Plecto

Plecto Data Processing Agreement

Verarbeitung personenbezogener Daten

1.1 Rollen der Parteien. Die Parteien erkennen an und stimmen zu, dass in Bezug auf die Verarbeitung personenbezogener Daten der Abonnent der Verantwortliche ist, Plecto der Auftragsverarbeiter ist und dass Plecto Unterauftragsverarbeiter gemäß den in Abschnitt 5 „Unterauftragsverarbeiter" unten festgelegten Anforderungen einsetzen wird. In Anhang B Abschnitt 4.1 wird ausschließlich auf die einwilligungsbasierte Verarbeitungstätigkeit verwiesen. Plectos Kunden können ihre Einwilligung jederzeit widerrufen.

1.2 Verarbeitung personenbezogener Daten durch den Abonnenten. Der Abonnent hat bei der Nutzung der Dienste personenbezogene Daten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften zu verarbeiten. Zur Klarstellung: Die Weisungen des Abonnenten zur Verarbeitung personenbezogener Daten müssen den Datenschutzgesetzen und -vorschriften entsprechen. Der Abonnent trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen der Abonnent die personenbezogenen Daten erlangt hat.

1.3 Verarbeitung personenbezogener Daten durch Plecto. Plecto darf personenbezogene Daten nur auf dokumentierte Weisung des Abonnenten verarbeiten, es sei denn, dies ist nach EU-Recht oder dem nationalen Recht der Mitgliedstaaten, denen Plecto unterliegt, erforderlich; in diesem Fall unterrichtet Plecto den Abonnenten vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, ein zuständiges Gericht untersagt eine solche Unterrichtung aus Gründen wichtiger öffentlicher Interessen gemäß Artikel 28 Absatz 3 Buchstabe a.

1.4 Informationspflicht von Plecto. Plecto unterrichtet den Verantwortlichen unverzüglich, wenn die Weisungen des Verantwortlichen nach Einschätzung von Plecto gegen die Datenschutz-Grundverordnung oder datenschutzrechtliche Bestimmungen des EU-Rechts oder des nationalen Rechts der Mitgliedstaaten verstoßen, denen Plecto unterliegt.

1.5 Einzelheiten der Verarbeitung. Gegenstand der Verarbeitung personenbezogener Daten durch Plecto ist die Erbringung der Dienste gemäß dem Vertrag. Die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anhang B (Einzelheiten der Verarbeitung) angegeben.

1.6 Kunden mit kostenlosem Testzugang. Der Kunde gilt in diesem Zusammenhang ebenfalls als Verantwortlicher. Kunden, die ausschließlich die kostenlose Testphase von Plecto nutzen, unterliegen diesem Auftragsverarbeitungsvertrag, es sei denn, Plecto hat den eigenen Auftragsverarbeitungsvertrag des Kunden unterzeichnet. Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Kunden durch Plecto ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Wenn der Kunde nach der Testphase kein Abonnement abschließt, werden alle personenbezogenen Daten innerhalb von drei (3) Monaten, gerechnet in Kalendertagen, von den Servern von Plecto gelöscht.

2. Rechte der betroffenen Personen

2.1 Plecto unterstützt unter Berücksichtigung der Art der Verarbeitung den Abonnenten so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Abonnenten, Anträge auf Wahrnehmung der Rechte betroffener Personen gemäß Kapitel 3 der Datenschutzverordnung zu beantworten.

2.2 Plecto unterstützt den Abonnenten bei der Sicherstellung der Einhaltung der Pflichten des Abonnenten gemäß Artikel 33–36 der Datenschutzverordnung unter Berücksichtigung der Art der Verarbeitung und der Plecto zur Verfügung stehenden Informationen, wie in Artikel 28 Absatz 3 Buchstabe f genannt.

2.3 Sollte der Abonnent die Unterstützung von Plecto zur Sicherstellung der Einhaltung der in Artikel 33–36 festgelegten Pflichten benötigen, behält sich Plecto das Recht vor, dem Abonnenten angemessene Kosten für die Unterstützung in Rechnung zu stellen, einschließlich der von Plecto-Personal aufgewendeten Stunden.

