ANHANG I: Datenverarbeitungsvertrag
Dieser Datenverarbeitungsvertrag regelt, wie ILOVEPDF personenbezogene Daten im Auftrag des Controllers gemäß Verordnung (EU) 2016/679 (DSGVO) verarbeitet.
Dieser Datenverarbeitungsvertrag (nachstehend „Datenverarbeitungsvertrag“) bildet die Grundlage für die Verarbeitung Ihrer personenbezogenen Daten, die ILOVEPDF (nachfolgend "ILOVEPDF") mit CIF B66921552 und Sitz in der Calle Sabino de Arana 60, 08028 Barcelona, gemäß den folgenden Bestimmungen in Ihrem Auftrag vornimmt.
In diesem Zusammenhang stellt Ihnen ILOVEPDF bestimmte Dienste zur Verfügung, die über die Software oder Computerprogramme von ILOVEPDF bereitgestellt werden. Die Nutzung dieser Dienste erfordert, dass ILOVEPDF als Auftragsverarbeiter (im Folgenden „Auftragsverarbeiter“) auf bestimmte personenbezogene Daten zugreift und sie verarbeitet, für die Sie als Verantwortlicher (im Folgenden „Verantwortlicher“) fungieren.
Dieser Verarbeitungsvertrag ist Bestandteil der Allgemeinen Geschäftsbedingungen von ILOVEPDF und tritt mit deren Annahme in Kraft. Im Falle eines Konflikts, Gegensatzes oder Widerspruchs zwischen den Allgemeinen Geschäftsbedingungen und dem Verarbeitungsvertrag hat der Verarbeitungsvertrag Vorrang vor den Allgemeinen Geschäftsbedingungen.
Zur Einhaltung der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachstehend „DSGVO“) unterzeichnen der Verantwortliche und der Auftragsverarbeiter diesen Verarbeitungsvertrag gemäß den folgenden Bestimmungen
KLAUSELN
Klausel 1
Zweck und Anwendungsbereich
- Zweck des Verarbeitungsvertrags ist die Einhaltung der Artikel 28 Absatz 3 und 4 der DSGVO.
- Der Verantwortliche und der Auftragsverarbeiter haben sich verpflichtet, an diesen Vertrag gebunden zu sein, um die Einhaltung von Artikel 28 Absatz 3 und 4 der DSGVO zu gewährleisten.
- Dieser Verarbeitungsvertrag gilt für die Verarbeitung der personenbezogenen Daten, die in Anlage I festgelegt sind.
- Die Anlagen I und II sind Teil des Verarbeitungsvertrags.
- Diese Allgemeinen Geschäftsbedingungen lassen die Verpflichtungen, denen der Verantwortliche gemäß der DSGVO unterliegt, unberührt.
- Diese Allgemeinen Geschäftsbedingungen allein gewährleisten die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der DSGVO nicht.
Klausel 2
Auslegung
- Wenn in diesem Verarbeitungsvertrag Begriffe verwendet werden, die in der DSGVO definiert sind, haben sie die gleiche Bedeutung wie in der DSGVO.
- Dieser Verarbeitungsvertrag ist im Lichte der Bestimmungen der DSGVO zu lesen und auszulegen.
- Dieser Datenverarbeitungsvertrag darf nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten widerspricht oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.
Klausel 3
Hierarchie
Im Falle eines Widerspruchs zwischen diesem Verarbeitungsvertrag und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die vor Abschluss dieser Allgemeinen Geschäftsbedingungen bestehen, hat dieser Verarbeitungsvertrag Vorrang.
Klausel 4
Beschreibung der Verarbeitung(en)
Anlage I spezifiziert die Details der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke der Verarbeitung der personenbezogenen Daten im Auftrag des Verantwortlichen.
Klausel 5
Pflichten der Parteien
5.1. Weisungen
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen, es sei denn, er ist rechtlich verpflichtet, eine andere Verarbeitung gemäß Unions- oder Mitgliedstaatengesetz durchzuführen. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen über diese gesetzliche Anforderung vor der Verarbeitung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Durch den Verantwortlichen können während der Dauer der Verarbeitung der personenbezogenen Daten auch nachträgliche Weisungen gegeben werden. Diese Weisungen müssen immer dokumentiert werden.
- Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, dass vom Verantwortlichen gegebene Weisungen gegen die DSGVO oder das anwendbare Datenschutzrecht der Union oder eines Mitgliedstaats verstoßen.
5.2. Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur zu dem/den in Anlage I angegebenen Verarbeitungszweck(en), es sei denn, er erhält weitere Weisungen vom Verantwortlichen.
