Diese Vereinbarung zur Datenverarbeitung (die “DPA”) bildet einen integralen Bestandteil aller Verträge zwischen dem Kunden und POPHAW LLC, handelnd unter dem Namen “TradeGo AI”.”, eine Gesellschaft mit beschränkter Haftung mit Sitz in Delaware 1007 N Orange St., Suite 937, 4th Floor, Wilmington, DE 19801, Vereinigte Staaten (“Prozessor”, “TradeGo AI”, “wir”, oder “us”), und der im jeweiligen Vertrag genannte Kunde (“Kunde” oder “Controller”).
Diese DPA ergänzt den Rahmenvertrag, die Allgemeinen Geschäftsbedingungen oder andere zwischen den Parteien abgeschlossene Dienstleistungsvereinbarungen (zusammenfassend als die “Vereinbarung”) und legt die Vereinbarung der Parteien über die Verarbeitung personenbezogener Daten fest.
Bei der Erbringung der Dienstleistungen im Rahmen der Vereinbarung kann der Auftragsverarbeiter personenbezogene Daten im Namen des Kunden verarbeiten. Die Parteien verpflichten sich zur Einhaltung der in dieser DPA festgelegten Bedingungen und Konditionen.
Im Falle eines Widerspruchs zwischen dieser DPA und dem Abkommen hat diese DPA in Bezug auf den darin enthaltenen Gegenstand Vorrang.
Diese DPA wird an dem Tag wirksam, an dem die Vereinbarung in Kraft tritt (“Datum des Inkrafttretens”) und ersetzt alle früheren Datenverarbeitungsverträge zwischen den Vertragsparteien.
1. Begriffsbestimmungen
Begriffe in Großbuchstaben, die hier nicht anderweitig definiert sind, haben die in der Vereinbarung festgelegte Bedeutung.
(a) “Partner” bedeutet jede Einrichtung, die eine Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht.
(b) “Anwendbares Datenschutzrecht” bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten gelten, einschließlich und ohne Einschränkung:
-
Verordnung (EU) 2016/679 (“GDPR”);
-
GDPR im Vereinigten Königreich und der UK Data Protection Act 2018;
-
Schweizerisches Bundesgesetz über den Datenschutz;
-
California Consumer Privacy Act und California Privacy Rights Act (“California Privacy Law”);
-
jedes andere anwendbare Gesetz zum Schutz der Privatsphäre oder des Datenschutzes.
(c) “Autorisiertes Mitglied” bezeichnet jedes verbundene Unternehmen des Kunden, dem die Nutzung der Dienste im Rahmen des Vertrags gestattet ist.
(d) “Controller” bedeutet der Kunde.
(e) “Controller-Daten” bezeichnet personenbezogene Daten, die vom Auftragsverarbeiter im Auftrag des Kunden verarbeitet werden.
(f) “Datenpanne” bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf Daten des für die Verarbeitung Verantwortlichen führt.
(g) “Anweisungen” bezeichnet die dokumentierten Anweisungen, die der Auftraggeber dem Auftragsverarbeiter zur Verfügung stellt, auch durch die Nutzung der Dienste durch den Auftraggeber.
(h) “Persönliche Daten” sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
(i) “Verarbeitung” bezeichnet jeden Vorgang, der mit personenbezogenen Daten im Sinne des geltenden Datenschutzrechts durchgeführt wird.
(j) “Verarbeiter” bedeutet POPHAW LLC (d/b/a TradeGo AI).
(k) “Dienstleistungen” bezeichnet die Produkte und Dienstleistungen, die im Rahmen des Abkommens bereitgestellt werden.
(l) “Sub-Prozessor” bezeichnet jeden Dritten, den der Auftragsverarbeiter mit der Verarbeitung von Daten des Verantwortlichen beauftragt.
2. Zweck der Verarbeitung
2.1 Der Auftragsverarbeiter verarbeitet die Daten des für die Verarbeitung Verantwortlichen ausschließlich zum Zweck der Erbringung der Dienstleistungen in Übereinstimmung mit dem Vertrag und den Anweisungen des Kunden.
2.2 Der Umfang, die Art, der Zweck und die Dauer der Verarbeitung werden im Folgenden beschrieben Anhang 1 (Einzelheiten der Verarbeitung).
3. Rollen und Verantwortlichkeiten
3.1 Die Rollen der Parteien
-
Gemäß GDPR, UK GDPR und Schweizer Recht fungiert der Kunde als Controller und Processor fungiert als Prozessor.
