Datenverarbeitungsvertrag (DPA)

Die Vereinbarung, die regelt, wie personenbezogene Daten im Einklang mit der Allgemeinen Datenschutzverordnung (DSGVO) behandelt und geschützt werden.

Zuletzt aktualisiert: 2025-07-09

Verantwortlicher für die Datenverarbeitung:
Der Kunde hat seinen Sitz innerhalb der EU.

Datenverarbeiter:
Unternehmen: Conlumina Digital
Registrierungsnummer: SE771104167801
Stadt: Stockholm
Land der Registrierung: Schweden

Die Parteien haben diese Datenverarbeitungsvereinbarung ("Vereinbarung") über die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen geschlossen.

§ 1 Verarbeitung von personenbezogenen Daten

Diese Vereinbarung wird im Zusammenhang mit der Nutzung der Dienste des Datenverarbeiters durch den für die Verarbeitung Verantwortlichen im Rahmen der in den Allgemeinen Geschäftsbedingungen von Webbförvaltning.se ("Hauptvertrag") beschriebenen Abonnement- und Zusatzdienste geschlossen.

Der Datenverarbeiter verarbeitet die registrierten personenbezogenen Daten im Auftrag des für die Datenverarbeitung Verantwortlichen und in Übereinstimmung mit Anhang 1.

Der Vertrag und der Hauptvertrag sind voneinander abhängig und können nicht getrennt voneinander gekündigt werden.

§ 2. Zweck

Der Datenverarbeiter darf personenbezogene Daten nur verarbeiten, um seine Verpflichtungen gegenüber dem Kunden zu erfüllen und die im Hauptvertrag genannten Dienstleistungen zu erbringen.

§ 3. Pflichten des für die Verarbeitung Verantwortlichen

Der für die Verarbeitung Verantwortliche garantiert, dass die personenbezogenen Daten nur für rechtmäßige Zwecke verarbeitet werden und dass der Datenverarbeiter die Daten ausschließlich zu diesem Zweck verarbeitet.

Der für die Datenverarbeitung Verantwortliche stellt sicher, dass es eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, wenn er sie an den Datenverarbeiter übermittelt. Der für die Datenverarbeitung Verantwortliche muss in der Lage sein, die Rechtfertigung und die Rechtsgrundlage auf Anfrage des Datenverarbeiters nachzuweisen.

Beauftragt der für die Verarbeitung Verantwortliche einen anderen Unterauftragsverarbeiter, so ist der für die Verarbeitung Verantwortliche unverzüglich zu unterrichten. Der für die Verarbeitung Verantwortliche ist nicht für Verarbeitungen verantwortlich, die von einem anderen Unterauftragsverarbeiter auf der Grundlage solcher Anweisungen durchgeführt werden.

§ 4. Pflichten des Datenverarbeiters

Der Datenverarbeiter verarbeitet die von der verantwortlichen Stelle zur Verfügung gestellten personenbezogenen Daten in Übereinstimmung mit den Anweisungen der verantwortlichen Stelle und den Datenschutzbestimmungen. Der Datenverarbeiter muss in der Lage sein, seine Verarbeitung zu rechtfertigen, und muss den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn etwas gegen die DSGVO verstößt.

Der Datenverarbeiter muss geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um zu gewährleisten, dass personenbezogene Daten nicht versehentlich oder unrechtmäßig beschädigt, verloren oder vernichtet, an unbefugte Dritte weitergegeben, verarbeitet oder unter Verstoß gegen die DSGVO missbraucht werden. Diese Maßnahmen werden in Anhang 1 ausführlicher beschrieben.

Der Datenverarbeiter ist dafür verantwortlich, dass die Mitarbeiter, die personenbezogene Daten verarbeiten, einer rechtsverbindlichen Geheimhaltungspflicht unterliegen.

Auf Verlangen des für die Verarbeitung Verantwortlichen muss der Datenverarbeiter die Einhaltung der geltenden Datenschutzvorschriften nachweisen und/oder dokumentieren, einschließlich Informationen zum Datenfluss und zur Datenverarbeitung.

Soweit möglich, unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen mit technischen und organisatorischen Maßnahmen, um die Anfragen der Betroffenen gemäß Kapitel 3 der DSGVO zu erfüllen.

Der Datenverarbeiter oder Unterauftragsverarbeiter muss alle Anträge oder Einwände der betroffenen Person zur weiteren Bearbeitung an den für die Verarbeitung Verantwortlichen weiterleiten, es sei denn, der Datenverarbeiter kann sie direkt bearbeiten. Auf Anfrage muss der Datenverarbeiter bei der Beantwortung dieser Anfragen helfen.

Werden personenbezogene Daten in einem anderen EU-Land verarbeitet, müssen die dort geltenden Sicherheitsvorschriften befolgt werden.

Der Datenverarbeiter muss den für die Verarbeitung Verantwortlichen informieren, wenn der Verdacht auf einen Verstoß gegen die Datenschutzgesetze oder andere Unregelmäßigkeiten bei der Verarbeitung besteht. Der Datenverarbeiter muss eine Sicherheitsverletzung innerhalb von 24 Stunden nach Bekanntwerden melden. Auf Anfrage muss der Datenverarbeiter bei der Klärung des Ausmaßes des Verstoßes behilflich sein, z. B. durch Erstellung einer Meldung an die Datenschutzbehörde oder die betroffene Person.

Der Datenverarbeiter muss dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung stellen, um die Einhaltung von Artikel 28 der DSGVO und der Bestimmungen dieser Vereinbarung nachzuweisen.

Darüber hinaus muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten gemäß Artikel 32-36 der DSGVO unterstützen. Die Art der Unterstützung hängt von der Art der Daten, der Verarbeitung und dem Zugang des Datenverarbeiters ab.

§ 5. Übermittlung von Informationen an Unterauftragsverarbeiter oder Dritte

Der für die Verarbeitung Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine Genehmigung, Verträge mit Unterauftragsverarbeitern zu schließen. Der Datenverarbeiter ist verpflichtet, dem für die Verarbeitung Verantwortlichen alle Änderungen oder Ergänzungen bei den Unterauftragsverarbeitern mitzuteilen. Der für die Verarbeitung Verantwortliche hat das Recht, gegen solche Änderungen Einspruch zu erheben. Wenn der Datenverarbeiter trotz des Widerspruchs weiterhin einen Unterauftragsverarbeiter einsetzt, können die Parteien diese Vereinbarung und gegebenenfalls die Hauptvereinbarung mit kurzer Frist kündigen. Während dieses Zeitraums kann der Unterauftragsverarbeiter weiter eingesetzt werden.

Der Datenverarbeiter muss sicherstellen, dass die Unterauftragsverarbeiter an dieselben Verpflichtungen gebunden sind, die in dieser Vereinbarung festgelegt sind, und ausreichende Garantien für die Durchführung geeigneter Maßnahmen zur Erfüllung der Anforderungen der DSGVO bieten.

Kommt ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so bleibt er dem für die Verarbeitung Verantwortlichen gegenüber in vollem Umfang für die Erfüllung dieser Verpflichtungen haftbar.

Der Datenverarbeiter muss DPAs mit Unterauftragsverarbeitern innerhalb der EU/des EWR abschließen. Für Unterauftragsverarbeiter außerhalb der EU/des EWR müssen Standardvertragsklauseln (SCC) oder andere gültige Mechanismen wie das EU-US Privacy Shield verwendet werden.

Der für die Verarbeitung Verantwortliche erteilt dem Datenverarbeiter ein allgemeines Mandat, solche Standardverträge in seinem Namen abzuschließen.

§ 6. Haftung

Die Haftung der Vertragsparteien wird durch den Hauptvertrag geregelt. Die Haftung für Schäden im Rahmen dieser Vereinbarung wird durch die Hauptvereinbarung geregelt.

§ 7. Laufzeit und Beendigung

Dieses Abkommen tritt zum gleichen Zeitpunkt wie das Hauptabkommen in Kraft.

Bei Beendigung des Hauptvertrags endet auch dieser Vertrag. Der Datenverarbeiter bleibt jedoch so lange an seine Verpflichtungen gebunden, wie er personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. In einer Situation, wie in Abschnitt 5.2 beschrieben, kann jede Partei die Vereinbarung und die Hauptvereinbarung mit einer Frist von einem (1) Monat zum Monatsende kündigen.

