(1) MEFERI Technologies Co., Ltd., ein nach chinesischem Recht gegründetes Unternehmen mit Sitz in 5F, A5, Tianfu Software Park, Nr. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, VRChina („MEFERI“, „Auftragsverarbeiter“, „Wir“, „Uns“ oder „Unser“); und

(2) Der Kunde („Kunde“, „Verantwortlicher“ oder „Sie“), die juristische Person, die die Dienste von MEFERI wie unten definiert abonniert hat oder nutzt und den Hauptnutzungsbedingungen oder einem anderen Rahmenvertrag von MEFERI („Hauptvertrag“) zugestimmt hat.

Diese DPA ist ein integraler Bestandteil der Hauptvereinbarung und spiegelt die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch MEFERI im Namen des Kunden im Zusammenhang mit den Diensten wider.

Durch die Annahme der Hauptvereinbarung oder durch den Zugriff auf die Dienste oder deren Nutzung nach Bereitstellung dieser DPA schließt der Kunde diese DPA in seinem eigenen Namen und, soweit gemäß geltendem Datenschutzrecht erforderlich, im Namen und im Auftrag seiner autorisierten Benutzer ab.

Sollte es zu Konflikten zwischen dieser Datenverarbeitungsvereinbarung und der Hauptvereinbarung kommen, so hat diese Datenverarbeitungsvereinbarung im Hinblick auf die Verarbeitung personenbezogener Daten im Umfang des Konflikts Vorrang.

1. DEFINITIONEN

1.1. „Hauptvertrag“ bezeichnet den primären schriftlichen Vertrag (der auch als Servicebedingungen, Allgemeine Servicebedingungen, Rahmenvertrag, Servicevertrag, Abonnementvertrag oder ähnlich bezeichnet werden kann) zwischen dem Kunden und MEFERI (oder einem vertragsschließenden MEFERI-Partner gemäß Abschnitt 18.4) über die Bereitstellung der Dienste, einschließlich etwaiger spezifischer Serviceplanbedingungen (wie etwa „MeCare (Planname): Allgemeine Servicebedingungen“) und etwaiger darunter ausgeführter Bestellformulare oder Leistungsbeschreibungen. Diese DPA ist integraler Bestandteil dieses Hauptvertrags.

1.2. „Anwendbares Datenschutzrecht“ bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten im Rahmen dieser Datenverarbeitungsvereinbarung gelten, einschließlich, aber nicht beschränkt auf die DSGVO und alle nationalen Umsetzungsgesetze, Vorschriften und sekundären Rechtsvorschriften in der jeweils gültigen Fassung.

1.3. „Verantwortlicher“ hat die in Artikel 4 Absatz 7 der DSGVO festgelegte Bedeutung. Für die Zwecke dieser Datenverarbeitungsvereinbarung ist der Kunde der Verantwortliche.

1.4. „Betroffene Person“ hat die in Artikel 4 Absatz 1 der DSGVO festgelegte Bedeutung.

1.5. „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

1.6. „Personenbezogene Daten“ hat die in Artikel 4(1) der DSGVO festgelegte Bedeutung und ist auf die personenbezogenen Daten beschränkt, die von MEFERI im Auftrag des Kunden bei der Bereitstellung der Dienste verarbeitet werden, wie in Anhang 1 näher beschrieben.

1.7. „Verletzung des Schutzes personenbezogener Daten“ hat die in Artikel 4(12) der DSGVO festgelegte Bedeutung und ist insbesondere eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die von MEFERI übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten des Kunden führt.

1.8. „Verarbeitung“ hat die in Artikel 4 Absatz 2 der DSGVO festgelegte Bedeutung. „Verarbeiten“ und „verarbeitet“ sind entsprechend auszulegen.

1.9. „Auftragsverarbeiter“ bezeichnet MEFERI Technologies Co., Ltd. (MEFERI) oder, sofern gemäß Abschnitt 18.4 dieser DPA zutreffend, die vertragsschließende verbundene Partei von MEFERI im Hauptvertrag mit dem Kunden.

1.10. „Dienste“ bezeichnet die von MEFERI dem Kunden im Rahmen des Hauptvertrags bereitgestellten Produkte und Dienste, insbesondere, aber nicht beschränkt auf die Shadowalk MDM/EMM-Cloud-Lösung von MEFERI, in der Cloud gehostete Komponenten der CIAO Intelligent Shopper Assistant (ISA)-Lösung, bei der MEFERI als Auftragsverarbeiter fungiert, und alle damit verbundenen Supportdienste (einschließlich, aber nicht beschränkt auf Dienste, die im Rahmen eines MEFERI MeCare-Servicevertrags bereitgestellt werden), bei denen MEFERI personenbezogene Daten des Kunden verarbeitet. Zur Klarstellung: Dienste umfassen keine Vor-Ort-Bereitstellungen von MEFERI-Software, bei denen die laufende Verarbeitung personenbezogener Daten ausschließlich in der Umgebung des Kunden erfolgt, es sei denn, MEFERI greift auf Anweisung des Kunden zu Supportzwecken auf diese Systeme zu.

1.11. „Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der von MEFERI mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden im Zusammenhang mit den Diensten beauftragt wird.

1.12. „Technische und organisatorische Maßnahmen“ oder „TOMs“ bezeichnet die von MEFERI zum Schutz personenbezogener Daten implementierten Sicherheitsmaßnahmen, wie in Anhang 2 näher beschrieben.

1.13. „Partnerlösungen von Drittanbietern“ bezeichnet Software oder Dienste von Drittanbietern, die in die Hardware oder Dienste von MEFERI integriert oder in Verbindung damit verwendet werden können, wie etwa Zahlungslösungen (z. B. WorldLine „Tap on Mobile“) oder Self-Scanning-Software für den Einzelhandel (z. B. 4MAX „Scan & Go“), bei denen der Kunde möglicherweise eine direkte Vertragsbeziehung mit diesem Drittanbieter hat.

2. ROLLEN UND VERANTWORTLICHKEITEN

2.1. Rollen der Parteien: Der Kunde ist der Verantwortliche und MEFERI der Verarbeiter der personenbezogenen Daten des Kunden. Jede Partei erfüllt ihre jeweiligen Verpflichtungen gemäß geltendem Datenschutzrecht.

2.2. Pflichten des Kunden als Verantwortlicher: Der Kunde erklärt und gewährleistet, dass:

a. Es hat alle geltenden Bestimmungen des geltenden Datenschutzrechts in Bezug auf die Verarbeitung personenbezogener Daten und alle Verarbeitungsanweisungen, die es an MEFERI erteilt, eingehalten und wird dies auch weiterhin tun;

b. Es trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen es diese Daten erworben hat, einschließlich der Einholung aller erforderlichen Einwilligungen, der Bereitstellung aller erforderlichen Mitteilungen und der Bereitstellung einer gültigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch MEFERI gemäß dieser DPA und der Hauptvereinbarung; und

c. Seine Anweisungen an MEFERI zur Verarbeitung personenbezogener Daten müssen dem geltenden Datenschutzrecht entsprechen.

2.3. Pflichten von MEFERI als Verarbeiter: MEFERI muss:

a. Personenbezogene Daten dürfen nur auf dokumentierte Anweisung des Kunden verarbeitet werden, auch im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, MEFERI ist dazu durch das Recht der Union oder der Mitgliedstaaten, dem MEFERI unterliegt, verpflichtet; in einem solchen Fall wird MEFERI den Kunden vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, das Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses (Artikel 28 Absatz 3 Buchstabe a DSGVO). Der Hauptvertrag und diese Datenverarbeitungsvereinbarung stellen die dokumentierten Anweisungen des Kunden an MEFERI zur Verarbeitung personenbezogener Daten dar.

b. Den Kunden unverzüglich informieren, wenn eine Anweisung nach Ansicht von MEFERI gegen geltendes Datenschutzrecht verstößt (Artikel 28(3) DSGVO).

