Debitoor ist jetzt SumUp. Stellen Sie jetzt Rechnungen mit SumUp und erhalten Sie Zugang zu weiteren Tools für Ihren Unternehmensbetrieb.Weiter zu SumUp

Datenverarbeitungsvereinbarung (DVV)

Die Datenverarbeitungsvereinbarung von Debitoor enthält detaillierte Informationen darüber, wie und warum deine Daten erfasst, verarbeitet und gesichert werden. Du erfährst in diesem Dokument, wie Debitoor die Anforderungen der DSGVO erfüllt.

Datenverarbeitungsvereinbarung

Gültig ab April 2018

Zuletzt aktualisiert im Dezember 2020

Zwischen:

[Kundenname] (im Folgenden “der Kunde” oder “Verantwortlicher”) [Diese Information wird automatisch in der Version des Dokuments unter "Einstellungen" in deinem Debitoor Account eingetragen, sobald du die Registrierung abgeschlossen hast]

Und

Debitoor Ireland Ltd. Block 8 Harcourt Centre, Charlotte Way, Dublin 2, D02 K580(im Folgenden “Debitoor” oder “Auftragsverarbeiter”)

beide nachstehend einzeln als „Partei“, zusammen als „Parteien“ bezeichnet,

HABEN den Bedingungen dieser Datenverarbeitungsvereinbarung (nachstehend „DVV“ oder „Vereinbarung“ genannt) zum Schutz personenbezogener Daten in Bezug auf die Verarbeitung personenbezogener Daten ZUGESTIMMT, wenn der Kunde als Datenverantwortlicher handelt und Debitoor als Datenverarbeiter handelt, um die Dienstleistungsverpflichtungen zu erfüllen, die in der Dienstleistungsvereinbarung aufgeführt sind (siehe unten). Im Rahmen der Erfüllung dieser Dienstleistungsverpflichtungen verarbeitet Debitoor bestimmte personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Bestimmungen dieses Vertrags. Jede Partei erklärt sich damit einverstanden und stellt sicher, dass die Bestimmungen dieses Vertrags auch für ihre verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten für das in der Dienstleistungsvereinbarung festgelegte Projekt beteiligt sind, uneingeschränkt gelten. Insbesondere wird Debitoor sicherstellen, dass alle Unterauftragsverarbeiter bei der Verarbeitung der personenbezogenen Daten des Kunden entsprechend dieser Vereinbarung arbeiten.

Einführung und Definitionen

Personenbezogene Daten sind definiert als jegliche Informationen, die sich auf ein Datensubjekt beziehen, welches direkt oder indirekt identifiziert werden kann, insbesondere durch ein Identifizierungsmerkmal, wie Namen, Identifikationsnummern, Ortsdaten, eine Online-Kennung oder einen oder mehrere Faktoren, die einer physischen, physiologischen, genetischen, mentalen, ökonomischen, kulturellen oder sozialen Identifikation einer natürlichen oder juristischen Person (wo anwendbar) eigentümlich sind.

Alle anderen Definitionen, auf welche hier Bezug genommen wird, einschließlich der Begriffe Verantwortlicher und Auftragsverarbeiter, werden in den relevanten Datenschutzvorschriften, einschließlich der EU Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 vom 27. April 2016 (im Folgenden „DSGVO“) definiert.

Die Verarbeitung sensibler personenbezogener Daten ist nicht durch den Anwendungsdienst vorgesehen und ist daher von dieser Vereinbarung ausgeschlossen.

Durch die Anmeldung zur Nutzung des Debitoor-Programms und die Zustimmung zur AGB, einschließlich der Datenschutzerklärung und dieser DVV, stimmen die Parteien unter allen nationalen Datenschutzgesetzen und unter der DSGVO zu, dass diese Vereinbarung das Verhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter regelt und Bestimmungen für die Verarbeitung personenbezogener Daten des Kunden durch Debitoor regelt. Diese Vereinbarung hat Vorrang, soweit sie nicht durch eine andere unterzeichnete DVV, welche ihren Vorrang über diese Vereinbarung kommuniziert, ersetzt wird.

