Datenverarbeitungsvertrag (DPA)

Diese Datenverarbeitungsvereinbarung (“Vereinbarung”) ist Bestandteil der Vereinbarung zwischen Conlumina Digital (“Auftragsverarbeiter”) und dem Kunden (“Auftraggeber”) über die Nutzung des Conlumina Reviews-Dienstes.

Letzte Aktualisierung: 2026-04-20

1. Rollen und Umfang

Der Controller agiert als für die Verarbeitung Verantwortlicher und der Processor agiert als Auftragsverarbeiter im Sinne der DSGVO.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und gemäß den dokumentierten Weisungen des Verantwortlichen, wie in dieser Vereinbarung, den geltenden Nutzungsbedingungen und der Nutzung und Konfiguration des Dienstes durch den Verantwortlichen definiert.

2. Umfang der Verarbeitung

Der Prozessor verarbeitet personenbezogene Daten zur Erbringung des Conlumina Reviews-Dienstes. Dies umfasst:

  • Importieren von Kundendaten, die vom Controller bereitgestellt werden
  • Versenden von Bewertungseinladungen per E-Mail oder über andere Kommunikationskanäle, wie vom Controller konfiguriert
  • Verwaltung und Speicherung von Antwort auf Bewertungen
  • Bereitstellung von Werkzeugen für Moderation, Beantwortung und Veröffentlichung von Rezensionen
  • Aggregieren und Präsentieren von Bewertungsdaten innerhalb der Plattform

Der Prozessor verwendet persönliche Daten nicht für eigene Zwecke und bestimmt die Zwecke oder Mittel der Verarbeitung nicht unabhängig über das hinaus, was zur Erbringung der Dienstleistung erforderlich ist.

3. Anweisungen

Der Controller weist den Prozessor an, personenbezogene Daten zu verarbeiten, um den Dienst bereitzustellen. Solche Anweisungen umfassen, sind aber nicht beschränkt auf:

  • Hochladen oder Synchronisieren von Kundendaten
  • Kommunikationsworkflows und Trigger konfigurieren
  • Empfänger und Zeitpunkt von Überprüfungsaufforderungen definieren
  • Verwaltung und Beantwortung von Bewertungen

Der Controller kann zusätzliche dokumentierte Anweisungen erteilen. Der Auftragsverarbeiter hat den Controller zu informieren, wenn eine Anweisung seiner Meinung nach gegen geltendes Recht verstößt.

4. Rechtliche Grundlage

Der Controller ist allein dafür verantwortlich, sicherzustellen, dass eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einschließlich jeglicher über den Dienst versandter Kommunikation (z. B. Bewertungsaufforderungen), gemäß den geltenden Datenschutz- und elektronischen Kommunikationsgesetzen besteht.

Der Auftragsverarbeiter bestimmt nicht die Rechtsgrundlage für die Verarbeitung und handelt nur im Auftrag des Verantwortlichen.

5. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

6. Sicherheitsmaßnahmen

Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter insbesondere:

  • Verschlüsselung von Daten während der Übertragung
  • Zugriffskontrolle und Authentifizierungsmechanismen
  • Zugriffsbeschränkung auf personenbezogene Daten
  • Regelmäßige Systemupdates und Überwachung

Weitere Details sind in Anhang 1 beschrieben.

7. Unterauftragnehmer

Der Prozessor kann Unterauftragnehmer beauftragen, Teile der Dienstleistung zu erbringen, einschließlich Anbietern von Hosting-, Infrastruktur-, Kommunikationsbereitstellungs- und Analysediensten.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter an Datenschutzverpflichtungen gebunden sind, die denen in dieser Vereinbarung gleichwertig sind.

Eine aktuelle Liste der Subunternehmer ist auf Anfrage oder unter folgendem Link verfügbar: [INSERT URL].

Der Auftragsverarbeiter kann aus berechtigten datenschutzrechtlichen Gründen der Verwendung eines neuen Unterauftragsverarbeiters widersprechen.

8. Unterstützung des Controllers

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Pflichten nach geltendem Datenschutzrecht, einschließlich:

  • Reagieren auf Anfragen von betroffenen Personen
  • Einhaltung von Sicherheitsverpflichtungen gewährleisten
  • Unterstützung bei Datenschutz-Folgenabschätzungen, wo erforderlich

9. Datenschutzverletzungen

Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen.

10. Internationale Überweisungen

Der Auftragsverarbeiter darf personenbezogene Daten nicht außerhalb der EU/des EWR übermitteln, es sei denn, es sind geeignete Garantien gemäß geltendem Recht vorhanden.

11. Datenspeicherung und -löschung

Nach Beendigung der Dienstleistung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

Sofern nicht anders vereinbart, werden personenbezogene Daten 30 Tage nach Beendigung der Dienstleistung gelöscht.

12. Audits

Der Controller kann Informationen anfordern, die zur Nachweisung der Einhaltung dieser Vereinbarung erforderlich sind. Alle Prüfungen werden mit angemessener Vorankündigung durchgeführt und dürfen den Betrieb des Auftragsverarbeiters nicht stören.

13. Laufzeit und Kündigung

Diese Vereinbarung bleibt in Kraft, solange der Verarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Anhang 1 – Beschreibung der Verarbeitung

Kategorien von betroffenen Personen

  • Kunden oder Klienten des Controllers

Arten von personenbezogenen Daten

  • Name
  • E-Mail-Adresse
  • Telefonnummer (falls angegeben)
  • Überprüfen Sie Inhalte und Antworten
  • Metadaten, die sich auf Kommunikation und Interaktion beziehen (z. B. Zeitstempel, Zustellstatus)

Zweck der Verarbeitung

  • Einladungen zur Überprüfung senden
  • Sammeln und Verwalten von Kundenrezensionen
  • Bereitstellung von Analysen und Erkenntnissen zu Rezensionen
  • Veröffentlichung und Moderation von Bewertungen ermöglichen

Art der Verarbeitung

  • Sammlung, Speicherung, Organisation und Strukturierung von Daten
  • Übertragung (z. B. Senden von Mitteilungen)
  • Abruf und Nutzung innerhalb der Plattform
  • Löschung auf Anweisung oder Kündigung

Verarbeitungsdauer

  • Für die Dauer der Dienstleistungsvereinbarung und bis zur Löschung gemäß Abschnitt 11

Sicherheitsmaßnahmen

  • Verschlüsselung während der Übertragung (HTTPS)
  • Zugriffskontrolle und rollenbasierte Berechtigungen
  • Zugang nur für autorisiertes Personal
  • Überwachung und Protokollierung der Systemaktivität