3. DETAILS DER VERARBEITUNG

3.1. Der Gegenstand der Verarbeitung, die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anhang 1 (Details der Verarbeitung) dieser Datenverarbeitungsvereinbarung aufgeführt.

4. VERTRAULICHKEIT

4.1. MEFERI stellt sicher, dass sich sein zur Verarbeitung personenbezogener Daten befugtes Personal zur Vertraulichkeit verpflichtet hat oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegt (Artikel 28(3)(b) DSGVO).

5. SICHERHEIT DER VERARBEITUNG

5.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird MEFERI geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in Anhang 2 (Technische und organisatorische Maßnahmen) beschrieben (Artikel 28 Absatz 3 Buchstabe c und Artikel 32 DSGVO).

5.2. MEFERI kann die TOMs von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer wesentlichen Verschlechterung der Gesamtsicherheit der Dienste führen.

6. UNTERVERARBEITUNG

6.1. Allgemeine Genehmigung: Der Kunde erteilt MEFERI die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Namen des Kunden im Zusammenhang mit der Bereitstellung der Dienste zu beauftragen (Artikel 28(2) DSGVO).

6.2. Aktuelle Unterauftragsverarbeiter und Benachrichtigung über neue Unterauftragsverarbeiter: MEFERI führt eine Liste seiner aktuellen Unterauftragsverarbeiter und stellt diese dem Kunden auf Anfrage oder über eine dafür vorgesehene Webseite (siehe Anhang 3) zur Verfügung. MEFERI informiert den Kunden mindestens dreißig (30) Kalendertage im Voraus über geplante Änderungen hinsichtlich der Hinzufügung oder Ersetzung weiterer Unterauftragsverarbeiter und gibt dem Kunden die Möglichkeit, Einspruch gegen solche Änderungen einzulegen.

6.3. Einspruch gegen neue Unterauftragsverarbeiter: Hat der Kunde einen triftigen Grund, der Nutzung eines neuen Unterauftragsverarbeiters durch MEFERI zu widersprechen, muss er MEFERI hiervon unverzüglich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von MEFERI schriftlich in Kenntnis setzen. Im Falle eines Einspruchs des Kunden wird MEFERI angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Kunden unangemessen zu belasten. Ist MEFERI nicht in der Lage, diese Änderung innerhalb einer angemessenen Frist von höchstens dreißig (30) Kalendertagen zur Verfügung zu stellen, kann der Kunde den entsprechenden Teil der Dienste, der von MEFERI ohne die Nutzung des beanstandeten neuen Unterauftragsverarbeiters nicht erbracht werden kann, durch schriftliche Mitteilung an MEFERI kündigen.

6.4. Pflichten des Unterauftragsverarbeiters: MEFERI stellt sicher, dass jeder von ihr beauftragte Unterauftragsverarbeiter einem schriftlichen Vertrag oder einem anderen Rechtsakt nach dem Recht der Union oder der Mitgliedstaaten unterliegt, der ihm Datenschutzpflichten auferlegt, die mindestens denen entsprechen, die MEFERI gemäß dieser DPA auferlegt werden, und insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, sodass die Verarbeitung den Anforderungen des anwendbaren Datenschutzrechts entspricht (Artikel 28(4) DSGVO).

6.5. Haftung: MEFERI bleibt gegenüber dem Kunden für die Erfüllung der Datenschutzverpflichtungen seiner Unterauftragsverarbeiter voll haftbar.

7. RECHTE DER BETROFFENEN PERSON

7.1. Unter Berücksichtigung der Art der Verarbeitung unterstützt MEFERI den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person (z. B. Recht auf Auskunft, Berichtigung, Löschung usw.) zu antworten (Artikel 28 Absatz 3 Buchstabe e DSGVO).

7.2. Erhält MEFERI eine Anfrage direkt von einer betroffenen Person bezüglich personenbezogener Kundendaten, benachrichtigt MEFERI den Kunden unverzüglich über diese Anfrage und antwortet der betroffenen Person nicht, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht. Der Kunde ist für die Beantwortung aller Anfragen der betroffenen Person verantwortlich.

8. UNTERSTÜTZUNG DES VERANTWORTLICHEN

8.1. Unter Berücksichtigung der Art der Verarbeitung und der MEFERI zur Verfügung stehenden Informationen wird MEFERI den Kunden in angemessener Weise dabei unterstützen, die Einhaltung seiner Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der betroffenen Person über Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörde) sicherzustellen (Artikel 28 Absatz 3 Buchstabe f DSGVO).

9. BENACHRICHTIGUNG BEI VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

9.1. Mitteilung an den Kunden:

MEFERI benachrichtigt den Kunden unverzüglich und in jedem Fall innerhalb von achtundvierzig (48) Stunden, nachdem es von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt hat (Artikel 28(3)(f) und Artikel 33(2) DSGVO).

9.2. In einer solchen Mitteilung ist, soweit möglich, Folgendes zu beschreiben:

a. Die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

b. Name und Kontaktdaten des Datenschutzbeauftragten von MEFERI oder einer anderen Kontaktstelle, bei der weitere Informationen erhältlich sind;

c. Die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und

d. Die von MEFERI ergriffenen oder geplanten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.

9.3. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, können die Informationen ohne unangemessene weitere Verzögerung schrittweise bereitgestellt werden.

9.4. Der Kunde ist ausschließlich für die Einhaltung seiner Meldepflichten bei Datenschutzverletzungen gemäß geltendem Datenschutzrecht verantwortlich. Die Meldung oder Reaktion von MEFERI auf eine Datenschutzverletzung gemäß diesem Abschnitt 9 stellt kein Eingeständnis eines Verschuldens oder einer Haftung seitens MEFERI in Bezug auf die Datenschutzverletzung dar.

10. Löschung oder Rückgabe von Daten

10.1. Nach Abschluss der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung löscht MEFERI auf Wunsch des Kunden alle personenbezogenen Daten oder gibt sie an den Kunden zurück. Außerdem werden vorhandene Kopien gelöscht, sofern das Recht der Union oder der Mitgliedstaaten nicht die Speicherung der personenbezogenen Daten vorschreibt (Artikel 28 Absatz 3 Buchstabe g DSGVO). Die genauen Aufbewahrungs- und Löschfristen richten sich nach dem Hauptvertrag oder einer anderweitigen Vereinbarung.

11. PRÜFUNGEN UND INSPEKTIONEN

11.1. MEFERI stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der DSGVO festgelegten Verpflichtungen zur Verfügung und ermöglicht und unterstützt Audits, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden (Artikel 28 Absatz 3 Buchstabe h DSGVO).

11.2. Solche Audits finden während der normalen Geschäftszeiten von MEFERI statt, müssen mindestens dreißig (30) Kalendertage im Voraus schriftlich angekündigt werden und dürfen die Geschäftstätigkeit von MEFERI nicht unangemessen beeinträchtigen. Kunde und MEFERI vereinbaren Umfang, Zeitpunkt und Dauer des Audits einvernehmlich.

11.3. Der Kunde stellt sicher, dass jeder Prüfer im Rahmen einer schriftlichen Vertraulichkeitsvereinbarung handelt. Der Kunde trägt seine eigenen Kosten sowie die Kosten des beauftragten Prüfers. Ergibt die Prüfung einen wesentlichen Verstoß von MEFERI gegen diese DPA, trägt MEFERI die angemessenen Kosten der Prüfung bis zu einer einvernehmlich vereinbarten Obergrenze.