Der Zweck der Verarbeitung personenbezogener Daten durch Debitoor für den Kunden ist es, die Sicherstellung der vollständigen Nutzung des Dienstes durch den Kunden und die Erfüllung dieser Vereinbarung zu erlauben. Debitoor versichert, dass ausreichende Sicherheit der personenbezogenen Daten zu jeder Zeit sichergestellt wird. Beide Parteien bestätigen ihre Autorität, diese Vereinbarung einzugehen, indem sie dies tun.

Verantwortung des Auftragsverarbeiters

Der Auftragsverarbeiter muss sämtliche personenbezogenen Daten im Auftrag des Verantwortlichen nach dessen Anweisungen handhaben. Beim Abschluss dieser Vereinbarung wird Debitoor (und alle Subverarbeiter, mit denen der Auftragsverarbeiter eine rechtliche Dienstvereinbarung hat) angewiesen, personenbezogene Daten wie folgt zu verarbeiten:

  1. Im Einklang mit nationalem und europäischem Recht
  2. Um seine Verpflichtungen unter den Bestimmungen für die Dienstanwendung zu erfüllen
  3. So wie durch den Verantwortlichen angewiesen
  4. So wie in dieser Vereinbarung beschrieben

Als Teil der Zurverfügungstellung der Anwendung ist der Auftragsverarbeiter dazu verpflichtet, dem Kunden stets adäquate Lösungen zur Begleitung steter Entwicklung seines Unternehmens durch die Verwendung des Dienstes zur Verfügung zu stellen. Der Auftragsverarbeiter hält fest, wie der Kunde die Anwendung nutzt, um die besten Vorschläge zu machen, um zu jeder Zeit relevante Dienste anbieten zu können und um die präzisesten Kommunikationen zu senden, um auf die stete Leichtigkeit der Nutzung und Zufriedenheit hinzuarbeiten. Soweit die Verarbeitung personenbezogener Daten von der Anwendung Teil dessen ist, werden sie nur im Einklang mit dieser DVV und anwendbaren Rechtsnormen verarbeitet und nur insoweit weitergegeben, wie es notwendig ist, um ein besseres Erlebnis für den Kunden zu schaffen.

Unter Berücksichtigung der verfügbaren Technologie und den Kosten der Implementierung sowie der Reichweite, dem Kontext und dem Zweck der Verarbeitung, wird verlangt, dass der Auftragsverarbeiter alle zumutbaren Vorkehrungen trifft, einschließlich technischen und organisatorischen Vorkehrungen, um einen ausreichenden Grad an Sicherheit in Bezug auf das Risiko und die Kategorie der personenbezogenen Daten sicherzustellen. Der Auftragsverarbeiter wird den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen unterstützen, soweit sie notwendig sind, unter Berücksichtigung der Natur des Verfahrens und der Kategorie der Information, die dem Auftragsverarbeiter zur Verfügung steht, um die Einhaltung der Verpflichtungen des Verantwortlichen unter anwendbarem Datenschutzrecht zu gewährleisten.

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich benachrichtigen, wenn der Auftragsverarbeiter von einer Sicherheitslücke Kenntnis erlangt. Darüber hinaus wird der Auftragsverarbeiter, soweit möglich und legal, den Verantwortlichen informieren, wenn ein Antrag auf Datenzugriff (Data Access Request) von einer Einrichtung gestellt wird, der der Auftragsverarbeiter die Daten zur Verfügung stellen sollte. Der Auftragsverarbeiter wird auf einen solchen Antrag reagieren, sobald er vom Verantwortlichen hierfür autorisiert wurde. Der Auftragsverarbeiter wird keine Informationen über diese Vereinbarung offenlegen, es sei denn, dass der Auftragsverarbeiter durch Gesetz, zum Beispiel durch einen Gerichtsbeschluss, dazu verpflichtet ist.

Wenn der Verantwortliche weitere Information oder Unterstützung bezüglich der Sicherheit der Daten, Dokumentation oder Information darüber wie der Auftragsverarbeiter grundsätzlich personenbezogene Daten verarbeitet benötigt, kann er diese Information vom Auftragsverarbeiter anfordern.

