Datenverarbeitungsvereinbarung

Datenverarbeitungsvereinbarung

Data Processing Agreement

Gemäß Artikel 28 (3) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (die DSGVO) zur Regelung der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist diese Vereinbarung zur Auftragsverarbeitung (AVV) ein Anhang zu den Nutzungsbedingungen zwischen der Shine-Plattform und dem Abonnenten.

 

Die AVV gilt als vom Datenverantwortlichen unterzeichnet, wenn er die Nutzungsbedingungen unterzeichnet.

 

"Auftragsverarbeiter" bezeichnet die Shine-Plattform, wie in den Nutzungsbedingungen definiert, d.h. das Unternehmen innerhalb der Shine Group, mit dem der Kunde die Nutzungsbedingungen abgeschlossen hat.

 

"Datenverantwortlicher" bezeichnet den Kunden der Shine-Plattform.

 

Die aktuelle Version dieses Dokuments gilt ab dem 2025-11-06. Frühere Versionen können hier eingesehen werden.

1. Einleitung

Durch die Nutzung der Dienste und aller verfügbaren zusätzlichen Funktionen oder Integrationen in Bezug auf die Plattform (im Folgenden "Dienste" genannt) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten auf der Plattform verantwortlich.

 

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen und in Übereinstimmung mit der Richtlinie des Auftragsverarbeiters zu personenbezogenen Daten, sofern eine solche Richtlinie nicht im Widerspruch zu den Anweisungen des Datenverantwortlichen gemäß dieser Vereinbarung oder der DSGVO steht.

 

Diese Vereinbarung zur Auftragsverarbeitung wird von den Parteien geschlossen, damit beide Parteien die nationalen Datenschutzgesetze, einschließlich der DSGVO, sowie den Schutz der Privatsphäre und der Grundrechte natürlicher Personen einhalten. Die Vereinbarung zur Auftragsverarbeitung legt die Anweisungen fest, auf deren Grundlage der Auftragsverarbeiter personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

 

Die Vereinbarung zur Auftragsverarbeitung verwendet die Definitionen, die in den nationalen Datenschutzgesetzen und der DSGVO festgelegt sind.

 

2. Die Verantwortlichkeiten und Pflichten des Datenverantwortlichen

Der Datenverantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO, vgl. Artikel 24, und den nationalen Datenschutzbestimmungen erfolgt.

 

Der Datenverantwortliche ist berechtigt und verpflichtet, Entscheidungen über den/die Zweck(e) und die technischen Hilfsmittel zur Verarbeitung personenbezogener Daten zu treffen. Darüber hinaus ist der Datenverantwortliche dafür verantwortlich, eine Rechtsgrundlage für die Verarbeitung und Übermittlung personenbezogener Daten zu gewährleisten, die der Auftragsverarbeiter auf seine Anweisung hin durchführt.

 

Als Datenverantwortlicher muss er alle Informationspflichten gegenüber den betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten erfüllen sowie die relevanten Garantien in Bezug auf alle technischen und Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Personen bereitstellen.

 

Durch die Nutzung der Plattform ist der Datenverantwortliche allein dafür verantwortlich, die in Anhang A festgelegten personenbezogenen Daten bereitzustellen und die Verarbeitung von Daten außerhalb dieser Spezifikation zu beschränken, einschließlich besonderer Kategorien personenbezogener Daten, wie in Artikel 9 der DSGVO festgelegt.

 

Der Datenverantwortliche erteilt dem Auftragsverarbeiter die ausdrückliche Zustimmung, als Kontoinformationsdienstleister (AISP) zu handeln, in Übereinstimmung mit den anwendbaren nationalen Gesetzen zur Umsetzung der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt (PSD2).

 

Diese Zustimmung ist für den Auftragsverarbeiter notwendig, um auf personenbezogene Daten, die von den Zahlungskonten des Datenverantwortlichen abgerufen werden, zuzugreifen und sie zu verarbeiten, ausschließlich zum Zweck der Bereitstellung der angeforderten Dienste, wie Kontenaggregation, Transaktionsverlauf und Funktionen zur Finanzautomatisierung.

 

Der Datenverantwortliche kann diese Zustimmung jederzeit widerrufen. Bei einem solchen Widerruf werden die damit verbundenen Kontoinformationsdienste automatisch beendet, und der Auftragsverarbeiter stellt alle damit verbundenen Verarbeitungstätigkeiten ein, es sei denn, dies ist nach geltendem Recht anderweitig zulässig oder erforderlich.

 

Der Auftragsverarbeiter stellt sicher, dass der Zugriff auf Kontoinformationen auf das beschränkt ist, was für die Erbringung des angeforderten Dienstes unbedingt erforderlich ist, und dass die gesamte Verarbeitung in Übereinstimmung mit der DSGVO und den relevanten nationalen Zahlungsbestimmungen erfolgt.

 

3. Die Verantwortlichkeiten und Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter darf personenbezogene Daten nur auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen verarbeiten und verarbeitet diese in dessen Auftrag. Der Datenverantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten i) in Übereinstimmung mit den anwendbaren Gesetzen, ii) zur Erfüllung seiner in der Vereinbarung zwischen dem Datenverantwortlichen und dem Auftragsverarbeiter festgelegten Verpflichtungen und iii) wie in dieser Vereinbarung beschrieben, zu verarbeiten.

 

Der Auftragsverarbeiter ist dafür verantwortlich, den Datenverantwortlichen zu benachrichtigen, wenn eine Anweisung seiner Meinung nach gegen die DSGVO oder die nationalen Datenschutzgesetze verstößt.

