{"id":3865,"date":"2025-08-14T14:23:55","date_gmt":"2025-08-14T11:23:55","guid":{"rendered":"https:\/\/meferi.pontima.ru\/?page_id=3865"},"modified":"2025-11-01T11:49:20","modified_gmt":"2025-11-01T10:49:20","slug":"data-processing-agreement","status":"publish","type":"page","link":"https:\/\/meferi.com\/de\/support-services\/legal-center\/data-processing-agreement\/","title":{"rendered":"Auftragsverarbeitungs-vertrag"},"content":{"rendered":"
<\/div><\/div><\/div>
\r\n\t
\r\n\t\t
\r\n\t\t\t

Auftragsverarbeitungs-vertrag<\/span><\/h1>\n
Diese Datenverarbeitungsvereinbarung (\u201eDPA\u201c) wird geschlossen zwischen:<\/div>\n
\n
\n


(1) MEFERI Technologies Co., Ltd., ein nach chinesischem Recht gegr\u00fcndetes Unternehmen mit Sitz in 5F, A5, Tianfu Software Park, Nr. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, VRChina (\u201eMEFERI\u201c, \u201eAuftragsverarbeiter\u201c, \u201eWir\u201c, \u201eUns\u201c oder \u201eUnser\u201c); und

(2) Der Kunde (\u201eKunde\u201c, \u201eVerantwortlicher\u201c oder \u201eSie\u201c), die juristische Person, die die Dienste von MEFERI wie unten definiert abonniert hat oder nutzt und den Hauptnutzungsbedingungen oder einem anderen Rahmenvertrag von MEFERI (\u201eHauptvertrag\u201c) zugestimmt hat.

Diese DPA ist ein integraler Bestandteil der Hauptvereinbarung und spiegelt die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch MEFERI im Namen des Kunden im Zusammenhang mit den Diensten wider.

Durch die Annahme der Hauptvereinbarung oder durch den Zugriff auf die Dienste oder deren Nutzung nach Bereitstellung dieser DPA schlie\u00dft der Kunde diese DPA in seinem eigenen Namen und, soweit gem\u00e4\u00df geltendem Datenschutzrecht erforderlich, im Namen und im Auftrag seiner autorisierten Benutzer ab.

Sollte es zu Konflikten zwischen dieser Datenverarbeitungsvereinbarung und der Hauptvereinbarung kommen, so hat diese Datenverarbeitungsvereinbarung im Hinblick auf die Verarbeitung personenbezogener Daten im Umfang des Konflikts Vorrang.

1. DEFINITIONEN

1.1. \u201eHauptvertrag\u201c bezeichnet den prim\u00e4ren schriftlichen Vertrag (der auch als Servicebedingungen, Allgemeine Servicebedingungen, Rahmenvertrag, Servicevertrag, Abonnementvertrag oder \u00e4hnlich bezeichnet werden kann) zwischen dem Kunden und MEFERI (oder einem vertragsschlie\u00dfenden meferi-Partner gem\u00e4\u00df Abschnitt 18.4) \u00fcber die Bereitstellung der Dienste, einschlie\u00dflich etwaiger spezifischer Serviceplanbedingungen (wie etwa \u201eMeCare (Planname): Allgemeine Servicebedingungen\u201c) und etwaiger darunter ausgef\u00fchrter Bestellformulare oder Leistungsbeschreibungen. Diese DPA ist integraler Bestandteil dieses Hauptvertrags.

1.2. \u201eAnwendbares Datenschutzrecht\u201c bezeichnet alle Gesetze und Vorschriften, die f\u00fcr die Verarbeitung personenbezogener Daten im Rahmen dieser Datenverarbeitungsvereinbarung gelten, einschlie\u00dflich, aber nicht beschr\u00e4nkt auf die DSGVO und alle nationalen Umsetzungsgesetze, Vorschriften und sekund\u00e4ren Rechtsvorschriften in der jeweils g\u00fcltigen Fassung.

1.3. \u201eVerantwortlicher\u201c hat die in Artikel 4 Absatz 7 der DSGVO festgelegte Bedeutung. F\u00fcr die Zwecke dieser Datenverarbeitungsvereinbarung ist der Kunde der Verantwortliche.

1.4. \u201eBetroffene Person\u201c hat die in Artikel 4 Absatz 1 der DSGVO festgelegte Bedeutung.

1.5. \u201eDSGVO\u201c bezeichnet die Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46\/EG (Datenschutz-Grundverordnung).

1.6. \u201ePersonenbezogene Daten\u201c hat die in Artikel 4(1) der DSGVO festgelegte Bedeutung und ist auf die personenbezogenen Daten beschr\u00e4nkt, die von MEFERI im Auftrag des Kunden bei der Bereitstellung der Dienste verarbeitet werden, wie in Anhang 1 n\u00e4her beschrieben.

1.7. \u201eVerletzung des Schutzes personenbezogener Daten\u201c hat die in Artikel 4(12) der DSGVO festgelegte Bedeutung und ist insbesondere eine Sicherheitsverletzung, die zur versehentlichen oder unrechtm\u00e4\u00dfigen Zerst\u00f6rung, zum Verlust, zur Ver\u00e4nderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die von MEFERI \u00fcbermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten des Kunden f\u00fchrt.

1.8. \u201eVerarbeitung\u201c hat die in Artikel 4 Absatz 2 der DSGVO festgelegte Bedeutung. \u201eVerarbeiten\u201c und \u201everarbeitet\u201c sind entsprechend auszulegen.

1.9. \u201eAuftragsverarbeiter\u201c bezeichnet MEFERI Technologies Co., Ltd. (MEFERI) oder, sofern gem\u00e4\u00df Abschnitt 18.4 dieser DPA zutreffend, die vertragsschlie\u00dfende verbundene Partei von MEFERI im Hauptvertrag mit dem Kunden.

1.10. \u201eDienste\u201c bezeichnet die von MEFERI dem Kunden im Rahmen des Hauptvertrags bereitgestellten Produkte und Dienste, insbesondere, aber nicht beschr\u00e4nkt auf die Shadowalk MDM\/EMM-Cloud-L\u00f6sung von MEFERI, in der Cloud gehostete Komponenten der CIAO Intelligent Shopper Assistant (ISA)-L\u00f6sung, bei der MEFERI als Auftragsverarbeiter fungiert, und alle damit verbundenen Supportdienste (einschlie\u00dflich, aber nicht beschr\u00e4nkt auf Dienste, die im Rahmen eines MEFERI MeCare-Servicevertrags bereitgestellt werden), bei denen MEFERI personenbezogene Daten des Kunden verarbeitet. Zur Klarstellung: Dienste umfassen keine Vor-Ort-Bereitstellungen von meferi-Software, bei denen die laufende Verarbeitung personenbezogener Daten ausschlie\u00dflich in der Umgebung des Kunden erfolgt, es sei denn, MEFERI greift auf Anweisung des Kunden zu Supportzwecken auf diese Systeme zu.

1.11. \u201eUnterauftragsverarbeiter\u201c bezeichnet jeden Dritten, der von MEFERI mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden im Zusammenhang mit den Diensten beauftragt wird.

1.12. \u201eTechnische und organisatorische Ma\u00dfnahmen\u201c oder \u201eTOMs\u201c bezeichnet die von MEFERI zum Schutz personenbezogener Daten implementierten Sicherheitsma\u00dfnahmen, wie in Anhang 2 n\u00e4her beschrieben.

1.13. \u201ePartnerl\u00f6sungen von Drittanbietern\u201c bezeichnet Software oder Dienste von Drittanbietern, die in die Hardware oder Dienste von MEFERI integriert oder in Verbindung damit verwendet werden k\u00f6nnen, wie etwa Zahlungsl\u00f6sungen (z. B. WorldLine \u201eTap on Mobile\u201c) oder Self-Scanning-Software f\u00fcr den Einzelhandel (z. B. 4MAX \u201eScan & Go\u201c), bei denen der Kunde m\u00f6glicherweise eine direkte Vertragsbeziehung mit diesem Drittanbieter hat.

2. ROLLEN UND VERANTWORTLICHKEITEN

2.1. Rollen der Parteien: Der Kunde ist der Verantwortliche und MEFERI der Verarbeiter der personenbezogenen Daten des Kunden. Jede Partei erf\u00fcllt ihre jeweiligen Verpflichtungen gem\u00e4\u00df geltendem Datenschutzrecht.

