Datenverarbeitungsvertrag

Zuletzt aktualisiert am 1. Januar 2025

Dieser Datenverarbeitungsvertrag (“DVV”) ist Bestandteil der Nutzungsbedingungen und der Datenschutzrichtlinie zwischen DocuGenerate (“wir”, “uns” oder “Auftragsverarbeiter”) und dem Kunden (“Kunde” oder “Verantwortlicher”) für die Nutzung von DocuGenerates Dokumentenerstellungsdiensten (“Dienste”).

Dieser DVV berücksichtigt die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) und anderer anwendbarer Datenschutzgesetze, bei denen DocuGenerate personenbezogene Daten im Auftrag des Kunden verarbeitet.

1. Begriffsbestimmungen

Verantwortlicher
Der Kunde, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

Auftragsverarbeiter
DocuGenerate, der personenbezogene Daten im Auftrag und gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeitet.

Betroffene Person
Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in den anwendbaren Datenschutzgesetzen definiert.

Verarbeitung
Jeder Vorgang, der an personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung, Abruf, Abfrage, Nutzung, Offenlegung, Verbreitung, Einschränkung, Löschung oder Vernichtung.

Unterauftragsverarbeiter
Jeder Dritte, der von DocuGenerate zur Verarbeitung personenbezogener Daten im Auftrag des Kunden beauftragt wird.

2. Geltungsbereich und Anwendbarkeit

2.1 Verarbeitungsumfang

Dieser DVV gilt für die Verarbeitung personenbezogener Daten durch DocuGenerate im Rahmen der Erbringung der Dienste, einschließlich:

  • Erstellung und Verwaltung von Dokumentvorlagen
  • Dokumenterstellung aus Vorlagen mit vom Kunden bereitgestellten Daten
  • Speicherung erstellter Dokumente (sofern zutreffend)
  • Funktionen zur Teamzusammenarbeit
  • Verwaltung von Kundenkonten

2.2 Anweisungen des Verantwortlichen

DocuGenerate verarbeitet personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden, einschließlich:

  • Nutzung der Dienste durch den Kunden über die Webanwendung und API
  • Vom Kunden gewählte Konfigurationseinstellungen
  • Vom Kunden für die Dokumenterstellung bereitgestellte Daten
  • Dieser DVV und alle zusätzlichen schriftlichen Anweisungen, die von beiden Parteien vereinbart wurden

3. Kategorien von Daten und betroffenen Personen

3.1 Kategorien von betroffenen Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien von betroffenen Personen:

  • Mitarbeiter, Auftragnehmer und Mitarbeiter des Kunden
  • Kunden, Auftraggeber und Geschäftskontakte des Kunden
  • Alle Personen, deren personenbezogene Daten in den mit den Diensten erstellten Dokumenten enthalten sind

3.2 Kategorien personenbezogener Daten

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:

  • Identitätsdaten (Namen, Berufsbezeichnungen, Kontaktinformationen)
  • Geschäftliche Kontaktinformationen (E-Mail-Adressen, Telefonnummern, Adressen)
  • Finanzinformationen (Rechnungsdetails, Zahlungsbedingungen)
  • Beschäftigungsinformationen (Arbeitsverträge, Zertifikate)
  • Alle anderen personenbezogenen Daten, die in Dokumentvorlagen oder Generierungsdaten enthalten sind

3.3 Besondere Kategorien personenbezogener Daten

DocuGenerate verarbeitet keine besonderen Kategorien personenbezogener Daten absichtlich. Sollte der Kunde solche Daten bereitstellen, liegt es in der Verantwortung des Kunden, eine angemessene Rechtsgrundlage und Schutzmaßnahmen zu gewährleisten.