-
Nach dem kalifornischen Datenschutzgesetz handelt der Auftragsverarbeiter als Dienstanbieter.
3.2 Anweisungen für Kunden
Der Kunde sichert zu und gewährleistet, dass er alle erforderlichen Rechte, Zustimmungen und Rechtsgrundlagen erhalten hat, um personenbezogene Daten zu verarbeiten und den Auftragsverarbeiter anzuweisen, diese Daten zu verarbeiten.
3.3 Zweck Einschränkung
Der Auftragsverarbeiter darf die Daten des Verantwortlichen nur gemäß den Anweisungen des Kunden und für zulässige Zwecke verarbeiten.
3.4 Ersuchen der betroffenen Person
Der Auftraggeber ist für die Beantwortung von Anfragen der betroffenen Personen verantwortlich. Der Auftragsverarbeiter leistet kommerziell angemessene Unterstützung, wenn dies gesetzlich vorgeschrieben ist.
4. Verpflichtungen des Verarbeiters
4.1 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten des Verantwortlichen befugten Personen zur Vertraulichkeit verpflichtet sind.
4.2 Offenlegung
Der Auftragsverarbeiter darf die Daten des für die Verarbeitung Verantwortlichen nur dann weitergeben, wenn dies gesetzlich vorgeschrieben oder nach dieser Datenschutzrichtlinie zulässig ist.
4.3 Aufbewahrung und Löschung
Bei Beendigung der Vereinbarung löscht der Auftragsverarbeiter die Daten des für die Verarbeitung Verantwortlichen innerhalb von dreißig (30) Tagen oder gibt sie zurück, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist.
4.4 Sicherheitsmaßnahmen
Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, wie sie in Zeitplan 2.
5. Datenpanne
5.1 Der Auftragsverarbeiter benachrichtigt den Auftraggeber unverzüglich, spätestens jedoch 72 Stunden nach Bekanntwerden einer Verletzung des Datenschutzes.
5.2 Der Auftragsverarbeiter unterstützt den Auftraggeber bei Bedarf in angemessener Weise bei der Meldung von Verstößen.
6. Überprüfungen
Der Auftraggeber kann die Einhaltung der Vorschriften durch den Auftragsverarbeiter einmal pro Jahr durch einen unabhängigen Prüfer überprüfen lassen, wobei eine angemessene Vorankündigung und Vertraulichkeitsverpflichtungen einzuhalten sind.
7. Unterauftragsverarbeiter
7.1 Der Auftraggeber ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter zu beauftragen.
7.2 Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich oder wird auf der Website des Auftragsverarbeiters veröffentlicht.
7.3 Der Auftragsverarbeiter bleibt für die Handlungen und Unterlassungen der Unterauftragsverarbeiter verantwortlich.
8. Internationale Datenübermittlung
Der Auftragsverarbeiter sorgt für angemessene Garantien für eingeschränkte Übermittlungen, einschließlich Standardvertragsklauseln oder anderer rechtmäßiger Mechanismen.
9. Begrenzung der Haftung
Die Gesamthaftung der Vertragsparteien im Rahmen dieser DPA unterliegt den im Abkommen festgelegten Beschränkungen.
10. Sonstiges
10.1 Diese DPA unterliegt dem in der Vereinbarung festgelegten Recht.
10.2 Diese DPA kann nach Ankündigung aktualisiert werden, wobei die fortgesetzte Nutzung der Dienste als Zustimmung gilt.
Anhang 1 - Einzelheiten der Verarbeitung
Kategorien von betroffenen Personen:
Endbenutzer, Kunden und andere Personen, deren persönliche Daten vom Kunden übermittelt werden.
Arten von personenbezogenen Daten:
Kontaktinformationen, Kontodaten, Nutzungsdaten und andere Daten, die über die Dienste übermittelt werden.
Zweck:
Erbringung der Dienstleistungen.
Dauer:
Laufzeit des Abkommens plus Löschungsfrist.
Zeitplan 2 - Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter unterhält angemessene Sicherheitsvorkehrungen, einschließlich, aber nicht beschränkt auf:
-
Verschlüsselung bei der Übertragung und im Ruhezustand
-
Zugangskontrollen und Authentifizierung
-
Protokollierung und Überwachung
-
Verfahren zur Reaktion auf Vorfälle
-
Praktiken zur Datenminimierung
-
Sichere Infrastruktur und Backups