 

Falls der Auftragsverarbeiter beurteilt, dass eine Anweisung des Datenverantwortlichen illegal ist oder gegen anwendbare Gesetze verstößt, ist der Auftragsverarbeiter verpflichtet, den Datenverantwortlichen zu informieren, der die Anweisung rechtzeitig korrigieren muss. Wenn der Datenverantwortliche die Anweisung nicht korrigieren kann, ist der Auftragsverarbeiter berechtigt, die Dienstleistungsvereinbarung zwischen den Parteien zu beenden.

 

Der Auftragsverarbeiter unterstützt den Datenverantwortlichen bei der Umsetzung geeigneter technischer und sicherheitstechnischer Maßnahmen unter Berücksichtigung der Art der Verarbeitung und der Kategorie der personenbezogenen Daten.

 

Darüber hinaus unterstützt der Auftragsverarbeiter den Datenverantwortlichen bei Anfragen von betroffenen Personen bezüglich der Ausübung ihrer Rechte aus der DSGVO. Der Auftragsverarbeiter antwortet auf diese Anfragen nicht, es sei denn, er wird vom Datenverantwortlichen dazu ermächtigt.

 

Auf eine Anfrage des Datenverantwortlichen bezüglich Informationen oder Unterstützung in Bezug auf die Sicherheitsmaßnahmen des Datenverantwortlichen oder die Verarbeitung personenbezogener Daten im Allgemeinen hin, und wenn eine solche Anfrage über das hinausgeht, was nach den anwendbaren Datenschutzgesetzen notwendig ist, ist der Auftragsverarbeiter berechtigt, Zahlungen für solche weiteren Dienstleistungen zu verlangen.

 

Der Auftragsverarbeiter gewährleistet die Vertraulichkeit in Bezug auf die Verarbeitung personenbezogener Daten, einschließlich der Mitarbeiter des Datenverantwortlichen. Dies gilt auch nach Beendigung der Vereinbarung zur Auftragsverarbeitung.

 

Der Auftragsverarbeiter haftet nicht für indirekte, zufällige, besondere, Folge- oder Strafschäden, einschließlich entgangener Gewinne, Einnahmen oder Daten, auch wenn er auf die Möglichkeit solcher Schäden hingewiesen wurde. Die gesamte Gesamthaftung des Auftragsverarbeiters, die sich aus oder in Verbindung mit dieser Vereinbarung ergibt, sei es aus Vertrag, unerlaubter Handlung oder anderweitig, ist auf den Gesamtbetrag beschränkt, den der Datenverantwortliche an den Auftragsverarbeiter gemäß den Nutzungsbedingungen in den zwölf (12) Monaten vor dem Ereignis, das zu dem Anspruch geführt hat, gezahlt hat. Diese Beschränkung gilt unabhängig von der Anzahl oder Art der Ansprüche und unabhängig vom Klagegrund, außer im Falle von vorsätzlichem Fehlverhalten oder grober Fahrlässigkeit des Auftragsverarbeiters, die von einem zuständigen Gericht nachgewiesen wurden.

4. Die Nutzung von Unterauftragsverarbeitern

Der Auftragsverarbeiter muss die in Artikel 28 (2) und (4) der DSGVO festgelegten Bedingungen erfüllen, um einen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) zu nutzen.

 

Der Auftragsverarbeiter nutzt Unterauftragsverarbeiter, einschließlich Unternehmen innerhalb der Shine Group und Drittanbieter innerhalb oder außerhalb der EU/des EWR, um seine Dienste bereitzustellen.

 

Der Auftragsverarbeiter hat mit allen Unterauftragsverarbeitern Vereinbarungen zur Auftragsverarbeitung abgeschlossen, und eine erschöpfende Liste dieser ist in Anhang B zu finden. Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter die entsprechenden Verpflichtungen und Anforderungen in dieser Vereinbarung zur Auftragsverarbeitung und den Datenschutzgesetzen einhalten.

 

Diese Vereinbarung gilt als die allgemeine schriftliche Genehmigung des Datenverantwortlichen für die Nutzung von Unterauftragsverarbeitern, in Übereinstimmung mit Artikel 28 (2) DSGVO.

 

Der Auftragsverarbeiter übermittelt Daten an Partner als Teil des dem Datenverantwortlichen bereitgestellten Dienstes. Durch die Annahme der Bedingungen der Dienstleistungsvereinbarung wird der Datenverantwortliche darüber informiert, dass Partner des Auftragsverarbeiters die personenbezogenen Daten erhalten, um ein Angebot für die Serviceanfrage des Datenverantwortlichen zu unterbreiten.

 

Bei der Übermittlung personenbezogener Daten außerhalb der EU/des EWR stellt der Auftragsverarbeiter sicher, dass solche Übermittlungen in Übereinstimmung mit Kapitel V der DSGVO durchgeführt werden und ein angemessenes Schutzniveau gewährleistet ist.

 

Der Auftragsverarbeiter kann sich auf verschiedene rechtliche Übermittlungsmechanismen stützen, die unter der DSGVO vorgesehen sind, einschließlich, aber nicht beschränkt auf:

  • die Angemessenheitsentscheidungen der Europäischen Kommission,
  • die Standardvertragsklauseln (SCCs) der EU-Kommission,
  • verbindliche interne Datenschutzvorschriften (BCRs), wo anwendbar, oder
  • andere geeignete Garantien, wie in Artikel 46 DSGVO festgelegt.

 

Sofern erforderlich, implementiert der Auftragsverarbeiter zusätzliche technische, organisatorische und vertragliche Maßnahmen, um sicherzustellen, dass die übermittelten personenbezogenen Daten ein Schutzniveau erhalten, das im Wesentlichen dem in der EU/dem EWR garantierten entspricht.