4. Technische und organisatorische Maßnahmen

4.1 Sicherheitsmaßnahmen

DocuGenerate implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich:

  • Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand
  • Regelmäßige Sicherheitsbewertungen und -aktualisierungen
  • Zugriffskontrollen und Authentifizierungsmechanismen
  • Protokollierung und Überwachung des Datenzugriffs
  • Verfahren zur Reaktion auf Vorfälle

4.2 Grundsätze der Datenverarbeitung

  • Datenminimierung: Es werden nur die für die Dokumenterstellung erforderlichen personenbezogenen Daten verarbeitet
  • Vorübergehende Verarbeitung: Für die Dokumenterstellung verwendete Daten werden nicht dauerhaft gespeichert und nur für die zur Erstellung der angeforderten Dokumente erforderliche Zeit verarbeitet
  • Zweckbindung: Personenbezogene Daten werden nur für die in diesem DVV festgelegten spezifischen Zwecke verarbeitet
  • Speicherbegrenzung: Erstellte Dokumente werden nur so lange gespeichert, wie vom Kunden gewünscht, und können jederzeit gelöscht werden

5. Datenspeicherort und -übertragungen

5.1 Verarbeitungsstandorte

Personenbezogene Daten können in folgenden Regionen verarbeitet werden, nach Wahl des Kunden:

  • Europäische Union (Frankfurt, Deutschland)
  • Vereinigte Staaten (San Francisco, Kalifornien)
  • Vereinigtes Königreich (London)
  • Australien (Sydney)

5.2 Internationale Übertragungen

Wenn personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stellt DocuGenerate einen angemessenen Schutz durch folgende Maßnahmen sicher:

  • Verarbeitung in Regionen mit Angemessenheitsbeschlüssen der Europäischen Kommission, sofern zutreffend
  • Umsetzung geeigneter Schutzmaßnahmen gemäß den anwendbaren Datenschutzgesetzen
  • Kontrolle des Kunden über die Auswahl der Datenverarbeitungsregion

6. Unterauftragsverarbeiter

6.1 Genehmigte Unterauftragsverarbeiter

DocuGenerate kann folgende Kategorien von Unterauftragsverarbeitern einsetzen:

  • Cloud-Infrastrukturanbieter: Für Hosting- und Infrastrukturdienste
  • Kommunikationsdienste: Für Kundensupport und Benachrichtigungen
  • Zahlungsabwickler: Für die Abwicklung von Abonnementzahlungen

6.2 Aktuelle Unterauftragsverarbeiter

DocuGenerate verwendet derzeit folgende Unterauftragsverarbeiter:

  • Google Cloud Platform: Cloud-Infrastruktur und Hosting-Dienste
  • Intercom: Kundenkommunikation und Support-Dienste
  • Stripe: Zahlungsabwicklungsdienste

6.3 Pflichten der Unterauftragsverarbeiter

DocuGenerate stellt sicher, dass jeder Unterauftragsverarbeiter:

  • An Datenschutzpflichten gebunden ist, die den in diesem DVV festgelegten gleichwertig sind
  • Ausreichende Garantien in Bezug auf technische und organisatorische Sicherheitsmaßnahmen bietet
  • DocuGenerate ermöglicht, seine Verpflichtungen aus diesem DVV zu erfüllen

7. Rechte betroffener Personen

7.1 Unterstützung bei Anfragen betroffener Personen

DocuGenerate wird den Kunden bei der Beantwortung von Anfragen betroffener Personen unterstützen, einschließlich:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

7.2 Verfahren für Anfragen betroffener Personen

Wenn DocuGenerate eine Anfrage einer betroffenen Person direkt erhält, werden wir:

  • Den Kunden unverzüglich benachrichtigen
  • Die betroffene Person auffordern, den Kunden direkt zu kontaktieren
  • Dem Kunden angemessene Unterstützung bei der Beantwortung der Anfrage leisten

8. Datenspeicherung und -löschung

8.1 Datenspeicherung

  • Vorlagendaten: Personenbezogene Daten in Vorlagen werden aufbewahrt, bis der Kunde die Vorlage löscht
  • Erstellte Dokumente: Personenbezogene Daten in erstellten Dokumenten werden aufbewahrt, bis der Kunde das Dokument löscht
  • Verarbeitungsdaten: Für die Dokumenterstellung verwendete personenbezogene Daten werden nicht dauerhaft gespeichert und existieren nur während des Verarbeitungszeitraums
  • Kontodaten: Kundenkontoinformationen werden gemäß unserer Datenschutzrichtlinie aufbewahrt

