Umfang durchf├╝hren und die Betriebsabl├Ąufe des Auftragsverarbeiters dabei nicht unverh├Ąltnism├Ą├čig st├Âren.

Anlage: Technische und organisatorische Ma├čnahmen

Unsere Systeme werden auf externen Servern der Scalewy SAS und Netcup GmbH (nachfolgend Dienstleister) gehostet. Wir verweisen insoweit auf die Sicherheits- und Datenschutzinformationen des Dienstleisters:

Scaleway SAS
Information Systems Security Policy:
https://www-uploads.scaleway.com/PSSI_en_69ca10d789.pdf
Datenschutzrichtlinie: https://www.scaleway.com/de/privacy-policy/
Rechtliche Hinweise: https://www.scaleway.com/de/legal-notice/

Netcup
Datenschutzrichtlinie: https://www.netcup.de/kontakt/datenschutzerklaerung.php
Rechtliche Hinweise: https://www.netcup.de/kontakt/impressum.php

┬ž 1 Organisationskontrolle

  • Verpflichtung der Besch├Ąftigten zur Vertraulichkeit
  • Verpflichtung von externen Dienstleistern auf das Datengeheimnis, sofern es sich nicht um Auftragsverarbeiter handelt

┬ž 2 Zutrittskontrolle

Nicht erforderlich, da die Mitarbeiter ├╝ber Telearbeitspl├Ątze arbeiten. Es wird zudem auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen.

┬ž 3 Zugangskontrolle

  • (Verschl├╝sselte) Identifikation und Authentifikation von Benutzern (User-ID und Passwort, Zweistufenauthentifizierung mit Magnet-/Chipkarte oder Token, biometrisches Verfahren etc.)
  • Passwortregeln vorhanden (Mindestl├Ąnge, Zeichensatz, G├╝ltigkeitsdauer, Ausschluss von Trivialkennworten etc.)
  • Vorl├Ąufig vergebene Passw├Ârter werden unverz├╝glich durch sichere Individualpassw├Ârter ersetzt
  • Sperrung bei wiederholter Fehleingabe von Passw├Ârtern
  • Freigabe nur durch Administrator/Freigabe nach Zeitablauf/Freigabe gestaffelt nach Versuchen
  • Sperre von Endger├Ąten beim Verlassen (Bildschirmschoner mit Passwortschutz automatisch nach Zeitablauf/manuell etc.)
  • Hardware-Firewall/Software-Firewall vorhanden
  • Updates f├╝r Firewall werden regelm├Ą├čig automatisch/manuell installiert
  • Sicherheitseinstellungen der Browser werden gezielt angewendet
  • Regelm├Ą├čiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei Browsern
  • Verschl├╝sselung von Datentr├Ągern in mobilen Endger├Ąten
  • Sichere L├Âschung von Datentr├Ągern vor deren Wiederverwendung
  • Verschl├╝sselung von mobilen Datentr├Ągern
  • Es wird zudem auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen

┬ž 4 Zugriffskontrolle

Es wird auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen.

┬ž 5 Weitergabekontrolle

  • Identifizierung und Authentifizierung der Beteiligten bei der Daten├╝bertragung (Benutzerkennung/Passwort etc.)
  • Regelm├Ą├čiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei E-Mail-Programmen
  • Protokollierung des E-Mail-Verkehrs und regelm├Ą├čige Auswertung auf abweichendes und verd├Ąchtiges Mailverhalten
  • Es wird zudem auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen

┬ž 6 Eingabekontrolle

Es wird auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen.

┬ž 7 Auftragskontrolle

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich des Datenschutzes)
  • Vorherige Pr├╝fung der beim Auftragnehmer getroffenen technischen und organisatorischen Ma├čnahmen
  • Es wird zudem auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen

┬ž 8 Verf├╝gbarkeitskontrolle

  • Ausfallschutz durch gespiegelte Plattenlaufwerke, RAID-System etc.
  • Backup-Konzept
  • Regelm├Ą├čige automatisierte/manuelle Datensicherungen
  • Recovery-Konzept
  • Es wird zudem auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen

┬ž 9 Trennungskontrolle

Es wird auf die entsprechenden Ma├čnahmen unseres Dienstleisters verwiesen.

Letzte Änderung: 11.10.2022