11.4. Soweit gesetzlich zulässig, kann MEFERI seinen Prüfpflichten nachkommen, indem es dem Kunden relevante Zertifizierungen eines unabhängigen externen Prüfers (z. B. ISO 27001, SOC 2 Typ II) oder Zusammenfassungen davon vorlegt, vorbehaltlich entsprechender Vertraulichkeitsverpflichtungen.

12. INTERNATIONALE DATENÜBERTRAGUNGEN

12.1. MEFERI übermittelt personenbezogene Daten nicht in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) oder in Länder, die von der Europäischen Kommission gemäß Artikel 45 der DSGVO als angemessen erachtet werden, ohne sicherzustellen, dass angemessene Sicherheitsvorkehrungen gemäß Kapitel V der DSGVO getroffen wurden (z. B. durch den Abschluss von Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden).

12.2. Die primären Datenverarbeitungsstandorte für die Dienste, insbesondere die Standorte, an denen personenbezogene Kundendaten von MEFERI auf seiner zentralen Cloud-Infrastruktur gehostet werden, befinden sich im Europäischen Wirtschaftsraum (EWR) in der Amazon Web Services (AWS)-Region eu-west-3 (Paris, Frankreich). Weitere Einzelheiten zu Unterauftragsverarbeitern, einschließlich Cloud-Infrastrukturanbietern und deren Standorten, finden Sie in Anhang 3.

12.3. Überträgt MEFERI personenbezogene Daten an einen Unterauftragsverarbeiter in einem Drittland (d. h. außerhalb des EWR oder in einem von der Europäischen Kommission als nicht angemessen eingestuften Land), das kein angemessenes Schutzniveau gewährleistet, stellt MEFERI sicher, dass diese Übertragung durch einen geeigneten Übertragungsmechanismus gemäß Kapitel V der DSGVO, wie z. B. die Standardvertragsklauseln, abgedeckt ist. Dies gilt auch für Übertragungen, die erfolgen können, wenn MEFERI Dienste eines Unterauftragsverarbeiters in Anspruch nimmt, dessen Infrastruktur oder Supportpersonal sich in solchen Drittländern befindet, selbst wenn der in 12.2 genannte primäre Verarbeitungsort innerhalb des EWR liegt.

13. Nutzung von Partnerlösungen Dritter durch MEFERI

13.1. Der Kunde erkennt an, dass die Hardware oder Dienste von MEFERI in Verbindung mit Partnerlösungen von Drittanbietern verwendet werden können (z. B. Zahlungsabwicklungslösungen auf CIAO-Geräten, spezielle Einzelhandelsverwaltungssoftware).

13.2. Entscheidet sich der Kunde für die Nutzung solcher Partnerlösungen Dritter, kann er mit den Anbietern dieser Lösungen eine direkte Vertragsbeziehung eingehen. In solchen Fällen kann der Drittanbieter als Verantwortlicher oder Auftragsverarbeiter für die personenbezogenen Daten fungieren, die er im Rahmen seiner Dienste verarbeitet, wie in der Vereinbarung des Kunden mit dem Drittanbieter festgelegt.

13.3. Diese DPA regelt ausschließlich die Verarbeitung personenbezogener Daten durch MEFERI als Auftragsverarbeiter für den Kunden. Sie gilt nicht für Verarbeitungstätigkeiten von Anbietern von Partnerlösungen Dritter, mit denen der Kunde in direkter Beziehung steht, es sei denn, der jeweilige Anbieter fungiert gemäß Abschnitt 6 dieser DPA als Unterauftragsverarbeiter für MEFERI.

14. HAFTUNG UND SCHADENSERSATZ

14.1. Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den im Hauptvertrag festgelegten Haftungsbeschränkungen und -ausschlüssen.

14.2. Der Kunde stellt MEFERI von allen Ansprüchen, Klagen, Ansprüchen Dritter, Verlusten, Schäden und Kosten (einschließlich angemessener Anwaltskosten) frei, die MEFERI aus einer Verletzung der Verpflichtungen des Kunden gemäß dieser Datenverarbeitungsvereinbarung oder dem geltenden Datenschutzgesetz entstehen.

15. LAUFZEIT UND KÜNDIGUNG

15.1. Diese DPA beginnt mit dem Datum des Inkrafttretens des Hauptvertrags und bleibt bis zur Kündigung oder zum Ablauf des Hauptvertrags in Kraft oder bis MEFERI die Verarbeitung personenbezogener Daten im Auftrag des Kunden einstellt, je nachdem, welcher Zeitpunkt später liegt.

15.2. Verpflichtungen zur Vertraulichkeit, Löschung/Rückgabe von Daten und alle Bestimmungen, die ihrer Natur nach auch nach der Kündigung fortbestehen sollten, bleiben auch nach der Kündigung oder dem Ablauf dieser DPA bestehen.

16. ÄNDERUNGEN DIESER DPA

16.1. MEFERI kann diese DPA von Zeit zu Zeit ändern, indem die geänderte Version auf der Website veröffentlicht oder der Kunde anderweitig benachrichtigt wird.

16.2. Nimmt MEFERI wesentliche Änderungen an dieser DPA vor, wird MEFERI den Kunden rechtzeitig über die Änderung informieren (z. B. per E-Mail an den vom Kunden benannten Ansprechpartner oder durch eine Benachrichtigung innerhalb der Dienste). Die fortgesetzte Nutzung der Dienste durch den Kunden nach Ablauf dieser Frist gilt als Zustimmung zur geänderten DPA. Widerspricht der Kunde einer wesentlichen Änderung, kann er den Hauptvertrag gemäß seinen Bedingungen kündigen.

17. Geltendes Recht und Streitbeilegung

17.1. Geltendes Recht: Diese DPA unterliegt den Gesetzen, die als geltendes Recht in der Hauptvereinbarung zwischen dem Kunden und der MEFERI-Einheit, die Vertragspartei dieser Hauptvereinbarung ist („MEFERI-Vertragspartei“), festgelegt sind, und wird in Übereinstimmung mit diesen Gesetzen ausgelegt.

17.2. Streitbeilegung:

a. Die Parteien bemühen sich, alle Streitigkeiten, Meinungsverschiedenheiten oder Ansprüche, die sich aus dieser DPA, ihrer Auslegung, Gültigkeit, Verletzung oder Kündigung („Streitigkeit“) ergeben oder damit in Zusammenhang stehen, einvernehmlich durch Verhandlungen in gutem Glauben zwischen ihren bevollmächtigten Vertretern beizulegen. b. Kann eine Streitigkeit nicht innerhalb von dreißig (30) Kalendertagen nach der schriftlichen Mitteilung einer Partei über die Aufnahme von Verhandlungen durch Verhandlungen beigelegt werden, wird diese Streitigkeit gemäß dem im Hauptvertrag festgelegten Streitbeilegungsverfahren (z. B. Schiedsgerichtsverfahren oder Gerichtsverfahren) und vor dem im Hauptvertrag festgelegten Gerichtsstand beigelegt. c. Für den Fall, dass der Hauptvertrag ein Schiedsverfahren vorsieht:

i. Ein solches Schiedsverfahren ist der primäre Mechanismus zur Beilegung von Streitigkeiten im Rahmen dieser DPA. ii. Sofern im Hauptvertrag nichts anderes angegeben ist oder der Hauptvertrag keine Einzelheiten zum Schiedsverfahren für Angelegenheiten im Zusammenhang mit dieser DPA enthält, vereinbaren die Parteien, dass derartige Streitigkeiten einem Schiedsverfahren vor einer einvernehmlich vereinbarten international anerkannten Schiedsinstitution (wie dem Shenzhen Court of International Arbitration (SCIA), dem Singapore International Arbitration Centre (SIAC) oder dem Hong Kong International Arbitration Centre (HKIAC) oder einer entsprechenden Institution innerhalb der Europäischen Union, wenn es sich bei der vertragsschließenden MEFERI-Einheit um eine in der EU ansässige Tochtergesellschaft handelt) unterworfen werden können. iii. Das Schiedsverfahren wird in englischer Sprache durchgeführt. Sitz oder Gerichtsstand des Schiedsverfahrens ist der im Hauptvertrag angegebene oder, falls nicht angegeben oder für eine bestimmte Streitigkeit ein anderer Ort einvernehmlich vereinbart wurde, ein von den Parteien einvernehmlich gewählter Ort oder, falls eine solche Einigung nicht innerhalb einer angemessenen Frist zustande kommt, ein von der vertragsschließenden MEFERI-Einheit gewählter Ort. iv. Der Schiedsspruch ist für beide Parteien endgültig und bindend, vorbehaltlich etwaiger nach den Gesetzen des Schiedsgerichtssitzes zulässiger Berufungsrechte wegen Verfahrensungerechtigkeit oder fehlender Zuständigkeit.

d. Wenn im Hauptvertrag ein Gerichtsverfahren vorgesehen ist, sind die dort genannten Gerichte vorbehaltlich des nachstehenden Abschnitts 17.3 zuständig.

17.3. Zwingende datenschutzrechtliche Bestimmungen: a. Ungeachtet anderer Bestimmungen in dieser DPA oder dem Hauptvertrag gilt: Wenn das anwendbare Datenschutzrecht (einschließlich, aber nicht beschränkt auf die DSGVO) einer betroffenen Person das zwingende Recht einräumt, vor den Gerichten ihres gewöhnlichen Aufenthaltsortes oder Arbeitsplatzes oder des Ortes, an dem ein mutmaßlicher Verstoß stattgefunden hat, ein Verfahren einzuleiten oder bei einer Aufsichtsbehörde Beschwerde einzulegen, bleiben diese Rechte durch die Bestimmungen dieser DPA unberührt. b. Wenn die DSGVO gilt, stellen MEFERI und der Kunde sicher, dass die Wahl des anwendbaren Rechts oder der Gerichtsbarkeit die betroffenen Personen nicht daran hindert, von den zwingenden Bestimmungen des Rechts des Mitgliedstaats der Europäischen Union zu profitieren, in dem sie ansässig sind.

17.4. Fortgesetzte Leistung: Bis zur Beilegung eines Streits werden die Parteien ihre jeweiligen Verpflichtungen aus dieser DPA im Rahmen des Möglichen weiterhin erfüllen, es sei denn, die DPA oder die Hauptvereinbarung wird gekündigt.

18. KONTAKTINFORMATIONEN / DATENSCHUTZ

18.1. Prozessor: MEFERI Technologies Co., Ltd. Adresse: 5F, A5, Tianfu Software Park, Nr. 1129, Century City Road, High-Tech-Zone, 610000, Chengdu, Sichuan, VRChina

– E-Mail für Datenschutzanfragen: legal@meferi.com

18.2. Datenschutzanfragen und DPO (für MEFERI Technologies Co., Ltd.): Alle Anfragen im Zusammenhang mit dem Datenschutz im Rahmen dieser DPA sollten an die E-Mail-Adresse gerichtet werden, die oben in Abschnitt 18.1 für MEFERI Technologies Co., Ltd. angegeben ist.

18.3. EU-Vertreter für MEFERI Technologies Co., Ltd. (gemäß Artikel 27 DSGVO): Name des EU-Vertreters: MEFERI Poland Sp. z oo Adresse: Ul. Modelarska 18/2, 40-142 Katowice, Polen E-Mail für Anfragen zum EU-Datenschutz (für betroffene Personen und Aufsichtsbehörden in der EU bezüglich der Verarbeitung durch MEFERI Technologies Co., Ltd.): poland@meferi.com

18.4. Verarbeitung durch verbundene Unternehmen von MEFERI: Wenn der Kunde einen Hauptvertrag mit einem verbundenen Unternehmen von MEFERI Technologies Co., Ltd. (z. B. MEFERI Poland Sp. z oo) („vertragsschließendes verbundenes Unternehmen von MEFERI“) abschließt und dieses vertragsschließende verbundene Unternehmen von MEFERI im Rahmen dieses Hauptvertrags als Verarbeiter der personenbezogenen Daten fungiert:

a) Diese DPA gilt für die Verarbeitungstätigkeiten, die vom vertragsschließenden MEFERI-Partner durchgeführt werden, und alle Verweise auf „MEFERI“ oder „Auftragsverarbeiter“ hierin gelten als Verweise auf das jeweilige vertragsschließende MEFERI-Partnerunternehmen.

b) Die Kontaktdaten für Datenschutzanfragen im Zusammenhang mit der Verarbeitung durch das jeweilige MEFERI-Partnerunternehmen sind im Hauptvertrag angegeben oder werden dem Kunden anderweitig vom MEFERI-Partnerunternehmen mitgeteilt. Für MEFERI Poland Sp. z oo lauten die Kontaktdaten: Adresse: Ul. Modelarska 18/2, 40-142 Katowice, Polen

E-Mail: poland@meferi.com

Telefon: +48 734-143-579

c) Das geltende Recht und die Streitbeilegung für diese DPA werden in solchen Fällen durch die Hauptvereinbarung mit dem vertragsschließenden MEFERI-Partner bestimmt.

19. GESAMTE VEREINBARUNGMENT

19.1. Diese DPA, einschließlich ihrer Anhänge, stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen und gleichzeitigen Vereinbarungen, Vorschläge oder Zusicherungen, schriftlicher oder mündlicher Art, in Bezug auf den Vertragsgegenstand.

ZU URKUND DESSEN bestätigen die Parteien ihre Zustimmung zu dieser Datenverarbeitungsvereinbarung ab dem Datum des Inkrafttretens der Hauptvereinbarung oder der Nutzung der Dienste durch den Kunden.

—

ANHANG 1

DETAILS DER VERARBEITUNG

Dieser Anhang 1 ist Teil der DPA und beschreibt die Verarbeitung personenbezogener Daten durch MEFERI im Auftrag des Kunden.

A. LISTE DER PARTEIEN

Verantwortlicher/Auftraggeber/Auftraggeber:

Die juristische Person, die mit MEFERI den Hauptvertrag zur Bereitstellung der Dienste abgeschlossen hat. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

Prozessor(en) / MEFERI:

MEFERI Technologies Co., Ltd. oder, sofern gemäß Abschnitt 18.4 dieser DPA zutreffend, die vertragsschließende MEFERI-Tochtergesellschaft des Hauptvertrags mit dem Kunden, die dem Kunden die Dienste bereitstellt.

B. BESCHREIBUNG DER VERARBEITUNG

1. Gegenstand der Verarbeitung:

Die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung, Wartung, Unterstützung und Verbesserung der vom Kunden im Rahmen des Hauptvertrags abonnierten MEFERI-Dienste, einschließlich, aber nicht beschränkt auf die MEFERI Shadowalk MDM/EMM-Cloud-Lösung und in der Cloud gehostete Komponenten der CIAO Intelligent Shopper Assistant (ISA)-Lösung.

2. Dauer der Verarbeitung:

Für die Laufzeit des Hauptvertrags zwischen MEFERI und dem Kunden und bis alle personenbezogenen Daten gemäß Abschnitt 10 des DPA gelöscht oder zurückgegeben werden.

