1. Gegenstand und Laufzeit

• 1.1 Diese Datenschutzvereinbarung regelt die Verarbeitung personenbezogener Daten, die in den Kundendaten enthalten sind.
• 1.2 Diese Datenschutzvereinbarung gilt für die Dauer der Nutzung des Dienstes durch den Kunden und solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

2. Art und Zweck der Verarbeitung
‍

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

• die Bereitstellung und den Betrieb des Dienstes,
• damit der Kunde den Dienst nutzen kann,
• Kundenbetreuung,
• Gewährleistung der Sicherheit und der Systemintegrität,
• zur Erfüllung gesetzlicher Verpflichtungen.

3. Kategorien von betroffenen Personen
‍

Personenbezogene Daten können sich beziehen auf:

• Mitarbeiter des Kunden
• Kundenbetreuer
• Endnutzer von Kundenprojekten
• Andere Personen, deren personenbezogene Daten in den Kundendaten enthalten sind

4. Arten personenbezogener Daten
‍

Je nach Nutzung durch den Kunden können personenbezogene Daten Folgendes umfassen:

• Namen
• Kontaktdaten
• Berufsbezeichnungen
• Benutzerkennungen
• IP-Adressen und Nutzungsdaten
• In hochgeladenen Dokumenten oder Zeichnungen enthaltene personenbezogene Daten

5. Pflichten des Auftragsverarbeiters
‍

Der Auftragsverarbeiter hat:

• 5.1 Personenbezogene Daten dürfen nur auf der Grundlage dokumentierter Anweisungen des Verantwortlichen verarbeitet werden.
• 5.2 Die Vertraulichkeit des befugten Personals gewährleisten.
• 5.3 Geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen.
• 5.4 Den Verantwortlichen bei Anfragen zu den Rechten betroffener Personen zu unterstützen, soweit dies zumutbar ist.
• 5.5 Den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten zu unterrichten.
• 5.6 Keine personenbezogenen Daten verkaufen.
• 5.7 Der Auftragsverarbeiter hat sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen.

6. Anonymisierung und Verbesserung der Dienstleistungen

• 6.1 Der Auftragsverarbeiter darf Kundendaten zum Zwecke der Verbesserung, Entwicklung, Erprobung und Schulung des Dienstes, einschließlich Modellen des maschinellen Lernens, nur dann verwenden, wenn diese Daten zuvor unwiderruflich anonymisiert wurden.
• 6.2 Anonymisierte Daten dürfen keine natürliche Person oder den Verantwortlichen identifizieren und dürfen auch nicht dazu geeignet sein, diese zu identifizieren.
• 6.3 Nach der Anonymisierung gelten diese Daten nicht mehr als personenbezogene Daten im Sinne dieser Datenschutzvereinbarung.
• 6.4 Der Auftragsverarbeiter darf die in den Kundendaten enthaltenen personenbezogenen Daten nicht für eigene, unabhängige Zwecke verwenden.

7. Unterauftragsverarbeiter

• 7.1 Der Verantwortliche ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter einzusetzen.
• 7.2 Eine aktuelle Liste der Unterauftragsverarbeiter ist unter folgender Adresse verfügbar: https://www.planmetry.com/subprocessors
• 7.3 Der Auftragsverarbeiter hat sicherzustellen, dass die Unterauftragsverarbeiter durch schriftliche Vereinbarungen gebunden sind, die Datenschutzverpflichtungen auferlegen, die denen in dieser DPA entsprechen.
• 7.4 Der Verantwortliche kann aus triftigen datenschutzrechtlichen Gründen innerhalb von dreißig (30) Tagen nach der Benachrichtigung Einwände gegen einen neuen Auftragsverarbeiter erheben.

8. Internationale Überweisungen
‍

Werden personenbezogene Daten außerhalb des EWR übermittelt, hat der Auftragsverarbeiter angemessene Schutzmaßnahmen gemäß der DSGVO zu gewährleisten, darunter:

• Entscheidungen über die Angemessenheit, oder
• Standardvertragsklauseln (SCCs).

9. Sicherheitsmaßnahmen
‍

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, darunter:

• Verschlüsselung während der Übertragung (TLS)
• Zugriffskontrolle und rollenbasierte Berechtigungen
• Logische Trennung von Kundendaten
• Überwachung und Protokollierung
• Sichere Cloud-Infrastruktur
• Datensicherung und Notfallwiederherstellung

10. Prüfung und Nachweis der Einhaltung

• 10.1 Der Auftragsverarbeiter stellt die Informationen zur Verfügung, die zum Nachweis der Einhaltung der Vorschriften angemessen erforderlich sind.
• 10.2 Es können Prüfungen durchgeführt werden:

• höchstens einmal pro Kalenderjahr,
• nach einer schriftlichen Kündigungsfrist von mindestens 30 Tagen,
• während der üblichen Geschäftszeiten.

