Data processing agreement for support

in order to help you in the best possible way

English version

Please note that the following text is a translation of the German version to the best of our knowledge. In case of doubt, the German version always has legal precedence due to the domicile of devowl.io GmbH.

Data processing agreement between
the client as the responsible party
(hereinafter referred to as “client”)

and

devowl.io GmbH
Tannet 12
94539 Grafling
Germany
(hereinafter referred to as the “processor”)

1. Preamble

The processor provides support of services to the client on the basis of a support contract. In doing so, the processor obtains access to personal data of the client. In order to specify the mutual rights and obligations under data protection law, the client and the processor conclude this contract. In case of doubt, the provisions of the contract for commissioned processing shall take precedence over the provisions of the main contract.

2. Term

The term of this contract shall be based on the duration of the processing.

3. Subject of the processing

The processor obtains access to the WordPress installation of the client in order to provide support services related to the WordPress plugin offered by the processor.

4. Duration of processing

The duration of the processing depends on the duration of the support request.

Processing may continue beyond the term of the support contract until the return and deletion or destruction of the personal data of the client.

5. Type of processing

The processor provides support services to the client and arranges, stores, adapts and/or modifies the client’s personal data for this purpose.

6. Purpose of the processing

The purpose of the processing is to fulfill the support request and provide the required support services.

7. Type of personal data and categories of data subjects

The processor obtains access to the WordPress installation of the client and also processes personal data of the client in the context of the support services to be provided by the processor. Depending on the specific use of the WordPress installation by the client, the following types of personal data may be processed:

  • Inventory data
  • Contact data
  • Photo and video data
  • IT usage data
  • Personal data
  • Meta/communications data
  • Employee and customer data
  • Contract and payment data

Depending on the specific use of the WordPress installation by the client, the following categories of individuals may be affected by the processing:

  • Employees of the client
  • Customers of the client
  • Business partners
  • Website visitors

The type of personal data and the categories of data subjects are thereby solely based on the concrete use of the WordPress installation by the client.

8. Right of instruction

The processor may only process personal data on the documented instructions of the client; this applies in particular with regard to the transfer of personal data to a third country or to an international organization. If the processor is required to carry out further processing by the law of the European Union or of the member states to which it is subject, it shall notify the client of these legal requirements prior to the processing, unless the law in question prohibits such notification due to an important public interest.

The client’s instructions shall initially be determined by this contract and the main contract and may thereafter be amended, supplemented or replaced by the client in text form by individual instructions. All instructions issued shall be documented by both the client and the processor.

The client is responsible for assessing the permissibility of the processing. However, if the processor is of the opinion that an instruction of the client violates data protection provisions, it shall notify the client thereof without undue delay. The processor shall be entitled to suspend the implementation of the relevant instruction until it is confirmed or amended by the client. The processor may refuse to carry out an obviously unlawful instruction.

9. Obligation to confidentiality

The processor shall ensure that the persons entrusted by it with the processing of personal data have committed themselves to confidentiality or are subject to an appropriate legal duty of confidentiality.

10. Security of processing

The processor shall take all necessary technical and organizational measures in accordance with Art. 32 GDPR to adequately protect the personal data of the client, in particular at least the measures listed in the annex. The processor reserves the right to change the measures taken, while ensuring that the contractually agreed level of protection is not undercut. The processor shall inform the client without delay of any significant changes to the measures.

11. Other processors

The services agreed in the main contract or the partial services described below shall be performed with the involvement of the additional processors named below:

The Processor is authorized to establish subcontracting relationships with additional Processors within the scope of its contractual obligations. The list of sub-processors is regularly adjusted in this document and the Processor itself is responsible for regularly reviewing it, which gives the Processor the opportunity to object to such changes. The Processor is obliged to carefully select additional Processors based on their suitability and reliability. When involving further Processors, the Processor shall oblige them in accordance with the provisions of this Agreement and shall ensure that the Controller can also exercise its rights under this Agreement (in particular its control rights) directly against the further Processors. If additional processors in a third country are to be involved, the Processor shall ensure that an appropriate level of data protection is guaranteed (e.g., by concluding an agreement based on the EU standard contractual clauses).

Subcontracting relationships with further processors within the meaning of these provisions do not exist if the processor commissions third parties with services that are to be regarded as purely ancillary services. These include, for example, postal, transport and shipping services, cleaning work, telecommunications services and guarding services without any specific reference to services provided by the processor to the client.