3. Art und Zweck der Verarbeitung:

– Für die MEFERI Shadowalk MDM/EMM-Cloud-Lösung: Ermöglicht dem Kunden die Fernverwaltung, Sicherung, Überwachung und Unterstützung seiner mobilen Geräte. Dies umfasst Gerätebereitstellung, Konfigurationsmanagement, Anwendungsmanagement, Durchsetzung von Sicherheitsrichtlinien, Geräteverfolgung (sofern vom Kunden aktiviert), Ferndiagnose und die Erstellung von Berichten über Gerätestatus und -nutzung für den Kunden.

– Für MEFERI CIAO ISA Cloud-Komponenten (wobei MEFERI der Verarbeiter ist): Um den Betrieb der intelligenten Einkaufsassistentenlösung für den Kunden (Händler) zu erleichtern. Dies kann die Benutzerauthentifizierung, die Verwaltung von Einkaufslisten, die Verarbeitung von Produktinformationen, Kundeninteraktionsdaten (für Analysen, die dem Händler zur Verfügung gestellt werden) und die Ermöglichung der Integration mit Diensten von Drittanbietern gemäß den Anweisungen des Kunden umfassen.

– MeCare-Serviceverträge: Für MEFERI MeCare-Dienste (bei denen MEFERI als Verarbeiter fungiert): Zur Bereitstellung vertraglich vereinbarter Support-, Wartungs-, Reparatur-, Überwachungs- und Geräteverwaltungsdienste, wie in den geltenden „MeCare (Planname): Allgemeine Servicebedingungen“ und dem MeCare-Support-Servicehandbuch beschrieben, was den Zugriff auf, die Erfassung oder anderweitige Verarbeitung personenbezogener Daten beinhalten kann, die auf den Geräten des Kunden gespeichert oder von diesen übertragen werden oder die vom Kunden im Rahmen der Leistungserbringung bereitgestellt werden.

– Für Support-Services: Zur Bereitstellung von technischem Support, Fehlerbehebung, Wartung und Updates für die Services, was auf Anfrage und Anweisung des Kunden den Zugriff auf personenbezogene Daten beinhalten kann, die innerhalb der Services oder auf den Systemen des Kunden verarbeitet werden.

– Den dokumentierten Anweisungen des Kunden gemäß dieser DPA und der Hauptvereinbarung nachzukommen.

– Zur Erfüllung geltender gesetzlicher Verpflichtungen.

4. Kategorien betroffener Personen:

– Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden: Personen, die die Dienste im Namen des Kunden verwalten oder nutzen (z. B. IT-Administratoren, die Shadowalk verwenden, Einzelhandelsmitarbeiter, die CIAO verwalten oder verwenden).

– Endbenutzer der vom Kunden verwalteten Geräte (für Shadowalk): Einzelpersonen (z. B. Mitarbeiter des Kunden), die mobile Computer oder andere Geräte verwenden, die vom Kunden über die Shadowalk-Lösung verwaltet werden.

– Kunden (Käufer) des Kunden (für CIAO, wenn MEFERI ihre personenbezogenen Daten in einem Cloud-Backend im Auftrag des Einzelhändlerkunden verarbeitet): Einzelpersonen, die die CIAO-ISA-Geräte im Geschäft des Einzelhändlers verwenden.

5. Arten der verarbeiteten personenbezogenen Daten:

Die Art der verarbeiteten personenbezogenen Daten hängt von den vom Kunden genutzten Diensten und der Art und Weise ab, wie der Kunde diese Dienste konfiguriert und nutzt. Zu den personenbezogenen Daten können gehören:

– Benutzerkonto- und Kontaktinformationen: Name, E-Mail-Adresse, Benutzername, Passwörter, Telefonnummer, Berufsbezeichnung, Abteilung, Mitarbeiter-ID, Rolle/Berechtigungen innerhalb der Dienste (falls zutreffend für die Dienstverwaltung durch den Kunden).

– Geräteinformationen (für Shadowalk): Gerätekennungen (z. B. Seriennummer, IMEI, MAC-Adresse, UDID), Gerätemodell, Betriebssystemversion, IP-Adresse, Netzwerkinformationen, Gerätekonfigurationseinstellungen, installierte Anwendungen, Gerätestandortdaten (sofern vom Kunden aktiviert).

– Nutzungs- und Protokolldaten (für Shadowalk & CIAO Cloud): Systemprotokolle, Prüfpfade, Aktivitätsprotokolle, Leistungsdaten, Diagnosedaten im Zusammenhang mit der Nutzung der Dienste.

– Käuferdaten (für CIAO, falls zutreffend): Käuferkontodetails (z. B. Treue-ID, E-Mail, falls vom Käufer für die Registrierung über die App des Händlers auf CIAO angegeben), Einkaufslisten, Produktscanverlauf, Interaktionsdaten mit dem CIAO-Gerät.

– Supportdaten: Informationen, die vom Kunden während Supportinteraktionen bereitgestellt werden, einschließlich Kontaktdaten, Problembeschreibung, Systemkonfigurationsdetails und alle personenbezogenen Daten, die in Protokollen oder Dateien enthalten sind, die zur Fehlerbehebung an MEFERI weitergegeben werden.

– Alle anderen personenbezogenen Daten, die der Kunde (oder seine autorisierten Benutzer oder Datensubjekte) an die Dienste übermitteln möchte.

6. Besondere Kategorien personenbezogener Daten (falls vorhanden):

MEFERI beabsichtigt nicht, besondere Kategorien personenbezogener Daten (wie in Artikel 9 DSGVO definiert) im Auftrag des Kunden zu verarbeiten. Der Kunde darf keine besonderen Kategorien personenbezogener Daten hochladen, bereitstellen oder MEFERI mit der Verarbeitung beauftragen, es sei denn, dies wurde ausdrücklich schriftlich mit MEFERI vereinbart und unterliegt angemessenen Sicherheitsvorkehrungen. Stellt der Kunde solche Daten ohne vorherige Zustimmung bereit, trägt er die alleinige Verantwortung für die Gewährleistung einer gültigen Rechtsgrundlage für die Verarbeitung.

—

ANHANG 2

TECHNISCHE UND ORGANISATORISCHE SICHERHEIT MEASURES (TOMS)

Dieser Anhang 2 beschreibt die von MEFERI implementierten technischen und organisatorischen Maßnahmen, um ein angemessenes Sicherheitsniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. MEFERI kann diese Maßnahmen von Zeit zu Zeit aktualisieren, sofern diese Aktualisierungen die Gesamtsicherheit der Dienste nicht wesentlich beeinträchtigen.

1. Richtlinien und Governance zur Informationssicherheit:

a. MEFERI unterhält interne Richtlinien und Verfahren zum Schutz personenbezogener Daten.

b. Verantwortlichkeiten für die Informationssicherheit sind definiert und zugewiesen.

c. Es werden regelmäßige Risikobewertungen durchgeführt, um Bedrohungen für personenbezogene Daten zu erkennen und zu mindern.

2. Personensicherheit:

a. Mitarbeiter und Auftragnehmer mit Zugriff auf personenbezogene Daten unterliegen der Geheimhaltungspflicht.

b. Das zuständige Personal wird hinsichtlich seiner Verantwortung für Datenschutz und Sicherheit geschult, um ein Sicherheitsbewusstsein zu entwickeln.

c. Sofern dies nach geltendem Recht zulässig ist, können Hintergrundüberprüfungen für Mitarbeiter in sensiblen Positionen durchgeführt werden.