11. Rückgabe und Löschung

• Nach Beendigung des Dienstes löscht der Auftragsverarbeiter die personenbezogenen Daten nach Ablauf einer angemessenen Aufbewahrungsfrist, die neunzig (90) Tage nicht überschreitet, sofern gesetzlich nichts anderes vorgeschrieben ist.
  ‍
  Der Verantwortliche ist für den Export der Daten vor der Beendigung verantwortlich.

12. Haftung

• Die Haftung im Rahmen dieser DPA unterliegt den in den Nutzungsbedingungen festgelegten Einschränkungen.
  ‍
  Keine Bestimmung dieser DPA schränkt die Haftung ein, die nach geltendem Recht nicht eingeschränkt werden kann.

Nachtrag für Unternehmen

• (Gilt nur für Enterprise-Abonnements)
  ‍
  Dieser Abschnitt gilt nur, wenn der Kunde einen Enterprise-Abonnementvertrag abgeschlossen hat, der ausdrücklich Funktionen zur Unternehmensdatensteuerung enthält.

13. Hosting und Kontrolle von Unternehmensdaten

• 13.1 Vom Kunden verwaltete Speicherumgebung
  ‍
  Sofern dies im Rahmen eines Enterprise-Tarifs vereinbart wurde, können Kundendaten in einer vom Kunden verwalteten Umgebung gespeichert werden, beispielsweise in der eigenen Cloud-Infrastruktur des Kunden (z. B. SharePoint, Azure, AWS oder einer anderen festgelegten Speicherumgebung).
  ‍
  In solchen Fällen:

• Planmetry verarbeitet Kundendaten ausschließlich zum Zweck der Erbringung der Dienstleistung.
• Die dauerhafte Speicherung von Kundendaten erfolgt in der vom Kunden kontrollierten Umgebung.
• Planmetry speichert keine eigenständigen Kopien von Kundendaten, die über das für die vorübergehende Verarbeitung technisch erforderliche Maß hinausgehen.

• 13.2 Vorübergehende Verarbeitung und Zwischenspeicherung
  
  Zur Bereitstellung der Funktionen des Dienstes können Kundendaten während aktiver Sitzungen oder technischer Vorgänge vorübergehend innerhalb der von Planmetry verwalteten Infrastruktur verarbeitet, zwischengespeichert oder gepuffert werden.
  
  Eine solche vorübergehende Speicherung:

• beschränkt sich auf das, was technisch notwendig ist,
• wird nach Beendigung der Sitzung oder nach Ablauf festgelegter kurzer Verarbeitungszeiträume automatisch überschrieben oder gelöscht,
• Wird nicht für eigenständige Analysen oder das Trainieren von Modellen verwendet.

• 13.3 Keine Nutzung zu Trainingszwecken (Enterprise-Option)
  
  Sofern nicht ausdrücklich schriftlich anders vereinbart, darf Planmetry Unternehmenskundendaten, einschließlich anonymisierter Ableitungen, nicht zum Trainieren oder Verbessern von Modellen für maschinelles Lernen verwenden.
  
  Die Verbesserung der Dienste für Enterprise-Tarife beschränkt sich auf:

• Sicherheitsüberwachung,
• Fehlerbehebung,
• Leistungsoptimierung,
• Aggregierte Betriebskennzahlen, die nicht aus Kundeninhalten stammen.

• 13.4 Eigentumsrechte und Kontrolle über Daten
  
  Der Kunde behält das uneingeschränkte Eigentumsrecht und die Kontrolle über die Unternehmensdaten.
  Planmetry darf nicht:

• Unternehmenskundendaten kommerziell verwerten,
• Nutzen Sie es für unabhängige Analysen,
• Kombinieren Sie diese Daten mit denen anderer Kunden für Schulungszwecke oder die Produktentwicklung.

• 13.5 Aufteilung der Verantwortlichkeiten
  
  Wenn sich der Kunde für einen vom Kunden verwalteten Speicher entscheidet:

• Der Kunde ist für die Sicherheit und die Zugriffskontrollen seiner vorgesehenen Speicherumgebung verantwortlich.
• Planmetry bleibt für die Sicherheit der Verarbeitungsvorgänge verantwortlich, die innerhalb der von Planmetry verwalteten Infrastruktur durchgeführt werden.