12. Duties of assistance

The processor shall, where possible, in view of the nature of the processing, support the client with appropriate technical and organizational measures to comply with its obligation to respond to requests to exercise the rights of data subjects referred to in Chapter III of the GDPR.

The processor shall assist the client in complying with its obligations under Articles 32 to 36 of the GDPR, taking into account the nature of the processing and the information available to the processor.

13. Return and erasure or destruction

The processor shall, upon termination of the main contract, either erase or destroy all personal data at the choice of the client or return and erase or destroy the existing copies, unless there is an obligation under Union or member state law to store the personal data.

14. Rights of inspection

Upon request, the processor shall provide the client with all necessary information to demonstrate compliance with the processor’s obligations under this contract and under Article 28 of the GDPR.

For this purpose, the Processor shall also enable and contribute to reviews – including inspections – carried out by the Controller or another auditor commissioned by the Controller. The Controller shall carry out reviews only to the extent necessary and shall not disproportionately disrupt the Processor’s operations in the process. The parties must agree on the time and type of review in good time, whereby a review can take place at the earliest one month after a request. The Processor reserves the right to charge a reasonable fee in the amount of €70 per hour for any unexpected additional expenses caused by a review by the Controller. The costs that should arise for the verification of sub-processors of the Processor shall be borne by the Controller.

Appendix: technical and organizational measures

Our systems are hosted on external servers of Scalewy SAS (hereinafter referred to as service providers). In this respect, we refer to the security and data protection information of the service provider:

Scaleway SAS.
Information Systems Security Policy:
https://www-uploads.scaleway.com/PSSI_en_69ca10d789.pdf
Privacy Policy: https://www.scaleway.com/de/privacy-policy/
Legal Notice: https://www.scaleway.com/de/legal-notice/

§1 Organizational Control.

  • Obligation of employees to confidentiality
  • Commitment of external service providers to data secrecy, unless they are order processors

§ 2 Access control

Not required, as employees work remotely via telecommuting workstations. Reference is also made to the corresponding measures of our service provider.

§ 3 Access control

  • (Encrypted) identification and authentication of users (user ID and password, two-step authentication with magnetic/chip card or token, biometric procedure, etc.)
  • Password rules in place (minimum length, character set, validity period, exclusion of trivial passwords, etc.)
  • Temporarily assigned passwords are immediately replaced by secure individual passwords
  • Blocking in case of repeated incorrect password entry
  • Release by administrator only/release after timeout/release staggered by attempts
  • Lock terminal devices when exiting (screen saver with password protection automatically after timeout/manually etc.)
  • Hardware firewall/software firewall in place
  • Updates for firewall are regularly installed automatically/manually
  • Browser security settings are applied selectively
  • Regular automatic/manual application of browser security patches and/or updates
  • Encryption of data carriers in mobile devices
  • Secure deletion of data media before reuse
  • Encryption of mobile data carriers
  • Reference is also made to the corresponding measures of our service provider

§ 4 Access control

Reference is made to the corresponding measures of our service provider.

§ 5 Transfer control

  • Identification and authentication of the parties involved in the data transfer (user ID/password, etc.)
  • Regular automatic/manual application of security patches and/or updates for e-mail programs
  • Logging of email traffic and regular evaluation for deviating and suspicious mail behavior
  • Reference is also made to the corresponding measures of our service provider

§ 6 Input control

Reference is made to the corresponding measures of our service provider.

§ 7 Order control

  • Selection of the contractor under due diligence aspects (especially with regard to data protection)
  • Prior review of the technical and organizational measures taken at the contractor
  • It is also referred to the corresponding measures of our service provider

§ 8 Availability control

  • Failure protection through mirrored disk drives, RAID system, etc.
  • Backup concept
  • Regular automated/manual backups
  • Recovery concept
  • Reference is also made to the corresponding measures of our service provider

§ 9 Disconnection control

Reference is made to the corresponding measures of our service provider.

Last modified: 20.04.2023

Deutsche Version (German version)

Vertrag zur Auftragsverarbeitung zwischen
dem Auftraggeber als Verantwortlichem
(nachfolgend “Verantwortlicher” genannt)

und

devowl.io GmbH
Tannet 12
94539 Grafling
Deutschland
(nachfolgend “Auftragsverarbeiter” genannt)

1. Präambel

Der Auftragsverarbeiter erbringt für den Verantwortlichen Support-Leistungen auf Grundlage eines Support-Vertrags. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten des Verantwortlichen. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen der Verantwortliche und der Auftragsverarbeiter diesen Vertrag. Die Regelungen des Vertrages zur Auftragsverarbeitung gehen im Zweifel den Regelungen des Hauptvertrages vor.

