Zum Inhalt springen

Data Processing Agreement (DPA)

Zwischen:

HELGION Digital LLC, 3833 Powerline Road Suite 201, Fort Lauderdale, FL 33309, USA

(im Folgenden „Auftragsverarbeiter“)

und dem jeweiligen Kunden („Verantwortlicher“).

1. Gegenstand und Dauer der Verarbeitung

1.1. Dieses DPA regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
1.2. Die Verarbeitung erfolgt im Rahmen:

  • der Nutzung des HELGION-Kundenportals (SaaS)

  • der Erbringung von IT-Dienstleistungen, Beratung, Softwareentwicklung und Support

  • der Datenübertragung, -speicherung und -verwaltung in den vereinbarten Systemen

1.3. Die Dauer entspricht der Laufzeit der zugrunde liegenden Geschäftsbeziehung.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck:

  • Bereitstellung und Betrieb des Kundenportals

  • Durchführung von IT-Services (Entwicklung, Migration, Support, Administration)

  • Kommunikation im Rahmen der Vertragsbeziehung

  • to ensure security, communication, and documentation

Es erfolgt keine Verarbeitung zu eigenen Zwecken.

3. Art der Daten / Kategorien von Betroffenen

3.1. Personenbezogene Daten

  • Name, Vorname

  • geschäftliche E-Mail-Adresse

  • Kontaktdaten

  • Firmeninformationen

  • Zugangsdaten (gehasht)

  • Logfiles, Aktivitäten, Ticket- und Projektdaten

  • documents and uploaded files

3.2. Betroffenengruppen

  • Kunden und deren Mitarbeiter

  • Benutzer des Portals

  • contacts involved in IT service projects

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Daten ausschließlich gemäß Weisung zu verarbeiten

  • angemessene Datenschutzmaßnahmen gemäß Art. 32 DSGVO umzusetzen

  • Mitarbeiter zur Vertraulichkeit zu verpflichten

  • Zugriff auf personenbezogene Daten zu protokollieren und zu sichern

  • Daten vor unbefugtem Zugriff zu schützen

  • Subunternehmer nur unter Einhaltung der DSGVO einzusetzen

5. Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

  • Rechtmäßigkeit der Datenverarbeitung

  • Bereitstellung korrekter Daten

  • Information der betroffenen Personen

  • internal compliance measures

6. Subunternehmer (Unterauftragsverarbeiter)

Der Auftragsverarbeiter setzt folgende Subunternehmer ein:

6.1. Hetzner Online GmbH (EU)
  • EU-based hosting for portal and customer data.
6.2. Microsoft 365 Europe Tenant
  • E-Mail, Dokumentablage, Teams
  • Datenstandort: EU (Übermittlung an USA möglich → SCC gelten)

6.3. Google Ireland / Google LLC
  • nur nach Cookie-Einwilligung
  • Analytics-Tracking
  • Datenübermittlung USA → SCC

7. Internationale Datenübermittlung (USA)

Da HELGION ein US-Unternehmen ist, können im Rahmen der Kommunikation oder Nutzung externer Dienste Daten in die USA übermittelt werden.

Folgende Dienste sind betroffen:

  • Nutzung von Drittanbieter Diensten mit Lokation in den USA

  • Nutzung von optionalen Diensten Google Analytics)

  • Nutzung von Microsoft als US-amerikanischem Anbieter

Alle Übertragungen verwenden:

  • Standardvertragsklauseln (SCC)

  • Verschlüsselung

  • eingeschränkter Zugang

8. Technische und organisatorische Maßnahmen (TOMs)

Eine vollständige TOM-Liste kann auf Anfrage bereitgestellt werden.

Der Auftragsverarbeiter setzt u. a. folgende TOMs um:

  • Verschlüsselung (TLS, ruhende Daten soweit möglich)

  • Zugangskontrolle (MFA, RBAC, Zero-Trust-Prinzipien)

  • Firewalling & DDoS-Schutz

  • sichere Serverumgebung bei Hetzner (ISO 27001)

  • Protokollierung von Zugriffen

  • Monitoring & Security Alerts

  • regelmäßige Updates und Patch-Management

  • Datensparsamkeit und Minimierung

9. Rechte der Betroffenen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Auskunfts- und Löschanfragen

  • Datenübertragbarkeit

  • Einschränkung der Verarbeitung

  • Widerspruch und Widerruf

10. Datenpannen / Incident Response

Bei Datenschutzverletzungen verpflichtet sich der Auftragsverarbeiter:

  • den Verantwortlichen unverzüglich (innerhalb 48h) zu informieren

  • Art der Verletzung und Umfang darzulegen

  • Maßnahmen zur Eindämmung einzuleiten

  • bei der Meldung an Behörden zu unterstützen

11. Löschung oder Rückgabe von Daten

Nach Vertragsende:

  • kann der Verantwortliche Datenexporte anfordern

  • löscht der Auftragsverarbeiter alle personenbezogenen Daten nach gesetzlichen Aufbewahrungsfristen

  • werden Backups gemäß Retention-Policy überschrieben

12. Kontrollrechte

Prüfungen vor Ort sind nur nach schriftlicher Vereinbarung möglich.

Der Verantwortliche ist berechtigt:

  • Auskunft über die Datenverarbeitung zu verlangen

  • Audit-Berichte einzusehen

  • Sicherheitsfragen zu stellen

13. Schlussbestimmungen

  • Dieses DPA ist Bestandteil aller Verträge zwischen HELGION und dem Kunden.

  • Änderungen bedürfen der Schriftform.

  • Es gilt dasselbe Recht und derselbe Gerichtsstand wie im Hauptvertrag (Florida, USA).