Der Auftragsverarbeiter, seine Angestellten und assoziierte Unternehmen oder Personen werden Vertraulichkeit in Bezug auf personenbezogene Daten, die unter dieser Vereinbarung verarbeitet werden, sicherstellen. Diese Vorkehrung bleibt auch nach Beendigung der Vereinbarung in Kraft, unabhängig vom Grund der Beendigung.

Verantwortung des Verarbeiters

Der Verantwortliche bestätigt durch Unterzeichnung dieser Vereinbarung, dass er bei Nutzung der Anwendung befähigt ist, seine Daten uneingeschränkt verarbeiten zu dürfen, soweit im Einklang mit allen datenschutzrechtlichen Anforderungen, einschließlich der DSGVO. Er gibt seine ausdrückliche Einwilligung zur Verarbeitung seiner personenbezogenen Daten zu jeder Zeit während der Verwendung des Dienstes.

Der Verantwortliche kann jederzeit seine Einwilligung widerrufen, jedoch wird hierdurch die Vereinbarung beendigt und der Auftragsverarbeiter wird nicht länger den Dienst zur Verfügung stellen können.

Der Kunde hat eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten mit dem Auftragsverarbeiter (einschließlich aller Subverarbeiter) durch die Verwendung des Dienstes Debitoors.

Der Verantwortliche ist zu jeder Zeit verantwortlich für die Richtigkeit, die Integrität, den Inhalt und die Zuverlässigkeit der Daten, die vom Auftragsverarbeiter verarbeitet werden. Er hat alle obligatorischen Voraussetzungen, bezüglich der Verarbeitung personenbezogener Daten erfüllt, in Bezug auf die Benachrichtigung der relevanten öffentlichen Behörden, oder den Erhalt einer Erlaubnis von relevanten öffentlichen Behörden. Er hat ferner alle Offenlegungsverpflichtungen gegenüber den relevanten Behörden bezüglich der Verarbeitung personenbezogener Daten im Einklang mit allen anwendbaren Datenschutzvoraussetzungen erfüllt.

Der Verantwortliche muss eine vollständige und fehlerfreie Liste der Kategorien personenbezogener Daten, die er verarbeitet, haben, insbesondere wenn eine solche Verarbeitung von den vom Auftragsverarbeiter in Anhang A aufgelisteten Kategorien abweicht.

Vereinbarung zur Übertragung von Daten und zur Verwendung durch Subunternehmer

Um den Dienst dem Verantwortlichen anzubieten, nutzt der Auftragsverarbeiter Subunternehmer. Diese Subunternehmer können Drittpersonen sowohl innerhalb, als auch außerhalb der/des EU / EWR sein. Der Auftragsverarbeiter gewährleistet, dass alle Subunternehmer die Verpflichtungen und Voraussetzungen dieser Vereinbarung erfüllen, insbesondere, dass deren Datenschutzniveau den Standards entspricht, die von relevantem Datenschutzrecht gefordert werden. Wenn sich die anwendbare Rechtsordnung außerhalb der/des EU/EWR befindet und nicht auf der Auflistung der Europäischen Kommission für zufriedenstellende Datenschutzniveaus unter der DSGVO befindet, wird eine besondere Vereinbarung zwischen Debitoor und dem Subunternehmen getroffen, um sicherzustellen, dass alle personenbezogenen Daten im Einklang mit den Voraussetzungen des aktuellen EU-Datenschutzrechts behandelt werden.

Die Subunternehmer des Datenanbieters sind in der angefügten Liste der Subunternehmer aufgeführt: www.debitoor.com/subcontractors Diese Vereinbarung konstituiert die vorherige, spezifische und ausdrückliche Einwilligung des Verantwortlichen zur Verwendung von Subunternehmern durch den Datenverantwortlichen, welche sich zeitweise außerhalb der/des EU / EWR oder Territorien, die von der Europäischen Kommission anerkannt wurden, befinden können.

Der Verantwortliche kann jederzeit seine Einwilligung widerrufen, jedoch wird hierdurch die Vereinbarung beendigt und der Auftragsverarbeiter wird nicht länger den Dienst zur Verfügung stellen können.

