Zum Hauptinhalt springen

Auftragsverarbeitungsvertrag

Gültig ab:

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Nutzungsbedingungen und gilt automatisch für jeden zahlenden Kunden. Er gilt immer dann, wenn die Jonot Oy (Unternehmens-ID 3620928-7, "Jonot", "Auftragsverarbeiter") personenbezogene Endnutzerdaten im Auftrag des Kunden ("Verantwortlicher") verarbeitet. Die Rollen bestimmen sich nach Art. 28 DSGVO. Eine gesonderte Unterschrift ist nicht erforderlich.

1. Rollen und Anwendungsbereich

Der Verantwortliche bestimmt Zwecke und Mittel der Verarbeitung. Jonot verarbeitet personenbezogene Daten ausschließlich als Auftragsverarbeiter im Auftrag des Verantwortlichen. Dieser AVV gilt, soweit die DSGVO auf die Verarbeitung Anwendung findet. Die Verarbeitung durch Polar (Abrechnung) erfolgt als eigener Verantwortlicher und unterliegt nicht diesem AVV.

2. Weisungen zur Verarbeitung

Jonot verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen — dazu zählen diese Bedingungen, dieser AVV und die Nutzung des Dienstes durch den Kunden —, sofern nicht das Recht etwas anderes verlangt. In diesem Fall informiert Jonot vor der Verarbeitung über die Anforderung, sofern das Recht dies nicht untersagt. Jonot informiert den Verantwortlichen, wenn eine Weisung nach seiner Auffassung gegen das Datenschutzrecht verstößt.

3. Gegenstand, Dauer, Art und Zweck

Gegenstand und Dauer, Art und Zweck der Verarbeitung sowie die Kategorien personenbezogener Daten und betroffener Personen sind in Anlage 1 beschrieben. Die Verarbeitung dauert an, solange der Kunde ein aktives Abonnement hat, zuzüglich der in der Datenschutzerklärung beschriebenen Aufbewahrungsfristen.

4. Vertraulichkeit

Jonot stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5. Sicherheit

Jonot trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 2 beschrieben.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Die aktuellen Unterauftragsverarbeiter sind in Anlage 3 aufgeführt. Jonot erlegt jedem Unterauftragsverarbeiter gleichwertige Datenschutzpflichten auf und haftet für deren Handeln. Jonot informiert über beabsichtigte Änderungen und gibt dem Verantwortlichen Gelegenheit zum Widerspruch.

7. Anfragen betroffener Personen

Jonot unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anfragen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit oder Widerspruch zu beantworten. Erhält Jonot eine solche Anfrage direkt, leitet es sie an den Verantwortlichen weiter und beantwortet sie nicht selbst, sofern der Verantwortliche nichts anderes anweist.

8. Unterstützung und Datenschutzverletzungen

Jonot unterstützt den Verantwortlichen bei dessen Pflichten nach Art. 32–36 DSGVO. Nach Kenntnis einer Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, informiert Jonot den Verantwortlichen ohne unangemessene Verzögerung und stellt die vernünftigerweise verfügbaren Informationen bereit.

9. Datenübermittlungen

Jonot übermittelt personenbezogene Daten nicht außerhalb des EWR ohne Angemessenheitsbeschluss oder geeignete Garantien wie die EU-Standardvertragsklauseln. Die Verarbeitung am Edge kann über unseren Infrastrukturanbieter weltweit erfolgen; die Garantien für solche Übermittlungen sind in Anlage 3 beschrieben.

10. Rückgabe und Löschung

Bei Beendigung löscht oder gibt Jonot die personenbezogenen Daten gemäß den Nutzungsbedingungen zurück: 30-tägiger Exportzeitraum, Löschung der Produktivdaten und Auslaufen der Backups innerhalb von 90 Tagen, sofern das Recht keine Aufbewahrung verlangt.

11. Audits

Jonot stellt die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen bereit und ermöglicht Audits und trägt zu ihnen bei. Jonot kann diese Pflicht durch Dokumentation oder Berichte Dritter erfüllen. Audits vor Ort erfordern eine angemessene Vorankündigung und Vertraulichkeit und finden höchstens einmal jährlich statt, es sei denn, es besteht der Verdacht einer Verletzung.

12. Haftung und Änderungen

Für die Haftung nach diesem AVV gelten die Haftungsbeschränkungen der Nutzungsbedingungen. Jonot kann diesen AVV anpassen, um rechtlichen oder betrieblichen Änderungen Rechnung zu tragen; über wesentliche Änderungen informieren wir gemäß den Nutzungsbedingungen.

Anlage 1 — Beschreibung der Verarbeitung

  • Gegenstand und Zweck: Erbringung der virtuellen Warteschlangenverwaltung für den Verantwortlichen.
  • Art: Speicherung, Anzeige und Echtzeitverarbeitung von Endnutzer-Schlangendaten.
  • Kategorien personenbezogener Daten: Namen, Telefonnummern, Schlangenverlauf und Wartenummer-Metadaten von Endnutzern; Kontodaten von Personal-Nutzern.
  • Kategorien betroffener Personen: Endnutzer, die sich in die Schlangen des Kunden einreihen, und Personal-Nutzer des Kunden.
  • Dauer: Laufzeit des Abonnements und Aufbewahrungsfristen gemäß Datenschutzerklärung.

Anlage 2 — Sicherheitsmaßnahmen

  • Verschlüsselung bei der Übertragung (HTTPS am Edge).
  • Zugriffskontrolle und Prinzip der geringsten Rechte.
  • Ratenbegrenzung und Authentifizierung am Edge.
  • Backups und Auslaufen aus dem Umlauf.
  • Zugriffs- und Ereignisprotokollierung.

Anlage 3 — Unterauftragsverarbeiter

  • Cloudflare: Hosting, Datenbank (D1), Durable Objects und Edge.
  • E-Mail-Anbieter: transaktionale E-Mails (z. B. Bestätigungen).
  • Polar: Abrechnung; handelt als eigener Verantwortlicher (kein Unterauftragsverarbeiter nach diesem AVV).

Fragen: info@jonot.io.