 

Wenn der Auftragsverarbeiter die Unterauftragsverarbeiter ändert, wird der Datenverantwortliche benachrichtigt und hat das Recht, einer solchen Änderung der Unterauftragsverarbeiter zu widersprechen, wenn der neue Unterauftragsverarbeiter personenbezogene Daten nicht in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verarbeitet. Wenn der Datenverantwortliche der Nutzung eines neuen Unterauftragsverarbeiters aus vernünftigen und dokumentierten Datenschutzgründen widerspricht, treten die Parteien in gutgläubige Gespräche ein, um die Angelegenheit zu klären. Wenn innerhalb von dreißig (30) Tagen keine Lösung erzielt wird, behält sich der Auftragsverarbeiter das Recht vor, den Unterauftragsverarbeiter weiterhin zu nutzen, es sei denn, der Datenverantwortliche entscheidet sich, den relevanten Teil der Dienste, der von dem Einwand betroffen ist, zu kündigen. Eine Kündigung führt nicht zu einer Entschädigung, Schadensersatz oder Haftung seitens des Auftragsverarbeiters.

 

Der Auftragsverarbeiter ist dafür verantwortlich, die Einhaltung der Verpflichtungen des Auftragsverarbeiters, wie in dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO festgelegt, von den Unterauftragsverarbeitern zu verlangen.

 

Auf vernünftige Anfrage hin stellt der Auftragsverarbeiter dem Datenverantwortlichen relevante Informationen zur Verfügung, die nachweisen, dass die Unterauftragsverarbeiter gleichwertigen Datenschutzverpflichtungen unterliegen, einschließlich einer Zusammenfassung oder eines Auszugs der Datenschutzklauseln der Unterverarbeitungsvereinbarungen, wo dies zur Nachweisführung der Einhaltung erforderlich ist. Vollständige Kopien von Unterverarbeitungsvereinbarungen sind nicht erforderlich, es sei denn, dies ist durch anwendbares Recht oder eine Aufsichtsbehörde vorgeschrieben.

 

Im Falle eines Verstoßes eines der Unterauftragsverarbeiter gegen die Datenschutzbestimmungen ist der Auftragsverarbeiter in vollem Umfang dafür verantwortlich, dass der Unterauftragsverarbeiter seine Verpflichtungen gegenüber dem Datenverantwortlichen erfüllt.

5. Zugriff durch Konzerneinheiten

Der Datenverantwortliche erkennt an und akzeptiert, dass der Auftragsverarbeiter anderen Unternehmen innerhalb der Shine Group, einschließlich verbundener Unternehmen, Muttergesellschaften und Tochtergesellschaften, den Zugriff auf die im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten gewähren kann, soweit dies für die Erbringung, Wartung, Sicherheit und Verbesserung der Dienste erforderlich ist.

 

Diese Konzerneinheiten können innerhalb oder außerhalb der EU/des EWR tätig sein. In solchen Fällen stellt der Auftragsverarbeiter sicher, dass alle Datenübermittlungen mit Kapitel V der DSGVO übereinstimmen und geeignete Garantien vorhanden sind. Eine Liste der relevanten Konzerneinheiten und ihrer Rollen kann dem Datenverantwortlichen auf Anfrage zur Verfügung gestellt werden.

 

Der Zugriff durch Konzerneinheiten gilt nicht als die Nutzung neuer Unterauftragsverarbeiter, die eine separate Benachrichtigung erfordert.

6. Vertraulichkeit

Der Auftragsverarbeiter darf nur Personen unter der Aufsicht des Auftragsverarbeiters, die sich zur Vertraulichkeit verpflichtet haben, Zugang zu den im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten gewähren.

 

Auf Anfrage des Datenverantwortlichen muss der Auftragsverarbeiter Vertraulichkeitsmaßnahmen für die betreffenden Personen nachweisen.

7. Sicherheit der Verarbeitung

Der Datenverantwortliche ist dafür verantwortlich, die allgemeinen Sicherheitsanforderungen zu definieren, und der Auftragsverarbeiter implementiert die Maßnahmen entsprechend.

 

Der Auftragsverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, wie in Artikel 32 gefordert, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der spezifischen Risiken, die mit den Verarbeitungsoperationen verbunden sind, die er im Auftrag des Datenverantwortlichen durchführt.

 

Auf dokumentierte Anfrage hin unterstützt der Auftragsverarbeiter den Datenverantwortlichen im Rahmen der Verarbeitungsaktivitäten gemäß dieser Vereinbarung und soweit dies vernünftigerweise möglich ist, bei der Einhaltung der Verpflichtungen gemäß Artikel 32 DSGVO.

8. Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen

Der Auftragsverarbeiter darf personenbezogene Daten nur auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen und stets in Übereinstimmung mit Kapitel V der DSGVO an ein Drittland oder eine internationale Organisation übermitteln.

 

Der Auftragsverarbeiter kann solche Übermittlungen durchführen, wenn dies durch das Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, vorgeschrieben ist. In solchen Fällen informiert der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über die rechtliche Anforderung, es sei denn, eine solche Offenlegung ist aus Gründen des öffentlichen Interesses nach geltendem Recht untersagt.

 

Der Auftragsverarbeiter führt Dokumentationen der Anweisungen des Datenverantwortlichen in den folgenden Situationen:

  • Übermittlungen personenbezogener Daten an einen Datenverantwortlichen oder Auftragsverarbeiter in einem Drittland oder einer internationalen Organisation;
  • Einschaltung eines Unterauftragsverarbeiters in einem Drittland;
  • Verarbeitungsaktivitäten, die in einem Drittland durchgeführt werden.

