Diese Datenverarbeitungsvereinbarung („DPA“ oder „Vereinbarung“) wird zwischen folgenden Parteien geschlossen:
| Feld | Details |
|---|---|
| Firmenname | [VOLLSTÄNDIGER NAME DES KUNDEN] |
| Registrierte Adresse | [ADRESSE] |
| USt-IdNr. / Firmennummer | [USt-IdNr.] |
| Datenschutzbeauftragter | [E-MAIL-ADRESSE / KONTAKT] |
| Unterzeichnender Vertreter | [NAME, TITEL] |
| Feld | Details |
|---|---|
| Firmenname | Xygeni Security, SL |
| Registrierte Adresse | C/Pasión 4, 2 Planta, 47001 Valladolid, Spanien |
| MwSt | B09620287 |
| Datenschutzbeauftragter | info@xygeni.io |
| Unterzeichnender Vertreter | [NAME, TITEL] |
Der Verantwortliche und der Auftragsverarbeiter werden nachfolgend einzeln als „Partei“ und gemeinsam als die „Parteien“ bezeichnet.
Diese Datenschutzvereinbarung ist Bestandteil des Rahmenvertrags bzw. der Nutzungsbedingungen („Hauptvertrag“) zwischen den Parteien, der die Bereitstellung der Anwendungssicherheit durch Xygeni regelt. software supply chain security Dienstleistungen (die „Dienstleistungen“). Im Falle eines Widerspruchs zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag hat diese Auftragsverarbeitungsvereinbarung in Bezug auf Datenschutzfragen Vorrang.
Für die Zwecke dieser DPA:
Die Parteien bestätigen und vereinbaren Folgendes:
Soweit Xygeni personenbezogene Daten für eigene Zwecke verarbeitet (z. B. Kontoverwaltung, Abrechnung, Analyse zur Serviceverbesserung), agiert Xygeni als unabhängiger Verantwortlicher. Diese Verarbeitung unterliegt der Datenschutzrichtlinie von Xygeni und fällt nicht unter diese Vereinbarung zur Auftragsverarbeitung.
Gegenstand, Art, Dauer und Zweck der Verarbeitung sowie die Arten der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang 1 (Verarbeitungsdetails) zu dieser Vereinbarung über die Verarbeitung personenbezogener Daten aufgeführt.
Der Auftragsverarbeiter darf Kundendaten nur in dem Umfang verarbeiten, der zur Erbringung der im Hauptvertrag beschriebenen Dienstleistungen erforderlich ist und gemäß den dokumentierten Anweisungen des Verantwortlichen, es sei denn, dies ist aufgrund geltenden Rechts zwingend vorgeschrieben. In diesem Fall hat der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung zu informieren, es sei denn, die Verarbeitung ist aus wichtigen Gründen des öffentlichen Interesses gesetzlich untersagt.
Der Verantwortliche weist den Auftragsverarbeiter an, die Kundendaten in dem Umfang zu verarbeiten, wie dies erforderlich ist, um: (a) die Dienstleistungen gemäß dem Hauptvertrag zu erbringen; (b) den schriftlich mitgeteilten Anweisungen des Verantwortlichen Folge zu leisten; und (c) die Verpflichtungen des Auftragsverarbeiters aus dieser Auftragsverarbeitungsvereinbarung zu erfüllen.
Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu unterrichten, wenn er der begründeten Ansicht ist, dass eine Anweisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Verarbeitung gemäß dieser Anweisung einzustellen, bis der Verantwortliche die Anweisung präzisiert oder geändert hat.
Der Verantwortliche sichert zu und erklärt, dass: (a) er über eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO (und gegebenenfalls Art. 9) für die Verarbeitung der betreffenden personenbezogenen Daten verfügt; (b) er alle erforderlichen Hinweise gegeben und alle erforderlichen Einwilligungen eingeholt hat; und (c) die Übermittlung der Kundendaten an den Auftragsverarbeiter gegen keine geltenden Gesetze verstößt.
Der Auftragsverarbeiter verarbeitet Kundendaten ausschließlich gemäß den dokumentierten Anweisungen des Verantwortlichen, es sei denn, dies ist nach geltendem EU-Recht oder dem Recht eines Mitgliedstaats erforderlich. Der Auftragsverarbeiter darf Kundendaten nicht für eigene Zwecke verarbeiten oder an Dritte weitergeben, es sei denn, dies ist zur Erbringung der Dienstleistungen erforderlich oder gesetzlich vorgeschrieben.