8.2 Datenlöschung

Auf Anfrage des Kunden oder nach Vertragsbeendigung wird DocuGenerate:

  • Alle personenbezogenen Daten in unserem Besitz löschen oder zurückgeben
  • Vorhandene Kopien löschen, sofern keine Aufbewahrungspflicht nach anwendbarem Recht besteht
  • Auf Anfrage eine schriftliche Bestätigung der Löschung bereitstellen

9. Meldung von Datenpannen

9.1 Reaktion auf Vorfälle

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird DocuGenerate:

  • Den Kunden unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen
  • Alle verfügbaren Informationen über die Verletzung bereitstellen
  • Sofortige Schritte zur Eindämmung und Behebung der Verletzung einleiten
  • Bei den Benachrichtigungspflichten des Kunden bezüglich der Datenpanne kooperieren

9.2 Informationen zur Datenpanne

Benachrichtigungen über Datenpannen enthalten:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Anzahl der betroffenen Personen
  • Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
  • Voraussichtliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung

10. Prüfungen und Compliance

10.1 Prüfungsrechte

Der Kunde kann Informationen über die Einhaltung dieses DVV durch DocuGenerate anfordern. DocuGenerate wird:

  • Angemessene Informationen über unsere Datenschutzpraktiken durch Dokumentation und Berichte bereitstellen
  • Drittanbieter-Prüfberichte oder -Zertifizierungen zur Verfügung stellen, sofern vorhanden
  • Fernprüfungen oder Fragebögen ermöglichen, höchstens einmal pro Kalenderjahr
  • Behördlichen Prüfungen und Untersuchungen gemäß gesetzlicher Anforderungen kooperieren

10.2 Compliance-Dokumentation

DocuGenerate führt Aufzeichnungen über:

  • Kategorien von Verarbeitungstätigkeiten
  • Technische und organisatorische Maßnahmen
  • Unterauftragsverarbeiterverträge
  • Datenschutz-Folgenabschätzungen, sofern zutreffend

11. Haftung und Entschädigung

11.1 Haftungsbeschränkung

Die Haftung jeder Partei gemäß diesem DVV unterliegt den Haftungsbeschränkungsbestimmungen in den Nutzungsbedingungen.

11.2 Verantwortlichkeiten des Kunden

Der Kunde ist verantwortlich für:

  • Die Sicherstellung einer rechtmäßigen Grundlage für die Verarbeitung gemäß den anwendbaren Datenschutzgesetzen
  • Die Bereitstellung genauer und vollständiger Anweisungen für die Datenverarbeitung
  • Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen auf seiner Seite
  • Die Einhaltung von Benachrichtigungs- und Einwilligungsanforderungen für betroffene Personen, sofern zutreffend

12. Laufzeit und Kündigung

12.1 Laufzeit

Dieser DVV tritt mit dem Datum in Kraft, an dem der Kunde die Nutzungsbedingungen akzeptiert, und bleibt so lange in Kraft, wie DocuGenerate personenbezogene Daten im Auftrag des Kunden verarbeitet.

12.2 Fortgeltung

Die Bestimmungen dieses DVV bezüglich Datenschutz, Vertraulichkeit sowie Rückgabe oder Löschung personenbezogener Daten gelten nach Beendigung der Dienste weiter.

13. Änderungen dieses DVV

DocuGenerate kann diesen DVV aktualisieren, um Änderungen in den anwendbaren Gesetzen oder unseren Datenverarbeitungspraktiken widerzuspiegeln. Wir werden Kunden über wesentliche Änderungen mit einer Vorankündigung von mindestens 30 Tagen informieren.

14. Anwendbares Recht und Gerichtsbarkeit

Dieser DVV unterliegt denselben Rechts- und Gerichtsstandsbestimmungen wie in den Nutzungsbedingungen festgelegt, mit der Maßgabe, dass etwaige Konflikte mit den anwendbaren Datenschutzgesetzen zugunsten dieser Datenschutzgesetze gelöst werden.

15. Kontaktinformationen

Bei Fragen zum Datenschutz oder wenn Sie einen unterzeichneten DVV benötigen, kontaktieren Sie uns bitte unter:

Datenschutzkontakt
E-Mail: support@docugenerate.com