2.2. Pflichten des Kunden als Verantwortlicher: Der Kunde erkl\u00e4rt und gew\u00e4hrleistet, dass:

a. Es hat alle geltenden Bestimmungen des geltenden Datenschutzrechts in Bezug auf die Verarbeitung personenbezogener Daten und alle Verarbeitungsanweisungen, die es an MEFERI erteilt, eingehalten und wird dies auch weiterhin tun;

b. Es tr\u00e4gt die alleinige Verantwortung f\u00fcr die Richtigkeit, Qualit\u00e4t und Rechtm\u00e4\u00dfigkeit der personenbezogenen Daten und der Mittel, mit denen es diese Daten erworben hat, einschlie\u00dflich der Einholung aller erforderlichen Einwilligungen, der Bereitstellung aller erforderlichen Mitteilungen und der Bereitstellung einer g\u00fcltigen Rechtsgrundlage f\u00fcr die Verarbeitung personenbezogener Daten durch MEFERI gem\u00e4\u00df dieser DPA und der Hauptvereinbarung; und

c. Seine Anweisungen an MEFERI zur Verarbeitung personenbezogener Daten m\u00fcssen dem geltenden Datenschutzrecht entsprechen.

2.3. Pflichten von MEFERI als Verarbeiter: MEFERI muss:

a. Personenbezogene Daten d\u00fcrfen nur auf dokumentierte Anweisung des Kunden verarbeitet werden, auch im Hinblick auf die \u00dcbermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, MEFERI ist dazu durch das Recht der Union oder der Mitgliedstaaten, dem MEFERI unterliegt, verpflichtet; in einem solchen Fall wird MEFERI den Kunden vor der Verarbeitung \u00fcber diese rechtliche Anforderung informieren, es sei denn, das Recht verbietet eine solche Information aus wichtigen Gr\u00fcnden des \u00f6ffentlichen Interesses (Artikel 28 Absatz 3 Buchstabe a DSGVO). Der Hauptvertrag und diese Datenverarbeitungsvereinbarung stellen die dokumentierten Anweisungen des Kunden an MEFERI zur Verarbeitung personenbezogener Daten dar.

b. Den Kunden unverz\u00fcglich informieren, wenn eine Anweisung nach Ansicht von MEFERI gegen geltendes Datenschutzrecht verst\u00f6\u00dft (Artikel 28(3) DSGVO).

3. DETAILS DER VERARBEITUNG

3.1. Der Gegenstand der Verarbeitung, die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anhang 1 (Details der Verarbeitung) dieser Datenverarbeitungsvereinbarung aufgef\u00fchrt.

4. VERTRAULICHKEIT

4.1. MEFERI stellt sicher, dass sich sein zur Verarbeitung personenbezogener Daten befugtes Personal zur Vertraulichkeit verpflichtet hat oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegt (Artikel 28(3)(b) DSGVO).

5. SICHERHEIT DER VERARBEITUNG

5.1. Unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen wird MEFERI geeignete technische und organisatorische Ma\u00dfnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gew\u00e4hrleisten, wie in Anhang 2 (Technische und organisatorische Ma\u00dfnahmen) beschrieben (Artikel 28 Absatz 3 Buchstabe c und Artikel 32 DSGVO).

5.2. MEFERI kann die TOMs von Zeit zu Zeit aktualisieren oder \u00e4ndern, vorausgesetzt, dass solche Aktualisierungen und \u00c4nderungen nicht zu einer wesentlichen Verschlechterung der Gesamtsicherheit der Dienste f\u00fchren.

6. UNTERVERARBEITUNG

6.1. Allgemeine Genehmigung: Der Kunde erteilt MEFERI die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Namen des Kunden im Zusammenhang mit der Bereitstellung der Dienste zu beauftragen (Artikel 28(2) DSGVO).

6.2. Aktuelle Unterauftragsverarbeiter und Benachrichtigung \u00fcber neue Unterauftragsverarbeiter: MEFERI f\u00fchrt eine Liste seiner aktuellen Unterauftragsverarbeiter und stellt diese dem Kunden auf Anfrage oder \u00fcber eine daf\u00fcr vorgesehene Webseite (siehe Anhang 3) zur Verf\u00fcgung. MEFERI informiert den Kunden mindestens drei\u00dfig (30) Kalendertage im Voraus \u00fcber geplante \u00c4nderungen hinsichtlich der Hinzuf\u00fcgung oder Ersetzung weiterer Unterauftragsverarbeiter und gibt dem Kunden die M\u00f6glichkeit, Einspruch gegen solche \u00c4nderungen einzulegen.

6.3. Einspruch gegen neue Unterauftragsverarbeiter: Hat der Kunde einen triftigen Grund, der Nutzung eines neuen Unterauftragsverarbeiters durch MEFERI zu widersprechen, muss er MEFERI hiervon unverz\u00fcglich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von MEFERI schriftlich in Kenntnis setzen. Im Falle eines Einspruchs des Kunden wird MEFERI angemessene Anstrengungen unternehmen, um dem Kunden eine \u00c4nderung der Dienste zur Verf\u00fcgung zu stellen oder eine wirtschaftlich angemessene \u00c4nderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Kunden unangemessen zu belasten. Ist MEFERI nicht in der Lage, diese \u00c4nderung innerhalb einer angemessenen Frist von h\u00f6chstens drei\u00dfig (30) Kalendertagen zur Verf\u00fcgung zu stellen, kann der Kunde den entsprechenden Teil der Dienste, der von MEFERI ohne die Nutzung des beanstandeten neuen Unterauftragsverarbeiters nicht erbracht werden kann, durch schriftliche Mitteilung an MEFERI k\u00fcndigen.

6.4. Pflichten des Unterauftragsverarbeiters: MEFERI stellt sicher, dass jeder von ihr beauftragte Unterauftragsverarbeiter einem schriftlichen Vertrag oder einem anderen Rechtsakt nach dem Recht der Union oder der Mitgliedstaaten unterliegt, der ihm Datenschutzpflichten auferlegt, die mindestens denen entsprechen, die MEFERI gem\u00e4\u00df dieser DPA auferlegt werden, und insbesondere ausreichende Garantien f\u00fcr die Umsetzung geeigneter technischer und organisatorischer Ma\u00dfnahmen bietet, sodass die Verarbeitung den Anforderungen des anwendbaren Datenschutzrechts entspricht (Artikel 28(4) DSGVO).

6.5. Haftung: MEFERI bleibt gegen\u00fcber dem Kunden f\u00fcr die Erf\u00fcllung der Datenschutzverpflichtungen seiner Unterauftragsverarbeiter voll haftbar.

7. RECHTE DER BETROFFENEN PERSON

7.1. Unter Ber\u00fccksichtigung der Art der Verarbeitung unterst\u00fctzt MEFERI den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Ma\u00dfnahmen, soweit dies m\u00f6glich ist, bei der Erf\u00fcllung seiner Verpflichtung, auf Anfragen zur Aus\u00fcbung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person (z. B. Recht auf Auskunft, Berichtigung, L\u00f6schung usw.) zu antworten (Artikel 28 Absatz 3 Buchstabe e DSGVO).

7.2. Erh\u00e4lt MEFERI eine Anfrage direkt von einer betroffenen Person bez\u00fcglich personenbezogener Kundendaten, benachrichtigt MEFERI den Kunden unverz\u00fcglich \u00fcber diese Anfrage und antwortet der betroffenen Person nicht, au\u00dfer um zu best\u00e4tigen, dass sich die Anfrage auf den Kunden bezieht. Der Kunde ist f\u00fcr die Beantwortung aller Anfragen der betroffenen Person verantwortlich.

8. UNTERST\u00dcTZUNG DES VERANTWORTLICHEN

8.1. Unter Ber\u00fccksichtigung der Art der Verarbeitung und der MEFERI zur Verf\u00fcgung stehenden Informationen wird MEFERI den Kunden in angemessener Weise dabei unterst\u00fctzen, die Einhaltung seiner Verpflichtungen gem\u00e4\u00df den Artikeln 32 bis 36 der DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbeh\u00f6rde, Benachrichtigung der betroffenen Person \u00fcber Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabsch\u00e4tzung und vorherige Konsultation der Aufsichtsbeh\u00f6rde) sicherzustellen (Artikel 28 Absatz 3 Buchstabe f DSGVO).

