Datenverarbeitungs- Zusatz

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen in der DSGVO (Regulation (EU) 2016/679) und gegebenenfalls im UK GDPR / Data Protection Act 2018, dem California Consumer Privacy Act in der durch das CPRA geänderten Fassung („CCPA“) sowie gleichwertigen Rechtsvorschriften anderer Rechtsordnungen zukommt.

„Personenbezogene Daten“ sind Daten, die vom Kunden übermittelt oder durch den Dienst erzeugt werden und eine identifizierte oder identifizierbare natürliche Person betreffen. „Unterauftragsverarbeiter” ist ein Dritter, der von FixVibe zur Verarbeitung Personenbezogener Daten im Auftrag von FixVibe eingesetzt wird — aufgeführt unter /legal/privacy.

Jede Partei trägt eigenständig die Verantwortung für die Einhaltung der für sie geltenden Datenschutzgesetze. Der Kunde ist der Verantwortliche und FixVibe ist der Auftragsverarbeiter der Personenbezogenen Daten, die im Rahmen dieses Zusatzes verarbeitet werden. FixVibe verarbeitet Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden (die Konfiguration des Dienstes gilt als solche Weisung), es sei denn, eine rechtliche Verpflichtung erfordert eine abweichende Verarbeitung.

FixVibe stellt sicher, dass zur Verarbeitung Personenbezogener Daten befugtes Personal Vertraulichkeitsverpflichtungen unterliegt. Der Zugang zu Produktionsdaten ist auf eine Teilmenge des Betriebspersonals mit minimalen Berechtigungen beschränkt, wird über audit_logs protokolliert und regelmäßig überprüft. Mitarbeiter von FixVibe greifen auf Kundendaten nur zu, um Support-Tickets zu bearbeiten, auf Sicherheitsvorfälle zu reagieren oder rechtlichen Anforderungen nachzukommen.

FixVibe trifft geeignete technische und organisatorische Maßnahmen, die mit GDPR Art. 32 übereinstimmen, darunter:

• Verschlüsselung Personenbezogener Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand (Datenbank-Datenträgerverschlüsselung + gezielte spaltenweise AES-256-GCM-Verschlüsselung für Scan-Header und OAuth-Tokens);
• erzwungene Zeilensicherheit (Row-Level Security) für jede Datenbanktabelle — der Anwendungscode kann organisationsübergreifend auch aus Versehen weder lesen noch schreiben;
• benutzerspezifische Multi-Faktor-Authentifizierung über den vorgelagerten OAuth-Anbieter (Google oder GitHub), sofern der Kunde Social-Login wählt;
• kontinuierliche statische Analyse und Überprüfung der FixVibe-Codebasis auf Schwachstellen in Abhängigkeiten;
• Sicherungen über den Datenbankdienstleister mit Point-in-Time-Recovery; jährlich getestet;
• definierte Aufbewahrungsfristen (siehe Datenschutzerklärung), die durch einen automatisierten täglichen Cron-Job durchgesetzt werden — kein bloßes Versprechen auf Papier.

Der Kunde ermächtigt FixVibe, die in der Datenschutzerklärung aufgeführten Unterauftragsverarbeiter für die dort beschriebenen Zwecke einzusetzen. FixVibe schließt mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag ab, der Datenschutzpflichten auferlegt, die mindestens ebenso streng sind wie die in diesem Zusatz, und bleibt dem Kunden gegenüber für Handlungen und Unterlassungen des Unterauftragsverarbeiters im Rahmen der Verarbeitung Personenbezogener Daten verantwortlich.

FixVibe wird den Kunden (per In-App-Mitteilung oder E-Mail) mindestens 30 Tage im Voraus über die beabsichtigte Hinzunahme oder den Austausch von Unterauftragsverarbeitern informieren und dem Kunden Gelegenheit zum Widerspruch geben. Widerspricht der Kunde aus berechtigten datenschutzrechtlichen Gründen, kann er den Dienst in Bezug auf die betroffene Verarbeitung kündigen.