3. Plecto-Personal

3.1 Plecto stellt sicher, dass sein an der Verarbeitung personenbezogener Daten beteiligtes Personal über die Vertraulichkeit der personenbezogenen Daten informiert ist, eine angemessene Schulung zu seinen Pflichten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen abgeschlossen hat. Plecto stellt sicher, dass solche Vertraulichkeitsverpflichtungen nach Beendigung des Beschäftigungsverhältnisses fortbestehen. 3.2 Plecto ergreift wirtschaftlich vertretbare Maßnahmen, um die Zuverlässigkeit des an der Verarbeitung personenbezogener Daten beteiligten Plecto-Personals sicherzustellen.

3.3 Plecto stellt sicher, dass der Zugriff auf personenbezogene Daten auf das Personal beschränkt ist, das Dienste gemäß dem Vertrag erbringt.

4. Verarbeitungssicherheit

4.1 Plecto setzt alle nach Artikel 32 der Datenschutzverordnung erforderlichen Maßnahmen um, einschließlich geeigneter technischer und organisatorischer Maßnahmen, um ein diesen Risiken angemessenes Sicherheitsniveau zu gewährleisten. Plecto hat unter anderem folgende Sicherheitsmaßnahmen implementiert:

(i) Technische Maßnahmen (die Liste ist nicht erschöpfend), darunter Firewalls, Antivirensoftware, Verschlüsselung, Backup-Lösungen, Protokollierung, Zwei-Faktor-Authentifizierung für den Systemzugang, Passwortschutz und Zugriffskontrolle/Autorisierungsverwaltung.

(ii) Organisatorische Maßnahmen, darunter eine IT-Sicherheitsrichtlinie, Schulungen zur Sicherheitsbewusstsein, Systemrisikoabschätzungen, physische Zugangskontrolle in Form eines abgeschlossenen Haupteingangs mit individuellen Zugangskarten für alle Mitarbeiter sowie Vertraulichkeitsklauseln in Arbeitsverträgen.

5. Unterauftragsverarbeiter

5.1 Plecto hält die in Artikel 28 Absatz 2 und 4 der Datenschutzverordnung genannten Bedingungen ein, um einen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) einzusetzen.

5.2 Plecto führt eine aktualisierte Liste der Unterauftragsverarbeiter in dieser MSA in Anhang B, Abschnitt 5.

5.3 Der Abonnent erteilt Plecto eine allgemeine Genehmigung zur Nutzung der in Anhang B, Abschnitt 5 definierten Unterauftragsverarbeiter.

5.4 Plecto unterrichtet seine Kunden gemäß der allgemeinen Genehmigung nach Abschnitt 6.3 und in Übereinstimmung mit Artikel 28 Absatz 2 der Datenschutzverordnung. Nach einer solchen Unterrichtung haben die Kunden von Plecto einen Kalendermonat Zeit, begründete Einwände gegen den bestellten neuen Auftragsverarbeiter zu erheben. Gehen innerhalb dieser Frist keine Einwände ein, gilt die Bestellung des/der neuen Auftragsverarbeiter(s) als vom/von den Verantwortlichen akzeptiert.

5.5 Der Abonnent kann Einwände gegen die Nutzung eines neuen Unterauftragsverarbeiters durch Plecto erheben, indem er Plecto innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von Plecto gemäß dem in Abschnitt 5.4 festgelegten Mechanismus unverzüglich schriftlich benachrichtigt. Im Falle von Einwänden gegen einen neuen Unterauftragsverarbeiter wird Plecto angemessene Bemühungen unternehmen, dem Abonnenten eine Änderung der Dienste zur Verfügung zu stellen oder dem Abonnenten eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Dienste zu empfehlen, um die Verarbeitung personenbezogener Daten durch den abgelehnten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Abonnenten unverhältnismäßig zu belasten. Kann Plecto eine solche Änderung nicht innerhalb eines angemessenen Zeitraums von höchstens dreißig (30) Tagen bereitstellen, kann der Abonnent den Vertrag kündigen. Plecto erstattet dem Abonnenten etwaige vorausbezahlte Gebühren für den verbleibenden Vertragszeitraum nach dem wirksamen Kündigungsdatum.

5.6 Plecto haftet in vollem Umfang für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in dem Maße, in dem Plecto haften würde, wenn es die Dienste jedes Unterauftragsverarbeiters selbst erbringen würde, sofern im Vertrag nichts anderes festgelegt ist.