9. BENACHRICHTIGUNG BEI VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

9.1. Mitteilung an den Kunden:

MEFERI benachrichtigt den Kunden unverz\u00fcglich und in jedem Fall innerhalb von achtundvierzig (48) Stunden, nachdem es von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt hat (Artikel 28(3)(f) und Artikel 33(2) DSGVO).

9.2. In einer solchen Mitteilung ist, soweit m\u00f6glich, Folgendes zu beschreiben:

a. Die Art der Verletzung des Schutzes personenbezogener Daten, einschlie\u00dflich, soweit m\u00f6glich, der Kategorien und der ungef\u00e4hren Anzahl der betroffenen Personen sowie der Kategorien und der ungef\u00e4hren Anzahl der betroffenen personenbezogenen Datens\u00e4tze;

b. Name und Kontaktdaten des Datenschutzbeauftragten von MEFERI oder einer anderen Kontaktstelle, bei der weitere Informationen erh\u00e4ltlich sind;

c. Die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und

d. Die von MEFERI ergriffenen oder geplanten Ma\u00dfnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschlie\u00dflich gegebenenfalls Ma\u00dfnahmen zur Minderung ihrer m\u00f6glichen nachteiligen Auswirkungen.

9.3. Wenn und soweit es nicht m\u00f6glich ist, alle Informationen gleichzeitig bereitzustellen, k\u00f6nnen die Informationen ohne unangemessene weitere Verz\u00f6gerung schrittweise bereitgestellt werden.

9.4. Der Kunde ist ausschlie\u00dflich f\u00fcr die Einhaltung seiner Meldepflichten bei Datenschutzverletzungen gem\u00e4\u00df geltendem Datenschutzrecht verantwortlich. Die Meldung oder Reaktion von MEFERI auf eine Datenschutzverletzung gem\u00e4\u00df diesem Abschnitt 9 stellt kein Eingest\u00e4ndnis eines Verschuldens oder einer Haftung seitens MEFERI in Bezug auf die Datenschutzverletzung dar.

10. L\u00f6schung oder R\u00fcckgabe von Daten

10.1. Nach Abschluss der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung l\u00f6scht MEFERI auf Wunsch des Kunden alle personenbezogenen Daten oder gibt sie an den Kunden zur\u00fcck. Au\u00dferdem werden vorhandene Kopien gel\u00f6scht, sofern das Recht der Union oder der Mitgliedstaaten nicht die Speicherung der personenbezogenen Daten vorschreibt (Artikel 28 Absatz 3 Buchstabe g DSGVO). Die genauen Aufbewahrungs- und L\u00f6schfristen richten sich nach dem Hauptvertrag oder einer anderweitigen Vereinbarung.

11. PR\u00dcFUNGEN UND INSPEKTIONEN

11.1. MEFERI stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 der DSGVO festgelegten Verpflichtungen zur Verf\u00fcgung und erm\u00f6glicht und unterst\u00fctzt Audits, einschlie\u00dflich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Pr\u00fcfer durchgef\u00fchrt werden (Artikel 28 Absatz 3 Buchstabe h DSGVO).

11.2. Solche Audits finden w\u00e4hrend der normalen Gesch\u00e4ftszeiten von MEFERI statt, m\u00fcssen mindestens drei\u00dfig (30) Kalendertage im Voraus schriftlich angek\u00fcndigt werden und d\u00fcrfen die Gesch\u00e4ftst\u00e4tigkeit von MEFERI nicht unangemessen beeintr\u00e4chtigen. Kunde und MEFERI vereinbaren Umfang, Zeitpunkt und Dauer des Audits einvernehmlich.

11.3. Der Kunde stellt sicher, dass jeder Pr\u00fcfer im Rahmen einer schriftlichen Vertraulichkeitsvereinbarung handelt. Der Kunde tr\u00e4gt seine eigenen Kosten sowie die Kosten des beauftragten Pr\u00fcfers. Ergibt die Pr\u00fcfung einen wesentlichen Versto\u00df von MEFERI gegen diese DPA, tr\u00e4gt MEFERI die angemessenen Kosten der Pr\u00fcfung bis zu einer einvernehmlich vereinbarten Obergrenze.

11.4. Soweit gesetzlich zul\u00e4ssig, kann MEFERI seinen Pr\u00fcfpflichten nachkommen, indem es dem Kunden relevante Zertifizierungen eines unabh\u00e4ngigen externen Pr\u00fcfers (z. B. ISO 27001, SOC 2 Typ II) oder Zusammenfassungen davon vorlegt, vorbehaltlich entsprechender Vertraulichkeitsverpflichtungen.

12. INTERNATIONALE DATEN\u00dcBERTRAGUNGEN

12.1. MEFERI \u00fcbermittelt personenbezogene Daten nicht in L\u00e4nder au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums (EWR) oder in L\u00e4nder, die von der Europ\u00e4ischen Kommission gem\u00e4\u00df Artikel 45 der DSGVO als angemessen erachtet werden, ohne sicherzustellen, dass angemessene Sicherheitsvorkehrungen gem\u00e4\u00df Kapitel V der DSGVO getroffen wurden (z. B. durch den Abschluss von Standardvertragsklauseln, die von der Europ\u00e4ischen Kommission genehmigt wurden).

12.2. Die prim\u00e4ren Datenverarbeitungsstandorte f\u00fcr die Dienste, insbesondere die Standorte, an denen personenbezogene Kundendaten von MEFERI auf seiner zentralen Cloud-Infrastruktur gehostet werden, befinden sich im Europ\u00e4ischen Wirtschaftsraum (EWR) in der Amazon Web Services (AWS)-Region eu-west-3 (Paris, Frankreich). Weitere Einzelheiten zu Unterauftragsverarbeitern, einschlie\u00dflich Cloud-Infrastrukturanbietern und deren Standorten, finden Sie in Anhang 3.

12.3. \u00dcbertr\u00e4gt MEFERI personenbezogene Daten an einen Unterauftragsverarbeiter in einem Drittland (d. h. au\u00dferhalb des EWR oder in einem von der Europ\u00e4ischen Kommission als nicht angemessen eingestuften Land), das kein angemessenes Schutzniveau gew\u00e4hrleistet, stellt MEFERI sicher, dass diese \u00dcbertragung durch einen geeigneten \u00dcbertragungsmechanismus gem\u00e4\u00df Kapitel V der DSGVO, wie z. B. die Standardvertragsklauseln, abgedeckt ist. Dies gilt auch f\u00fcr \u00dcbertragungen, die erfolgen k\u00f6nnen, wenn MEFERI Dienste eines Unterauftragsverarbeiters in Anspruch nimmt, dessen Infrastruktur oder Supportpersonal sich in solchen Drittl\u00e4ndern befindet, selbst wenn der in 12.2 genannte prim\u00e4re Verarbeitungsort innerhalb des EWR liegt.

13. Nutzung von Partnerl\u00f6sungen Dritter durch MEFERI

13.1. Der Kunde erkennt an, dass die Hardware oder Dienste von MEFERI in Verbindung mit Partnerl\u00f6sungen von Drittanbietern verwendet werden k\u00f6nnen (z. B. Zahlungsabwicklungsl\u00f6sungen auf CIAO-Ger\u00e4ten, spezielle Einzelhandelsverwaltungssoftware).

13.2. Entscheidet sich der Kunde f\u00fcr die Nutzung solcher Partnerl\u00f6sungen Dritter, kann er mit den Anbietern dieser L\u00f6sungen eine direkte Vertragsbeziehung eingehen. In solchen F\u00e4llen kann der Drittanbieter als Verantwortlicher oder Auftragsverarbeiter f\u00fcr die personenbezogenen Daten fungieren, die er im Rahmen seiner Dienste verarbeitet, wie in der Vereinbarung des Kunden mit dem Drittanbieter festgelegt.

13.3. Diese DPA regelt ausschlie\u00dflich die Verarbeitung personenbezogener Daten durch MEFERI als Auftragsverarbeiter f\u00fcr den Kunden. Sie gilt nicht f\u00fcr Verarbeitungst\u00e4tigkeiten von Anbietern von Partnerl\u00f6sungen Dritter, mit denen der Kunde in direkter Beziehung steht, es sei denn, der jeweilige Anbieter fungiert gem\u00e4\u00df Abschnitt 6 dieser DPA als Unterauftragsverarbeiter f\u00fcr MEFERI.

