Data Processing Agreement

GDPR-Compliant

Letzte Aktualisierung: März 2026

1. Gegenstand und Dauer

Diese Vereinbarung regelt die Verarbeitung von Personenbezogenen Daten durch Refybe im Auftrag des Kunden, in Übereinstimmung mit Artikel 28 der DSGVO. Die Dauer der Verarbeitung ist die Laufzeit der Hauptvereinbarung zwischen den Parteien, oder bis alle Personenbezogenen Daten gelöscht oder an den Kunden zurückgegeben werden.

2. Art und Zweck der Verarbeitung

  • Zweck: Die Bereitstellung von Gamification-Diensten über Refybe.com.
  • Art: Sammlung, Speicherung, Strukturierung, Analyse und Übertragung.
  • Arten von Personenbezogenen Daten: Namen, E-Mail-Adressen, Benutzer-IDs, Teilnehmerdaten (wie Teilnehmer-E-Mail, Name, Adresse etc.), Aktivitätsprotokolle.
  • Kategorien von Betroffenen: Endnutzer der Dienste des Kunden.

3. Verpflichtungen des Auftragsverarbeiters

  • Personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden verarbeiten.
  • Vertraulichkeit des Personals, das mit Daten umgeht, gewährleisten.
  • Angemessene technische und organisatorische Maßnahmen implementieren.
  • Den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen unterstützen.
  • Bei Sicherheit, Datenschutzverletzungsmeldungen und DSFA unterstützen.
  • Alle Personenbezogenen Daten bei Beendigung löschen.

4. Unterauftragsverarbeitung

Der Kunde ermächtigt Refybe, Unterauftragsverarbeiter wie in Anhang I aufgeführt zu beauftragen. Refybe informiert den Kunden über beabsichtigte Änderungen in der Liste und lässt Einwände zu.

5. Internationale Datenübertragungen

Refybe stellt sicher, dass Übertragungen von Personenbezogenen Daten außerhalb des EWR angemessenen Garantien in Übereinstimmung mit DSGVO Kapitel V unterliegen.

6. Rechte der Betroffenen

Refybe unterstützt den Kunden bei der Erfüllung der Verpflichtungen, auf Anfragen von Betroffenen gemäß DSGVO Artikeln 12–23 zu reagieren.

7. Löschung oder Rückgabe von Daten

Bei Beendigung des Dienstes löscht Refybe alle Personenbezogenen Daten, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

8. Haftung

Jede Partei ist für ihre eigenen DSGVO-Verstöße haftbar. Nichts in dieser Vereinbarung beschränkt die Rechte der Betroffenen oder regulatorische Befugnisse.

9. Anwendbares Recht

Diese Vereinbarung unterliegt dem Recht der Europäischen Union und dem Recht der Niederlande.

10. Anhang I – Autorisierte Unterauftragsverarbeiter (auf Englisch)

Payment
Stripe
Payment processing
USA / EU
SCCs
Email
AWS SES
Transactional email (platform)
EU
EEA · ISO 27001
Lettermint
Transactional email (participants)
EU
EEA
Hosting
AWS
Cloud hosting & storage
EU
EEA · ISO 27001
Hetzner
Server hosting
EU
EEA · ISO 27001