Vereinbarung zur Datenverarbeitung

Datum des Inkrafttretens: September 24, 2025
Parteien: Diese DPA ist Teil der Vereinbarung zwischen Furious (“Auftragsverarbeiter“) und dem Kunden, der die Dienste kauft oder nutzt (“Verantwortlicher“).

Durch die Ausführung eines Auftrags oder die Nutzung der Dienste stimmen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter dieser DPA zu.

1) Rollen, Umfang und Anweisungen

Rollen. Der für die Verarbeitung Verantwortliche bestimmt die Zwecke und Mittel; der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen.
Umfang. Die Verarbeitung beschränkt sich auf die Bereitstellung, Wartung und Unterstützung der Services, wie im Vertrag beschrieben.
Anweisungen. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf der Grundlage der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen (der Vertrag und diese DSGVO stellen die vollständigen Anweisungen dar), auch bei internationalen Übermittlungen.

2) Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind.

3) Sicherheit

Der Auftragsverarbeiter ergreift angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Weitergabe oder Zugriff zu schützen. (Detaillierte Maßnahmen können auf einer separaten Seite beschrieben werden und sind nicht Teil dieser DPA).

4) Unterprozessoren

Allgemeine Ermächtigung. Der Controller ermächtigt den Auftragsverarbeiter, die in Abschnitt 12 aufgeführten Unterauftragsverarbeiter zu beauftragen.
Flow-down. Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern Datenschutzverpflichtungen auf, die nicht weniger schützend sind als die in dieser DPA.
Aktualisierungen. Die Liste der Subprozessoren kann durch Aktualisieren dieser Seite aktualisiert werden.

5) Unterstützung

Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen in angemessener Weise bei Anfragen der betroffenen Person und bei der Erfüllung der Verpflichtungen gemäß Artikel 32-36 DSGVO unterstützen. Der Auftragsverarbeiter kann für die Unterstützung, die nicht zu den Dienstleistungen gehört, angemessene Gebühren erheben.

6) Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die sich auf die im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten auswirkt, und stellt ihm in angemessener Weise Informationen zur Verfügung, um den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten zu unterstützen.

7) Rückgabe & Löschung

Nach Beendigung oder Ablauf der Dienste löscht der Auftragsverarbeiter personenbezogene Daten innerhalb eines wirtschaftlich angemessenen Zeitraums, vorbehaltlich der gesetzlich vorgeschriebenen minimalen Aufbewahrung von Sicherungskopien/Archivierung. (Eine Rückgabe wird nicht angeboten, es sei denn, sie ist gesetzlich vorgeschrieben.)

8) Audits und Informationen

Der Auftragsverarbeiter stellt die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DSGVO nachzuweisen, und stellt auf angemessene Anfrage aktuelle unabhängige Berichte oder andere Informationen (die Zusammenfassungen enthalten können) zur Verfügung. Formelle Audits/Inspektionen finden nur statt, wenn dies gesetzlich vorgeschrieben ist oder wenn die zur Verfügung gestellten Informationen unzureichend sind, höchstens einmal alle 12 Monate, nach angemessener Vorankündigung, während der normalen Geschäftszeiten und ohne unangemessene Unterbrechung. Jede Partei trägt ihre eigenen Kosten; der Controller erstattet die angemessenen Kosten des Auftragsverarbeiters.

9) Internationale Überweisungen

Wenn personenbezogene Daten ohne einen Angemessenheitsbeschluss außerhalb des EWR/des Vereinigten Königreichs übermittelt werden, gelten die EU-Standardvertragsklauseln (2021/914, Module 2 und/oder 3) und gegebenenfalls der britische Zusatz durch Verweis und sind Teil dieser DSGVO, wobei der für die Verarbeitung Verantwortliche als “Datenexporteur“ und der Auftragsverarbeiter (oder der entsprechende Unterauftragsverarbeiter) als “Datenimporteur“ gilt.

10) Aufzeichnungen und Zusammenarbeit

Der Auftragsverarbeiter führt Aufzeichnungen, die gemäß GDPR Art. 30(2) und stellt sie den Aufsichtsbehörden auf Anfrage zur Verfügung.

11) Haftung und Präzedenzfall

Die Haftung wird durch die Beschränkungen und Ausschlüsse der Vereinbarung geregelt. Im Falle eines Konflikts ist diese DPA maßgeblich, soweit sie die Verarbeitung personenbezogener Daten betrifft.