3. Physische Zugangskontrolle:

a. Es bestehen Maßnahmen, um den unbefugten physischen Zugang zu den Räumlichkeiten und Einrichtungen von MEFERI zu verhindern, in denen personenbezogene Daten verarbeitet werden können (z. B. Büros).

b. Hierzu gehören Sicherheitsbereiche, Zugangskontrollsysteme, Überwachung und gegebenenfalls die Protokollierung des physischen Zugangs.

c. Bei den von MEFERI für die Dienste genutzten Rechenzentren (d. h. jene seines primären Cloud-Dienstanbieters Amazon Web Services – AWS) verlässt sich MEFERI auf die robusten physischen Sicherheitsmaßnahmen, die von AWS implementiert wurden.

4. Systemzugriffskontrolle (logischer Zugriff):

a. Der Zugriff auf IT-Systeme, die personenbezogene Daten verarbeiten, ist auf autorisiertes Personal beschränkt.

b. Es werden eindeutige Benutzer-IDs und starke Authentifizierungsmechanismen (z. B. komplexe Passwörter, Multi-Faktor-Authentifizierung, sofern angemessen und machbar) verwendet.

c. Zugriffsrechte werden nach dem Prinzip der geringsten Privilegien (rollenbasierte Zugriffskontrolle) vergeben.

d. Es werden regelmäßige Überprüfungen der Zugriffsrechte durchgeführt.

e. Für den Fernzugriff werden sichere Protokolle verwendet.

5. Datenzugriffskontrolle:

a. Es sind Maßnahmen vorhanden, die sicherstellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, gemäß ihren zugewiesenen Rollen und Verantwortlichkeiten nur auf die personenbezogenen Daten zugreifen können, auf die sich ihr Zugriffsrecht bezieht.

b. Personenbezogene Daten werden während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt, außer wenn dies für die Bereitstellung der Dienste erforderlich ist oder vom Kunden angewiesen wird.

c. Die Trennung von Aufgaben und Daten wird gegebenenfalls umgesetzt.

6. Getriebesteuerung:

a. Personenbezogene Daten werden während der elektronischen Übertragung oder des Transports vor unbefugtem Lesen, Kopieren, Ändern oder Entfernen geschützt.

b. Zum Schutz personenbezogener Daten, die über öffentliche Netzwerke übertragen werden, werden Verschlüsselungstechnologien (z. B. Transport Layer Security – TLS/Secure Sockets Layer – SSL für Daten während der Übertragung) verwendet.

c. Für die Übertragung physischer Medien mit personenbezogenen Daten werden sichere Methoden verwendet, sofern solche Übertragungen stattfinden.

7. Eingabekontrolle:

a. Es werden Maßnahmen getroffen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden (z. B. durch Prüfprotokolle).

b. Für kritische Systemaktivitäten im Zusammenhang mit der Verarbeitung personenbezogener Daten werden Protokollierungs- und Prüffunktionen implementiert.

8. Datensicherung und -wiederherstellung:

a. Um die Datenverfügbarkeit und -integrität sicherzustellen, werden regelmäßige Backups der im Rahmen der Dienste verarbeiteten personenbezogenen Daten durchgeführt.

b. Sicherungs- und Wiederherstellungsverfahren werden definiert und regelmäßig getestet.

c. Backups werden sicher gespeichert.

9. Verfügbarkeitskontrolle und Belastbarkeit:

a. Die Systeme sind so konzipiert und konfiguriert, dass die Verfügbarkeit personenbezogener Daten und die Belastbarkeit der Verarbeitungssysteme und -dienste gewährleistet sind.

b. Dazu gehören Maßnahmen wie Redundanz, Fehlertoleranz und Disaster-Recovery-Funktionen, wobei in erster Linie die Infrastruktur des wichtigsten Cloud-Service-Providers von MEFERI (Amazon Web Services – AWS) genutzt wird.

10. Datentrennung:

a. Personenbezogene Daten des Kunden werden innerhalb der Dienste logisch von den Daten anderer MEFERI-Kunden getrennt.

11. Sichere Softwareentwicklung (für die Cloud-Plattformen von MEFERI):

a. Sichere Codierungspraktiken und -prinzipien sind in den Softwareentwicklungslebenszyklus von MEFERI für seine Cloud-Plattformen integriert.

b. Sicherheitstests (z. B. Schwachstellenscans, Penetrationstests) werden nach Bedarf für die Dienste durchgeführt.

c. Es gibt Verfahren zur Identifizierung, Bewertung und Behebung von Schwachstellen in der Software von MEFERI.

12. Vorfallmanagement:

a. MEFERI verfügt über einen Vorfallreaktionsplan und Verfahren zur Erkennung, Reaktion auf und Wiederherstellung nach Sicherheitsvorfällen, einschließlich Verstößen gegen den Schutz personenbezogener Daten.

b. Vorfälle werden untersucht, dokumentiert und es werden entsprechende Abhilfemaßnahmen ergriffen.

c. Es werden Kommunikationspläne für interne und externe Benachrichtigungen gemäß den Anforderungen des geltenden Datenschutzrechts und dieser Datenverarbeitungsvereinbarung erstellt.

13. Unterauftragsverarbeiterverwaltung:

a. Vor der Beauftragung von Unterauftragsverarbeitern wird eine Due-Diligence-Prüfung durchgeführt, um sicherzustellen, dass diese ein angemessenes Datenschutzniveau gewährleisten können.

b. Es bestehen vertragliche Vereinbarungen mit Unterauftragsverarbeitern, die Datenschutzverpflichtungen auferlegen, die mindestens denen entsprechen, die MEFERI im Rahmen dieser Datenverarbeitungsvereinbarung auferlegt werden.

14. Überwachung und Protokollierung:

a. Systeme, die personenbezogene Daten verarbeiten, werden, soweit angemessen und machbar, auf Sicherheitsereignisse und Anomalien überwacht.

b. Relevante Protokolle werden gesammelt und nach Bedarf überprüft, um Sicherheitsvorfälle zu erkennen, zu untersuchen und darauf zu reagieren.

15. Verschlüsselung:

a. Die Verschlüsselung ruhender personenbezogener Daten wird dort implementiert, wo dies angemessen und technisch machbar ist (z. B. bei der Speicherung in Datenbanken mit sensiblen personenbezogenen Daten).

b. Die Verschlüsselung personenbezogener Daten bei der Übertragung über öffentliche Netzwerke erfolgt mithilfe branchenüblicher Protokolle (z. B. TLS).

*(Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass MEFERI die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Kunden erworbenen Dienste führen.)*

—

ANHANG 3

Unterauftragsverarbeiter

Der Kunde erteilt MEFERI die allgemeine Genehmigung zur Nutzung der unten aufgeführten Kategorien von Unterauftragsverarbeitern. MEFERI führt eine aktuelle Liste seiner spezifischen Unterauftragsverarbeiter und stellt sie dem Kunden auf einer dafür vorgesehenen Webseite auf der MEFERI-Website zur Verfügung. https://meferi.com/en/us/legal/subprocessors ). und wird diese Liste dem Kunden auf schriftliche Anfrage an den Datenschutzkontakt von MEFERI zur Verfügung stellen (z. B. legal@meferi.com ).

Kategorien von Unterauftragsverarbeitern und Zweck:

1. Anbieter von Cloud-Infrastrukturen: – Unterauftragsverarbeiter und Einzelheiten zum Haupthosting der dem Kunden im Rahmen der Hauptvereinbarung bereitgestellten Dienste:

– Unternehmen: Amazon Web Services EMEA SARL (oder das entsprechende AWS-Vertragsunternehmen für im EWR erbrachte Dienste).

