Diese Datenverarbeitungsvereinbarung („DPA“) ergänzt die Shipturtle [Nutzungsbedingungen / Hauptdienstleistungsvereinbarung / Bestellformular] (die „Bedingungen“) und wird hiermit durch Verweis einbezogen. Sie gilt automatisch für alle Kunden, die die Dienste nutzen, bei denen Shipturtle personenbezogene Daten im Auftrag des Kunden verarbeitet. Im Falle von Konflikten zwischen dieser DPA und den Bedingungen hat diese DPA Vorrang hinsichtlich der Verarbeitung personenbezogener Daten.
Diese DPA legt die Verpflichtungen der Parteien in Bezug auf die Verarbeitung personenbezogener Daten durch Shipturtle im Auftrag des Kunden im Zusammenhang mit der Nutzung der Dienste durch den Kunden fest. Sofern nicht ausdrücklich anders angegeben, handelt der Kunde als Verantwortlicher und Shipturtle als Auftragsverarbeiter für die unter dieser DPA verarbeiteten personenbezogenen Daten.
Anwendbare Datenschutzgesetze: Alle Datenschutz- und Privatsphäre-Gesetze, die für die Verarbeitung personenbezogener Daten gemäß den Bedingungen gelten (einschließlich DSGVO, UK-DSGVO, Schweizer FADP und anwendbare Datenschutzgesetze der US-Bundesstaaten).
Kunde: Jede Einzelperson oder Entität, die die Dienste nutzt oder davon profitiert und Teil der Bedingungen ist.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen oder anderweitig gemäß den geltenden Datenschutzgesetzen definiert sind.
Verarbeitung: Jede Aktion, die an personenbezogenen Daten durchgeführt wird (z. B. Sammlung, Speicherung, Nutzung, Offenlegung, Löschung).
Unterauftragsverarbeiter: Jeder Drittanbieter, den Shipturtle zur Verarbeitung personenbezogener Daten für die Dienste einsetzt.
Dienste: Die von Shipturtle bereitgestellten Produkte und/oder Dienstleistungen gemäß den Bedingungen.
Datenschutzverletzung: Eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt.
Thema und Dauer. Shipturtle verarbeitet persönliche Daten ausschließlich zur Bereitstellung, Sicherung und Unterstützung der Dienste, während der Dauer der Nutzungsbedingungen.
Anweisungen. Shipturtle verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Kunden, wie in den Bedingungen und diesem DPA angegeben, es sei denn, die Verarbeitung ist gesetzlich erforderlich.
Kundenverantwortlichkeiten. Der Kunde ist verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Bereitstellung erforderlicher Mitteilungen und das Einholen notwendiger Genehmigungen.
Prozessor Nutzung. Shipturtle kann personenbezogene Daten verarbeiten, um die Dienste bereitzustellen, zu warten und zu verbessern; Sicherheit zu gewährleisten; Missbrauch zu verhindern; und gesetzliche Anforderungen einzuhalten.
Shipturtle wird geeignete technische und organisatorische Maßnahmen („TOMs“) umsetzen und aufrechterhalten, um personenbezogene Daten vor versehentlicher oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen. Die Maßnahmen umfassen den minimalen Zugriff, Verschlüsselung während der Übertragung und im Ruhezustand, Überwachung, Schwachstellenmanagement und Reaktion auf Vorfälle.
Der Kunde ermächtigt Shipturtle, Unterauftragnehmer zu beauftragen. Shipturtle wird eine Liste der Unterauftragnehmer führen und über Änderungen informieren. Wenn der Kunde widerspricht, ist die einzige Möglichkeit, die Dienste zu kündigen. Shipturtle bleibt für seine Unterauftragnehmer verantwortlich.
Shipturtle wird den Kunden angemessen bei Anfragen von betroffenen Personen und regulatorischen Verpflichtungen unterstützen, sofern der Kunde Anfragen nicht direkt über die Dienste erfüllen kann. Shipturtle kann dem Kunden Materialkosten für diese Unterstützung in Rechnung stellen.
