DPA

1. Gegenstand und Rahmen des Vertrags

Der vorliegende Auftragsverarbeitungsvertrag (nachfolgend der „AVV", für Data Processing Agreement) regelt die Bedingungen, unter denen Zylior personenbezogene Daten für Rechnung seiner Kunden im Rahmen der Nutzung der Zylior-Plattform verarbeitet. Er steht im Einklang mit der Verordnung (EU) 2016/679 (nachfolgend die „DSGVO"), insbesondere mit ihrem Artikel 28 über die Beziehungen zwischen Verantwortlichem und Auftragsverarbeiter.

Dieser AVV ist fester Bestandteil der zwischen Zylior und dem Kunden geschlossenen Allgemeinen Nutzungs- und Verkaufsbedingungen. Im Falle eines Widerspruchs zwischen dem vorliegenden AVV und diesen Bedingungen in Datenschutzfragen haben die Bestimmungen des vorliegenden AVV Vorrang.

Er gilt als angenommen, sobald der Kunde ein Zylior-Abonnement abschließt oder die Plattform nutzt, um personenbezogene Daten über Dritte (Interessenten, Leads, Kontakte, Endkunden) zu verarbeiten.

2. Begriffsbestimmungen

Die im vorliegenden AVV verwendeten Begriffe behalten die Bedeutung, die ihnen die DSGVO verleiht. Zur Orientierung:

• Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung: jeder auf personenbezogene Daten angewandte Vorgang (Erhebung, Erfassung, Speicherung, Änderung, Abruf, Übermittlung, Löschung usw.).
• Verantwortlicher: die Stelle, die die Zwecke und Mittel der Verarbeitung bestimmt. Im Rahmen des vorliegenden AVV ist dies der Kunde.
• Auftragsverarbeiter: die Stelle, die die Daten für Rechnung des Verantwortlichen verarbeitet. Im Rahmen des vorliegenden AVV ist dies Zylior.
• Weiterer Auftragsverarbeiter: jeder Dienstleister, auf den Zylior zurückgreift, um bestimmte Verarbeitungstätigkeiten für Rechnung des Kunden auszuführen.
• Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
• Datenschutzverletzung: jede Verletzung der Sicherheit, die auf versehentliche oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.

3. Rollen und Aufteilung der Verantwortlichkeiten

Im Rahmen der Nutzung der Plattform sind die Rollen wie folgt verteilt:

• Der Kunde handelt als Verantwortlicher für die personenbezogenen Daten, die er über Zylior importiert, erhebt oder erzeugt (insbesondere die Daten von Interessenten, Leads, Kontakten und Endkunden im Rahmen seiner Kampagnen für Ads, Content, Leads, Termine und Automatisierung).
• Zylior handelt als Auftragsverarbeiter: Es verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Kunden, wie sie durch die Nutzung der Funktionen der Plattform und durch den vorliegenden AVV konkretisiert wird.

Der Kunde gewährleistet, dass er über eine gültige Rechtsgrundlage (Einwilligung, berechtigtes Interesse, Vertragserfüllung usw.) für jede Verarbeitung verfügt, die er über Zylior umsetzt, und dass er seinen eigenen Informationspflichten gegenüber den betroffenen Personen nachgekommen ist.

Für seine eigenen Zwecke der Kontoverwaltung, Abrechnung, Sicherheit und Verbesserung des Dienstes handelt Zylior als eigenständiger Verantwortlicher. Diese Verarbeitungen sind in der Datenschutzerklärung beschrieben.

4. Art, Zweck und Dauer der Verarbeitung

Art und Zweck

Zylior verarbeitet die personenbezogenen Daten ausschließlich zu dem Zweck, die Dienste der Plattform zu erbringen: Zentralisierung des Wachstums eines Portfolios von Micro-SaaS, Verwaltung der Werbekampagnen, Content-Produktion, Generierung und Qualifizierung von Leads, Terminvereinbarung und Automatisierung der Workflows, das Ganze KI-getrieben.

Die Verarbeitungsvorgänge umfassen insbesondere die Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, den Abruf, die Nutzung, die Übermittlung an autorisierte weitere Auftragsverarbeiter sowie die Löschung der Daten.

Dauer

Die Verarbeitung erfolgt während der gesamten Laufzeit des Vertrags zwischen dem Kunden und Zylior. Sie endet mit der Kündigung oder dem Ablauf des Vertrags, vorbehaltlich der Bestimmungen über die Rückgabe und Löschung der Daten gemäß Artikel 11.

