NeuroCRMAuftragsverarbeitungsvertrag (DPA)
Dieser Auftragsverarbeitungsvertrag („DPA“) ist Bestandteil der Nutzungsbedingungen zwischen Ihnen („Kunde“, der Verantwortliche) und der Empire Luxury International Corporation (DBA Neuro Empire) („NeuroCRM“, der Auftragsverarbeiter) und regelt die Verarbeitung personenbezogener Daten, die in Kundeninhalten enthalten sind. Bei einem Widerspruch in Datenschutzangelegenheiten geht dieser DPA den Bedingungen vor.
1. Rollen und Geltungsbereich
Für Kundeninhalte ist der Kunde der Verantwortliche (oder ein Auftragsverarbeiter, der für seine eigenen Kunden handelt) und NeuroCRM der Auftragsverarbeiter (oder Unterauftragsverarbeiter). NeuroCRM verarbeitet Kundeninhalte ausschließlich zur Bereitstellung des Dienstes und auf Grundlage der dokumentierten Weisungen des Kunden, zu denen die Bedingungen, dieser DPA und die Nutzung der Funktionen des Dienstes gehören. NeuroCRM handelt nur in Bezug auf die begrenzten Konto-, Abrechnungs- und Sicherheitsdaten, die in der Datenschutzerklärung beschrieben sind, als eigenständiger Verantwortlicher.
2. Einzelheiten der Verarbeitung
Gegenstand: Bereitstellung des NeuroCRM-Dienstes. Dauer: die Laufzeit des Abonnements des Kunden zuzüglich eines etwaigen Abwicklungszeitraums. Art und Zweck: Hosting-, Speicher- und Verarbeitungsvorgänge, die zur Bereitstellung des Dienstes in der vom Kunden konfigurierten Form erforderlich sind. Kategorien betroffener Personen: die Kontakte, Leads, Kunden, Mitarbeiter und sonstigen Personen des Kunden, deren Daten der Kunde eingibt. Kategorien personenbezogener Daten: wie vom Kunden bestimmt, typischerweise Identifikations- und Kontaktdaten, Geschäftsunterlagen und Kommunikation; der Kunde darf keine besonderen Kategorien von Daten eingeben, sofern dies nicht schriftlich vereinbart wurde.
3. Weisungen des Kunden und Einhaltung
NeuroCRM verarbeitet Kundeninhalte ausschließlich auf Grundlage dokumentierter Weisungen, auch in Bezug auf Übermittlungen, es sei denn, dies ist nach geltendem Recht vorgeschrieben (in diesem Fall wird NeuroCRM den Kunden informieren, sofern dies nicht untersagt ist). NeuroCRM wird den Kunden benachrichtigen, wenn eine Weisung nach seiner Auffassung gegen geltendes Datenschutzrecht verstößt. Der Kunde ist für die Rechtmäßigkeit der Kundeninhalte sowie dafür verantwortlich, über alle erforderlichen Hinweise und Einwilligungen zu verfügen.
4. Vertraulichkeit des Personals
NeuroCRM stellt sicher, dass das zur Verarbeitung von Kundeninhalten befugte Personal durch Vertraulichkeitspflichten gebunden ist und die Daten nur weisungsgemäß verarbeitet.
5. Sicherheitsmaßnahmen
NeuroCRM trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter Verschlüsselung bei der Übertragung und von Zugriffstoken im Ruhezustand, logische Mandantentrennung, Zugriffskontrollen und Protokollierung, Belastbarkeit und Datensicherung sowie regelmäßige Überprüfung. Eine Zusammenfassung ist auf Anfrage und in der Datenschutzerklärung verfügbar.
6. Unterauftragsverarbeiter
Der Kunde erteilt eine allgemeine Genehmigung, dass NeuroCRM Unterauftragsverarbeiter beauftragt. Eine aktuelle Liste finden Sie unter /legal/subprocessors. NeuroCRM erlegt jedem Unterauftragsverarbeiter Datenschutzpflichten auf, die nicht weniger schützend als dieser DPA sind, und bleibt für deren Leistung verantwortlich. NeuroCRM wird jeden neuen oder ersetzenden Unterauftragsverarbeiter mindestens 30 Tage im Voraus ankündigen; der Kunde kann aus angemessenen Datenschutzgründen widersprechen, und wenn die Parteien den Widerspruch nicht beilegen können, kann der Kunde den betroffenen Dienst beenden und eine Erstattung vorausbezahlter, ungenutzter Gebühren erhalten.