14. HAFTUNG UND SCHADENSERSATZ

14.1. Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den im Hauptvertrag festgelegten Haftungsbeschr\u00e4nkungen und -ausschl\u00fcssen.

14.2. Der Kunde stellt MEFERI von allen Anspr\u00fcchen, Klagen, Anspr\u00fcchen Dritter, Verlusten, Sch\u00e4den und Kosten (einschlie\u00dflich angemessener Anwaltskosten) frei, die MEFERI aus einer Verletzung der Verpflichtungen des Kunden gem\u00e4\u00df dieser Datenverarbeitungsvereinbarung oder dem geltenden Datenschutzgesetz entstehen.

15. LAUFZEIT UND K\u00dcNDIGUNG

15.1. Diese DPA beginnt mit dem Datum des Inkrafttretens des Hauptvertrags und bleibt bis zur K\u00fcndigung oder zum Ablauf des Hauptvertrags in Kraft oder bis MEFERI die Verarbeitung personenbezogener Daten im Auftrag des Kunden einstellt, je nachdem, welcher Zeitpunkt sp\u00e4ter liegt.

15.2. Verpflichtungen zur Vertraulichkeit, L\u00f6schung\/R\u00fcckgabe von Daten und alle Bestimmungen, die ihrer Natur nach auch nach der K\u00fcndigung fortbestehen sollten, bleiben auch nach der K\u00fcndigung oder dem Ablauf dieser DPA bestehen.

16. \u00c4NDERUNGEN DIESER DPA

16.1. MEFERI kann diese DPA von Zeit zu Zeit \u00e4ndern, indem die ge\u00e4nderte Version auf der Website ver\u00f6ffentlicht oder der Kunde anderweitig benachrichtigt wird.

16.2. Nimmt MEFERI wesentliche \u00c4nderungen an dieser DPA vor, wird MEFERI den Kunden rechtzeitig \u00fcber die \u00c4nderung informieren (z. B. per E-Mail an den vom Kunden benannten Ansprechpartner oder durch eine Benachrichtigung innerhalb der Dienste). Die fortgesetzte Nutzung der Dienste durch den Kunden nach Ablauf dieser Frist gilt als Zustimmung zur ge\u00e4nderten DPA. Widerspricht der Kunde einer wesentlichen \u00c4nderung, kann er den Hauptvertrag gem\u00e4\u00df seinen Bedingungen k\u00fcndigen.

17. Geltendes Recht und Streitbeilegung

17.1. Geltendes Recht: Diese DPA unterliegt den Gesetzen, die als geltendes Recht in der Hauptvereinbarung zwischen dem Kunden und der meferi-Einheit, die Vertragspartei dieser Hauptvereinbarung ist (\u201emeferi-Vertragspartei\u201c), festgelegt sind, und wird in \u00dcbereinstimmung mit diesen Gesetzen ausgelegt.

17.2. Streitbeilegung:

a. Die Parteien bem\u00fchen sich, alle Streitigkeiten, Meinungsverschiedenheiten oder Anspr\u00fcche, die sich aus dieser DPA, ihrer Auslegung, G\u00fcltigkeit, Verletzung oder K\u00fcndigung (\u201eStreitigkeit\u201c) ergeben oder damit in Zusammenhang stehen, einvernehmlich durch Verhandlungen in gutem Glauben zwischen ihren bevollm\u00e4chtigten Vertretern beizulegen. b. Kann eine Streitigkeit nicht innerhalb von drei\u00dfig (30) Kalendertagen nach der schriftlichen Mitteilung einer Partei \u00fcber die Aufnahme von Verhandlungen durch Verhandlungen beigelegt werden, wird diese Streitigkeit gem\u00e4\u00df dem im Hauptvertrag festgelegten Streitbeilegungsverfahren (z. B. Schiedsgerichtsverfahren oder Gerichtsverfahren) und vor dem im Hauptvertrag festgelegten Gerichtsstand beigelegt. c. F\u00fcr den Fall, dass der Hauptvertrag ein Schiedsverfahren vorsieht:

i. Ein solches Schiedsverfahren ist der prim\u00e4re Mechanismus zur Beilegung von Streitigkeiten im Rahmen dieser DPA. ii. Sofern im Hauptvertrag nichts anderes angegeben ist oder der Hauptvertrag keine Einzelheiten zum Schiedsverfahren f\u00fcr Angelegenheiten im Zusammenhang mit dieser DPA enth\u00e4lt, vereinbaren die Parteien, dass derartige Streitigkeiten einem Schiedsverfahren vor einer einvernehmlich vereinbarten international anerkannten Schiedsinstitution (wie dem Shenzhen Court of International Arbitration (SCIA), dem Singapore International Arbitration Centre (SIAC) oder dem Hong Kong International Arbitration Centre (HKIAC) oder einer entsprechenden Institution innerhalb der Europ\u00e4ischen Union, wenn es sich bei der vertragsschlie\u00dfenden meferi-Einheit um eine in der EU ans\u00e4ssige Tochtergesellschaft handelt) unterworfen werden k\u00f6nnen. iii. Das Schiedsverfahren wird in englischer Sprache durchgef\u00fchrt. Sitz oder Gerichtsstand des Schiedsverfahrens ist der im Hauptvertrag angegebene oder, falls nicht angegeben oder f\u00fcr eine bestimmte Streitigkeit ein anderer Ort einvernehmlich vereinbart wurde, ein von den Parteien einvernehmlich gew\u00e4hlter Ort oder, falls eine solche Einigung nicht innerhalb einer angemessenen Frist zustande kommt, ein von der vertragsschlie\u00dfenden meferi-Einheit gew\u00e4hlter Ort. iv. Der Schiedsspruch ist f\u00fcr beide Parteien endg\u00fcltig und bindend, vorbehaltlich etwaiger nach den Gesetzen des Schiedsgerichtssitzes zul\u00e4ssiger Berufungsrechte wegen Verfahrensungerechtigkeit oder fehlender Zust\u00e4ndigkeit.

d. Wenn im Hauptvertrag ein Gerichtsverfahren vorgesehen ist, sind die dort genannten Gerichte vorbehaltlich des nachstehenden Abschnitts 17.3 zust\u00e4ndig.

17.3. Zwingende datenschutzrechtliche Bestimmungen: a. Ungeachtet anderer Bestimmungen in dieser DPA oder dem Hauptvertrag gilt: Wenn das anwendbare Datenschutzrecht (einschlie\u00dflich, aber nicht beschr\u00e4nkt auf die DSGVO) einer betroffenen Person das zwingende Recht einr\u00e4umt, vor den Gerichten ihres gew\u00f6hnlichen Aufenthaltsortes oder Arbeitsplatzes oder des Ortes, an dem ein mutma\u00dflicher Versto\u00df stattgefunden hat, ein Verfahren einzuleiten oder bei einer Aufsichtsbeh\u00f6rde Beschwerde einzulegen, bleiben diese Rechte durch die Bestimmungen dieser DPA unber\u00fchrt. b. Wenn die DSGVO gilt, stellen MEFERI und der Kunde sicher, dass die Wahl des anwendbaren Rechts oder der Gerichtsbarkeit die betroffenen Personen nicht daran hindert, von den zwingenden Bestimmungen des Rechts des Mitgliedstaats der Europ\u00e4ischen Union zu profitieren, in dem sie ans\u00e4ssig sind.

17.4. Fortgesetzte Leistung: Bis zur Beilegung eines Streits werden die Parteien ihre jeweiligen Verpflichtungen aus dieser DPA im Rahmen des M\u00f6glichen weiterhin erf\u00fcllen, es sei denn, die DPA oder die Hauptvereinbarung wird gek\u00fcndigt.

18. KONTAKTINFORMATIONEN \/ DATENSCHUTZ

18.1. Prozessor: MEFERI Technologies Co., Ltd. Adresse: 5F, A5, Tianfu Software Park, Nr. 1129, Century City Road, High-Tech-Zone, 610000, Chengdu, Sichuan, VRChina

\u2013 E-Mail f\u00fcr Datenschutzanfragen: legal@meferi.com<\/a>

18.2. Datenschutzanfragen und DPO (f\u00fcr MEFERI Technologies Co., Ltd.): Alle Anfragen im Zusammenhang mit dem Datenschutz im Rahmen dieser DPA sollten an die E-Mail-Adresse gerichtet werden, die oben in Abschnitt 18.1 f\u00fcr MEFERI Technologies Co., Ltd. angegeben ist.