– Zweck: Bereitstellung der zugrunde liegenden Cloud-Computing-Infrastruktur (Server, Speicher, Netzwerke, Datenbanken) zum Hosten der Dienste von MEFERI (z. B. Shadowalk Cloud, CIAO Cloud-Backend), die dem Kunden im Rahmen der Hauptvereinbarung bereitgestellt werden.

– Ort der Verarbeitung personenbezogener Kundendaten (primäres Hosting): Die primäre AWS-Region für die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA ist eu-west-3 (Paris, Frankreich) innerhalb des Europäischen Wirtschaftsraums (EWR).

– Schutzmaßnahmen bei der Datenübertragung: AWS stellt einen Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) mit Standardvertragsklauseln (SCCs) zur Regelung der Übertragung personenbezogener Daten bereit. Dieser gilt, wenn Daten von AWS an Standorten außerhalb des EWR verarbeitet oder an solche übertragen werden, für die kein Angemessenheitsbeschluss vorliegt. Kunden können den Nachtrag zur Datenverarbeitung von AWS unter folgender Adresse einsehen:  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf und Informationen zur AWS-DSGVO-Konformität unter  https://aws.amazon.com/compliance/gdpr-center/

– Hinweis zu CDNs (falls zutreffend): Wenn MEFERI AWS CloudFront oder ähnliche Content Delivery Network (CDN)-Dienste zur Leistungssteigerung der Dienste nutzt, können Kopien bestimmter Daten (typischerweise statische Assets oder zwischengespeicherte Inhalte, die je nach Konfiguration personenbezogene Daten enthalten können oder nicht) vorübergehend an AWS-Edge-Standorten weltweit zwischengespeichert werden. Die maßgebliche Speicherung und primäre Verarbeitung der personenbezogenen Kundendaten für die Dienste verbleibt jedoch in der oben angegebenen AWS-Region (eu-west-3). MEFERI stellt sicher, dass alle über CDN verbreiteten personenbezogenen Kundendaten gemäß den DSGVO-Anforderungen behandelt werden.

– Andere Cloud-Infrastrukturanbieter für Dienste, die dem Kunden im Rahmen des Hauptvertrags bereitgestellt werden:

– Derzeit nutzt MEFERI über das oben Beschriebene hinaus keine anderen Drittanbieter von Cloud-Infrastrukturen für das primäre Hosting oder die direkte Bereitstellung der im Hauptvertrag definierten Dienste.

2. Kommunikationsdienstleister:

– Zweck: Ermöglichung wichtiger Kommunikationen mit dem Kunden oder seinen autorisierten Benutzern im Zusammenhang mit der Bereitstellung und Nutzung der Dienste (z. B. E-Mail-Zustellung von Servicebenachrichtigungen, Kennwortzurücksetzungen, Sicherheitswarnungen und SMS-Zustellung kritischer Warnungen oder Zwei-Faktor-Authentifizierungscodes).

– Konkret eingesetzte Unterauftragsverarbeiter:

– Für E-Mail-Kommunikation:

– Unternehmen: Amazon Web Services EMEA SARL (unter Verwendung des Amazon Simple Email Service – SES).

– Spezifischer Zweck für MEFERI: Zum Senden von transaktions- und servicebezogenen E-Mail-Benachrichtigungen an autorisierte Benutzer des Kunden (z. B. Kontowarnungen, Kennwortzurücksetzungen, Serviceaktualisierungen, kritische Sicherheitsinformationen) im Zusammenhang mit den Diensten.

– Ort der Verarbeitung: Die Infrastruktur zum Versenden von E-Mails befindet sich hauptsächlich in den AWS-Regionen, die MEFERI für seine Dienste nutzt (z. B. so konfiguriert, dass der Versand aus einer EWR-Region wie eu-west-1 Irland oder eu-west-3 Paris erfolgt, sofern möglich). Die Verarbeitung personenbezogener Daten (wie E-Mail-Adressen und E-Mail-Inhalte) über SES unterliegt dem AWS-Datenverarbeitungszusatz.

– Schutzmaßnahmen für die Datenübertragung: Abgedeckt durch den Amazon Web Services-Zusatz zur Datenverarbeitung, der Standardvertragsklauseln enthält. Verfügbar

bei: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Für SMS-Kommunikation:

– Unternehmen: Twilio Inc.

– Spezifischer Zweck für MEFERI: Zum Senden von SMS-Benachrichtigungen an autorisierte Benutzer des Kunden als Teil der Dienste, beispielsweise für kritische Warnungen oder die Übermittlung von Zwei-Faktor-Authentifizierungscodes (2FA), wenn solche Funktionen vom Kunden aktiviert und verwendet werden.

– Art der verarbeiteten Daten: Umfasst normalerweise Telefonnummern der autorisierten Benutzer des Kunden und den Inhalt der SMS-Nachrichten (z. B. Authentifizierungscodes, Warntext).

– Ort der Verarbeitung: Vorwiegend USA.

– Schutzmaßnahmen bei der Datenübertragung: Die Übertragung personenbezogener Daten unterliegt dem Datenverarbeitungszusatz von Twilio, der Standardvertragsklauseln (SCCs) enthält. Kunden können den DPA von Twilio hier einsehen: https://www.twilio.com/legal/data-protection-addendum.

– Andere Kommunikationsdienstleister:

– Derzeit nutzt MEFERI keine anderen Drittanbieter von Kommunikationsdiensten zur Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA, die über die oben für E-Mail und SMS beschriebenen Maßnahmen hinausgehen. Sollten bestimmte Funktionen eingeführt werden, die andere Arten von Kommunikationsdiensten erfordern, und der Kunde diese nutzen, aktualisiert MEFERI diese Liste und benachrichtigt den Kunden gemäß Abschnitt 6.2 dieser DPA.

3. Anbieter von Analyse- und Service-Performance-Monitoring:

– Zweck: Überwachung der Leistung, Identifizierung von Fehlern und Analyse des Nutzungsverhaltens der Dienste von MEFERI (z. B. Shadowalk Cloud, CIAO Cloud-Backend), um die Stabilität, Funktionalität und Benutzerfreundlichkeit der Dienste zu gewährleisten und zu verbessern. Die von diesen Anbietern für die Dienste von MEFERI verarbeiteten Daten sind in der Regel pseudonymisiert, aggregiert oder bestehen aus technischen/betrieblichen Daten. MEFERI nutzt diese Anbieter nicht zur Analyse des spezifischen Inhalts personenbezogener Kundendaten innerhalb der Dienste, es sei denn, dies wurde ausdrücklich zu Support- oder Fehlerbehebungszwecken angewiesen oder mit dem Kunden vereinbart.

– Konkret eingesetzte Unterauftragsverarbeiter:

– Unternehmen: Functional Software, Inc. (geschäftlich tätig als Sentry).

– Spezifischer Zweck für MEFERI: Zur Echtzeit-Fehlerverfolgung, Diagnose und Leistungsüberwachung innerhalb der Cloud-basierten Dienste von MEFERI (Shadowalk Cloud, CIAO Cloud-Backend), um bei der Identifizierung und Lösung technischer Probleme zu helfen.

– Art der verarbeiteten Daten: Dazu gehören typischerweise Fehlermeldungen, Stacktraces, Geräte-/Browserinformationen, IP-Adressen (die MEFERI so konfigurieren kann, dass sie anonymisiert oder nicht gespeichert werden, sofern dies im Rahmen der Möglichkeiten von Sentry möglich ist) und andere betriebliche Metadaten im Zusammenhang mit Serviceereignissen. MEFERI konfiguriert seine Integration mit Sentry so, dass die Erfassung personenbezogener Kundendaten minimiert wird.

– Ort der Verarbeitung: Vorwiegend USA.