FixVibe verarbeitet Personenbezogene Daten vorwiegend in den Vereinigten Staaten. Soweit Personenbezogene Daten aus dem EEA, UK oder der Schweiz in ein Drittland ohne Angemessenheitsbeschluss übermittelt werden, stützt sich FixVibe auf:

• die Standardvertragsklauseln der Europäischen Kommission (Decision (EU) 2021/914), Modul 2 (Verantwortlicher an Auftragsverarbeiter), die durch Verweis in diesen Zusatz einbezogen werden;
• den UK International Data Transfer Addendum zu den EU SCCs (oder das eigenständige IDTA), veröffentlicht durch den ICO;
• die ergänzenden technischen und organisatorischen Maßnahmen, die in Abschnitt 4 beschrieben sind.

Der Kunde ermächtigt FixVibe, die SCCs / IDTA mit jedem weiteren Unterauftragsverarbeiter im Namen des Kunden abzuschließen.

FixVibe unterstützt den Kunden (unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen) dabei, Anfragen betroffener Personen gemäß Articles 15–22 GDPR zu beantworten. Die meisten Rechte können per Self-Service über Konto → Datenschutz wahrgenommen werden; für verbleibende Anfragen kann der Kunde eine E-Mail an support@fixvibe.app mit dem Betreff „Privacy request“ senden. Wir antworten innerhalb von 30 Tagen.

FixVibe wird den Kunden unverzüglich (und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden) über eine Verletzung des Schutzes Personenbezogener Daten, die Kundendaten betrifft, informieren und dabei alle Informationen bereitstellen, die der Kunde vernünftigerweise benötigt, um seinen eigenen Pflichten aus Article 33 / 34 nachzukommen, einschließlich der Art der Verletzung, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze, der voraussichtlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen zu deren Behebung.

FixVibe stellt dem Kunden die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses Zusatzes nachzuweisen, einschließlich dieses Dokuments, der Datenschutzerklärung, der Richtlinie zur akzeptablen Nutzung, der Nutzungsbedingungen und etwaiger Sicherheitsberichte Dritter, die wir besitzen (diese werden auf Anfrage unter NDA weitergegeben). FixVibe ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden, auf angemessene Vorankündigung hin und während der Geschäftszeiten, höchstens einmal pro Kalenderjahr (es sei denn, eine Aufsichtsbehörde verlangt etwas anderes oder es liegt eine Verletzung des Schutzes Personenbezogener Daten vor).

Nach Beendigung des Dienstes und nach Wahl des Kunden löscht oder gibt FixVibe alle Personenbezogenen Daten, die im Auftrag des Kunden verarbeitet wurden, innerhalb von 30 Tagen zurück, soweit FixVibe nicht durch geltendes Recht zur Aufbewahrung verpflichtet ist (z. B. Steuer- und Abrechnungsunterlagen). Der Self-Service-Kontoloschungsablauf unter Konto → Datenschutz löst dies sofort aus.

Für die Zwecke des CCPA ist FixVibe ein „Service Provider“ und der Kunde ein „Business” in Bezug auf alle im Rahmen dieses Zusatzes verarbeiteten Personenbezogenen Informationen. FixVibe wird nicht:

• Personenbezogene Informationen verkaufen oder weitergeben (im Sinne des CCPA);
• Personenbezogene Informationen für andere Zwecke als den spezifischen Geschäftszweck der Erbringung des Dienstes aufbewahren, verwenden oder offenlegen, auch nicht außerhalb der direkten Geschäftsbeziehung zwischen FixVibe und dem Kunden;
• vom Kunden erhaltene Personenbezogene Informationen mit Personenbezogenen Informationen aus anderen Quellen kombinieren, es sei denn, dies ist ausdrücklich durch den CCPA erlaubt.

FixVibe bestätigt, dass es diese Einschränkungen versteht und einhält.

Im Falle eines Widerspruchs zwischen diesem Zusatz und den Nutzungsbedingungen geht dieser Zusatz im Ausmaß des Widerspruchs vor. Die SCCs / IDTA gehen beiden gegenüber vor, soweit sie anwendbar sind.

Für alle datenschutzrechtlichen Angelegenheiten, einschließlich der Wahrnehmung von Betroffenenrechten und Anfragen zu Unterauftragsverarbeitern, wende dich an EGO HERO LLC:

• E-Mail: support@fixvibe.app (Betreff „DPA“ zur Weiterleitung angeben)
• Postanschrift: auf Anfrage über die oben genannte E-Mail-Adresse erhältlich