Wenn ein Subunternehmer eingesetzt wird oder personenbezogene Daten außerhalb der/des EU / EWR oder Territorien, die von der Europäischen Kommission anerkannt sind, gespeichert werden, trägt der Auftragsverarbeiter die Verantwortung zu gewährleisten, dass eine zufriedenstellende Grundlage für die Übertragung personenbezogener Daten in einen Drittstaat im Auftrag des Verantwortlichen gewährleistet wird, einschließlich der Nutzung der Standardverträge der EU-Kommission oder spezifischer Maßnahmen, die im Vorhinein von der EU-Kommission anerkannt wurden.

Der Verantwortliche muss informiert werden, bevor der Auftragsverarbeiter seine Subunternehmer austauscht. Der Verantwortliche kann Einspruch gegen den neuen Sub-Verarbeiter erheben, der seine personenbezogenen Daten im Auftrag des Auftragsverarbeiters verarbeitet, jedoch nur, wenn der Subverarbeiter die Daten nicht im Einklang mit relevantem Datenschutzrecht verarbeitet. Der Auftragsverarbeiter kann die Einhaltung des Datenschutzrechts demonstrieren, indem er dem Verantwortlichen Zugang zur Datenschutzeinschätzung des Auftragsverarbeiters gewährt.

Sollte der Verantwortliche weiterhin der Einsetzung des Subunternehmers widersprechen, kann er sein Abonnement ohne die gewöhnliche Kündigungsfrist des Dienstes beendigen, wodurch sichergestellt wird, dass die personenbezogenen Daten nicht vom ungewollten Subunternehmer verarbeitet werden.

Laufzeit der Vereinbarung

Die Vereinbarung bleibt solange gültig, wie der Auftragsverarbeiter personenbezogene Daten unter Verwendung der Dienstanwendung des Verantwortlichen verarbeitet und soweit sie nicht durch eine andere unterzeichnete DVV, welche ihren Vorrang über diese Vereinbarung kommuniziert, ersetzt wird.

Beendigung der Vereinbarung

Mit Beendigung eines Abonnements, mithin wenn die Vereinbarung endet, kann der Datenverantwortliche alle Daten des Benutzerkontos löschen. Mit der Ausführung des Datenlöschvorgangs, der durch den Datenverantwortlichen angestoßen wird, löscht der Auftragsverarbeiter alle personenbezogenen Daten, außer diejenigen, die aufgrund der anwendbaren rechtlichen Anforderungen erhalten werden müssen und die in einem solchen Fall im Einklang mit technischen und organisatorischen Schutzvorkehrungen Debitoors aufbewahrt werden.

Der Datenverantwortliche hat die Möglichkeit alle personenbezogenen Daten aus der Dienstanwendung zu exportieren. Sollte der Datenverantwortliche Hilfe beim Datenexport beanspruchen, werden die damit verbundenen Kosten im gegenseitigen Einverständnis der beiden Parteien, basierend auf der Komplexität des geforderten Prozesses und der Zeit, die notwendig ist, um das gewählte Format zu erfüllen, bestimmt.

Änderungen der Vereinbarung

Änderungen der Vereinbarung müssen in einem separaten Anhang der Vereinbarung angefügt werden. Sollten Bestimmungen dieser Vereinbarung für unwirksam befunden werden, hat dies keine Auswirkung auf die restlichen Bestimmungen. Die Parteien ersetzen die unwirksamen Bestimmungen mit rechtlichen Bestimmungen, die den Zweck der unwirksamen Bestimmung entsprechen.

Überprüfung

Der Verantwortliche ist dazu berechtigt, eine Überprüfung der Verpflichtungen des Auftragsverarbeiters aus dieser Vereinbarung einmal im Jahr zu initiieren. Sollte der Verantwortliche unter anwendbarem Recht dazu verpflichtet sein, können Überprüfungen einmal im Jahr wiederholt werden. Ein detaillierter Überprüfungsplan muss mindestens vier Wochen vor dem vorgeschlagenen Anfangsdatum vorgelegt werden, in welchem die Reichweite, Dauer und das Anfangsdatum spezifiziert werden. Die Parteien entscheiden zusammen, ob ein Dritter die Untersuchung durchführen soll. Der Verantwortliche kann jedoch dem Auftragsverarbeiter erlauben, die Sicherheitsüberprüfung durch einen neutralen Dritten, den der Auftragsverarbeiter aussuchen kann, durchführen zu lassen, wenn in der Verarbeitungsumgebung Daten mehrere Datenverantwortlicher verarbeitet werden.