Der Auftragsverarbeiter hat sicherzustellen, dass die zur Verarbeitung der Kundendaten befugten Personen über die erforderlichen Kenntnisse verfügen. commitDie betreffenden Mitarbeiter, Auftragnehmer und Unterauftragnehmer sind zur Vertraulichkeit verpflichtet oder unterliegen einer entsprechenden gesetzlichen Geheimhaltungspflicht. Der Zugriff auf Kundendaten ist auf diejenigen Mitarbeiter, Auftragnehmer und Unterauftragnehmer beschränkt, die diesen Zugriff zur Erbringung der Dienstleistungen benötigen.
Der Auftragsverarbeiter implementiert und pflegt geeignete technische und organisatorische Maßnahmen zum Schutz der Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung, Beschädigung, Veränderung oder Offenlegung unter Berücksichtigung folgender Punkte:
Diese Maßnahmen umfassen mindestens die in Anhang 2 (Technische und organisatorische Sicherheitsmaßnahmen) dieser Auftragsverarbeitungsvereinbarung aufgeführten. Die ISO-27001-Zertifizierung des Auftragsverarbeiters belegt ein grundlegendes Informationssicherheitsmanagementsystem. Der Auftragsverarbeiter ist verpflichtet, die ISO-27001-Zertifizierung oder eine gleichwertige Zertifizierung während der gesamten Laufzeit dieser Auftragsverarbeitungsvereinbarung aufrechtzuerhalten.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung zur Beantwortung von Auskunftsersuchen.cisBerücksichtigung der Rechte der betroffenen Personen gemäß den geltenden Datenschutzgesetzen (einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gemäß Artikel 15–22 der DSGVO).
Der Auftragsverarbeiter ist verpflichtet: (a) den Verantwortlichen unverzüglich zu benachrichtigen, wenn er eine Anfrage einer betroffenen Person in Bezug auf Kundendaten erhält; (b) auf solche Anfragen nur auf dokumentierte Anweisung des Verantwortlichen oder soweit dies nach geltendem Recht erforderlich ist, zu antworten; und (c) dem Verantwortlichen angemessene Unterstützung bei der Beantwortung solcher Anfragen innerhalb der geltenden gesetzlichen Fristen (30 Tage gemäß Art. 12 DSGVO) zu gewähren.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß Artikel 32–36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen, insbesondere in Bezug auf:
Bei Beendigung oder Ablauf des Hauptvertrags oder auf Verlangen des Verantwortlichen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle in seinem Besitz befindlichen Kundendaten oder gibt sie an den Verantwortlichen zurück und löscht auch bestehende Kopien, es sei denn, geltendes EU-Recht oder das Recht eines Mitgliedstaats schreibt die Aufbewahrung der personenbezogenen Daten vor. Der Auftragsverarbeiter bestätigt die erfolgte Löschung innerhalb von 30 Tagen nach dem jeweiligen Auslöser schriftlich.
Prozessor standard Der in Anlage 1 festgelegte Aufbewahrungsplan für Daten gilt, es sei denn, der Verantwortliche stellt einen früheren Antrag auf Löschung.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in dieser Auftragsverarbeitungsvereinbarung festgelegten Verpflichtungen nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden.
Der Auftragsverarbeiter kann dieser Verpflichtung nachkommen, indem er Folgendes bereitstellt:
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft. Diese Benachrichtigung muss, soweit zum Zeitpunkt der Benachrichtigung verfügbar, folgende Informationen enthalten:
Sofern es nicht möglich ist, alle oben genannten Informationen gleichzeitig bereitzustellen, können diese ohne weitere unangemessene Verzögerung schrittweise übermittelt werden. Der Auftragsverarbeiter ist verpflichtet, mit dem Verantwortlichen zusammenzuarbeiten und alle angemessenen Maßnahmen zu ergreifen, die der Verantwortliche zur Unterstützung der Untersuchung, Minderung und Behebung der Datenschutzverletzung verlangt.
Die Parteien bestätigen, dass die Verpflichtung gemäß Artikel 33 DSGVO, die zuständige Aufsichtsbehörde (Agencia Española de Protección de Datos – AEPD oder eine andere zuständige Behörde) innerhalb von 72 Stunden nach Kenntniserlangung einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, beim Verantwortlichen liegt. Die Benachrichtigung des Auftragsverarbeiters an den Verantwortlichen gemäß dieser Klausel dient dazu, dem Verantwortlichen die Erfüllung dieser regulatorischen Verpflichtung zu ermöglichen. Die Benachrichtigung des Auftragsverarbeiters stellt kein Schuldeingeständnis oder Haftungsanerkenntnis dar.