Wenn die Verarbeitung eingestellt wird, muss der Datenverarbeiter auf Verlangen des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben und alle vorhandenen Kopien löschen, es sei denn, die Aufbewahrung ist nach EU- oder nationalem Recht vorgeschrieben.

§ 8. Geltendes Recht

Für diese Vereinbarung gilt schwedisches Recht. Streitigkeiten sind von schwedischen Gerichten zu entscheiden.

Anhang 1

Kategorien von betroffenen Personen, Arten von personenbezogenen Daten und Verarbeitungsanweisungen

1. Kategorien von betroffenen Personen:

Der Datenverarbeiter verarbeitet die Kontaktdaten von aktuellen, potenziellen oder ehemaligen Kunden und/oder Mitgliedern, Mitarbeitern, Lieferanten, Geschäftspartnern, verbundenen Unternehmen und Konzerngesellschaften des für die Verarbeitung Verantwortlichen.

Der Datenverarbeiter stellt sein System als Hosting-Dienst zur Verfügung und kann nicht alle Kategorien von betroffenen Personen bestimmen. Wenn der für die Verarbeitung Verantwortliche zusätzliche Kategorien verarbeitet, muss er diese Informationen registrieren.

2. Arten von personenbezogenen Daten:

  • Kontakt- und Identitätsdaten, einschließlich E-Mail
  • IP-Adressen
  • Domänennamen
  • Nutzernamen
  • Informationen zur Mitgliedschaft
  • Analytik und Nutzerdaten
  • Bestellhistorie und zugehörige Informationen
  • Verträge
  • Kommunikation
  • Fotos
  • Daten unterstützen
  • Andere Arten von personenbezogenen Daten können vorkommen

3. Anweisungen

Dienst

Der Datenverarbeiter kann personenbezogene Daten zum Zweck der Erbringung, Entwicklung, Abwicklung und Verwaltung der Dienstleistungen des Hauptvertrags verarbeiten, z. B. zur Gewährleistung der Serverstabilität und zur Einhaltung der geltenden Gesetze.

Sicherheit

Der Datenverarbeiter muss die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherstellen. Die Maßnahmen müssen der Situation, der Art der Daten und dem Risiko angemessen sein und müssen Folgendes umfassen:

  • Zugangskontrollierte Einrichtungen nur für autorisiertes Personal
  • Rollenbasierter Zugriff und Anmeldung zur Gewährleistung der Datenminimierung
  • System-Backups
  • Antivirus-Schutz
  • Protokolle ändern
  • Verschlüsselte Internetkommunikation zwischen Systemen
  • Klassifizierung von Daten für geeignete Sicherheitsmaßnahmen
  • Einsatz von sicheren Systemen und Verfahren zur Verbesserung des Datenschutzes

Der Datenverarbeiter kann zusätzliche technische und organisatorische Sicherheitsmaßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.

Aufbewahrungsfrist

Personenbezogene Daten in den Systemen des Datenverarbeiters werden innerhalb einer angemessenen Frist nach Beendigung des Hauptvertrags - in der Regel innerhalb von 8 Wochen - gelöscht oder anonymisiert. Ausnahmen gelten, wenn die Aufbewahrung der Daten gesetzlich vorgeschrieben ist, z. B. bei Rechtsstreitigkeiten.

Auch die Protokolldaten werden in der Regel innerhalb von 8 Wochen gelöscht.

Daten Standort

Die Systeme des Datenverarbeiters befinden sich in Stockholm. Der für die Verarbeitung Verantwortliche ermächtigt den Datenverarbeiter, Daten in andere in der EU ansässige Rechenzentren zu verlagern, wenn dort eine gleichwertige Sicherheit und Betriebszeit gewährleistet ist.

Prüfung

Der Datenverarbeiter muss auf eigene Kosten jährlich einen Audit- oder Inspektionsbericht eines Dritten vorlegen, um die Einhaltung dieses Abkommens und des Anhangs 1 nachzuweisen.

de_DEDeutsch
en_USEnglish sv_SESvenska de_DEDeutsch