 

Der Datenverantwortliche erkennt durch die Unterzeichnung dieser Vereinbarung die Nutzung von Unterauftragsverarbeitern, die sich in Drittländern befinden, wie in Anhang B aufgeführt, durch den Auftragsverarbeiter an und akzeptiert diese. Der Auftragsverarbeiter stellt sicher, dass alle solchen Übermittlungen auf einem gültigen Übermittlungsmechanismus gemäß Kapitel V der DSGVO beruhen, der Folgendes umfassen kann:

  • eine Angemessenheitsentscheidung der Europäischen Kommission;
  • Standardvertragsklauseln (SCCs), die von der Kommission angenommen wurden;
  • verbindliche interne Datenschutzvorschriften (BCRs); oder
  • andere geeignete Garantien, wie in Artikel 46 DSGVO zulässig.

 

Sofern erforderlich, implementiert der Auftragsverarbeiter zusätzliche technische, organisatorische oder vertragliche Maßnahmen, um sicherzustellen, dass das Schutzniveau personenbezogener Daten im Wesentlichen dem in der EU/dem EWR entspricht, in Übereinstimmung mit den anwendbaren rechtlichen Leitlinien (z. B. EDPB-Empfehlungen und Erwartungen nationaler Aufsichtsbehörden).

 

Der Auftragsverarbeiter haftet nicht für Übermittlungen, die in Übereinstimmung mit den Anweisungen des Datenverantwortlichen und den Anforderungen von Kapitel V der DSGVO durchgeführt werden, es sei denn, der Auftragsverarbeiter hat es versäumt, die vereinbarten Garantien umzusetzen. Alle Verpflichtungen, die sich auf die Bewertung des rechtlichen Rahmens im Zielland oder die Durchführung einer Übermittlungsfolgenabschätzung (TIA) beziehen, werden gemeinsam von den Parteien koordiniert, wobei der Datenverantwortliche die Hauptverantwortung für die Entscheidung, fortzufahren, trägt.

 

Der Auftragsverarbeiter hat schriftliche Vereinbarungen zur Auftragsverarbeitung mit allen Unterauftragsverarbeitern abgeschlossen und sichergestellt, dass alle relevanten Garantien und vertraglichen Verpflichtungen vorhanden sind, um die Einhaltung der anwendbaren Datenschutzgesetze im Zusammenhang mit Datenübermittlungen außerhalb der EU/des EWR zu gewährleisten.

9. Unterstützung des Datenverantwortlichen

Der Auftragsverarbeiter unterstützt den Datenverantwortlichen, soweit dies vernünftigerweise möglich ist und unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen, bei der Erfüllung der Verpflichtungen des Datenverantwortlichen gemäß den anwendbaren Datenschutzgesetzen, einschließlich der DSGVO und der relevanten nationalen Gesetze in Frankreich, Deutschland, den Niederlanden und Dänemark.

 

Eine solche Unterstützung kann auf schriftliche und dokumentierte Anfrage des Datenverantwortlichen Folgendes umfassen:

  • Unterstützung bei der Bearbeitung von Anfragen betroffener Personen zur Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit);
  • Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen (DPIAs);
  • Bereitstellung von Informationen, die für die Zusammenarbeit mit der zuständigen Aufsichtsbehörde im Zusammenhang mit risikoreichen Verarbeitungsaktivitäten oder Verletzungen des Schutzes personenbezogener Daten erforderlich sind.

 

Der Auftragsverarbeiter antwortet nicht direkt auf betroffene Personen oder kommuniziert nicht mit einer Aufsichtsbehörde, es sei denn, er wird ausdrücklich schriftlich vom Datenverantwortlichen dazu angewiesen. Jede Unterstützung, die über den in Artikel 28 der DSGVO geforderten Umfang hinausgeht, kann einer zusätzlichen Vergütung unterliegen, die zwischen den Parteien vereinbart wird.

10. Benachrichtigung bei Verletzungen des Datenschutzes

Der Auftragsverarbeiter benachrichtigt den Datenverantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die die im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten betrifft.

 

Die Benachrichtigung enthält, soweit zum Zeitpunkt der Benachrichtigung bekannt, relevante Informationen, um den Datenverantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß Artikel 33 und, falls zutreffend, Artikel 34 der DSGVO zu unterstützen.

 

Der Auftragsverarbeiter leistet dem Datenverantwortlichen eine angemessene Zusammenarbeit und Unterstützung bei der Untersuchung und Minderung der Verletzung sowie bei der Vorbereitung aller erforderlichen Benachrichtigungen an Aufsichtsbehörden oder betroffene Personen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

 

Wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, unterstützt der Auftragsverarbeiter den Datenverantwortlichen bei der Vorbereitung jeder Kommunikation an die betroffenen Personen, wie es nach den anwendbaren Datenschutzgesetzen erforderlich ist.

11. Löschung und Rückgabe personenbezogener Daten

Bei Beendigung des Dienstes, der die Verarbeitung personenbezogener Daten beinhaltet, ist der Auftragsverarbeiter verpflichtet, alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem Datenverantwortlichen zu bestätigen, dass die personenbezogenen Daten gelöscht wurden.

 

Das Obengenannte gilt nicht, wenn EU- oder nationale Gesetze die Speicherung personenbezogener Daten nach Beendigung des Dienstes vorschreiben. Darüber hinaus gilt das Obengenannte nicht für personenbezogene Daten, die der Auftragsverarbeiter als Datenverantwortlicher in der Kundenbeziehung zwischen den Parteien verarbeitet. Dies beinhaltet die Speicherung in Übereinstimmung mit speziellen Gesetzen, einschließlich der dänischen Buchhaltungsgesetzgebung.

12. Überprüfung und Inspektion

Der Auftragsverarbeiter stellt dem Datenverantwortlichen auf Anfrage die Informationen zur Verfügung, die unbedingt notwendig sind, um die Einhaltung der in dieser Vereinbarung und den anwendbaren Datenschutzgesetzen, einschließlich der DSGVO, festgelegten Verpflichtungen nachzuweisen.