7. Anträge betroffener Personen und Unterstützung
Unter Berücksichtigung der Art der Verarbeitung wird NeuroCRM den Kunden durch geeignete Maßnahmen und soweit wirtschaftlich angemessen dabei unterstützen, auf Anträge betroffener Personen zu reagieren und seinen Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation nachzukommen. Wenn NeuroCRM einen Antrag direkt von einer betroffenen Person erhält, leitet es ihn an den Kunden weiter und antwortet nur, soweit dies angewiesen oder gesetzlich vorgeschrieben ist.
8. Meldung von Verletzungen des Schutzes personenbezogener Daten
NeuroCRM wird den Kunden ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden nach Kenntniserlangung von einer bestätigten oder begründet vermuteten Verletzung des Schutzes personenbezogener Daten, die Kundeninhalte betrifft, benachrichtigen und verfügbare Informationen bereitstellen, um dem Kunden zu helfen, seine Meldepflichten zu erfüllen, mit Aktualisierungen im Verlauf der Untersuchung. Eine solche Benachrichtigung stellt kein Anerkenntnis von Verschulden oder Haftung dar. Die Entscheidung, ob Aufsichtsbehörden oder betroffene Personen zu benachrichtigen sind, sowie die Vornahme solcher Benachrichtigungen liegt in der Verantwortung des Kunden als Verantwortlicher; NeuroCRM leistet angemessene Mitwirkung.
9. Internationale Übermittlungen
Soweit die Verarbeitung eine Übermittlung personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Land ohne Angemessenheitsbeschluss umfasst, beziehen die Parteien die Standardvertragsklauseln der Europäischen Kommission (2021/914), Modul Zwei (Verantwortlicher an Auftragsverarbeiter) ein, ergänzt um die Angaben in diesem DPA, zusammen mit dem UK International Data Transfer Addendum und den schweizerischen Anpassungen, soweit anwendbar; alternativ kann sich NeuroCRM auf das EU-US Data Privacy Framework stützen, soweit zertifiziert. NeuroCRM trifft ergänzende Maßnahmen, soweit angemessen. Bei einem Widerspruch gehen die SCC nur in dem unbedingt erforderlichen Umfang vor.
10. Russischer Datenbereich (152-FZ)
Für personenbezogene Daten von Personen in der Russischen Föderation unterhält NeuroCRM einen getrennten russischen Bereich mit primärer Erfassung und Speicherung auf Servern in Russland, in Übereinstimmung mit dem Föderalen Gesetz Nr. 152-FZ, und verarbeitet solche Daten auf Weisung des Kunden gemäß Artikel 6 Abs. 3 152-FZ. Dieser Bereich und sein Verletzungsmeldeverfahren (vorläufig innerhalb von 24 Stunden und Ergebnisse innerhalb von 72 Stunden an Roskomnadzor) funktionieren unabhängig von der DSGVO-Kette. Siehe die Richtlinie zur Verarbeitung personenbezogener Daten (Russland).
11. Audit
NeuroCRM wird die Informationen bereitstellen, die erforderlich sind, um die Einhaltung dieses DPA nachzuweisen, und Audits ermöglichen. Um Störungen zu minimieren, kann NeuroCRM Audit-Anfragen erfüllen, indem es aktuelle Zertifizierungen oder Berichte Dritter (etwa ISO 27001 oder SOC 2 Type II) bereitstellt, soweit verfügbar. Audits vor Ort oder detaillierte Audits sind auf einmal pro Jahr begrenzt (außer im Anschluss an eine Verletzung), erfordern eine Ankündigung mindestens 30 Tage im Voraus, einen einvernehmlich vereinbarten Umfang und Vertraulichkeit und werden während der Geschäftszeiten ohne unzumutbare Beeinträchtigung durchgeführt.
12. Rückgabe und Löschung
Bei Beendigung wird NeuroCRM nach Wahl des Kunden, die innerhalb von 30 Tagen zu treffen ist, die Kundeninhalte in einem gängigen Format zurückgeben oder löschen und die Löschung auf Anfrage innerhalb einer angemessenen Frist bescheinigen, außer soweit eine Aufbewahrung gesetzlich vorgeschrieben ist. Routinemäßige Sicherungen werden im standardmäßigen Rotationszyklus überschrieben.
13. Haftung und Vorrang
Die Haftung jeder Partei nach diesem DPA unterliegt den Beschränkungen und Ausschlüssen der Nutzungsbedingungen, einschließlich der erhöhten Obergrenze für Datenschutzverletzungen. Dieser DPA, einschließlich der einbezogenen SCC, geht widersprechenden Bestimmungen der Bedingungen in Datenschutzangelegenheiten vor. Der DPA unterliegt dem Recht und den Bestimmungen zur Streitbeilegung der Bedingungen, die auf den Kunden anwendbar sind.