5.3. Dauer der Verarbeitung personenbezogener Daten
Die Verarbeitung durch den Auftragsverarbeiter erfolgt nur für die in Anlage I festgelegte Dauer.
5.4. Sicherheit der Verarbeitung
- Der Auftragsverarbeiter setzt mindestens die in Anlage II festgelegten technischen und organisatorischen Maßnahmen um, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört der Schutz der Daten vor einer Sicherheitsverletzung, die eine zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder den Zugang zu den Daten (Verletzung des Schutzes personenbezogener Daten) zur Folge hat. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken für die betroffenen Personen.
- Der Auftragsverarbeiter gewährt Mitgliedern seines Personals nur dann Zugang zu den verarbeiteten personenbezogenen Daten, wenn dies für die Umsetzung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung der empfangenen personenbezogenen Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder gesetzlich dazu verpflichtet sind.
5.5. Sensible Daten
Sollte die Verarbeitung personenbezogene Daten umfassen, die Aufschluss über Herkunft und ethnische Zugehörigkeit, politische Ansichten, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftsmitgliedschaft, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten über das Sexualleben oder sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend "sensible Daten") geben, wendet der Auftragsverarbeiter spezifische Einschränkungen und/oder zusätzliche Garantien an.
5.6. Dokumentation und Vertragseinhaltung
- Die Parteien müssen die Einhaltung dieses Datenverarbeitungsvertrags nachweisen können.
- Der Auftragsverarbeiter wird Anfragen des Verantwortlichen zu den Datenverarbeitungen in Übereinstimmung mit diesem Verarbeitungsvertrag schnell und umfassend beantworten.
- Der Auftragsverarbeiter stellt dem Verantwortlichen oder einem unabhängigen Dritten alle erforderlichen Informationen zur Verfügung, die zur Nachweisführung der in diesem Verarbeitungsvertrag und direkt in der DSGVO genannten Pflichten notwendig sind. Auf Wunsch des Verantwortlichen ermöglicht der Auftragsverarbeiter auch Audits der Verarbeitungsaktivitäten, die von diesem Datenverarbeitungsvertrag umfasst sind, und trägt dazu bei. Die Audits werden sachlich und zeitlich auf das absolut Notwendige beschränkt, damit der Verantwortliche die erforderlichen Überprüfungen bei begründeten Verdachtsmomenten – aufgrund vorangegangener schriftlicher Meldung – in Bezug auf eine Nichteinhaltung seitens des Auftragsverarbeiters durchführen kann. In jedem Fall dienen die Audits ausschließlich dazu, die Umstände der Nichteinhaltung zu überprüfen. Sie sind auf maximal einen (1) Audit pro Jahr beschränkt und müssen mindestens einen (1) Monat im Voraus angekündigt werden. Die Kosten der Audits gehen in jedem Fall zu Lasten des Verantwortlichen.
- Die Parteien stellen den zuständigen Aufsichtsbehörden auf Anfrage die in dieser Klausel genannten Informationen, insbesondere die Ergebnisse der Audits, zur Verfügung.
5.7. Einsatz von Unterauftragsverarbeitern
- Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter muss dem Verantwortlichen die nötigen Informationen zur Verfügung stellen, damit dieser sein Widerspruchsrecht ausüben kann.
- Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungsaktivitäten (im Auftrag des Verantwortlichen) beauftragt, so geschieht dies durch einen Vertrag, der dem Unterauftragsverarbeiter im Wesentlichen die gleichen datenschutzrechtlichen Verpflichtungen wie dem Auftragsverarbeiter auferlegt. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesem Verarbeitungsvertrag und der DSGVO unterliegt.
- Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber voll verantwortlich für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter. Der Auftragsverarbeiter teilt dem Verantwortlichen jegliches Versäumnis des Unterauftragsverarbeiters bezüglich der Erfüllung seiner vertraglichen Verpflichtungen mit.
5.8. Internationale Übermittlungen
- Datenübermittlungen an ein Drittland oder an eine internationale Organisation durch den Auftragsverarbeiter erfolgen in Übereinstimmung mit Kapitel V der DSGVO.