18.3. EU-Vertreter f\u00fcr MEFERI Technologies Co., Ltd. (gem\u00e4\u00df Artikel 27 DSGVO): Name des EU-Vertreters: MEFERI Poland Sp. z oo Adresse: Ul. Modelarska 18\/2, 40-142 Katowice, Polen E-Mail f\u00fcr Anfragen zum EU-Datenschutz (f\u00fcr betroffene Personen und Aufsichtsbeh\u00f6rden in der EU bez\u00fcglich der Verarbeitung durch MEFERI Technologies Co., Ltd.): poland@meferi.com<\/a>

18.4. Verarbeitung durch verbundene Unternehmen von MEFERI: Wenn der Kunde einen Hauptvertrag mit einem verbundenen Unternehmen von MEFERI Technologies Co., Ltd. (z. B. MEFERI Poland Sp. z oo) (\u201evertragsschlie\u00dfendes verbundenes Unternehmen von MEFERI\u201c) abschlie\u00dft und dieses vertragsschlie\u00dfende verbundene Unternehmen von MEFERI im Rahmen dieses Hauptvertrags als Verarbeiter der personenbezogenen Daten fungiert:

a) Diese DPA gilt f\u00fcr die Verarbeitungst\u00e4tigkeiten, die vom vertragsschlie\u00dfenden meferi-Partner durchgef\u00fchrt werden, und alle Verweise auf \u201eMEFERI\u201c oder \u201eAuftragsverarbeiter\u201c hierin gelten als Verweise auf das jeweilige vertragsschlie\u00dfende meferi-Partnerunternehmen.

b) Die Kontaktdaten f\u00fcr Datenschutzanfragen im Zusammenhang mit der Verarbeitung durch das jeweilige meferi-Partnerunternehmen sind im Hauptvertrag angegeben oder werden dem Kunden anderweitig vom meferi-Partnerunternehmen mitgeteilt. F\u00fcr MEFERI Poland Sp. z oo lauten die Kontaktdaten: Adresse: Ul. Modelarska 18\/2, 40-142 Katowice, Polen

E-Mail: poland@meferi.com<\/a>

Telefon: +48 734-143-579

c) Das geltende Recht und die Streitbeilegung f\u00fcr diese DPA werden in solchen F\u00e4llen durch die Hauptvereinbarung mit dem vertragsschlie\u00dfenden meferi-Partner bestimmt.

19. GESAMTE VEREINBARUNGMENT

19.1. Diese DPA, einschlie\u00dflich ihrer Anh\u00e4nge, stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen und gleichzeitigen Vereinbarungen, Vorschl\u00e4ge oder Zusicherungen, schriftlicher oder m\u00fcndlicher Art, in Bezug auf den Vertragsgegenstand.

ZU URKUND DESSEN best\u00e4tigen die Parteien ihre Zustimmung zu dieser Datenverarbeitungsvereinbarung ab dem Datum des Inkrafttretens der Hauptvereinbarung oder der Nutzung der Dienste durch den Kunden.

\u2014

ANHANG 1<\/strong>

DETAILS DER VERARBEITUNG

Dieser Anhang 1 ist Teil der DPA und beschreibt die Verarbeitung personenbezogener Daten durch MEFERI im Auftrag des Kunden.

A. LISTE DER PARTEIEN

Verantwortlicher\/Auftraggeber\/Auftraggeber:

Die juristische Person, die mit MEFERI den Hauptvertrag zur Bereitstellung der Dienste abgeschlossen hat. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

Prozessor(en) \/ MEFERI:

MEFERI Technologies Co., Ltd. oder, sofern gem\u00e4\u00df Abschnitt 18.4 dieser DPA zutreffend, die vertragsschlie\u00dfende meferi-Tochtergesellschaft des Hauptvertrags mit dem Kunden, die dem Kunden die Dienste bereitstellt.

B. BESCHREIBUNG DER VERARBEITUNG

1. Gegenstand der Verarbeitung:

Die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung, Wartung, Unterst\u00fctzung und Verbesserung der vom Kunden im Rahmen des Hauptvertrags abonnierten meferi-Dienste, einschlie\u00dflich, aber nicht beschr\u00e4nkt auf die MEFERI Shadowalk MDM\/EMM-Cloud-L\u00f6sung und in der Cloud gehostete Komponenten der CIAO Intelligent Shopper Assistant (ISA)-L\u00f6sung.

2. Dauer der Verarbeitung:

F\u00fcr die Laufzeit des Hauptvertrags zwischen MEFERI und dem Kunden und bis alle personenbezogenen Daten gem\u00e4\u00df Abschnitt 10 des DPA gel\u00f6scht oder zur\u00fcckgegeben werden.

3. Art und Zweck der Verarbeitung:

\u2013 F\u00fcr die MEFERI Shadowalk MDM\/EMM-Cloud-L\u00f6sung: Erm\u00f6glicht dem Kunden die Fernverwaltung, Sicherung, \u00dcberwachung und Unterst\u00fctzung seiner mobilen Ger\u00e4te. Dies umfasst Ger\u00e4tebereitstellung, Konfigurationsmanagement, Anwendungsmanagement, Durchsetzung von Sicherheitsrichtlinien, Ger\u00e4teverfolgung (sofern vom Kunden aktiviert), Ferndiagnose und die Erstellung von Berichten \u00fcber Ger\u00e4testatus und -nutzung f\u00fcr den Kunden.

\u2013 F\u00fcr MEFERI CIAO ISA Cloud-Komponenten (wobei MEFERI der Verarbeiter ist): Um den Betrieb der intelligenten Einkaufsassistentenl\u00f6sung f\u00fcr den Kunden (H\u00e4ndler) zu erleichtern. Dies kann die Benutzerauthentifizierung, die Verwaltung von Einkaufslisten, die Verarbeitung von Produktinformationen, Kundeninteraktionsdaten (f\u00fcr Analysen, die dem H\u00e4ndler zur Verf\u00fcgung gestellt werden) und die Erm\u00f6glichung der Integration mit Diensten von Drittanbietern gem\u00e4\u00df den Anweisungen des Kunden umfassen.

\u2013 MeCare-Servicevertr\u00e4ge: F\u00fcr MEFERI MeCare-Dienste (bei denen MEFERI als Verarbeiter fungiert): Zur Bereitstellung vertraglich vereinbarter Support-, Wartungs-, Reparatur-, \u00dcberwachungs- und Ger\u00e4teverwaltungsdienste, wie in den geltenden \u201eMeCare (Planname): Allgemeine Servicebedingungen\u201c und dem MeCare-Support-Servicehandbuch beschrieben, was den Zugriff auf, die Erfassung oder anderweitige Verarbeitung personenbezogener Daten beinhalten kann, die auf den Ger\u00e4ten des Kunden gespeichert oder von diesen \u00fcbertragen werden oder die vom Kunden im Rahmen der Leistungserbringung bereitgestellt werden.

\u2013 F\u00fcr Support-Services: Zur Bereitstellung von technischem Support, Fehlerbehebung, Wartung und Updates f\u00fcr die Services, was auf Anfrage und Anweisung des Kunden den Zugriff auf personenbezogene Daten beinhalten kann, die innerhalb der Services oder auf den Systemen des Kunden verarbeitet werden.

\u2013 Den dokumentierten Anweisungen des Kunden gem\u00e4\u00df dieser DPA und der Hauptvereinbarung nachzukommen.

\u2013 Zur Erf\u00fcllung geltender gesetzlicher Verpflichtungen.

4. Kategorien betroffener Personen:

\u2013 Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden: Personen, die die Dienste im Namen des Kunden verwalten oder nutzen (z. B. IT-Administratoren, die Shadowalk verwenden, Einzelhandelsmitarbeiter, die CIAO verwalten oder verwenden).

\u2013 Endbenutzer der vom Kunden verwalteten Ger\u00e4te (f\u00fcr Shadowalk): Einzelpersonen (z. B. Mitarbeiter des Kunden), die mobile Computer oder andere Ger\u00e4te verwenden, die vom Kunden \u00fcber die Shadowalk-L\u00f6sung verwaltet werden.

\u2013 Kunden (K\u00e4ufer) des Kunden (f\u00fcr CIAO, wenn MEFERI ihre personenbezogenen Daten in einem Cloud-Backend im Auftrag des Einzelh\u00e4ndlerkunden verarbeitet): Einzelpersonen, die die CIAO-ISA-Ger\u00e4te im Gesch\u00e4ft des Einzelh\u00e4ndlers verwenden.

