Data Processing Agreement

GDPR-Compliant

Letzte Aktualisierung: März 2025

1. Gegenstand und Dauer

Diese Vereinbarung regelt die Verarbeitung von Personenbezogenen Daten durch Refybe im Auftrag des Kunden, in Übereinstimmung mit Artikel 28 der DSGVO. Die Dauer der Verarbeitung ist die Laufzeit der Hauptvereinbarung zwischen den Parteien, oder bis alle Personenbezogenen Daten gelöscht oder an den Kunden zurückgegeben werden.

2. Art und Zweck der Verarbeitung

  • Zweck: Die Bereitstellung von Gamification-Diensten über Refybe.com.
  • Art: Sammlung, Speicherung, Strukturierung, Analyse und Übertragung.
  • Arten von Personenbezogenen Daten: Namen, E-Mail-Adressen, Benutzer-IDs, Teilnehmerdaten (wie Teilnehmer-E-Mail, Name, Adresse etc.), Aktivitätsprotokolle.
  • Kategorien von Betroffenen: Endnutzer der Dienste des Kunden.

3. Verpflichtungen des Auftragsverarbeiters

  • Personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden verarbeiten.
  • Vertraulichkeit des Personals, das mit Daten umgeht, gewährleisten.
  • Angemessene technische und organisatorische Maßnahmen implementieren.
  • Den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen unterstützen.
  • Bei Sicherheit, Datenschutzverletzungsmeldungen und DSFA unterstützen.
  • Alle Personenbezogenen Daten bei Beendigung löschen.

4. Unterauftragsverarbeitung

Der Kunde ermächtigt Refybe, Unterauftragsverarbeiter wie in Anhang I aufgeführt zu beauftragen. Refybe informiert den Kunden über beabsichtigte Änderungen in der Liste und lässt Einwände zu.

5. Internationale Datenübertragungen

Refybe stellt sicher, dass Übertragungen von Personenbezogenen Daten außerhalb des EWR angemessenen Garantien in Übereinstimmung mit DSGVO Kapitel V unterliegen.

6. Rechte der Betroffenen

Refybe unterstützt den Kunden bei der Erfüllung der Verpflichtungen, auf Anfragen von Betroffenen gemäß DSGVO Artikeln 12–23 zu reagieren.

7. Löschung oder Rückgabe von Daten

Bei Beendigung des Dienstes löscht Refybe alle Personenbezogenen Daten, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

8. Haftung

Jede Partei ist für ihre eigenen DSGVO-Verstöße haftbar. Nichts in dieser Vereinbarung beschränkt die Rechte der Betroffenen oder regulatorische Befugnisse.

9. Anwendbares Recht

Diese Vereinbarung unterliegt dem Recht der Europäischen Union und dem Recht der Niederlande.

10. Anhang I – Autorisierte Unterauftragsverarbeiter (auf Englisch)

Sub-Processor Service Location Safeguards
AWS Hosting / Email Germany / Sweden EEA, ISO 27001
Hetzner Hosting Germany EEA, ISO 27001
SendGrid Email USA / EU SCCs