- Der Verantwortliche stimmt zu, dass die Beauftragung eines Unterauftragsverarbeiters gemäß Klausel 5.7 zur Durchführung spezifischer Verarbeitungsaktivitäten (im Auftrag des Verantwortlichen) und dieser Verarbeitungsaktivität die Übertragung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten kann. Der Auftragsverarbeiter und der Unterauftragsverarbeiter können die Einhaltung von Kapitel V der DSGVO sicherstellen durch: (i) Übermittlung personenbezogener Daten an Länder, für die die Europäische Kommission einen Angemessenheitsbeschluss gemäß Artikel 45 der DSGVO erlassen hat; oder (ii) Verwendung von Vertragsklauseln, die von der Kommission gemäß Artikel 46 Absatz 2 der DSGVO erlassen wurden, vorausgesetzt, die Bedingungen für deren Nutzung sind erfüllt. Als allgemeine Regel und falls der Verantwortliche nichts anderes entschieden hat, verarbeitet der Auftragsverarbeiter Ihre personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums. Abgesehen von den obigen Bestimmungen kann der Auftragsverarbeiter für Verantwortliche aus Regionen außerhalb des Europäischen Wirtschaftsraums zur Optimierung der Leistung und Effizienz unserer Dienstleistungen Ihre personenbezogenen Daten in geografischen Gebieten verarbeiten, die sich näher an Ihrem Standort befinden, sofern die vorgenannten Garantien erfüllt werden.
- Zusätzlich schließen der Auftragsverarbeiter und der Verantwortliche für den Fall, dass eine Weitergabe personenbezogener Daten vom Auftragsverarbeiter zum Verantwortlichen eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO darstellt, die Standard-Datenschutzklauseln (Modul 4) gemäß Anhang II ab.
Klausel 6
Unterstützung des Verantwortlichen
- Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich über etwaige Anfragen, die er von betroffenen Personen erhalten hat. Er antwortet nicht selbst auf die Anfrage, es sei denn, er ist vom Verantwortlichen dazu autorisiert.
- Der Auftragsverarbeiter leitet dem Verantwortlichen alle Anfragen zur Ausübung der Rechte der betroffenen Personen weiter, die er erhält und deren Beantwortung beim Verantwortlichen liegt, weil sie sich auf personenbezogene Daten beziehen, für die der Verantwortliche als Datenverantwortlicher fungiert.
- Neben der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 6 b zu
unterstützen, leistet der Auftragsverarbeiter weitere Unterstützung bei der Sicherstellung der Einhaltung der folgenden Verpflichtungen, unter Berücksichtigung der Art der Datenverarbeitung und der Informationen, die dem Auftragsverarbeiter zur Verfügung stehen:
- the obligation to carry out an assessment of the impact of the envisaged processing operations on the protection of personal data ('a data protection impact assessment') where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons;
- the obligation to consult the competent supervisory authority/ies prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk;
- die Verpflichtung, sicherzustellen, dass personenbezogene Daten korrekt und auf dem neuesten Stand sind, indem der Verantwortliche unverzüglich informiert wird, wenn der Auftragsverarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten ungenau oder veraltet sind;
- die Verpflichtungen in Artikel 32 der DSGVO.
- Die Parteien legen in Anlage II die geeigneten technischen und organisatorischen Maßnahmen für den Auftragsverarbeiter fest, um den Verantwortlichen bei der Umsetzung dieser Klausel zu unterstützen, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
Klausel 7
Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten
- Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn so, dass er seinen Verpflichtungen gemäß den Artikeln 33 und 34 der DSGVO nachkommen kann, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
- Im Falle einer Verletzung des Schutzes der vom Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, sobald ihm die Verletzung bekannt ist. Diese Benachrichtigung enthält mindestens:
- eine Beschreibung der Art der Verletzung (darunter, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Menge der betroffenen Datensätze);
- die Kontaktdaten einer Person, bei der weitere Informationen zur Verletzung des Schutzes personenbezogener Daten erhältlich sind;
- die wahrscheinlichen Konsequenzen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich der Minderung ihrer möglichen negativen Auswirkungen.
- Soweit und sofern nicht alle Informationen zum gleichen Zeitpunkt bereitgestellt werden können, werden die zunächst verfügbaren Informationen in der Erstbenachrichtigung übermittelt und spätere Informationen unverzüglich nachgereicht, sobald sie vorliegen.
ANLAGE I: BESCHREIBUNG DER VERARBEITUNG
Kategorien der betroffenen Personen, deren personenbezogene Daten verarbeitet werden
Die Kategorien betroffener Personen, deren Daten in den Dateien enthalten sind, die der Verantwortliche bei der Nutzung der Dienste von ILOVEPDF hochlädt (z. B. Mitarbeiter, Kunden, Lieferanten usw.).
Kategorien der verarbeiteten personenbezogenen Daten
Diese Kategorien personenbezogener Daten sind in den Dateien enthalten, die der Verantwortliche bei der Nutzung der Dienste von ILOVEPDF hochlädt.
Verarbeitete sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Garantien, die die Art der Daten und die damit verbundenen Risiken vollumfänglich berücksichtigen, wie beispielsweise strenge Zweckbindungen, Zugriffsbeschränkungen (einschließlich Zugriff nur für geschultes Personal), Protokollierung des Datenzugriffs, Restriktionen für Weiterleitungen oder zusätzliche Sicherheitsvorkehrungen.
Besondere Kategorien personenbezogener Daten werden nur insoweit verarbeitet, wie die Dateien, die der Verantwortliche bei der Nutzung der Dienste von ILOVEPDF hochlädt, solche besonderen Kategorien personenbezogener Daten enthalten.
Art der Verarbeitung
Der Auftragsverarbeiter wird alle zur Bereitstellung der Dienste erforderlichen Maßnahmen durchführen (z. B. Umwandlung, Bearbeitung und Komprimierung des Dokuments, das die personenbezogenen Daten enthält).
Zweck(e) der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen
Bereitstellung der Dienste im Auftrag von ILOVEPDF.
Dauer der Verarbeitung
So lange wie für die Bereitstellung der Dienste unbedingt erforderlich.
Unterauftragsverarbeiter und Art der erbrachten Dienstleistungen
Im Rahmen der Bereitstellung seiner Dienste nutzt ILOVEPDF Drittanbieter als Unterauftragsverarbeiter von personenbezogenen Daten. Dabei nutzt ILOVEPDF die Anbieter Cloudscale, Digital Ocean, Hetzner, OVHcloud und Vultr für Webhosting und Cloud-Computing-Lösungen, die technische Infrastrukturdienste bereitstellen, um die sichere Verarbeitung und temporäre Speicherung von Daten und die betriebliche Kontinuität der Plattform zu gewährleisten.
Die Unterauftragsverarbeiter handeln gemäß den Weisungen von ILOVEPDF und wenden angemessene technische und organisatorische Maßnahmen an, um den Schutz personenbezogener Daten in Übereinstimmung mit der Verordnung (EU) 2016/679 (DSGVO) und anderen geltenden Datenschutzvorschriften zu gewährleisten.
Für weitere Informationen über die Unterverarbeiter von ILOVEPDF klicken Sie bitte hier.
ANLAGE II: TECHNISCHE UND ORGANISATORISCHE MAẞNAHMEN, DARUNTER TECHNISCHE UND ORGANISATORISCHE MAẞNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Der Auftragsverarbeiter wendet die folgenden technischen und organisatorischen Sicherheitsmaßnahmen auf die im Rahmen dieses Auftragsverarbeitungsvertrags durchgeführten Verarbeitungstätigkeiten an:
- Technische Maßnahmen zum Schutz vor Abhören, Kopieren, Modifizieren, Fehlleitung und Zerstörung der übermittelten Informationen.
- Technische Verfahren und interne Richtlinien zur Erkennung, zum Schutz und zur Abwehr böswilliger Anwendungen (Malware), die durch elektronische Kommunikation übertragen werden könnten.
- Technischer Schutz vertraulicher Informationen bei deren Übermittlung als Dateianhänge.
- Interne Richtlinie für den zulässigen Gebrauch von Kommunikationsressourcen.
- Organisatorische Maßnahmen gewährleisten, dass alle Benutzer (Mitarbeiter und Dritte) mit autorisiertem Zugang zu den Ressourcen des Auftragsverarbeiters für ihre eigenen Informationen verantwortlich sind.
- Einsatz kryptografischer Techniken zum Schutz der Vertraulichkeit, Integrität und Authentizität von Informationen.
- Organisatorische Richtlinien für die Aufbewahrung und Entsorgung der gesamten Geschäftskorrespondenz, einschließlich Nachrichten, entsprechend den geltenden nationalen und lokalen Gesetzen und Vorschriften.
- Regelmäßige Informationen und Einführung interner Richtlinien für das Personal bezüglich der Nichtweitergabe vertraulicher Informationen, zu Zwecken wie: keine Nachrichten mit vertraulichen Informationen auf Anrufbeantwortern hinterlassen, keine vertraulichen Gespräche an öffentlichen Orten führen, keine unsicheren Kommunikationskanäle verwenden, keine vertraulichen Gespräche in offenen Büros führen, usw.
Versionskontrolle: Donnerstag, 19. Februar 2026