5. Arten der verarbeiteten personenbezogenen Daten:

Die Art der verarbeiteten personenbezogenen Daten h\u00e4ngt von den vom Kunden genutzten Diensten und der Art und Weise ab, wie der Kunde diese Dienste konfiguriert und nutzt. Zu den personenbezogenen Daten k\u00f6nnen geh\u00f6ren:

\u2013 Benutzerkonto- und Kontaktinformationen: Name, E-Mail-Adresse, Benutzername, Passw\u00f6rter, Telefonnummer, Berufsbezeichnung, Abteilung, Mitarbeiter-ID, Rolle\/Berechtigungen innerhalb der Dienste (falls zutreffend f\u00fcr die Dienstverwaltung durch den Kunden).

\u2013 Ger\u00e4teinformationen (f\u00fcr Shadowalk): Ger\u00e4tekennungen (z. B. Seriennummer, IMEI, MAC-Adresse, UDID), Ger\u00e4temodell, Betriebssystemversion, IP-Adresse, Netzwerkinformationen, Ger\u00e4tekonfigurationseinstellungen, installierte Anwendungen, Ger\u00e4testandortdaten (sofern vom Kunden aktiviert).

\u2013 Nutzungs- und Protokolldaten (f\u00fcr Shadowalk & CIAO Cloud): Systemprotokolle, Pr\u00fcfpfade, Aktivit\u00e4tsprotokolle, Leistungsdaten, Diagnosedaten im Zusammenhang mit der Nutzung der Dienste.

\u2013 K\u00e4uferdaten (f\u00fcr CIAO, falls zutreffend): K\u00e4uferkontodetails (z. B. Treue-ID, E-Mail, falls vom K\u00e4ufer f\u00fcr die Registrierung \u00fcber die App des H\u00e4ndlers auf CIAO angegeben), Einkaufslisten, Produktscanverlauf, Interaktionsdaten mit dem CIAO-Ger\u00e4t.

\u2013 Supportdaten: Informationen, die vom Kunden w\u00e4hrend Supportinteraktionen bereitgestellt werden, einschlie\u00dflich Kontaktdaten, Problembeschreibung, Systemkonfigurationsdetails und alle personenbezogenen Daten, die in Protokollen oder Dateien enthalten sind, die zur Fehlerbehebung an MEFERI weitergegeben werden.

\u2013 Alle anderen personenbezogenen Daten, die der Kunde (oder seine autorisierten Benutzer oder Datensubjekte) an die Dienste \u00fcbermitteln m\u00f6chte.

6. Besondere Kategorien personenbezogener Daten (falls vorhanden):

MEFERI beabsichtigt nicht, besondere Kategorien personenbezogener Daten (wie in Artikel 9 DSGVO definiert) im Auftrag des Kunden zu verarbeiten. Der Kunde darf keine besonderen Kategorien personenbezogener Daten hochladen, bereitstellen oder MEFERI mit der Verarbeitung beauftragen, es sei denn, dies wurde ausdr\u00fccklich schriftlich mit MEFERI vereinbart und unterliegt angemessenen Sicherheitsvorkehrungen. Stellt der Kunde solche Daten ohne vorherige Zustimmung bereit, tr\u00e4gt er die alleinige Verantwortung f\u00fcr die Gew\u00e4hrleistung einer g\u00fcltigen Rechtsgrundlage f\u00fcr die Verarbeitung.

\u2014

ANHANG 2<\/strong>

TECHNISCHE UND ORGANISATORISCHE SICHERHEIT MEASURES (TOMS)

Dieser Anhang 2 beschreibt die von MEFERI implementierten technischen und organisatorischen Ma\u00dfnahmen, um ein angemessenes Sicherheitsniveau f\u00fcr die Verarbeitung personenbezogener Daten zu gew\u00e4hrleisten. MEFERI kann diese Ma\u00dfnahmen von Zeit zu Zeit aktualisieren, sofern diese Aktualisierungen die Gesamtsicherheit der Dienste nicht wesentlich beeintr\u00e4chtigen.

1. Richtlinien und Governance zur Informationssicherheit:

a. MEFERI unterh\u00e4lt interne Richtlinien und Verfahren zum Schutz personenbezogener Daten.

b. Verantwortlichkeiten f\u00fcr die Informationssicherheit sind definiert und zugewiesen.

c. Es werden regelm\u00e4\u00dfige Risikobewertungen durchgef\u00fchrt, um Bedrohungen f\u00fcr personenbezogene Daten zu erkennen und zu mindern.

2. Personensicherheit:

a. Mitarbeiter und Auftragnehmer mit Zugriff auf personenbezogene Daten unterliegen der Geheimhaltungspflicht.

b. Das zust\u00e4ndige Personal wird hinsichtlich seiner Verantwortung f\u00fcr Datenschutz und Sicherheit geschult, um ein Sicherheitsbewusstsein zu entwickeln.

c. Sofern dies nach geltendem Recht zul\u00e4ssig ist, k\u00f6nnen Hintergrund\u00fcberpr\u00fcfungen f\u00fcr Mitarbeiter in sensiblen Positionen durchgef\u00fchrt werden.

3. Physische Zugangskontrolle:

a. Es bestehen Ma\u00dfnahmen, um den unbefugten physischen Zugang zu den R\u00e4umlichkeiten und Einrichtungen von MEFERI zu verhindern, in denen personenbezogene Daten verarbeitet werden k\u00f6nnen (z. B. B\u00fcros).

b. Hierzu geh\u00f6ren Sicherheitsbereiche, Zugangskontrollsysteme, \u00dcberwachung und gegebenenfalls die Protokollierung des physischen Zugangs.

c. Bei den von MEFERI f\u00fcr die Dienste genutzten Rechenzentren (d. h. jene seines prim\u00e4ren Cloud-Dienstanbieters Amazon Web Services \u2013 AWS) verl\u00e4sst sich MEFERI auf die robusten physischen Sicherheitsma\u00dfnahmen, die von AWS implementiert wurden.

4. Systemzugriffskontrolle (logischer Zugriff):

a. Der Zugriff auf IT-Systeme, die personenbezogene Daten verarbeiten, ist auf autorisiertes Personal beschr\u00e4nkt.

b. Es werden eindeutige Benutzer-IDs und starke Authentifizierungsmechanismen (z. B. komplexe Passw\u00f6rter, Multi-Faktor-Authentifizierung, sofern angemessen und machbar) verwendet.

c. Zugriffsrechte werden nach dem Prinzip der geringsten Privilegien (rollenbasierte Zugriffskontrolle) vergeben.

d. Es werden regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen der Zugriffsrechte durchgef\u00fchrt.

e. F\u00fcr den Fernzugriff werden sichere Protokolle verwendet.

5. Datenzugriffskontrolle:

a. Es sind Ma\u00dfnahmen vorhanden, die sicherstellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, gem\u00e4\u00df ihren zugewiesenen Rollen und Verantwortlichkeiten nur auf die personenbezogenen Daten zugreifen k\u00f6nnen, auf die sich ihr Zugriffsrecht bezieht.

b. Personenbezogene Daten werden w\u00e4hrend der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt, au\u00dfer wenn dies f\u00fcr die Bereitstellung der Dienste erforderlich ist oder vom Kunden angewiesen wird.

c. Die Trennung von Aufgaben und Daten wird gegebenenfalls umgesetzt.

6. Getriebesteuerung:

a. Personenbezogene Daten werden w\u00e4hrend der elektronischen \u00dcbertragung oder des Transports vor unbefugtem Lesen, Kopieren, \u00c4ndern oder Entfernen gesch\u00fctzt.

b. Zum Schutz personenbezogener Daten, die \u00fcber \u00f6ffentliche Netzwerke \u00fcbertragen werden, werden Verschl\u00fcsselungstechnologien (z. B. Transport Layer Security \u2013 TLS\/Secure Sockets Layer \u2013 SSL f\u00fcr Daten w\u00e4hrend der \u00dcbertragung) verwendet.

c. F\u00fcr die \u00dcbertragung physischer Medien mit personenbezogenen Daten werden sichere Methoden verwendet, sofern solche \u00dcbertragungen stattfinden.

7. Eingabekontrolle:

a. Es werden Ma\u00dfnahmen getroffen, die gew\u00e4hrleisten, dass nachtr\u00e4glich \u00fcberpr\u00fcft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver\u00e4ndert oder entfernt wurden (z. B. durch Pr\u00fcfprotokolle).

b. F\u00fcr kritische Systemaktivit\u00e4ten im Zusammenhang mit der Verarbeitung personenbezogener Daten werden Protokollierungs- und Pr\u00fcffunktionen implementiert.

8. Datensicherung und -wiederherstellung:

a. Um die Datenverf\u00fcgbarkeit und -integrit\u00e4t sicherzustellen, werden regelm\u00e4\u00dfige Backups der im Rahmen der Dienste verarbeiteten personenbezogenen Daten durchgef\u00fchrt.

b. Sicherungs- und Wiederherstellungsverfahren werden definiert und regelm\u00e4\u00dfig getestet.

c. Backups werden sicher gespeichert.

9. Verf\u00fcgbarkeitskontrolle und Belastbarkeit:

a. Die Systeme sind so konzipiert und konfiguriert, dass die Verf\u00fcgbarkeit personenbezogener Daten und die Belastbarkeit der Verarbeitungssysteme und -dienste gew\u00e4hrleistet sind.

b. Dazu geh\u00f6ren Ma\u00dfnahmen wie Redundanz, Fehlertoleranz und Disaster-Recovery-Funktionen, wobei in erster Linie die Infrastruktur des wichtigsten Cloud-Service-Providers von MEFERI (Amazon Web Services \u2013 AWS) genutzt wird.

10. Datentrennung:

a. Personenbezogene Daten des Kunden werden innerhalb der Dienste logisch von den Daten anderer meferi-Kunden getrennt.

11. Sichere Softwareentwicklung (f\u00fcr die Cloud-Plattformen von MEFERI):

a. Sichere Codierungspraktiken und -prinzipien sind in den Softwareentwicklungslebenszyklus von MEFERI f\u00fcr seine Cloud-Plattformen integriert.

b. Sicherheitstests (z. B. Schwachstellenscans, Penetrationstests) werden nach Bedarf f\u00fcr die Dienste durchgef\u00fchrt.

c. Es gibt Verfahren zur Identifizierung, Bewertung und Behebung von Schwachstellen in der Software von MEFERI.

12. Vorfallmanagement:

a. MEFERI verf\u00fcgt \u00fcber einen Vorfallreaktionsplan und Verfahren zur Erkennung, Reaktion auf und Wiederherstellung nach Sicherheitsvorf\u00e4llen, einschlie\u00dflich Verst\u00f6\u00dfen gegen den Schutz personenbezogener Daten.

b. Vorf\u00e4lle werden untersucht, dokumentiert und es werden entsprechende Abhilfema\u00dfnahmen ergriffen.

c. Es werden Kommunikationspl\u00e4ne f\u00fcr interne und externe Benachrichtigungen gem\u00e4\u00df den Anforderungen des geltenden Datenschutzrechts und dieser Datenverarbeitungsvereinbarung erstellt.

13. Unterauftragsverarbeiterverwaltung:

a. Vor der Beauftragung von Unterauftragsverarbeitern wird eine Due-Diligence-Pr\u00fcfung durchgef\u00fchrt, um sicherzustellen, dass diese ein angemessenes Datenschutzniveau gew\u00e4hrleisten k\u00f6nnen.

b. Es bestehen vertragliche Vereinbarungen mit Unterauftragsverarbeitern, die Datenschutzverpflichtungen auferlegen, die mindestens denen entsprechen, die MEFERI im Rahmen dieser Datenverarbeitungsvereinbarung auferlegt werden.

14. \u00dcberwachung und Protokollierung:

a. Systeme, die personenbezogene Daten verarbeiten, werden, soweit angemessen und machbar, auf Sicherheitsereignisse und Anomalien \u00fcberwacht.

b. Relevante Protokolle werden gesammelt und nach Bedarf \u00fcberpr\u00fcft, um Sicherheitsvorf\u00e4lle zu erkennen, zu untersuchen und darauf zu reagieren.

15. Verschl\u00fcsselung:

a. Die Verschl\u00fcsselung ruhender personenbezogener Daten wird dort implementiert, wo dies angemessen und technisch machbar ist (z. B. bei der Speicherung in Datenbanken mit sensiblen personenbezogenen Daten).

b. Die Verschl\u00fcsselung personenbezogener Daten bei der \u00dcbertragung \u00fcber \u00f6ffentliche Netzwerke erfolgt mithilfe branchen\u00fcblicher Protokolle (z. B. TLS).

*(Der Kunde erkennt an, dass die Sicherheitsma\u00dfnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass MEFERI die Sicherheitsma\u00dfnahmen von Zeit zu Zeit aktualisieren oder \u00e4ndern kann, vorausgesetzt, dass solche Aktualisierungen und \u00c4nderungen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Kunden erworbenen Dienste f\u00fchren.)*

\u2014

ANHANG 3<\/strong>

Unterauftragsverarbeiter

Der Kunde erteilt MEFERI die allgemeine Genehmigung zur Nutzung der unten aufgef\u00fchrten Kategorien von Unterauftragsverarbeitern. MEFERI f\u00fchrt eine aktuelle Liste seiner spezifischen Unterauftragsverarbeiter und stellt sie dem Kunden auf einer daf\u00fcr vorgesehenen Webseite auf der meferi-Website zur Verf\u00fcgung. https:\/\/meferi.com\/support-services\/legal-center\/sub-processor-list\/<\/a>. und wird diese Liste dem Kunden auf schriftliche Anfrage an den Datenschutzbeauftragten von MEFERI (z. B., legal@meferi.com<\/a>).

Kategorien von Unterauftragsverarbeitern und Zweck:

1. Anbieter von Cloud-Infrastrukturen: \u2013 Unterauftragsverarbeiter und Einzelheiten zum Haupthosting der dem Kunden im Rahmen der Hauptvereinbarung bereitgestellten Dienste:

\u2013 Unternehmen: Amazon Web Services EMEA SARL (oder das entsprechende AWS-Vertragsunternehmen f\u00fcr im EWR erbrachte Dienste).

\u2013 Zweck: Bereitstellung der zugrunde liegenden Cloud-Computing-Infrastruktur (Server, Speicher, Netzwerke, Datenbanken) zum Hosten der Dienste von MEFERI (z. B. Shadowalk Cloud, CIAO Cloud-Backend), die dem Kunden im Rahmen der Hauptvereinbarung bereitgestellt werden.

\u2013 Ort der Verarbeitung personenbezogener Kundendaten (prim\u00e4res Hosting): Die prim\u00e4re AWS-Region f\u00fcr die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA ist eu-west-3 (Paris, Frankreich) innerhalb des Europ\u00e4ischen Wirtschaftsraums (EWR).

\u2013 Schutzma\u00dfnahmen bei der Daten\u00fcbertragung: AWS stellt einen Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) mit Standardvertragsklauseln (SCCs) zur Regelung der \u00dcbertragung personenbezogener Daten bereit. Dieser gilt, wenn Daten von AWS an Standorten au\u00dferhalb des EWR verarbeitet oder an solche \u00fcbertragen werden, f\u00fcr die kein Angemessenheitsbeschluss vorliegt. Kunden k\u00f6nnen den Nachtrag zur Datenverarbeitung von AWS unter folgender Adresse einsehen:  https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf <\/a>und Informationen zur AWS-DSGVO-Konformit\u00e4t unter  https:\/\/aws.amazon.com\/compliance\/gdpr-center\/<\/a>

\u2013 Hinweis zu CDNs (falls zutreffend): Wenn MEFERI AWS CloudFront oder \u00e4hnliche Content Delivery Network (CDN)-Dienste zur Leistungssteigerung der Dienste nutzt, k\u00f6nnen Kopien bestimmter Daten (typischerweise statische Assets oder zwischengespeicherte Inhalte, die je nach Konfiguration personenbezogene Daten enthalten k\u00f6nnen oder nicht) vor\u00fcbergehend an AWS-Edge-Standorten weltweit zwischengespeichert werden. Die ma\u00dfgebliche Speicherung und prim\u00e4re Verarbeitung der personenbezogenen Kundendaten f\u00fcr die Dienste verbleibt jedoch in der oben angegebenen AWS-Region (eu-west-3). MEFERI stellt sicher, dass alle \u00fcber CDN verbreiteten personenbezogenen Kundendaten gem\u00e4\u00df den DSGVO-Anforderungen behandelt werden.

