Datenverarbeitungsvertrag

1. Parteien und Hintergrund

Verantwortlicher: der Kunde, der die Nutzungsbedingungen von Mapalyze akzeptiert hat.

Auftragsverarbeiter ("Verarbeiter"): Mapalyze, handelnd als "Mapalyze," Calle Badajoz 9, 21600 Valverde del Camino, Huelva, Spanien. Kontakt: info@mapalyze.com.

Diese AVV stellt die Konformität mit Artikel 28 DSGVO und der spanischen LOPDGDD sicher. Im Falle eines Widerspruchs zwischen dieser AVV und dem Vertrag hat diese AVV in allen Fragen des Datenschutzes Vorrang.

2. Definitionen

Großgeschriebene Begriffe haben die in der DSGVO oder der Vereinbarung zugewiesenen Bedeutungen. Wichtige Begriffe:

• "Personenbezogene Daten" — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Absatz 1 DSGVO).
• "Verarbeitung" — jeder mit Personenbezogenen Daten ausgeführte Vorgang (Artikel 4 Absatz 2 DSGVO).
• "Verletzung des Schutzes personenbezogener Daten" — eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von Personenbezogenen Daten führt (Artikel 4 Absatz 12 DSGVO).
• "Unterauftragsverarbeiter" — jeder Dritte, den der Auftragsverarbeiter beauftragt, Personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
• "Aufsichtsbehörde" — die Agencia Española de Protección de Datos (AEPD).
• "Standardvertragsklauseln (SCCs)" — von der Europäischen Kommission genehmigte Klauseln für die Übermittlung von Personenbezogenen Daten außerhalb des EWR.

3. Umfang und Zweck der Verarbeitung

Gegenstand

Bereitstellung einer cloudbasierten Plattform für Kartierung, Felddatenerfassung, Inspektion und Geodatenanalyse, einschließlich Datenspeicherung, Synchronisierung, Reporting und zugehörigem technischem Support.

Dauer

Die Verarbeitung dauert fuer die Laufzeit der Vereinbarung an. Bei Kuendigung gilt Abschnitt 9 (Kuendigung).

Art und Zweck

Erhebung, Speicherung, Organisation, Abruf, Anzeige, Übermittlung, Synchronisierung, Analyse und Löschung personenbezogener Daten, soweit dies für die Erbringung der Dienste erforderlich ist.

Arten Verarbeiteter Personenbezogener Daten

• Identitätsdaten: Namen, Mitarbeiter-IDs, Berufsbezeichnungen, Rollen
• Kontaktdaten: E-Mail-Adressen, Telefonnummern, Postanschriften
• Standort-/Geodaten: GPS-Koordinaten, geografische Grenzen, Kartenanmerkungen, GIS-Layer-Daten
• Mediendaten: Fotos, Videos, Audioaufnahmen, die über die Dienste erfasst wurden
• Gerätedaten: Gerätekennungen, IP-Adressen, Betriebssysteminformationen
• Formular-/Umfrageantwortdaten: alle Daten, die in vom Verantwortlichen erstellte Formulare eingegeben werden

Kategorien Betroffener Personen

• Die Mitarbeiter, Auftragnehmer und Vertreter des Verantwortlichen
• Die Kunden und Endbenutzer des Verantwortlichen
• Individuals whose data is collected during Feldinspektions or surveys
• Alle sonstigen Personen, deren Personenbezogene Daten vom Verantwortlichen oder dessen Nutzern hochgeladen werden

4. Pflichten des Auftragsverarbeiters

4.1 Verarbeitungsanweisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf internationale Datenübermittlungen, sofern nicht EU- oder Mitgliedstaatenrecht etwas anderes verlangt. Der Auftragsverarbeiter informiert den Verantwortlichen vor der Verarbeitung über eine solche gesetzliche Pflicht, sofern dies gesetzlich zulässig ist.

4.2 Vertraulichkeit

Sämtliches Personal des Auftragsverarbeiters mit Zugang zu personenbezogenen Daten ist durch schriftliche Vertraulichkeitsvereinbarungen gebunden und zur Vertraulichkeit verpflichtet.

4.3 Sicherheitsmaßnahmen

Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO um, darunter:

• Verschlüsselung personenbezogener Daten bei der Übertragung mit TLS 1.2 oder höher
• Verschlüsselung personenbezogener Daten im Ruhezustand mit AES-256 oder einem gleichwertigen Standard
• Rollenbasierte Zugriffskontrollen, damit nur autorisiertes Personal auf personenbezogene Daten zugreifen kann
• Regelmäßige Sicherheitstests und Schwachstellenbewertungen
• Protokollierung und Überwachung des Zugriffs auf personenbezogene Daten
• Sichere Entwicklungspraktiken für die Plattform
• Verfahren zur Geschäftskontinuität und Notfallwiederherstellung, einschließlich regelmäßiger Backups

4.4 Rechte der Betroffenen

Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Erfuellung seiner Pflichten zur Beantwortung von Betroffenenrechtsanfragen gemaess DSGVO Kapitel III (Artikel 15-22), einschliesslich Auskunfts-, Berichtigungs-, Loeschungs-, Einschraenkungs-, Portabilitaets- und Widerspruchsrecht. Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich ueber direkt erhaltene Betroffenenanfragen.