 

Der Auftragsverarbeiter gewährt den zuständigen Aufsichtsbehörden auch Zugang zu seinen Einrichtungen oder seiner Dokumentation, wenn dies nach anwendbarem Recht erforderlich ist.

13. Änderung

Der Auftragsverarbeiter behält sich das Recht vor, diese AVV jederzeit zu ändern. Der Datenverantwortliche wird über solche Änderungen per E-Mail oder über die Plattform informiert.

 

Mit Ausnahme von Änderungen, die Unterauftragsverarbeiter betreffen, die in Anhang B der AVV geregelt sind, gelten Änderungen an dieser AVV für den Datenverantwortlichen, auch wenn sein Engagement den Änderungen vorausgeht, fünfzehn (15) Tage nach der Benachrichtigung.

 

Wenn die Änderungen den Datenverantwortlichen wesentlich benachteiligen und nicht durch anwendbare Gesetze, Vorschriften, Richtlinien, Leitlinien oder Entscheidungen einer europäischen Datenschutzbehörde oder durch ein Gerichtsurteil vorgeschrieben sind, kann der Datenverantwortliche schriftlich innerhalb von fünfzehn (15) Tagen nach der Information widersprechen und die Gründe für einen solchen Widerspruch angeben.

 

Wenn die Parteien innerhalb von dreißig (30) Tagen nach Erhalt des Widerspruchs des Datenverantwortlichen keine Einigung erzielen können, kann der Datenverantwortliche den betroffenen Dienst ohne Strafe kündigen, indem er dem Auftragsverarbeiter eine schriftliche Mitteilung sendet.

 

Jede fortgesetzte Nutzung des Dienstes nach der Benachrichtigung gilt als Annahme der aktualisierten AVV durch den Datenverantwortlichen.

14. Andere Vereinbarungen zwischen den Parteien

Die Parteien können sich auf andere Bestimmungen bezüglich des vom Auftragsverarbeiter an den Datenverantwortlichen erbrachten Dienstes einigen, vorausgesetzt, dass solche Bestimmungen nicht, direkt oder indirekt, den Bestimmungen dieser Vereinbarung zur Auftragsverarbeitung bezüglich der Verarbeitung personenbezogener Daten widersprechen oder in irgendeiner anderen Weise die in den Datenschutzgesetzen festgelegten Grundrechte der betroffenen Personen beeinträchtigen.

15. Inkrafttreten und Kündigung

Die Bestimmungen dieser Vereinbarung zur Auftragsverarbeitung treten an dem Datum in Kraft, an dem die Nutzungsbedingungen zwischen den Parteien unterzeichnet werden.

 

Die Vereinbarung zur Auftragsverarbeitung gilt für die Dauer der Dienstleistungsvereinbarung. In diesem Zeitraum kann die Vereinbarung von keiner der Parteien gekündigt werden, es sei denn, die Dienstleistungsvereinbarung wird gleichzeitig gekündigt. Die Kündigung der Dienstleistungsvereinbarung kann in Übereinstimmung mit der Bestimmung zur Kündigung in der Dienstleistungsvereinbarung erfolgen.

 

Diese Vereinbarung unterliegt dänischem Recht und alle Streitigkeiten unterliegen der dänischen Strafverfolgung.

16. Anhang A – Kategorien personenbezogener Daten und betroffener Personen

A.1. Kategorien der betroffenen Personen

  • Ansprechpartner des Datenverantwortlichen
  • Mitarbeiter des Datenverantwortlichen
  • Kunden und Lieferanten des Datenverantwortlichen (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist) und deren Ansprechpartner

 

A.2. Kategorien personenbezogener Daten

  • Vor- und Nachname
  • Berufsbezeichnung
  • Telefonnummer
  • E-Mail-Adresse
  • Adresse
  • IP-Adressen
  • Zahlungsinformationen auf Rechnungen
  • Bankkontoauszugsinformationen (bei Nutzung der Bankintegrationsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Daten aus dem Berufsleben
  • Lohndaten (bei Nutzung der Lohnbuchhaltungsfunktionen, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Persönliche ID-Nummern der Mitarbeiter (vertrauliche personenbezogene Daten) (bei Nutzung der Lohnbuchhaltungsfunktionen oder persönlicher Steuerberechnungen, falls die Funktionalität im Land des Kunden verfügbar ist)

 

Der Auftragsverarbeiter verarbeitet keine besonderen Kategorien personenbezogener Daten, es sei denn, er wird ausdrücklich vom Datenverantwortlichen dazu angewiesen. Falls die Verarbeitung besonderer Kategorien personenbezogener Daten kein natürlicher Teil der oben genannten Kategorien wäre, wird dem Datenverantwortlichen dringend empfohlen, die Daten zu anonymisieren, bevor er dem Auftragsverarbeiter, wie in dieser Vereinbarung festgelegt, Zugang gewährt.

 

A.3. Die Zwecke, für die personenbezogene Daten verarbeitet werden

Die in dieser Vereinbarung beschriebenen Verarbeitungszwecke werden in allen Ländern, in denen der Auftragsverarbeiter tätig ist, einheitlich verfolgt. Bestimmte Verarbeitungstätigkeiten können jedoch nur in den Rechtsordnungen durchgeführt werden, in denen die entsprechenden Dienstleistungen oder technischen Kapazitäten verfügbar sind.