– Sicherheitsvorkehrungen für Datenübertragungen: Die Übertragungen unterliegen dem Nachtrag zur Datenverarbeitung von Sentry, der Standardvertragsklauseln enthält. Verfügbar unter: https://sentry.io/legal/dpa/

– Website- und Portalanalyse (MEFERI als Verantwortlicher):

– Für Analysen im Zusammenhang mit der Unternehmenswebsite von MEFERI (z. B. meferi.com) und anderen öffentlichen Portalen von MEFERI, bei denen MEFERI als Datenverantwortlicher fungiert, sind Details zu Analyseanbietern (wie Google Analytics) und zur Datenverarbeitung in der allgemeinen Datenschutzrichtlinie von MEFERI beschrieben. Diese Anbieter werden hier nicht als Unterauftragsverarbeiter im Rahmen dieser Datenverarbeitungsvereinbarung aufgeführt, es sei denn, sie verarbeiten im Rahmen der für den Kunden bereitgestellten Dienste auch personenbezogene Daten des Kunden im Auftrag von MEFERI.

4. Support- und Kundendienst-Tools:

– Zweck: Verwaltung von Kundensupportanfragen, Bereitstellung von Helpdesk-Diensten und Erleichterung der Kommunikation im Zusammenhang mit dem Support für die Dienste von MEFERI.

– Verwendete spezifische Werkzeuge:

– MEFERI nutzt sein eigenes Kundensupportportal und Ticketsystem, erreichbar unter support.meferi.com. Dieses System wird von MEFERI entwickelt und gepflegt und auf der Cloud-Infrastruktur von MEFERI gehostet, die von Amazon Web Services (AWS) bereitgestellt wird, wie in Abschnitt 1 („Cloud-Infrastrukturanbieter“) dieses Anhangs beschrieben.

– Personenbezogene Daten, die von autorisierten Benutzern des Kunden über dieses Support-Portal übermittelt werden (z. B. Kontaktdaten, Anfrageinhalt), werden innerhalb dieses von MEFERI betriebenen Systems verarbeitet.

– MEFERI nutzt derzeit keine Drittanbieter von Software-as-a-Service (SaaS) für seine Kundensupport-Plattform, auf der personenbezogene Daten des Kunden im Rahmen dieser DPA verarbeitet werden. – Datenverarbeitung und Benutzereinwilligung auf dem Support-Portal:

– Benutzer, die auf support.meferi.com zugreifen, unterliegen den Bedingungen der Datenschutzrichtlinie von MEFERI und allen geltenden Benutzervereinbarungen für das Support-Portal, die die Erfassung und Verwendung personenbezogener Daten durch MEFERI regeln, die von Benutzern direkt an das Portal übermittelt werden.

– Zukünftige Einbindung von Drittanbietern:

– Wenn MEFERI sich in Zukunft dazu entscheidet, externe Support- oder Kundendiensttool-Anbieter mit der Verarbeitung personenbezogener Daten des Kunden zu beauftragen, wird diese Liste aktualisiert und der Kunde wird gemäß Abschnitt 6.2 dieser DPA benachrichtigt.

5. Technische Subunternehmer (z. B. für spezialisierte Entwicklung, Wartung oder Sicherheitstests):

– Derzeit führt MEFERI spezialisierte technische Dienste, Softwareentwicklung, Systemwartung und Sicherheitstests für seine Dienste (wie die MEFERI Shadowalk MDM/EMM-Cloud-Lösung und in der Cloud gehostete Komponenten der CIAO Intelligent Shopper Assistant (ISA)-Lösung) hauptsächlich mit eigenem Personal durch.

– MEFERI beauftragt derzeit keine technischen Subunternehmer von Drittanbietern in einer Funktion, die von ihnen verlangen würde, im Rahmen dieser Datenverarbeitungsvereinbarung personenbezogene Daten des Kunden im Namen von MEFERI zu verarbeiten.

– Sollte MEFERI in Zukunft beschließen, solche technischen Subunternehmer zu beauftragen, die personenbezogene Daten des Kunden verarbeiten, wird MEFERI diese Liste der Unterauftragsverarbeiter aktualisieren und den Kunden gemäß Abschnitt 6.2 dieser DPA benachrichtigen und sicherstellen, dass eine derartige Beauftragung den in dieser DPA festgelegten Anforderungen für die Unterauftragsverarbeitung entspricht, einschließlich der Implementierung angemessener Sicherheitsvorkehrungen für die Datenübertragung, falls erforderlich.

6. Autorisierte Reparaturservicezentren und Logistikanbieter:

– Zweck: Bereitstellung von Gerätereparatur-, Diagnose-, Aufarbeitungs- und zugehörigen Logistikdiensten für MEFERI-Produkte im Rahmen geltender Serviceverträge (z. B. MeCare-Servicepläne) oder Garantiebedingungen.

– Entität/Kategorie: Autorisierte Servicezentren oder Logistikpartner von Drittanbietern, die von MEFERI oder seinen verbundenen Unternehmen mit der Reparatur und Handhabung von MEFERI-Geräten beauftragt wurden. (MEFERI unterhält ein Netzwerk solcher autorisierten Anbieter; die genauen Anbieterdetails für eine bestimmte Reparatur können vom Standort des Kunden und der Art der Serviceanfrage abhängen.)

– Art der verarbeiteten Daten: Kann Folgendes umfassen:

– Kontaktinformationen der Vertreter des Kunden, die die Reparatur koordinieren (Name, E-Mail, Telefonnummer, Lieferadresse).

– Gerätekennungen (Seriennummer, Modell).

– Beschreibung des Problems durch den Kunden.

Möglicherweise verbleiben personenbezogene Daten auf zur Reparatur eingesandten Geräten, sofern sie nicht vor dem Versand vom Kunden gelöscht oder gesichert wurden. MEFERI weist Kunden an, personenbezogene Daten von Geräten zu sichern und/oder zu löschen, bevor sie zur Reparatur eingesandt werden. Die Haftung von MEFERI für den Verlust solcher Daten ist gemäß dem Hauptvertrag oder den geltenden Servicebedingungen beschränkt. Soweit das Reparaturzentrum im Rahmen der Diagnose oder Reparatur auf diese Daten zugreift, werden sie als personenbezogene Daten des Kunden behandelt.

– Standort des Bearbeitungspersonals: Reparaturservicezentren können sich in verschiedenen Regionen weltweit befinden, einschließlich im EWR, in der VR China oder in anderen Ländern, abhängig vom Standort des Kunden und dem Servicenetzwerk von MEFERI. MEFERI stellt auf Anfrage oder im Rahmen des RMA-Prozesses, sofern möglich, Informationen zum Standort des jeweiligen Reparaturzentrums bereit.

– Datenschutzvorkehrungen: Alle autorisierten Reparaturservicezentren und Logistikanbieter, die auf personenbezogene Daten des Kunden zugreifen können, unterliegen schriftlichen Vereinbarungen mit MEFERI (oder dem vertragsschließenden MEFERI-Partnerunternehmen), die Vertraulichkeitsverpflichtungen und Datenverarbeitungsbedingungen enthalten, die Datenschutzanforderungen vorschreiben, die mindestens denen dieser DPA entsprechen. Bei jeder Übermittlung personenbezogener Kundendaten an Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) in einem Land, das von der Europäischen Kommission als nicht angemessen erachtet wird, stellt MEFERI sicher, dass geeignete Übermittlungsmechanismen gemäß Kapitel V der DSGVO, wie z. B. Standardvertragsklauseln (SCCs), vorhanden sind. Der Zugriff auf personenbezogene Daten auf Geräten ist auf das für Diagnose und Reparatur erforderliche Maß beschränkt.