12) Unterprozessoren (Live-Liste)

Verarbeitungsort: EU standardmäßig.

Subprozessor	Zweck	Ort der Verarbeitung	Kategorien von persönlichen Daten	Mehr Info
Amazon Web Services, Inc. (AWS)	Hosting & Infrastruktur für die Dienste	EU-Regionen als Standard (z.B. Dublin/Frankfurt)	In den Services gespeicherte Kunden-/Endbenutzer-Kontodaten und Nutzungs-/Protokolldaten	aws.amazon.de
Intercom R&D Unlimited Unternehmen	Tools für den Kundensupport (In-App-Messaging, Helpdesk)	EU/EEA standardmäßig (vorbehaltlich des regionalen Routings von Intercom)	Kunden-/Admin-Kontaktdaten und Metadaten zu Supportgesprächen	intercom.com/legal

Anhang A - Details zur Verarbeitung (GDPR Art. 28(3))

Gegenstand: Bereitstellung und Unterstützung der Furious Services.
Dauer: Laufzeit der Vereinbarung plus begrenzte Aufbewahrung von Sicherungskopien/Archivierung.
Art und Zweck: Hosting, Speicherung, Übertragung, Anzeige und Verarbeitung, die für die Bereitstellung der Dienste erforderlich sind; Support; produktinterne Service-Analysen.
Arten von persönlichen Daten: Kontaktdaten (z.B. Namen, E-Mails), Konto-/Profildaten, von der verantwortlichen Stelle hochgeladene Inhalte (wie von der verantwortlichen Stelle festgelegt), Dienstnutzung/Protokolldaten.
Kategorien von betroffenen Personen: Mitarbeiter des Controllers, Auftragnehmer und Endnutzer (wie vom Controller bestimmt).
Pflichten des für die Verarbeitung Verantwortlichen: Erteilung rechtmäßiger Anweisungen und Gewährleistung einer gültigen Rechtsgrundlage.

Anhang B - Verwendung von Google-Nutzerdaten

1. Zugriff und Verwendung: Die Furious-Anwendung kann über Google-APIs (z. B. Gmail, Kalender oder Drive) auf bestimmte Google-Nutzerdaten zugreifen, um die Furious-Dienste bereitzustellen und zu verbessern.- Es wird nur auf die Mindestdaten zugegriffen, die für die angeforderte Funktionalität erforderlich sind.- Google-Nutzerdaten werden nicht für Werbe- oder Marketingzwecke verwendet.- Google-Nutzerdaten werden niemals verkauft oder vermietet.

2. Weitergabe und Offenlegung: Google-Nutzerdaten werden nicht an Dritte weitergegeben, außer:- an die in Abschnitt 12 dieser DPA aufgeführten Auftragsverarbeiter, ausschließlich zur Bereitstellung von Hosting und technischem Support für die Furious-Dienste;- wenn dies gesetzlich vorgeschrieben ist;- mit der ausdrücklichen Zustimmung des für die Verarbeitung Verantwortlichen.

3. Speicherung und Aufbewahrung: Die Nutzerdaten von Google werden sicher auf Servern in der Europäischen Union (z.B. AWS in Dublin oder Frankfurt) gespeichert und nur so lange aufbewahrt, wie es für die Bereitstellung der Dienste erforderlich ist oder wie es das Gesetz verlangt.

4. Nutzerkontrolle und Löschung: Die Nutzer können den Zugriff von Furious auf ihre Google-Daten jederzeit über ihre Google
Kontoeinstellungen widerrufen: https://myaccount.google.com/permissions. Nach dem Widerruf oder der Löschung des Kontos löscht Furious die zugehörigen Google-Daten innerhalb eines wirtschaftlich angemessenen Zeitraums.

5. Einhaltung: Die Nutzung von Google-Nutzerdaten durch Furious entspricht den Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung: https://developers.google.com/terms/api-services-user-data-policy

CRM, Angebote und kaufmännische Betreuung

Rechnungsstellung, Einkauf und Vorbuchhaltung

Projekt- und Teammanagement

Furious Network

Dienstleistungen & NSE

Agenturen

Beratung & Prüfung

Unsere ebooks

Fallbeispiele

Unsere Nachrichten

Merkblätter

Vereinbarung zur Datenverarbeitung