4.5 DSFAs

Der Auftragsverarbeiter leistet angemessene Unterstuetzung bei Datenschutz-Folgenabschaetzungen (DSFAs) und vorherigen Konsultationen mit Aufsichtsbehoerden gemaess Artikel 35 und 36 DSGVO.

5. Meldung von Verletzungen personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Auftragsverarbeiter:

• Den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden nach Kenntniserlangung von der Verletzung zu benachrichtigen, im Einklang mit Artikeln 33–34 DSGVO, um dem Verantwortlichen ausreichend Zeit zu geben, seiner eigenen 72-stündigen Meldepflicht nachzukommen
• Die Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen anzugeben
• Mit dem Verantwortlichen zusammenzuarbeiten und angemessene Schritte zu unternehmen, um bei der Untersuchung, Eindämmung und Behebung zu helfen
• Dritte (einschließlich betroffener Personen oder Aufsichtsbehörden) nicht direkt zu benachrichtigen ohne die vorherige schriftliche Anweisung des Verantwortlichen, sofern nicht gesetzlich vorgeschrieben
• Alle Verletzungen des Schutzes personenbezogener Daten gemäß Artikel 33(5) DSGVO zu dokumentieren

6. Internationale Datenübermittlungen

Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht außerhalb des EWR, es sei denn:

• Die Europäische Kommission hat für das Bestimmungsland einen Angemessenheitsbeschluss erlassen (einschließlich Übermittlungen in die USA im Rahmen des EU-U.S. Data Privacy Framework, sofern der Empfänger zertifiziert ist).
• Es bestehen geeignete Garantien nach Artikel 46 DSGVO, beispielsweise Standardvertragsklauseln (SVK).
• Eine Ausnahmeregelung nach Artikel 49 DSGVO greift und wurde dokumentiert.

Der Auftragsverarbeiter informiert den Verantwortlichen über jeden außerhalb des EWR befindlichen Unterauftragsverarbeiter und den verwendeten Garantiemechanismus. Informationen über aktuelle Unterauftragsverarbeiter sind in Abschnitt 8 aufgelistet und können auch durch Kontaktaufnahme mit info@mapalyze.com eingeholt werden.

7. Audits und Inspektionen

Der Auftragsverarbeiter stellt alle Informationen zur Verfügung, die erforderlich sind, um die Konformität mit Artikel 28 DSGVO nachzuweisen und Audits zu ermöglichen, vorbehaltlich folgender Punkte:

• Mindestens 30 Tage schriftliche Vorankündigung für jede Audit-Anfrage.
• Audits während der üblichen Geschäftszeiten, ohne den Betrieb unangemessen zu beeinträchtigen.
• Die Auditkosten trägt der Verantwortliche, außer das Audit deckt einen wesentlichen Verstoß des Auftragsverarbeiters auf.
• Die Audit-Ergebnisse werden als Vertrauliche Informationen des Auftragsverarbeiters behandelt.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern, unter folgenden Bedingungen:

• Eine aktuelle Liste der Unterauftragsverarbeiter wird in diesem Abschnitt geführt und ist auf Anfrage unter info@mapalyze.com verfügbar, einschließlich Name, Standort und Rolle
• Mindestens 15 Tage Vorankündigung für geplante Änderungen der Unterauftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, Einspruch einzulegen
• Gutgläubige Diskussion berechtigter Einwände innerhalb von 15 Tagen; bei Nichteinigung kann der Verantwortliche die betroffenen Services kündigen
• Auferlegung derselben Datenschutzpflichten für jeden Unterauftragsverarbeiter per Vertrag (Artikel 28(4) DSGVO)
• Der Auftragsverarbeiter bleibt für Handlungen und Unterlassungen der Unterauftragsverarbeiter vollumfänglich haftbar

8.1 Aktuelle Unterauftragsverarbeiter

Zum Datum der letzten Aktualisierung bedient sich Mapalyze der folgenden Unterauftragsverarbeiter zur Erbringung der Services. Jedem Unterauftragsverarbeiter werden vertraglich Datenschutzpflichten auferlegt, die denen in diesem DPA entsprechen.

• Paddle.com Market Ltd — Vereinigtes Königreich — Händler des Verkaufs (Merchant of Record) für kostenpflichtige Abonnements (Zahlungsabwicklung, Steuerberechnung, Rechnungsstellung, Rückerstattungsabwicklung). Verarbeitete Daten: Kundenname, Rechnungs-E-Mail, Rechnungsadresse, IP-Adresse, Kaufhistorie, Zahlungstokens. Übermittlungsmechanismus: Angemessenheitsbeschluss für das Vereinigte Königreich, angenommen von der Europäischen Kommission am 28. Juni 2021 gemäß Artikel 45 DSGVO.
• Supabase Inc. — Europäische Union (EU-Region, Stockholm — eu-north-1) — Datenbank, Authentifizierung, Speicher und Edge-Functions-Hosting für die Mapalyze-Anwendung. Verarbeitete Daten: alle vom Verantwortlichen und seinen Nutzern hochgeladenen personenbezogenen Daten, einschließlich Kontodaten, Felddaten, Geodaten, Medien und Authentifizierungskennungen. Übermittlungsmechanismus: EWR-Hosting, keine internationale Übermittlung erforderlich.
• Vercel Inc. — Vereinigte Staaten — Webanwendungs-Hosting und Serverless Compute für die Mapalyze-Web-App (app.mapalyze.com). Verarbeitete Daten: Sitzungsdaten authentifizierter Nutzer, IP-Adressen, Anfrage-Metadaten, Nutzungstelemetrie. Übermittlungsmechanismus: Standardvertragsklauseln (Modul 2) gemäß Artikel 46 DSGVO und EU-U.S. Data Privacy Framework, wo anwendbar; Vercel ist DPF-zertifiziert.
• Hostinger International Ltd — Europäische Union (Litauen) — Statisches Hosting für die öffentliche Mapalyze-Marketing-Website (mapalyze.com). Verarbeitete Daten: IP-Adressen von Besuchern, Browser-Identifikatoren, HTTP-Zugriffsprotokolle. Übermittlungsmechanismus: EWR-Hosting, keine internationale Übermittlung erforderlich.
• Resend, Inc. — Vereinigte Staaten — Versand transaktionaler E-Mails (Authentifizierungs-E-Mails, Rechnungen, Benachrichtigungen). Verarbeitete Daten: E-Mail-Adresse des Empfängers, Name, Inhalt und Metadaten der E-Mail. Übermittlungsmechanismus: Standardvertragsklauseln (Modul 2) gemäß Artikel 46 DSGVO.
• Google LLC — Vereinigte Staaten — Web-Analytik für die öffentliche Marketing-Website (mapalyze.com) über Google Analytics 4 (GA4). Verarbeitete Daten: IP-Adresse (wo möglich durch Kürzung anonymisiert), Browser- und Geräteidentifikatoren, Referrer-URL, besuchte Seiten, Interaktionsereignisse. Die Erhebung ist an ein Cookie-Consent-Banner gebunden und erfolgt nur, wenn der Besucher seine Einwilligung zu Analytik erteilt. Übermittlungsmechanismus: Standardvertragsklauseln (Modul 2) gemäß Artikel 46 DSGVO und EU-U.S. Data Privacy Framework (Google LLC ist DPF-zertifiziert).
• Functional Software, Inc. (Sentry) — Vereinigte Staaten — Fehlerverfolgung, Performance-Überwachung und Release-Status der Mapalyze-Anwendung. Verarbeitete Daten: Fehler-Stack-Traces, Nutzerkennungen, Geräteinformationen, Browser- und Betriebssystem-Metadaten, IP-Adressen. Übermittlungsmechanismus: Standardvertragsklauseln (Modul 2) gemäß Artikel 46 DSGVO.
• HERE Global B.V. — Niederlande (Europäische Union) — Geokodierung, Reverse-Geokodierung, Routing und Kartendienste. Verarbeitete Daten: Adresssuchanfragen, zur Geokodierung übermittelte GPS-Koordinaten, IP-Adressen. Übermittlungsmechanismus: EWR-Hosting (primär); Standardvertragsklauseln, soweit der operative Support Übermittlungen an HERE-Konzerneinheiten außerhalb des EWR umfasst.
• MapTiler AG — Schweiz — Vektor-Kartenkacheln, Kartenstyling und Tile-Server. Verarbeitete Daten: Kachelanfragen (Koordinaten und Zoomstufe), IP-Adressen. Übermittlungsmechanismus: Angemessenheitsbeschluss für die Schweiz, angenommen von der Europäischen Kommission gemäß Artikel 45 DSGVO.

Diese Liste spiegelt die aktuellen Beauftragungen wider und kann sich weiterentwickeln. Der Verantwortliche kann jederzeit eine aktuelle und vollständige Liste der Unterauftragsverarbeiter unter info@mapalyze.com anfordern. Wesentliche Änderungen werden mindestens 15 Tage im Voraus mitgeteilt.

9. Kündigung und Datenrückgabe

Nach Beendigung des Vertrags muss der Auftragsverarbeiter nach Wahl des Verantwortlichen entweder alle personenbezogenen Daten in einem strukturierten, gängigen Format zurückgeben oder sämtliche personenbezogenen Daten in seinem Besitz sicher löschen. Der Verantwortliche hat ab Vertragsende 30 Tage Zeit, die Daten vor der Löschung zu exportieren. Auf Anfrage bestätigt der Auftragsverarbeiter die Löschung schriftlich.

Der Auftragsverarbeiter führt Verzeichnisse der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO und arbeitet mit der Aufsichtsbehörde (AEPD) gemäß Artikel 31 DSGVO zusammen.