Shipturtle wird den Kunden ohne unangemessene Verzögerung informieren, sobald ein Vorfall mit personenbezogenen Daten bekannt wird, und auf jeden Fall innerhalb eines Zeitrahmens, der es dem Kunden ermöglicht, seinen gesetzlichen Verpflichtungen nachzukommen. Shipturtle wird Maßnahmen ergreifen, um den Vorfall einzudämmen, zu untersuchen und zu beheben.
Sofern personenbezogene Daten außerhalb des EWR/UK/Schweiz in ein Land ohne Angemessenheit übertragen werden, gelten die EU-Standardvertragsklauseln (2021/914). Der Kunde akzeptiert die SCCs „wie sie sind.“ Anhang B (TOMs) füllt die Anhänge aus. Bei Konflikten haben die SCCs Vorrang.
Bei Beendigung oder auf Anfrage des Kunden wird Shipturtle personenbezogene Daten innerhalb eines angemessenen Zeitrahmens, der 90 Tage nicht überschreitet, löschen oder anonymisieren, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben. Sicherungsmedien werden im normalen Zyklus gelöscht.
Die Haftung unter diesem DPA unterliegt den Bedingungen, es sei denn, sie wird hier ausdrücklich anders geregelt. Jede Partei bleibt verantwortlich für ihre eigene Einhaltung der geltenden Datenschutzgesetze. Ungeachtet gegenteiliger Regelungen beträgt die gesamte Haftung von Shipturtle unter diesem DPA (einschließlich Unterauftragnehmer) höchstens die insgesamt vom Kunden an Shipturtle in den zwölf (12) Monaten vor dem Ereignis tatsächlich gezahlten Gebühren (außer Rückerstattungen/Gutschriften). Shipturtle haftet nicht für indirekte, zufällige, spezielle oder Folgeschäden. Diese Einschränkung hat Vorrang vor inkonsistenten Bestimmungen in den Bedingungen.
Reihenfolge der Priorität. Diese DPA regelt die Datenverarbeitung; die SCCs steuern im Konfliktfall.
Änderungen. Shipturtle kann dieses DPA aktualisieren, um Änderungen der Gesetze oder Branchenstandards durch Veröffentlichung einer aktualisierten Version zu berücksichtigen. Wesentliche Änderungen werden gemäß den Anforderungen mitgeteilt. Das einzige Mittel des Kunden bei Widerspruch besteht darin, die Dienste zu beenden.
Salvatorische Klausel. Ist eine Bestimmung ungültig, bleibt der Rest weiterhin wirksam.
Datenbetroffene: Endkunden, Kontonutzer, Empfänger, Anbieter/Partnerkontakte.
Kategorien: Kontaktdaten, Bestell-/Transaktionsdaten, Konto-/Nutzungsdaten, Supportkommunikation.
Besondere Kategorien: Nicht vorgesehen. Bei Einreichung ist der Kunde für die rechtmäßige Grundlage verantwortlich.
Zweck: Bereitstellung und Unterstützung von Dienstleistungen, Synchronisierung, Betrugsprävention, Sicherheit, Analyse, rechtliche Compliance.
Aufbewahrung: Gemäß Abschnitt IX.
Shipturtle hält angemessene TOMs ein, darunter: rollenbasierter Zugriff, Mehr-Faktor-Authentifizierung, Verschlüsselung, Netzwerksicherheit, Schwachstellenmanagement, sichere Entwicklungspraktiken, Penetrationstests, Protokollierung/Überwachung, Incident-Response, Backups mit Integritätsprüfungen, Schulung des Personals, Risikomanagement von Anbietern und Datenminimierung.
Wo die Datenschutzgesetze der US-Bundesstaaten gelten, agiert Shipturtle als Dienstanbieter/Verarbeiter und wird keine personenbezogenen Daten verkaufen oder teilen und hilft bei Verbraucheranfragen wie erforderlich.
Für begrenzte Aktivitäten, die zum Betrieb von Shipturtles Geschäft notwendig sind (z. B. Telemetrie, Sicherheitsprotokolle, Betrugsprävention, Compliance, Analysen), agiert Shipturtle als unabhängiger Verantwortlicher. Für diese Verarbeitung gilt die Datenschutzrichtlinie von Shipturtle.