6. Übermittlung von Informationen in Drittländer oder an internationale Organisationen.

6.1 Plecto darf personenbezogene Daten nur auf dokumentierte Weisung des Abonnenten verarbeiten, auch hinsichtlich der Übermittlung und internen Nutzung personenbezogener Daten in Drittländer oder an internationale Organisationen, es sei denn, dies ist nach EU-Recht oder dem nationalen Recht der Mitgliedstaaten, denen Plecto unterliegt, erforderlich; in diesem Fall unterrichtet Plecto den Abonnenten vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, ein zuständiges Gericht untersagt eine solche Unterrichtung aus Gründen wichtiger öffentlicher Interessen gemäß Artikel 28 Absatz 3 Buchstabe a.

6.2 Enthält die Liste der Unterauftragsverarbeiter gemäß Abschnitt 5.2 Unternehmen in Drittländern, genehmigt der Abonnent durch Unterzeichnung des Vertrags oder, bezüglich einer Ergänzung der Liste der Unterauftragsverarbeiter, durch Nichterhebung von Einwänden gegen diesen Unterauftragsverarbeiter gemäß Abschnitt 5.5 die Nutzung dieser durch Plecto. 6.3 Für Übermittlungen an Unterauftragsverarbeiter mit Sitz in den USA werden folgende Übermittlungsmechanismen angewendet: das EU-US-Datenschutzrahmenabkommen (Data Privacy Framework), sofern der Unterauftragsverarbeiter von Plecto darunter zertifiziert ist. Ist der Unterauftragsverarbeiter nicht unter dem EU-US-Datenschutzrahmenabkommen zertifiziert, erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (SCC).

7. Meldung von Datenschutzverletzungen

7.1 Plecto pflegt Richtlinien und Verfahren für das Sicherheitsvorfallmanagement und unterrichtet den Abonnenten ohne unangemessene Verzögerung, nachdem Plecto von der versehentlichen oder unrechtmäßigen Vernichtung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem unbefugten Zugang zu Abonnentendaten, einschließlich personenbezogener Daten, die von Plecto oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet werden und von denen Plecto Kenntnis erlangt, Kenntnis erlangt hat (ein „Kundendaten-Vorfall").

7.2 Plecto unternimmt angemessene Anstrengungen, die Ursache eines solchen Kundendaten-Vorfalls zu ermitteln und die Schritte einzuleiten, die Plecto für notwendig und angemessen hält, um die Ursache eines solchen Kundendaten-Vorfalls zu beheben, soweit die Behebung im Rahmen der angemessenen Kontrolle von Plecto liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Abonnenten oder die Lizenz des Abonnenten verursacht werden.

7.3 Plecto ist verpflichtet, den Abonnenten innerhalb von 48 Stunden, nachdem Plecto von der Verletzung Kenntnis erlangt hat, über solche Verletzungen gemäß 7.1 zu informieren, damit der Abonnent die Aufsichtsbehörde innerhalb von 72 Stunden informieren kann, wie es Artikel 33 Absatz 1 erfordert.

8. Löschung und Abruf von Informationen

8.1 Daten werden nur bei Vertragsbeendigung gelöscht. Nach der Beendigung gilt eine Aufbewahrungsfrist von fünfundvierzig (45) Tagen, nach der alle vom Kunden an Plecto gelieferten oder übermittelten Daten dauerhaft gelöscht werden.

9. Prüfung

9.1 Plecto stellt dem Abonnenten alle Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 der Datenschutzverordnung erforderlich sind, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Abonnenten oder einem anderen vom Abonnenten autorisierten Prüfer durchgeführt werden.

9.2 Plecto ist verpflichtet, Artikel 58 einzuhalten und erkennt die Befugnisse der Aufsichtsbehörden an.

9.3 Prüfungen durch den Abonnenten müssen mindestens 72 Stunden im Voraus angekündigt werden und dürfen die Mitarbeiter bei Plecto oder ihre täglichen Arbeitsaufgaben nicht stören.