5. Kategorien von Daten und betroffenen Personen

Kategorien betroffener Personen

• Interessenten und Leads, die vom Kunden über seine Kampagnen erhoben werden;
• geschäftliche Kontakte und Endkunden des Kunden;
• Nutzer und Teammitglieder des Kunden, die über einen Zugang zur Plattform verfügen.

Kategorien verarbeiteter Daten

• Identifikationsdaten: Name, Vorname, Anrede;
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Postanschrift;
• berufliche Daten: Unternehmen, Funktion, Branche, Unternehmensgröße;
• Daten zur Geschäftsbeziehung: Verlauf des Austauschs, Status des Leads, Termine, Notizen, Scoring;
• Verbindungs- und technische Daten: IP-Adresse, Kennungen, Aktivitätsprotokolle, Nutzungsdaten der Plattform;
• jeder vom Kunden frei in die Felder der Plattform eingegebene Inhalt.

Zylior ist nicht dazu bestimmt, besondere Kategorien von Daten (sogenannte „sensible" Daten im Sinne von Artikel 9 DSGVO) zu verarbeiten. Der Kunde verpflichtet sich, solche Daten nicht zu importieren, ohne zuvor die geeigneten Garantien getroffen und Zylior informiert zu haben.

6. Pflichten von Zylior als Auftragsverarbeiter

Gemäß Artikel 28 DSGVO verpflichtet sich Zylior:

• die Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten, auch in Bezug auf Übermittlungen außerhalb der Europäischen Union, sofern keine gegenteilige gesetzliche Verpflichtung besteht — in welchem Fall Zylior den Kunden vor der Verarbeitung informiert, sofern dies nicht gesetzlich verboten ist;
• sicherzustellen, dass die zur Verarbeitung der Daten befugten Personen einer angemessenen Vertraulichkeitsverpflichtung unterliegen;
• die in Artikel 7 beschriebenen geeigneten technischen und organisatorischen Maßnahmen umzusetzen;
• die in Artikel 8 festgelegten Bedingungen für den Rückgriff auf einen weiteren Auftragsverarbeiter einzuhalten;
• den Kunden dabei zu unterstützen, Anfragen zur Ausübung der Rechte der betroffenen Personen zu beantworten (Artikel 9);
• den Kunden bei der Einhaltung seiner Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörde zu unterstützen;
• am Ende des Vertrags die Daten gemäß Artikel 11 zu löschen oder zurückzugeben;
• dem Kunden alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung seiner Pflichten nachzuweisen und die in Artikel 10 vorgesehenen Audits zu ermöglichen;
• den Kunden unverzüglich zu informieren, wenn eine Weisung nach seiner Auffassung gegen die DSGVO oder eine andere anwendbare Datenschutzbestimmung verstößt.

7. Sicherheitsmaßnahmen

Zylior setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, in Übereinstimmung mit Artikel 32 DSGVO. Diese Maßnahmen umfassen insbesondere die Verschlüsselung der Daten während der Übertragung und im Ruhezustand, die strikte Zugriffskontrolle, die Protokollierung der Vorgänge, regelmäßige Backups, die Trennung der Umgebungen und Verfahren zum Vorfallmanagement.

Die Einzelheiten der umgesetzten Maßnahmen sowie die Organisation der Sicherheit bei Zylior sind auf der Seite Sicherheit beschrieben, die fester Bestandteil des vorliegenden AVV ist und regelmäßig aktualisiert wird.

Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt Zylior den Kunden schnellstmöglich, nachdem es davon Kenntnis erlangt hat, und spätestens innerhalb von 48 Stunden. Die Benachrichtigung gibt, soweit möglich, die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen an. Zylior leistet dem Kunden angemessene Unterstützung, damit dieser seinen eigenen Meldepflichten gegenüber der Aufsichtsbehörde und gegebenenfalls den betroffenen Personen nachkommen kann.

8. Weitere Auftragsverarbeiter

Der Kunde ermächtigt Zylior allgemein, für die Ausführung bestimmter Verarbeitungstätigkeiten auf weitere Auftragsverarbeiter zurückzugreifen (Infrastruktur-Hosting, E-Mail-Dienste, KI-Anbieter, Analysewerkzeuge usw.).

Zylior verpflichtet sich:

• nur weitere Auftragsverarbeiter einzusetzen, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten;
• jedem weiteren Auftragsverarbeiter vertraglich Datenschutzpflichten aufzuerlegen, die denen des vorliegenden AVV gleichwertig sind;
• gegenüber dem Kunden für die Erfüllung der Pflichten des weiteren Auftragsverarbeiters voll verantwortlich zu bleiben;
• die Liste seiner weiteren Auftragsverarbeiter aktuell zu halten und den Kunden über jedes Vorhaben einer Hinzufügung oder Ersetzung zu informieren, damit dieser innerhalb einer angemessenen Frist berechtigte Einwände erheben kann.