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragnehmer gemäß Anhang 3 (Zugelassene Unterauftragnehmer) dieser Auftragsverarbeitungsvereinbarung einzusetzen. Der Auftragsverarbeiter verpflichtet jeden Unterauftragnehmer zu Datenschutzpflichten, die den in dieser Auftragsverarbeitungsvereinbarung festgelegten Pflichten entsprechen, insbesondere zu ausreichenden Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über alle beabsichtigten Änderungen hinsichtlich der Hinzunahme oder des Austauschs von Unterauftragsverarbeitern, indem er (a) die unter https://xygeni.io/legal/subprocessors veröffentlichte Liste der Unterauftragsverarbeiter mit dem geänderten Datum der letzten Aktualisierung aktualisiert und (b) dem Verantwortlichen mindestens zehn (10) Tage vor Inkrafttreten der Änderung eine schriftliche Mitteilung zukommen lässt. Der Verantwortliche kann der Änderung innerhalb von sieben (7) Tagen nach dieser Mitteilung aus berechtigten datenschutzrechtlichen Gründen widersprechen. Widerspricht der Verantwortliche und können die Parteien den Widerspruch nicht beilegen, kann der Verantwortliche den Hauptvertrag mit angemessener Frist und ohne Vertragsstrafe kündigen.
Setzt der Auftragsverarbeiter einen Unterauftragnehmer ein, bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen dieses Unterauftragnehmers haftbar, soweit der Unterauftragnehmer seinen datenschutzrechtlichen Verpflichtungen nicht nachkommt.
Für jeden Subprozessor gilt folgende Regelung für den Prozessor:
Der Auftragsverarbeiter darf Kundendaten nicht in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, es sei denn:
Sofern Standardvertragsklauseln (SCCs) erforderlich sind, schließt der Auftragsverarbeiter auf Verlangen des Verantwortlichen die entsprechenden SCCs mit dem Verantwortlichen und/oder dem jeweiligen Unterauftragnehmer ab. Das jeweils anwendbare Modul der SCCs ist Modul 2 (Verantwortlicher an Auftragsverarbeiter) für Übermittlungen vom Verantwortlichen an den Auftragsverarbeiter und Modul 3 (Auftragnehmer an Unterauftragnehmer) für Weiterleitungsübermittlungen vom Auftragsverarbeiter an Unterauftragnehmer.
Die zuständige Aufsichtsbehörde für die Zwecke der Standardvertragsklauseln ist die spanische Datenschutzbehörde (Agencia Española de Protección de Datos — AEPD), sofern nicht schriftlich etwas anderes vereinbart wurde.
Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen auf Anfrage ein aktuelles Verzeichnis aller internationalen Übermittlungen von Kundendaten sowie des jeweils anwendbaren Übermittlungsmechanismus zur Verfügung zu stellen.
9. Datenschutz-Folgenabschätzungen
Sofern eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt und der Verantwortliche gemäß Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchführen muss, leistet der Auftragsverarbeiter dem Verantwortlichen die erforderliche Unterstützung und stellt ihm die notwendigen Informationen zur Verfügung, damit dieser die DSFA durchführen kann. Der Auftragsverarbeiter beantwortet angemessene Anfragen des Verantwortlichen im Zusammenhang mit der DSFA innerhalb von 15 Werktagen.
Der Auftragsverarbeiter führt auf Verlangen des Verantwortlichen ein Verzeichnis der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 DSGVO, einschließlich: Name und Kontaktdaten des Auftragsverarbeiters und etwaiger Unterauftragsverarbeiter; Kategorien der im Auftrag des Verantwortlichen durchgeführten Verarbeitungen; Übermittlungen personenbezogener Daten in ein Drittland; und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Die Haftung jeder Partei gegenüber der anderen im Rahmen oder im Zusammenhang mit dieser Vereinbarung zur Auftragsverarbeitung unterliegt den im Hauptvertrag festgelegten Beschränkungen und Ausschlüssen. Hat eine betroffene Person durch eine Verarbeitung, die gegen geltendes Datenschutzrecht verstößt, einen Schaden erlitten, haftet jede Partei gemäß Art. 82–83 DSGVO für den durch ihre Verarbeitung verursachten Schaden. Diese Klausel schränkt die Haftung einer Partei gegenüber betroffenen Personen nach geltendem Recht nicht ein.
Diese Datenschutzvereinbarung tritt mit dem Datum des Hauptvertrags (oder dem Datum ihrer Unterzeichnung, falls dieses später liegt) in Kraft und bleibt für die gesamte Laufzeit des Hauptvertrags gültig. Die Beendigung des Hauptvertrags aus irgendeinem Grund führt automatisch zur Beendigung dieser Datenschutzvereinbarung.
Nach Beendigung des Vertrags bleiben die Verpflichtungen des Auftragsverarbeiters gemäß Ziffer 5.6 (Löschung oder Rückgabe von Daten) bestehen, und der Auftragsverarbeiter hat die Löschung oder Rückgabe der Kundendaten innerhalb von 30 Tagen nach Beendigung abzuschließen. Klauseln bezüglich Vertraulichkeit, Haftung, anwendbarem Recht und Prüfung bleiben ebenfalls nach Beendigung des Vertrags bestehen.
