Auftragsverarbeitungsvertrag (DPA)

Dieser DPA wird zwischen DivetIQ (der „Auftragsverarbeiter”) mit eingetragener Adresse 2810 N Church St, STE 88941, Wilmington, DE 19802, United States und dem Kunden geschlossen, der eine Bestellung unterzeichnet oder anderweitig die Nutzung der DivetIQ-Dienste vereinbart hat (der „Verantwortliche”).

Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten; DivetIQ verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, wie in diesem DPA weiter beschrieben.

„Personenbezogene Daten”, „Verarbeitung”, „betroffene Person”, „Verantwortlicher”, „Auftragsverarbeiter” und „Aufsichtsbehörde” haben die ihnen in der DSGVO zugewiesene Bedeutung. „Kundendaten” sind Daten, einschließlich personenbezogener Daten, die vom Verantwortlichen oder in seinem Auftrag in die DivetIQ-Dienste eingegeben werden. „Sub-Auftragsverarbeiter” ist jeder Dritte, den DivetIQ zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen einsetzt.

DivetIQ verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung der im Vertrag beschriebenen Dienste, einschließlich Support und Reaktion auf Sicherheitsvorfälle. Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anhang I beschrieben.

DivetIQ verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, soweit nicht durch das für DivetIQ geltende Recht anders vorgeschrieben. Hält DivetIQ eine Weisung für DSGVO- oder anderweitig datenschutzwidrig, wird der Verantwortliche unverzüglich informiert.

DivetIQ stellt sicher, dass das zur Verarbeitung personenbezogener Daten befugte Personal zur Vertraulichkeit verpflichtet ist oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegt. Der Zugriff auf personenbezogene Daten erfolgt nach dem Need-to-Know-Prinzip.

DivetIQ implementiert angemessene technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus, darunter:

• Verschlüsselung personenbezogener Daten im Ruhezustand mit AES-256 und bei der Übertragung mit TLS 1.3.
• Informationssicherheitsmanagement nach ISO 27001 und SOC 2 Type II.
• Rollenbasierte Zugriffskontrolle mit Attributerweiterungen für Zeilen-, Spalten- und Feldregeln.
• Unveränderliche Append-Only-Audit-Logs, gespeichert gemäß gesetzlicher Vorgaben.
• Penetrationstests, Schwachstellen-Scans, WAF und DDoS-Schutz.
• Business Continuity, Disaster Recovery und regelmäßig getestete Backups.
• Ein dokumentierter Incident-Response-Prozess mit 24/7-Rufbereitschaft.

Eine aktuelle Beschreibung der technischen und organisatorischen Maßnahmen von DivetIQ findet sich in Anhang II und ist außerdem im Customer Trust Center verfügbar.

Der Verantwortliche erteilt DivetIQ eine allgemeine Genehmigung zur Einschaltung von Sub-Auftragsverarbeitern. DivetIQ führt eine aktuelle Liste der Sub-Auftragsverarbeiter im Customer Trust Center und kündigt geplante Änderungen mindestens dreißig (30) Tage im Voraus an, sodass der Verantwortliche aus angemessenen Datenschutzgründen widersprechen kann.

DivetIQ verpflichtet jeden Sub-Auftragsverarbeiter datenschutzrechtlich mindestens auf dem Niveau dieses DPA und haftet gegenüber dem Verantwortlichen für die Erfüllung der Pflichten jedes Sub-Auftragsverarbeiters.

DivetIQ stellt operative Werkzeuge bereit, die es dem Verantwortlichen ermöglichen, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Portabilität und Widerspruch zu beantworten, einschließlich Unterstützung für DSAR, Recht auf Vergessenwerden und Einwilligungsverwaltung. Erhält DivetIQ eine Anfrage direkt von einer betroffenen Person, wird sie ohne unangemessene Verzögerung an den Verantwortlichen weitergeleitet und nur auf dessen Weisung beantwortet.