Die aktuelle Liste der weiteren Auftragsverarbeiter ist auf Anfrage unter der Adresse hello@zylior.com erhältlich.

Übermittlungen außerhalb der Europäischen Union

Wenn eine Verarbeitung eine Übermittlung von Daten in ein Land außerhalb des Europäischen Wirtschaftsraums einbezieht, stellt Zylior sicher, dass diese Übermittlung durch einen von der DSGVO anerkannten Mechanismus abgesichert ist: Angemessenheitsbeschluss der Europäischen Kommission oder andernfalls Standardvertragsklauseln, ergänzt durch die erforderlichen zusätzlichen Maßnahmen.

9. Unterstützung und Rechte der betroffenen Personen

Zylior stellt dem Kunden die Funktionen und Werkzeuge zur Verfügung, die erforderlich sind, damit er die Anfragen der betroffenen Personen zur Ausübung ihrer Rechte beantworten kann: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit.

Wird eine Anfrage zur Ausübung von Rechten direkt an Zylior gerichtet, leitet dieses sie schnellstmöglich an den Kunden weiter und antwortet nicht direkt der betroffenen Person, sofern keine Weisung des Kunden oder gesetzliche Verpflichtung vorliegt.

Unter Berücksichtigung der Art der Verarbeitung unterstützt Zylior den Kunden ferner, soweit möglich und durch geeignete technische und organisatorische Maßnahmen, bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Verletzungen, die Datenschutz-Folgenabschätzungen und die vorherige Konsultation der Aufsichtsbehörde.

10. Audit und Nachweis der Konformität

Zylior stellt dem Kunden alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Artikel 28 DSGVO vorgesehenen Pflichten und des vorliegenden AVV nachzuweisen.

Zu diesem Zweck kann der Kunde höchstens einmal pro Jahr und vorbehaltlich einer angemessenen Vorankündigung von mindestens dreißig Tagen die Durchführung eines Audits verlangen. Dieses Audit kann folgende Form annehmen:

• Übermittlung der relevanten Dokumentation (Sicherheitsrichtlinien, Auditberichte, gegebenenfalls Zertifizierungen);
• Konformitätsfragebogen;
• Vor-Ort-Audit, durchgeführt vom Kunden oder einem von ihm beauftragten unabhängigen Dritten, vorbehaltlich einer Vertraulichkeitsverpflichtung.

Die Audits werden während der Geschäftszeiten durchgeführt, sodass die Tätigkeit von Zylior nicht gestört wird, und unter Wahrung der Vertraulichkeit der Daten der anderen Kunden. Die direkten Kosten eines Vor-Ort-Audits trägt der Kunde, es sei denn, das Audit deckt einen wesentlichen Verstoß von Zylior gegen seine Pflichten auf.

11. Rückgabe und Löschung der Daten am Ende des Vertrags

Bei Ablauf oder Kündigung des Vertrags und nach der vom Kunden getroffenen Wahl nimmt Zylior vor:

• entweder die Rückgabe aller für Rechnung des Kunden verarbeiteten personenbezogenen Daten in einem strukturierten und gängigen Format;
• oder die endgültige Löschung dieser Daten.

In Ermangelung einer Weisung des Kunden innerhalb einer Frist von dreißig Tagen nach Ende des Vertrags nimmt Zylior die Löschung der Daten vor. Diese Löschung erfolgt ebenfalls endgültig auf den Backups, im Rahmen der technischen Zyklen der Backup-Rotation.

Zylior bewahrt gleichwohl die Daten auf, deren Aufbewahrung durch eine gesetzliche oder regulatorische Verpflichtung vorgeschrieben ist, ausschließlich für die durch diese Verpflichtung vorgesehene Dauer und zu den dadurch vorgesehenen Zwecken. Auf Anfrage stellt Zylior dem Kunden eine Bestätigung der Datenlöschung aus.

12. Laufzeit, Änderung und Kontakt

Der vorliegende AVV entfaltet seine Wirkung während der gesamten Dauer der Verarbeitung personenbezogener Daten durch Zylior für Rechnung des Kunden. Er kann aktualisiert werden, um der Entwicklung der Regelung, der Sicherheitspraktiken oder der Funktionen der Plattform Rechnung zu tragen; die anwendbare Fassung ist die zum Zeitpunkt der betreffenden Verarbeitung auf der Website veröffentlichte.

Bei Fragen zum vorliegenden AVV oder zur Ausübung der Rechte kann der Kunde an hello@zylior.com schreiben.