Diese Datenschutzvereinbarung unterliegt spanischem Recht und ist nach diesem auszulegen. Die Parteien unterwerfen sich der nicht ausschließlichen Zuständigkeit der Gerichte von Madrid für die Beilegung aller Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Datenschutzvereinbarung ergeben. Soweit eine Bestimmung dieser Datenschutzvereinbarung den Allgemeinen Geschäftsbedingungen (AGB) widerspricht, haben die AGB Vorrang.
Ganze Vereinbarung: Diese Datenverarbeitungsvereinbarung (DPA) stellt zusammen mit ihren Anhängen und dem Hauptvertrag die gesamte Vereinbarung zwischen den Parteien hinsichtlich des Vertragsgegenstands dar und ersetzt alle vorherigen Vereinbarungen, Absprachen oder Zusicherungen in Bezug auf die Datenverarbeitung.
Änderungen: Diese Datenschutzvereinbarung kann nur durch eine schriftliche Vereinbarung geändert werden, die von bevollmächtigten Vertretern beider Parteien unterzeichnet ist.
Salvatorische Klausel: Sollte eine Bestimmung dieser Datenschutzvereinbarung für ungültig oder nicht durchsetzbar erklärt werden, bleiben die übrigen Bestimmungen vollumfänglich in Kraft.
Vorrang: Im Falle eines Widerspruchs zwischen dieser Datenschutzvereinbarung und den Anhängen hat die Datenschutzvereinbarung Vorrang, sofern im Anhang nicht ausdrücklich etwas anderes bestimmt ist. Im Falle eines Widerspruchs zwischen dieser Datenschutzvereinbarung und den Standardvertragsklauseln (sofern anwendbar) haben die Standardvertragsklauseln Vorrang.
Gegenstand der Verarbeitung ist die Bereitstellung von durch Xygeni application security posture management, software supply chain security Analyse, Schwachstellenerkennung, CI/CD Sicherheitsüberwachung und damit verbundene Dienstleistungen gemäß der Hauptvereinbarung.
Sammlung, Organisation, Strukturierung, Speicherung, Analyse, Abruf, Verwendung, Offenlegung durch Übermittlung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung von Kundendaten.
Die Verarbeitung der Kundendaten erfolgt ausschließlich zum Zweck der Erbringung der Dienstleistungen für den Verantwortlichen, einschließlich: Erkennung und Meldung von Sicherheitslücken; Risikoanalyse der Software-Lieferkette; CI/CD pipeline security Überwachung; Anomalieerkennung; und Kundensupport.
Der Auftragsverarbeiter verarbeitet die Kundendaten für die Dauer des Hauptvertrags. Nach Beendigung des Vertrags speichert der Auftragsverarbeiter die Kundendaten drei Monate nach Ablauf des Abonnements, bevor sie gelöscht werden, es sei denn, der Verantwortliche verlangt eine frühere Löschung. Daten von Testkonten werden einen Monat nach Ablauf des Testzeitraums gespeichert.
| Kategorie | Beispiele |
|---|---|
| Benutzerkontodaten | Name, E-Mail-Adresse, Benutzername, Passwort-Hash, Rolle, Organisation |
| Aktivitäts- und Nutzungsdaten | Login Ereignisse, API-Aufrufe, Scan-Aktivitätsprotokolle, Zeitstempel, IP-Adressen |
| Sicherheitsrelevante Metadaten | Repository-Namen, Dateipfade (wo Ergebnisse gespeichert werden), Abhängigkeitsmetadaten, pipeline Konfigurationsreferenzen |
| Kommunikationsdaten | Support-Tickets, E-Mail-Korrespondenz bezüglich der Dienste |
Zu den betroffenen Personen gehören: Mitarbeiter, Auftragnehmer und andere autorisierte Nutzer des Verantwortlichen, die auf die Dienste zugreifen; Mitwirkende (Entwickler, Bot-Konten, Build-Agenten) an Repositories und pipelines wird von den Diensten überwacht; und Vertreter und Ansprechpartner des Verantwortlichen.
Die Dienste sind nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO ausgelegt. Der Verantwortliche sichert zu, dass er ohne vorherige schriftliche Vereinbarung mit Xygeni und die Implementierung geeigneter zusätzlicher Schutzmaßnahmen keine besonderen Kategorien personenbezogener Daten an die Dienste übermitteln wird.
Xygeni setzt die folgenden technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten um, die mit dem nach ISO 27001 zertifizierten Informationssicherheitsmanagementsystem von Xygeni übereinstimmen:
