English

DATA PROCESSING AGREEMENT (DPA)

1. Purpose

This Data Processing Agreement (DPA) governs the processing of personal data by the Processor on behalf of the Controller in accordance with Art. 28 GDPR.

2. Scope of Processing

Processor shall only process personal data for the purpose of delivering the agreed services as defined in the Main Agreement.

3. Instructions

Processor shall process personal data only in accordance with documented instructions from the Controller.

4. Confidentiality

Processor ensures that all persons authorized to process personal data have committed themselves to confidentiality.

5. Subprocessors

The Processor may engage subcontractors and freelancers ("Subprocessors") for the processing of personal data, provided they are bound by written agreements imposing equivalent data protection obligations. The Controller shall be informed in advance of any intended changes concerning the addition or replacement of Subprocessors. The Controller may object only for justified data protection reasons within 10 days of notification.

6. Data Subject Rights

Processor shall assist Controller in fulfilling data subject requests regarding access, correction, deletion, and restriction.

7. Security Measures

Processor implements appropriate technical and organizational measures (TOMs) to ensure a level of security appropriate to the risk.

8. International Transfers

Transfers outside the EEA/UK require safeguards such as Standard Contractual Clauses (SCCs).

9. Breach Notification

Processor shall notify Controller without undue delay upon becoming aware of a personal data breach.

10. Return or Deletion

Upon termination of the services, Processor shall delete or return all personal data, unless legal obligations require retention.

11. Audit Rights

The Controller shall have the right to verify compliance with this agreement by audits or inspections by independent auditors.

———————————————————-

Deutsch

DATENVERARBEITUNGSVEREINBARUNG (DPA)

1. Zweck

Diese Datenverarbeitungsvereinbarung (DPA) regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.

2. Umfang der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erfüllung der im Hauptvertrag vereinbarten Leistungen.

3. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen hin.

4. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

5. Subunternehmer

Der Auftragsverarbeiter darf Subunternehmer und Freelancer („Unterauftragsverarbeiter“) mit der Verarbeitung personenbezogener Daten beauftragen, sofern diese durch schriftliche Vereinbarungen denselben Datenschutzpflichten unterliegen. Der Verantwortliche wird über geplante Änderungen (z. B. neue oder ersetzte Subunternehmer) informiert. Ein Widerspruch ist nur aus berechtigten datenschutzrechtlichen Gründen innerhalb von 10 Tagen möglich.

6. Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Einschränkung).

7. Sicherheitsmaßnahmen

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten.

8. Internationale Übermittlungen

Datenübermittlungen außerhalb des EWR/UK erfolgen nur bei geeigneten Garantien wie Standardvertragsklauseln (SCCs).

9. Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Verletzungen des Schutzes personenbezogener Daten.

10. Rückgabe oder Löschung

Nach Vertragsende werden personenbezogene Daten gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

11. Auditrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung durch Prüfungen oder unabhängige Auditoren zu kontrollieren.