  • Senden von Rechnungen an die Kunden des Datenverantwortlichen
  • Senden von Mahnungen an die Kunden des Datenverantwortlichen
  • Überblick über Lieferanten und Abgleich mit diesen (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Bestandsführung verkaufter Produkte
  • Bestandsführung gekaufter Produkte (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Bereitstellung eines historischen Überblicks über Rechnungen und Zahlungen für das Geschäft des Datenverantwortlichen
  • Bereitstellung automatischer Mahnverfahren
  • Angebot verschiedener Berichte und Einblicke in das Geschäft des Datenverantwortlichen
  • Empfangen von Zahlungen von den Kunden des Datenverantwortlichen
  • Initiieren von Zahlungen der vom Datenverantwortlichen erhaltenen Rechnungen (bei Nutzung der Buchhaltungs- und Bankfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Integration von Drittsystemen
  • Führen von Spesenbüchern (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Automatisierung der Erstellung des Jahresabschlusses (bei Nutzung der Steuerberechnungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Vorbereitung von Umsatzsteuerberichten (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Integration des Spesenkontos zur Buchführung (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Speicherung von Buchhaltungsunterlagen (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Steuerberechnungen (bei Nutzung der Steuerberechnungs- und Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Vorbereitung von Steuerberichten (bei Nutzung der Steuerberechnungs- und Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Allgemeine Bankfunktionen (bei Nutzung der Bankfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Verwaltung von monatlichen Gehaltsabrechnungen und Zahlungen (bei Nutzung der Lohnbuchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Monatliche Steuer- und Sozialversicherungsberichterstattung und Zahlungen (bei Nutzung der Lohnbuchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)
  • Vermarktung von Buchhaltungsdienstleistungen (bei Nutzung der Buchhaltungsfunktionalität, falls die Funktionalität im Land des Kunden verfügbar ist)

 

Die Art der Verarbeitung umfasst Sammlung, Speicherung, Strukturierung, Abruf, Nutzung, Analyse, Offenlegung durch Übermittlung, Löschung und Vernichtung. Die personenbezogenen Daten werden für die Dauer der Kundenbeziehung verarbeitet, bis zur Kündigung der Nutzungsbedingungen durch den Datenverantwortlichen oder den Auftragsverarbeiter. Nach Beendigung der Nutzungsbedingungen werden personenbezogene Daten in Übereinstimmung mit der Aufbewahrungsfrist des Auftragsverarbeiters gespeichert.

17. Anhang B – Die Unterauftragsverarbeiter des Auftragsverarbeiters

Zusätzlich zu den Unternehmen der Shine Group hat der Auftragsverarbeiter die folgenden Unterauftragsverarbeiter, die Daten im Auftrag des Datenverantwortlichen verarbeiten:

 

Unterauftragsverarbeiter

Adresse

Zweck

ActiveCampaign LLC

1 North Dearborn St., 5th Floor, Chicago, IL 60602, USA

Versand von Marketing-E-Mails an Kunden

Aiia A/S

Artillerivej 86, 2300 Kopenhagen S, Dänemark

Verknüpfung von Bankkonten mit den Diensten zum automatischen Informationsaustausch

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxemburg

Cloud-Infrastruktur zur Unterstützung der Dienste, Speicherung von Kundendaten, Backups und Servicebereitstellung

Cluvio GmbH

Friedrichstrasse 79, 10117 Berlin, Deutschland

Datenvisualisierung und internes Reporting

Datadog Inc.

620 8th Avenue, 45. Etage, New York, NY 10018, USA

Überwachung kritischer Systeme, Fehlerberichte

Google Ireland Limited

Gordon House, Barrow Street, Dublin 4, Irland

Dokumentenerstellung und -synchronisation, Cloud-Speicherung, Marketingkampagnen und Analysefunktionen

Hotjar Ltd.

Dragonara Business Centre, 5. Etage, Dragonara Road, Paceville St Julian's STJ 3141, Malta

Analyse des Kundenverhaltens auf der Plattform

Intercom Inc.

55 Second Street, Suite 400, San Francisco, CA 94105, USA

Bearbeitung von Kundensupport-Anfragen und Kommunikation mit Kunden

Iterable Inc.

71 Stevenson St., Suite 300, San Francisco, CA 94105, USA

Versand von E-Mails an Kunden, hauptsächlich Marketing und Service-Updates

Mixpanel International Inc.

One Front Street, 28. Etage, San Francisco, CA 94111, USA

Analyse von Ereignissen auf der Plattform, z. B. Nutzung bestimmter Funktionen

Postmark by ActiveCampaign LLC

1 North Dearborn St., 5th Floor, Chicago, IL 60602, USA

Automatisierte Service-E-Mails an Kunden, z. B. Bestätigungen, Rechnungen

Sentry

45 Fremont Street, 8. Etage, San Francisco, CA 94105, USA

Überwachung der Plattform auf Fehler und Sicherheit

Userflow Inc.

548 Market St., PMB 69598, San Francisco, CA 94104-5401, USA

Direkte Kommunikation mit Kunden über die Plattform

Cookie Information A/S

Købmagergade 19, 1150 Kopenhagen K, Dänemark

Einwilligungsmanagement auf der Website

Meta Platforms Ireland Limited

Merrion Road, Dublin 4, D04 X2K5, Irland

Werbung auf Facebook zur Bildung von Zielgruppen potenziell interessierter Nutzer

Microsoft Ireland Operations Limited

One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Werbung auf Bing & LinkedIn zur Bildung von Zielgruppen potenziell interessierter Nutzer

Basware Inc.

Linnoitustie 2, 02600 Espoo, Finnland

Infrastruktur für den Versand und Empfang elektronischer Rechnungen

Stripe Inc.

354 Oyster Point Boulevard, South San Francisco, CA 94080, USA

Zahlungsabwicklung

Aircall.io Inc.

44 W 28th Street, 14. Etage, New York, NY 10001, USA

Cloud-basiertes Telefonsystem zur Anrufverwaltung und Verbesserung von Kundensupport und Vertrieb

Snowflake Inc.

Suite 3A, 106 East Babcock Street, Bozeman, Montana 59715, USA

Datenspeichertechnologie, hauptsächlich für internes Finanzreporting

Segment by Twilio Inc.