9.4 Der Abonnent trägt alle eigenen mit der Prüfung verbundenen Kosten.

10. Rechtliches

10.1 Plecto unterrichtet den Abonnenten unverzüglich, wenn es Gegenstand von Verfahren wird, die zu einem Anspruch auf Schadensersatz oder einer Verwaltungsstrafe nach EU-Recht oder nationalem Recht zur Ergänzung der EU-DSGVO führen können. Werden solche Verfahren eingeleitet, wird Plecto (a) dem Abonnenten die Einzelheiten mitteilen (einschließlich spezifischer Verletzungsvorwürfe); (b) dem Abonnenten Informationen und Unterstützung liefern, die der Abonnent nach vernünftigem Ermessen anfordert; und (c) den Abonnenten nicht daran hindern oder ihm Widerstand leisten, aktiv an den Verfahren teilzunehmen (unter Einsatz eigener Rechtsberater auf eigene Kosten).

Anhang B

  1. Art und Zweck der Verarbeitung

1.1 Plecto verarbeitet personenbezogene Daten in dem Umfang, der zur Erbringung der Dienste gemäß dem Vertrag, wie in der Dokumentation näher spezifiziert und wie vom Abonnenten bei der Nutzung der Dienste weiter angewiesen, erforderlich ist.

1.2 Die Verarbeitung erfolgt im Auftrag des Abonnenten, der die Rechtsgrundlage festlegt.

1.3 Wenn der Kunde als Verantwortlicher diesen von Plecto erstellten Auftragsverarbeitungsvertrag unterzeichnet, ist die primäre Rechtsgrundlage für die Verarbeitung Artikel 6 Absatz 1 Buchstabe b DSGVO. In bestimmten Fällen können spezifische Verarbeitungstätigkeiten stattdessen auf anderen Rechtsgrundlagen basieren, wie etwa der Erfüllung einer rechtlichen Verpflichtung, Einwilligung oder den berechtigten Interessen von Plecto.

2. Dauer der Verarbeitung

2.1 Vorbehaltlich Abschnitt 8 von Anhang A verarbeitet Plecto personenbezogene Daten für die Dauer des Vertrags, sofern nicht schriftlich etwas anderes vereinbart wurde.

3. Kategorien betroffener Personen

3.1 Der Abonnent kann personenbezogene Daten in die Dienste einreichen, deren Umfang vom Abonnenten nach eigenem Ermessen bestimmt und kontrolliert wird, und die folgende Kategorien betroffener Personen umfassen können, aber nicht darauf beschränkt sind:

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des
  • Abonnenten (die natürliche Personen sind)
  • Mitarbeiter oder Kontaktpersonen der Interessenten des Abonnenten,
  • Kunden, Geschäftspartner und Lieferanten
  • Mitarbeiter, Vertreter, Berater, Freiberufler des Abonnenten (die
  • natürliche Personen sind)
  • Vom Abonnenten autorisierte Lizenzinhaber des Abonnenten zur Nutzung
  • der Dienste

4. Art der personenbezogenen Daten

4.1 Telefongesprächsaufzeichnungen mit Kunden, die zum Zweck der internen Schulung verarbeitet werden. Die Rechtsgrundlage für diese Verarbeitung ist die Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO. Telefongesprächsaufzeichnungen können auch zum Zweck der Bearbeitung von Kundenbeschwerden und -streitigkeiten verarbeitet werden, einschließlich zu Dokumentations- und Beweiszwecken. Die Rechtsgrundlage für eine solche Verarbeitung sind die berechtigten Interessen von Plecto gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO.

4.2 Der Abonnent kann personenbezogene Daten in die Dienste einreichen, deren Umfang vom Abonnenten nach eigenem Ermessen bestimmt und kontrolliert wird, und die folgende Kategorien personenbezogener Daten umfassen können, aber nicht darauf beschränkt sind:

  • Vor- und Nachname
  • Titel
  • Position
  • Arbeitgeber
  • Kontaktdaten (Unternehmen, E-Mail, Telefon, physische
  • Geschäftsadresse)
  • ID-Daten
  • Berufliche Daten
  • Verbindungsdaten
Name Kontaktdaten Zweck Rechtsgrundlage und Löschung von Plecto Speicherung und Rechtsgrundlage für Übermittlungen in Drittländer
Sleeknote Søren Frichs Vej 42B, 8230 Åbyhøj
+45 71 99 77 07
mail@sleeknote.com
Erhebung von Daten auf den Websites des Verantwortlichen über direkte Einreichungen (eingereichte Daten); Erfassung von Verhaltensanalysen im Zusammenhang mit „Pop-ups" (Analysedaten); Systematisierung und Analyse von Daten; Präsentation von Analysedaten in Dashboards. DSGVO Art. 6 Abs. 1 Buchst. b. Löschung erfolgt nach 3 Monaten, wenn Plecto keinen Zweck mehr hat oder der Vertrag beendet wird. Dänemark.
Dealfront Durlacher Allee 73, 76131 Karlsruhe, Germany
privacy@dealfront.com
Analyse des Nutzerverhaltens, Produktoptimierung, Marketing, Verbesserung der Nutzererfahrung, Berichterstattung und Leistungsmessung (dealfront.com). Integration mit CRM oder anderen Systemen zur Anreicherung von Kundendatenbanken. DSGVO Art. 6 Abs. 1 Buchst. b. Wenn Plecto den Vertrag kündigt, löscht Dealfront personenbezogene Daten (außer wenn gesetzlich vorgeschrieben). Backups können bis zu 97 Tage erhalten bleiben. Speicherung in der EU (Deutschland). Übermittlungen in die USA oder andere Länder auf Grundlage der EU-Standardvertragsklauseln (SCC).
Google Inc. Sankt Petri Passage 5, 1165 København K
data-protection-office@google.com
Tel: +45 32 70 05 92
Cloud-Dienste; Gmail, Kalender, Drive usw. DSGVO Art. 6 Abs. 1 Buchst. f. Löschung erfolgt nach 3 Monaten, wenn Plecto keinen Zweck mehr hat. Speicherung in der EU. Kann zur Übermittlung in die USA verpflichtet werden. Data Privacy Framework zertifiziert.
Fenerum Silkeborgvej 263, 8230 Aarhus
+45 69 15 72 80
developers@fenerum.com
Kundenabrechnung. DSGVO Art. 6 Abs. 1 Buchst. b. Aufbewahrung für fünf Jahre gemäß dem dänischen Buchführungsgesetz, danach Löschung. Speicherung in der EU (Frankreich und Niederlande).
Hubspot 1 Sir John Rogerson's Quay, Dublin 2, Irland
Privacy@hubspot.com
Phone +353 1 518 7500
Plectos CRM-System. DSGVO Art. 6 Abs. 1 Buchst. f. Personenbezogene Daten werden innerhalb von 30 Tagen auf Anfrage von Plecto gelöscht. Dublin, Irland. Kann zur Übermittlung in die USA verpflichtet werden. Data Privacy Framework zertifiziert.
Stonly Stonly SAS, 43 Rue du Président Wilson, 92300 Levallois-Perret, France
Support@stonly.com
Phone +06 70 23 27 10
Self-Service-Support für Nutzer/Kunden. DSGVO Art. 6 Abs. 1 Buchst. b. Speicherung in der EU (Frankreich). Kann zur Übermittlung in die USA verpflichtet werden. EU-Standardvertragsklauseln (SCC).
Scaleway 8 Rue de la Ville l'Evêque, 75008 Paris, France
Privacy@scaleway.com
+33 1 84 13 00 00
Hosting. DSGVO Art. 6 Abs. 1 Buchst. f. Löschung innerhalb von 72 Stunden nach einer bestätigten Anfrage von Plecto. Speicherung in der EU (Frankreich).
E-Conomic By Visma Gærtorvet 1-5, 1799 København V
info@e-conomic.dk
Phone +45 88 20 48 40
Buchhaltungssystem. DSGVO Art. 6 Abs. 1 Buchst. b. Aufbewahrung für fünf Jahre gemäß dem dänischen Buchführungsgesetz, danach Löschung. Speicherung in der EU (Irland). Kann zur Übermittlung in die USA verpflichtet werden. E-Conomic nutzt Google Ireland Hosting (Data Privacy Framework zertifiziert).
Metabase 9740 Campo Rd. Suite 1029, Spring Valley, CA 91977, USA
Legal@metabase.com
Phone (415) 688-4151
Business-Intelligence-Funktionalität; Abfrage, Visualisierung und Verwaltung von in den Kundendaten gespeicherten Daten. DSGVO Art. 6 Abs. 1 Buchst. f. Plecto beantragt die Löschung, wenn der Zweck nicht mehr relevant ist. Speicherung in der EU (Frankfurt). Kann zur Übermittlung in die USA verpflichtet werden. EU-Standardvertragsklauseln (SCC).