\u2013 Andere Cloud-Infrastrukturanbieter f\u00fcr Dienste, die dem Kunden im Rahmen des Hauptvertrags bereitgestellt werden:

\u2013 Derzeit nutzt MEFERI \u00fcber das oben Beschriebene hinaus keine anderen Drittanbieter von Cloud-Infrastrukturen f\u00fcr das prim\u00e4re Hosting oder die direkte Bereitstellung der im Hauptvertrag definierten Dienste.

2. Kommunikationsdienstleister:

\u2013 Zweck: Erm\u00f6glichung wichtiger Kommunikationen mit dem Kunden oder seinen autorisierten Benutzern im Zusammenhang mit der Bereitstellung und Nutzung der Dienste (z. B. E-Mail-Zustellung von Servicebenachrichtigungen, Kennwortzur\u00fccksetzungen, Sicherheitswarnungen und SMS-Zustellung kritischer Warnungen oder Zwei-Faktor-Authentifizierungscodes).

\u2013 Konkret eingesetzte Unterauftragsverarbeiter:

\u2013 F\u00fcr E-Mail-Kommunikation:

\u2013 Unternehmen: Amazon Web Services EMEA SARL (unter Verwendung des Amazon Simple Email Service \u2013 SES).

\u2013 Spezifischer Zweck f\u00fcr MEFERI: Zum Senden von transaktions- und servicebezogenen E-Mail-Benachrichtigungen an autorisierte Benutzer des Kunden (z. B. Kontowarnungen, Kennwortzur\u00fccksetzungen, Serviceaktualisierungen, kritische Sicherheitsinformationen) im Zusammenhang mit den Diensten.

\u2013 Ort der Verarbeitung: Die Infrastruktur zum Versenden von E-Mails befindet sich haupts\u00e4chlich in den AWS-Regionen, die MEFERI f\u00fcr seine Dienste nutzt (z. B. so konfiguriert, dass der Versand aus einer EWR-Region wie eu-west-1 Irland oder eu-west-3 Paris erfolgt, sofern m\u00f6glich). Die Verarbeitung personenbezogener Daten (wie E-Mail-Adressen und E-Mail-Inhalte) \u00fcber SES unterliegt dem AWS-Datenverarbeitungszusatz.

\u2013 Schutzma\u00dfnahmen f\u00fcr die Daten\u00fcbertragung: Abgedeckt durch den Amazon Web Services-Zusatz zur Datenverarbeitung, der Standardvertragsklauseln enth\u00e4lt. Verf\u00fcgbar

bei: https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf.<\/a>

\u2013 F\u00fcr SMS-Kommunikation:

\u2013 Unternehmen: Twilio Inc.

\u2013 Spezifischer Zweck f\u00fcr MEFERI: Zum Senden von SMS-Benachrichtigungen an autorisierte Benutzer des Kunden als Teil der Dienste, beispielsweise f\u00fcr kritische Warnungen oder die \u00dcbermittlung von Zwei-Faktor-Authentifizierungscodes (2FA), wenn solche Funktionen vom Kunden aktiviert und verwendet werden.

\u2013 Art der verarbeiteten Daten: Umfasst normalerweise Telefonnummern der autorisierten Benutzer des Kunden und den Inhalt der SMS-Nachrichten (z. B. Authentifizierungscodes, Warntext).

\u2013 Ort der Verarbeitung: Vorwiegend USA.

\u2013 Schutzma\u00dfnahmen bei der Daten\u00fcbertragung: Die \u00dcbertragung personenbezogener Daten unterliegt dem Datenverarbeitungszusatz von Twilio, der Standardvertragsklauseln (SCCs) enth\u00e4lt. Kunden k\u00f6nnen den DPA von Twilio hier einsehen: https:\/\/www.twilio.com\/legal\/data-protection-addendum.<\/a>

\u2013 Andere Kommunikationsdienstleister:

\u2013 Derzeit nutzt MEFERI keine anderen Drittanbieter von Kommunikationsdiensten zur Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA, die \u00fcber die oben f\u00fcr E-Mail und SMS beschriebenen Ma\u00dfnahmen hinausgehen. Sollten bestimmte Funktionen eingef\u00fchrt werden, die andere Arten von Kommunikationsdiensten erfordern, und der Kunde diese nutzen, aktualisiert MEFERI diese Liste und benachrichtigt den Kunden gem\u00e4\u00df Abschnitt 6.2 dieser DPA.

3. Anbieter von Analyse- und Service-Performance-Monitoring:

\u2013 Zweck: \u00dcberwachung der Leistung, Identifizierung von Fehlern und Analyse des Nutzungsverhaltens der Dienste von MEFERI (z. B. Shadowalk Cloud, CIAO Cloud-Backend), um die Stabilit\u00e4t, Funktionalit\u00e4t und Benutzerfreundlichkeit der Dienste zu gew\u00e4hrleisten und zu verbessern. Die von diesen Anbietern f\u00fcr die Dienste von MEFERI verarbeiteten Daten sind in der Regel pseudonymisiert, aggregiert oder bestehen aus technischen\/betrieblichen Daten. MEFERI nutzt diese Anbieter nicht zur Analyse des spezifischen Inhalts personenbezogener Kundendaten innerhalb der Dienste, es sei denn, dies wurde ausdr\u00fccklich zu Support- oder Fehlerbehebungszwecken angewiesen oder mit dem Kunden vereinbart.

\u2013 Konkret eingesetzte Unterauftragsverarbeiter:

\u2013 Unternehmen: Functional Software, Inc. (gesch\u00e4ftlich t\u00e4tig als Sentry).

\u2013 Spezifischer Zweck f\u00fcr MEFERI: Zur Echtzeit-Fehlerverfolgung, Diagnose und Leistungs\u00fcberwachung innerhalb der Cloud-basierten Dienste von MEFERI (Shadowalk Cloud, CIAO Cloud-Backend), um bei der Identifizierung und L\u00f6sung technischer Probleme zu helfen.

\u2013 Art der verarbeiteten Daten: Dazu geh\u00f6ren typischerweise Fehlermeldungen, Stacktraces, Ger\u00e4te-\/Browserinformationen, IP-Adressen (die MEFERI so konfigurieren kann, dass sie anonymisiert oder nicht gespeichert werden, sofern dies im Rahmen der M\u00f6glichkeiten von Sentry m\u00f6glich ist) und andere betriebliche Metadaten im Zusammenhang mit Serviceereignissen. MEFERI konfiguriert seine Integration mit Sentry so, dass die Erfassung personenbezogener Kundendaten minimiert wird.

\u2013 Ort der Verarbeitung: Vorwiegend USA.

\u2013 Sicherheitsvorkehrungen f\u00fcr Daten\u00fcbertragungen: Die \u00dcbertragungen unterliegen dem Nachtrag zur Datenverarbeitung von Sentry, der Standardvertragsklauseln enth\u00e4lt. Verf\u00fcgbar unter: https:\/\/sentry.io\/legal\/dpa\/<\/a>

\u2013 Website- und Portalanalyse (MEFERI als Verantwortlicher):

\u2013 F\u00fcr Analysen im Zusammenhang mit der Unternehmenswebsite von MEFERI (z. B. meferi.com) und anderen \u00f6ffentlichen Portalen von MEFERI, bei denen MEFERI als Datenverantwortlicher fungiert, sind Details zu Analyseanbietern (wie Google Analytics) und zur Datenverarbeitung in der allgemeinen Datenschutzrichtlinie von MEFERI beschrieben. Diese Anbieter werden hier nicht als Unterauftragsverarbeiter im Rahmen dieser Datenverarbeitungsvereinbarung aufgef\u00fchrt, es sei denn, sie verarbeiten im Rahmen der f\u00fcr den Kunden bereitgestellten Dienste auch personenbezogene Daten des Kunden im Auftrag von MEFERI.<\/p>\n

4. Support- und Kundendienst-Tools:<\/p>\n

\u2013 <\/strong>Zweck: Bearbeitung von Kundenanfragen, Bereitstellung von Helpdesk-Services und Erleichterung der Kommunikation im Zusammenhang mit dem Support f\u00fcr die Dienstleistungen von MEFERI.<\/p>\n

\u2013 Konkret eingesetzte Unterauftragsverarbeiter:<\/p>\n