101 Spear Street, 5th Floor, San Francisco, CA 94105, USA

Internes Ereignissystem zur Weiterleitung definierter Nutzeraktionen

Zapier Inc.

548 Market St. #62411, San Francisco, CA 94104, USA

Automatisierungstool zur Verbindung von Webanwendungen und Automatisierung wiederkehrender Aufgaben

MongoDB Inc.

1633 Broadway, 38. Etage, New York, NY 10019, USA

Dokumentenorientierte NoSQL-Datenbank für Unternehmenskonfigurationen

Mailgun by Sinch Sweden AB

Lindhagensgatan 112, 112 51 Stockholm, Schweden

Automatisierte Service-E-Mails an Kunden, z. B. Bestätigungen, Rechnungen

Fivetran Inc.

1221 Broadway Street, 20. Etage, Oakland, CA 94612, USA

Datenintegrationsplattform zur Optimierung von Analysen und Business Intelligence

FusionAuth

11080 Circle Point Rd., Suite 405, Westminster, CO 80020, USA

Identitätsanbieter für sichere Login-Verwaltung

Weld Technologies ApS

Danneskiold-Samsøes Allé 41, 1434 Kopenhagen, Dänemark

Datenübertragung von unserem Dienst nach Snowflake

Chargebee Inc.

909 Rose Avenue, Suite 950, North Bethesda, MD 20852, USA

Zahlungsabwicklung

Braze Inc.

63 Madison Building, 28 East 28th Street, 12. Etage, New York, NY 10016, USA

Versand von E-Mails an Kunden, hauptsächlich Marketing und Service-Updates

HubSpot Ireland Limited

HubSpot House, One Sir John Rogerson's Quay, Dublin 2, Irland

Marketing-Tool zur Verwaltung neuer Kunden

AppsFlyer Inc.

100 1st St., 25. Etage, San Francisco, CA 94105, USA

Erstellung von Links in E-Mails für Browser und mobile Geräte

Cookie Information

Købmagergade 19, 1150 Kopenhagen K, Dänemark

Einwilligungsmanagement auf der Website

Omni Analytics Inc.

375 Alabama St., Unit 350, San Francisco, CA 94110, USA

Datenvisualisierung und internes Reporting

Klippa App B.V.

Groningen, Niederlande

Datenauszug aus hochgeladenen Belegen für das Buchhaltungsprodukt

Letregnskab.dk ApS

C/O Woiremose & Partner ApS, Pilestræde 52, 2. Etage, 1112 Kopenhagen K, Dänemark

Erstellung von Jahresabschlüssen über Fragebögen für Kunden

Relatel A/S

Teglværksgade 18, 2100 Kopenhagen Ø, Dänemark

Telefonie für den Kundensupport

Sproom by VISMA e-conomic

Gærtorvet 1-5, 1799 Kopenhagen V, Dänemark

Infrastruktur für Versand und Empfang elektronischer Rechnungen in Dänemark

Apple Inc.

One Apple Park Way, Cupertino, CA 95014, USA

 

 

Zahlungsabwicklung

 

 

18. Anhang C – Anweisungen zur Verarbeitung personenbezogener Daten

C.1 – Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen, wie unten definiert oder separat schriftlich mitgeteilt und von beiden Parteien genehmigt.

 

Die vom Auftragsverarbeiter durchgeführten Verarbeitungsaktivitäten umfassen:

  • Die Bereitstellung einer Finanzverwaltungsplattform, die unter anderem Rechnungsstellung, Buchhaltung, Bankgeschäfte und Gehaltsabrechnung ermöglicht;
  • Die Operationen, die für die Erbringung der vom Datenverantwortlichen im Rahmen der Allgemeinen Geschäftsbedingungen ausgewählten Dienste notwendig sind;
  • Die Nutzung von Softwarekomponenten und Integrationen, die vom Auftragsverarbeiter zur Bereitstellung der genannten Dienste ausgewählt wurden.

 

Der Datenverantwortliche ist allein verantwortlich für die Festlegung der Rechtsgrundlage für die Verarbeitungsoperationen, auch gemäß den Artikeln 6 und 9 der DSGVO.

 

Jede Verarbeitung, die über diesen Umfang hinausgeht, muss einer separaten dokumentierten Anweisung des Datenverantwortlichen unterliegen.

 

C.2 – Kategorien von Daten und betroffenen Personen

Die Kategorien personenbezogener Daten und betroffener Personen sind in Anhang A detailliert aufgeführt.

 

Besondere Kategorien von Daten (Artikel 9 DSGVO) dürfen nicht verarbeitet werden, es sei denn, dies wurde ausdrücklich und formell vom Datenverantwortlichen genehmigt. Dem Datenverantwortlichen wird geraten, solche Daten, wann immer möglich, zu anonymisieren oder zu pseudonymisieren.

 

C.3 – Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert, wartet und passt, wo nötig, geeignete technische und organisatorische Maßnahmen an, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, in Übereinstimmung mit Artikel 32 der DSGVO.

 

Diese Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken einer unbeabsichtigten oder unrechtmäßigen Zerstörung, eines Verlusts, einer Änderung, einer unbefugten Offenlegung oder eines Zugriffs auf personenbezogene Daten.

 

Insbesondere stellt der Auftragsverarbeiter sicher, dass:

  • Personen, die zur Verarbeitung der Daten befugt sind, an Vertraulichkeitsverpflichtungen oder eine geeignete rechtliche Vertraulichkeitspflicht gebunden sind;
  • Der Zugriff auf die Daten auf autorisiertes Personal beschränkt ist, das strikt im Rahmen seiner Verantwortlichkeiten handelt;
  • Systeme durch physische, logische und organisatorische Sicherheitsmaßnahmen vor unbefugtem Zugriff geschützt sind;
  • Verfahren vorhanden sind, um die Wirksamkeit dieser Sicherheitsmaßnahmen regelmäßig zu testen, zu bewerten und zu überprüfen.