DivetIQ benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden, nachdem DivetIQ von einer Verletzung des Schutzes personenbezogener Daten betreffend Kundendaten Kenntnis erlangt. Die Mitteilung enthält die nach geltendem Recht erforderlichen Informationen, damit der Verantwortliche seinen eigenen Meldepflichten nachkommen kann.

Unter Berücksichtigung der Art der Verarbeitung und der DivetIQ zur Verfügung stehenden Informationen unterstützt DivetIQ den Verantwortlichen angemessen bei der Durchführung von Datenschutz-Folgenabschätzungen und der Konsultation der Aufsichtsbehörde gemäß Artikel 35 und 36 DSGVO.

Werden personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz übermittelt, das nicht Gegenstand eines Angemessenheitsbeschlusses ist, gelten die EU-Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter), der UK International Data Transfer Addendum und gleichwertige Mechanismen, ergänzt um zusätzliche technische und organisatorische Maßnahmen.

Der Kunde kann auf Anfrage eine ausschließlich in der EU gehostete Datenresidenz wählen.

DivetIQ stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses DPA in angemessenem Umfang erforderlich sind. DivetIQ stellt jährliche Drittprüfberichte (einschließlich SOC 2 Type II- und ISO 27001-Zertifikate) auf Anfrage unter Vertraulichkeit zur Verfügung. Soweit gesetzlich vorgeschrieben, darf der Verantwortliche höchstens einmal jährlich ein Audit mit angemessener Vorankündigung während der Geschäftszeiten durchführen, ohne den Betrieb von DivetIQ unangemessen zu beeinträchtigen.

Bei Beendigung oder Ablauf der Vereinbarung wird DivetIQ nach Wahl des Verantwortlichen alle personenbezogenen Daten innerhalb von dreißig (30) Tagen zurückgeben oder löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche nimmt zur Kenntnis, dass Sicherungskopien für einen begrenzten Zeitraum gemäß dem dokumentierten Aufbewahrungsplan von DivetIQ aufbewahrt werden können und denselben Schutzmaßnahmen wie in diesem DPA unterliegen.

Kundendaten werden niemals zum Training gemeinsamer oder fremder KI-Modelle verwendet. KI-Funktionen, die mit Kundendaten arbeiten, werden entweder im Mandanten des Verantwortlichen eingesetzt oder laufen als zustandslose Inferenz gegen einen pro Mandant kontextualisierten Datenbestand, der nicht zu Trainingszwecken aufbewahrt wird. Wird automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbar erheblicher Wirkung eingesetzt, ist der Verantwortliche dafür verantwortlich, die nach Artikel 22 DSGVO und anderen geltenden Gesetzen (einschließlich des EU AI Act) erforderlichen Schutzmaßnahmen umzusetzen.

Gegenstand: Bereitstellung der DivetIQ-Headless-Plattform und zugehöriger Dienste.

Dauer: für die Laufzeit der Vereinbarung sowie etwaige Nachvertragsperioden zur Rückgabe oder Löschung personenbezogener Daten.

Art und Zweck: Hosting, Speicherung, Übermittlung, Analytics und KI-gestützte Vorgänge auf Kundendaten, gemäß Konfiguration der Dienste durch den Verantwortlichen.

Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer, Kunden, Lieferanten, Bewerber und sonstige Personen des Verantwortlichen, deren Daten in die Dienste eingegeben oder darin verarbeitet werden.

Kategorien personenbezogener Daten: Identifikatoren, Kontaktdaten, Beschäftigungsdaten, Finanz- und Beschaffungsdaten, Kundenbeziehungsdaten und weitere vom Verantwortlichen über die Dienste verarbeitete Kategorien.

DivetIQ implementiert die in Abschnitt 6 (Sicherheitsmaßnahmen) dieses DPA beschriebenen Sicherheitsmaßnahmen. Eine detaillierte, aktuelle Beschreibung wird im Customer Trust Center vorgehalten und mit der Weiterentwicklung unserer Sicherheitslage aktualisiert. Wesentliche Reduzierungen werden vorab angekündigt.

Fragen zu diesem DPA senden Sie bitte an dpo@divetiq.com oder per Post an 2810 N Church St, STE 88941, Wilmington, DE 19802, United States.