2. Laufzeit

Die Laufzeit dieses Vertrages richtet sich nach der Dauer der Verarbeitung.

3. Gegenstand der Verarbeitung

Der Auftragsverarbeiter erhält Zugriff auf die WordPress-Installation des Verantwortlichen, um Support-Leistungen im Zusammenhang mit dem vom Auftragsverarbeiter angebotenen WordPress-Plugin zu erbringen.

4. Dauer der Verarbeitung

Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Support-Auftrags.

Die Verarbeitung kann über die Laufzeit des Support-Vertrags hinaus bis zur Rückgabe und Löschung bzw. Vernichtung der personenbezogenen Daten des Verantwortlichen andauern.

5. Art der Verarbeitung

Der Auftragsverarbeiter erbringt Support-Leistungen für den Verantwortlichen und ordnet, speichert, passt an und/oder verändert dazu die personenbezogenen Daten des Verantwortlichen.

6. Zweck der Verarbeitung

Der Zweck der Verarbeitung ist die Erfüllung des Support-Auftrags und die Erbringung der erforderlichen Support-Leistungen.

7. Art der personenbezogenen Daten und Kategorien betroffener Personen

Der Auftragsverarbeiter erhält Zugriff auf die WordPress-Installation des Verantwortlichen und verarbeitet im Rahmen der von ihm zu erbringenden Support-Leistungen auch personenbezogene Daten des Verantwortlichen. Abhängig von der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen können folgende Arten von personenbezogenen Daten verarbeitet werden:

  • Bestandsdaten
  • Kontaktdaten
  • Foto- und Videodaten
  • IT-Nutzungsdaten
  • Persönliche Daten
  • Meta-/Kommunikationsdaten
  • Mitarbeiter- und Kundendaten
  • Vertrags- und Zahlungsdaten

Abhängig von der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen können folgende Kategorien von Personen von der Verarbeitung betroffen sein:

  • Mitarbeiter des Verantwortlichen
  • Kunden des Verantwortlichen
  • Geschäftspartner
  • Website-Besucher

Die Art der personenbezogenen Daten und die Kategorien betroffener Personen richten sich dabei allein nach der konkreten Nutzung der WordPress-Installation durch den Verantwortlichen.

8. Weisungsrecht

Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen des Verantwortlichen werden anfänglich durch diesen Vertrag und den Hauptvertrag festgelegt und können vom Verantwortlichen danach in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Alle erteilten Weisungen sind sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu dokumentieren.

Dem Verantwortlichen obliegt die Beurteilung der Zulässigkeit der Verarbeitung. Ist der Auftragsverarbeiter jedoch der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

9. Verpflichtung zur Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die von ihm mit der Verarbeitung von personenbezogenen Daten betrauten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

10. Sicherheit der Verarbeitung

Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO zum angemessenen Schutz der personenbezogenen Daten des Verantwortlichen, insbesondere mindestens die in der Anlage aufgeführten Maßnahmen. Eine Änderung der getroffenen Maßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen der Maßnahmen hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu unterrichten.

11. Weitere Auftragsverarbeiter

Die im Hauptvertrag vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der im Folgenden genannten weiteren Auftragsverarbeiter durchgeführt:

Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von Unterauftragsverhältnissen mit weiteren Auftragsverarbeitern befugt. Die Liste der Unterauftragsverarbeiter wird in diesem Dokument regelmäßig angepasst und der Verantwortliche ist selbst dafür zuständig, regelmäßig eine Überprüfung vorzunehmen, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Auftragsverarbeiter ist verpflichtet, weitere Auftragsverarbeiter sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von weiteren Auftragsverarbeitern diese entsprechend den Regelungen dieses Vertrages zu verpflichten und dabei sicherzustellen, dass der Verantwortliche seine Rechte aus diesem Vertrag (insbesondere seine Kontrollrechte) auch direkt gegenüber den weiteren Auftragsverarbeitern wahrnehmen kann. Sofern eine Einbeziehung von weiteren Auftragsverarbeitern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standardvertragsklauseln).

Unterauftragsverhältnisse mit weiteren Auftragsverarbeitern im Sinne dieser Bestimmungen liegen nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsarbeiten, Telekommunikationsleistungen und Bewachungsdienste ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt.

12. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Personen nachzukommen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DS-GVO.

13. Rückgabe und Löschung bzw. Vernichtung

Der Auftragsverarbeiter wird nach Beendigung des Hauptvertrages alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen bzw. vernichten oder zurückgeben und die vorhandenen Kopien löschen bzw. vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

14. Kontrollrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Verlangen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten des Auftragsverarbeiters nach diesem Vertrag und nach Art. 28 DS-GVO zur Verfügung.

Der Auftragsverarbeiter ermöglicht dem Verantwortlichen hierzu auch Überprüfungen – einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei. Der Verantwortliche wird Überprüfungen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören. Über den Zeitpunkt und der Art der Überprüfung müssen sich die Parteien rechtzeitig einig werden, wobei eine Überprüfung frühestens einen Monat nach Anfrage stattfinden kann. Der Auftragsverarbeiter behält sich für einen unerwarteten Mehraufwand durch eine Überprüfung durch den Verantwortlichen vor, ein angemessenes Entgelt i. H. v. 70 € pro Stunde zu verlangen. Die Kosten, die zur Überprüfung von Unterauftragsverarbeitern der Auftragsverarbeiter entstehen sollten, trägt der Verantwortliche.

Anlage: Technische und organisatorische Maßnahmen

Unsere Systeme werden auf externen Servern der Scalewy SAS (nachfolgend Dienstleister) gehostet. Wir verweisen insoweit auf die Sicherheits- und Datenschutzinformationen des Dienstleisters:

Scaleway SAS
Information Systems Security Policy:
https://www-uploads.scaleway.com/PSSI_en_69ca10d789.pdf
Datenschutzrichtlinie: https://www.scaleway.com/de/privacy-policy/
Rechtliche Hinweise: https://www.scaleway.com/de/legal-notice/

§ 1 Organisationskontrolle

  • Verpflichtung der Beschäftigten zur Vertraulichkeit
  • Verpflichtung von externen Dienstleistern auf das Datengeheimnis, sofern es sich nicht um Auftragsverarbeiter handelt

§ 2 Zutrittskontrolle

Nicht erforderlich, da die Mitarbeiter über Telearbeitsplätze arbeiten. Es wird zudem auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen.

§ 3 Zugangskontrolle

  • (Verschlüsselte) Identifikation und Authentifikation von Benutzern (User-ID und Passwort, Zweistufenauthentifizierung mit Magnet-/Chipkarte oder Token, biometrisches Verfahren etc.)
  • Passwortregeln vorhanden (Mindestlänge, Zeichensatz, Gültigkeitsdauer, Ausschluss von Trivialkennworten etc.)
  • Vorläufig vergebene Passwörter werden unverzüglich durch sichere Individualpasswörter ersetzt
  • Sperrung bei wiederholter Fehleingabe von Passwörtern
  • Freigabe nur durch Administrator/Freigabe nach Zeitablauf/Freigabe gestaffelt nach Versuchen
  • Sperre von Endgeräten beim Verlassen (Bildschirmschoner mit Passwortschutz automatisch nach Zeitablauf/manuell etc.)
  • Hardware-Firewall/Software-Firewall vorhanden
  • Updates für Firewall werden regelmäßig automatisch/manuell installiert
  • Sicherheitseinstellungen der Browser werden gezielt angewendet
  • Regelmäßiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei Browsern
  • Verschlüsselung von Datenträgern in mobilen Endgeräten
  • Sichere Löschung von Datenträgern vor deren Wiederverwendung
  • Verschlüsselung von mobilen Datenträgern
  • Es wird zudem auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen

§ 4 Zugriffskontrolle

Es wird auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen.

§ 5 Weitergabekontrolle

  • Identifizierung und Authentifizierung der Beteiligten bei der Datenübertragung (Benutzerkennung/Passwort etc.)
  • Regelmäßiges automatisches/manuelles Einspielen von Sicherheitspatches und/oder -updates bei E-Mail-Programmen
  • Protokollierung des E-Mail-Verkehrs und regelmäßige Auswertung auf abweichendes und verdächtiges Mailverhalten
  • Es wird zudem auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen

§ 6 Eingabekontrolle

Es wird auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen.

§ 7 Auftragskontrolle

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich des Datenschutzes)
  • Vorherige Prüfung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
  • Es wird zudem auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen

§ 8 Verfügbarkeitskontrolle

  • Ausfallschutz durch gespiegelte Plattenlaufwerke, RAID-System etc.
  • Backup-Konzept
  • Regelmäßige automatisierte/manuelle Datensicherungen
  • Recovery-Konzept
  • Es wird zudem auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen

§ 9 Trennungskontrolle

Es wird auf die entsprechenden Maßnahmen unseres Dienstleisters verwiesen.

Letzte Änderung: 20.04.2023