 

Unbeschadet der oben genannten Verpflichtungen können die Details der spezifischen implementierten Sicherheitsmaßnahmen auf Anfrage separat zur Verfügung gestellt werden, vorbehaltlich der geltenden Vertraulichkeitsbeschränkungen.

 

C.4 – Datenaufbewahrung und -löschung

Der Auftragsverarbeiter löscht oder gibt die personenbezogenen Daten am Ende der Vertragsbeziehung zurück, in Übereinstimmung mit den dokumentierten Anweisungen des Datenverantwortlichen, es sei denn, dies ist nach dem Recht der Union oder der Mitgliedstaaten, insbesondere zu Buchhaltungs- oder Steuerzwecken, anderweitig erforderlich.

 

C.5 – Unterauftragsverarbeiter

Der Auftragsverarbeiter hat die allgemeine Genehmigung des Datenverantwortlichen, die in Anhang B aufgeführten Unterauftragsverarbeiter einzusetzen.

 

Der Auftragsverarbeiter kann auch andere Unterauftragsverarbeiter beauftragen, vorausgesetzt, er informiert den Datenverantwortlichen im Voraus innerhalb einer angemessenen Frist, bevor die Änderung umgesetzt wird.

 

Der Datenverantwortliche kann innerhalb von dreißig (30) Tagen nach der Benachrichtigung einen begründeten schriftlichen Einspruch erheben, der sich ausschließlich auf legitime und dokumentierte Gründe im Zusammenhang mit dem Schutz personenbezogener Daten bezieht. Wenn kein Einspruch eingeht, gilt die Änderung als akzeptiert.

 

Im Falle eines berechtigten Einspruchs stimmen die Parteien zu, in gutem Glauben zusammenzuarbeiten, um eine für beide Seiten akzeptable Lösung zu finden. Wenn innerhalb einer angemessenen Frist keine Lösung gefunden wird, behält sich der Auftragsverarbeiter das Recht vor, mit dem benannten Unterauftragsverarbeiter fortzufahren, in welchem Fall der Datenverantwortliche nur die betroffenen Dienste kündigen kann, ohne Entschädigung oder Haftung für den Auftragsverarbeiter.

 

C.6 – Datenübermittlungen außerhalb des EWR

Daten werden vom Auftragsverarbeiter innerhalb des Europäischen Wirtschaftsraums (EWR) und von seinen in Anhang B aufgeführten autorisierten Unterauftragsverarbeitern verarbeitet.

 

Übermittlungen personenbezogener Daten außerhalb des EWR können im Zusammenhang mit der Nutzung internationaler Dienstleister auftreten. Der Datenverantwortliche genehmigt solche Übermittlungen ausdrücklich, vorausgesetzt, der Auftragsverarbeiter hält Kapitel V der DSGVO ein und implementiert geeignete Garantien, wie:

  • Angemessenheitsentscheidungen der Europäischen Kommission;
  • Standardvertragsklauseln (SCCs);
  • Verbindliche interne Datenschutzvorschriften (BCRs);
  • Oder andere DSGVO-konforme Garantien.

 

C.7 – Zusammenarbeit und Einhaltungsanweisungen

Der Auftragsverarbeiter erklärt sich bereit:

  • Den Datenverantwortlichen auf schriftliche Anfrage hin bei der Verwaltung von Anfragen betroffener Personen zur Ausübung ihrer Rechte zu unterstützen (Artikel 12–22 der DSGVO);
  • Die Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen (Artikel 35 DSGVO), wo relevant;
  • Mit den zuständigen Aufsichtsbehörden zusammenzuarbeiten, wo dies nach anwendbarem Recht erforderlich ist.

 

Der Auftragsverarbeiter wird nicht direkt mit betroffenen Personen oder Aufsichtsbehörden kommunizieren, es sei denn, er wird vom Datenverantwortlichen ausdrücklich schriftlich dazu angewiesen.

 

Jede Unterstützung, die über das hinausgeht, was nach Artikel 28 der DSGVO unbedingt erforderlich ist, kann einer zusätzlichen Vergütung unterliegen, die zwischen den Parteien vereinbart wird.

 

C.8 – Zugang und Prüfung

Auf Anfrage des Datenverantwortlichen und wenn glaubwürdige Beweise für eine Nichteinhaltung vorliegen, gestattet und trägt der Auftragsverarbeiter zu Prüfungen der Verarbeitungstätigkeiten bei, die unter diese Klauseln fallen. Eine solche Prüfung kann einmal pro Kalenderjahr durchgeführt werden, vorbehaltlich einer sechzig (60) Tage vorherigen schriftlichen Benachrichtigung an den Auftragsverarbeiter.

 

Die Prüfung muss auf eine Weise durchgeführt werden, die die Sicherheit und Vertraulichkeit der Dokumentation und Verfahren des Auftragsverarbeiters wahrt. Sie darf einen (1) Geschäftstag nicht überschreiten und muss während der regulären Geschäftszeiten in den Räumlichkeiten des Auftragsverarbeiters stattfinden.

 

Der Datenverantwortliche kann sich dafür entscheiden, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu ernennen, der von beiden Parteien einvernehmlich vereinbart und an eine Vertraulichkeitspflicht gebunden ist. Der Auftragsverarbeiter kann den vorgeschlagenen Prüfer ablehnen, wenn ein klarer Interessenkonflikt oder eine unzureichende Qualifikation vorliegt.

 

Ungeachtet anderslautender Bestimmungen trägt der Datenverantwortliche alle Kosten und/oder Ausgaben, die infolge einer solchen Prüfung entstehen.