Wenn die vorgeschlagene Reichweite der Untersuchung einem ISAE, ISO oder ähnlichem Zertifikationsbericht, welcher von einem qualifizierten Dritten innerhalb der vorangegangenen zwölf Monate stattgefunden hat, entspricht, und der Auftragsverarbeiter bestätigt, dass keine grundlegenden Veränderungen der Überprüfungsmaßnahmen vorgenommen wurden, wird dies alle Anfragen, die innerhalb einer bestimmten Zeitspanne zugestellt wurden, befriedigen. Überprüfungen dürfen die gewöhnliche Ausübung des gewerblichen Betriebs des Auftragsverarbeiters nicht unzumutbar beeinträchtigen. Der Datenverantwortliche ist für alle mit der geforderten Überprüfung verbundenen Kosten verantwortlich.

Verantwortlichkeiten und Gerichtsbarkeiten

Haftung für Ansprüche, die aus der Verletzung der Bestimmungen dieser Vereinbarung hervorgehen, wird von den Haftungs- und Schadensersatzbestimmungen in den AGB des Abonnements hervorgehen. Dies gilt auch für sämtliche Verletzungen durch die Subverarbeiter des Auftragsverarbeiters.

Diese Vereinbarung wird in Übereinstimmung mit irischem Recht und von irischen Gerichten überprüft und ausgelegt, welchen die ausschließliche Zuständigkeit für Rechtsstreitigkeiten, die dieselbige betreffen, zusteht.

Anhang A

Anhang A – Kategorien personenbezogener Information und gewöhnliche Verarbeitungskategorien.

A. Kategorien personenbezogener Information (Liste ist nicht abschließend)

  1. Name
  2. Adresse
  3. Telefonnummer(n)
  4. E-Mail-Adresse(n)
  5. Adresse(n)
  6. Kontonummern oder Bankdaten

B. Gewöhnliche Verarbeitungskategorien (Liste ist nicht abschließend)

  1. Die Angestellten des Verantwortlichen
  2. Die Kontakte des Verantwortlichen (Telefon/E-Mail/Adresse/etc.)
  3. Die Kunden des Verantwortlichen
  4. Die Bankinformationen des Verantwortlichen
  5. Die Angestellten seiner Kunden
  6. Die Kontakte seiner Kunden (Telefon/E-Mail/Adresse/etc.)
  7. Die Kunden seiner Kunden
  8. Die Bankinformation der Kunden seiner Kunden

Fragen? Schreib uns.

Sende eine Email an [email protected].

Log in

Debitoor ist jetzt SumUp!

Die Debitoor-Anwendung wurde eingestellt. Wenn Sie jedoch nach einer umfassenden Rechnungsstellungssoftware suchen, bietet Ihnen SumUp alles, was Sie brauchen. SumUp ist mehr als nur eine Rechnungsstellungssoftware. Wir bieten eine Reihe integrierter Tools, die Sie bei einem mühelosen, effizienten Betrieb Ihres Unternehmens unterstützen. Eröffnen Sie ein Geschäftskonto mit einer kostenlosen Mastercard, richten Sie einen Online-Shop ein, akzeptieren Sie verschiedene Zahlungsmethoden (vor Ort sowie aus der Ferne) und vieles mehr. Optimieren Sie jetzt Ihre Rechnungen, Zahlungen und Konten!

Weiter zu SumUp

Ihre Privatsphäre liegt uns am Herzen

Wenn du diese Website oder unsere mobilen Applikationen besuchst, sammeln wir automatisch Informationen wie standartisierte Details und Identifikatoren für Statistiken oder Marketingzwecke. Du kannst diesem zustimmen, indem du deine Präferenzen unten konfigurierst. Du hast auch die Möglichkeit, nicht zuzustimmen. Bitte nimm zur Kenntnis, dass einige Informationen trotzdem über den Browser gespeichert werden könnten, da dies nötig ist, damit die Seite funktioniert. Wenn du zur Website zurückkehrst, kannst du deine Datenschutzeinstellungen jederzeit ändern.

Für mehr Details besuchen Sie Datenschutzrichtlinien