Wie Piraja Daten im Auftrag von Kunden gemäß GDPR und globalen Datenschutzbestimmungen verarbeitet.
1. Einleitung
Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil der Nutzungsbedingungen zwischen Piraja CRM ("Auftragsverarbeiter", "wir", "uns") und dem Kunden ("Verantwortlicher", "Sie"), der die Dienste von Piraja CRM nutzt.
Diese DPA gilt, soweit wir personenbezogene Daten in Ihrem Auftrag im Rahmen der Bereitstellung unserer Dienste verarbeiten. Diese DPA soll die Einhaltung von Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 ("GDPR") und gleichwertiger Bestimmungen unter den geltenden Datenschutzgesetzen weltweit sicherstellen.
2. Definitionen
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in den geltenden Datenschutzgesetzen definiert.
- Verarbeitung: Jede Operation, die an personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Abruf, Konsultation, Nutzung, Offenlegung, Kombination, Einschränkung, Löschung oder Zerstörung.
- Betroffene Person: Die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
- Unterauftragsverarbeiter: Jede dritte Partei, die vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten.
3. Umfang und Zweck der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich zum Zweck der Bereitstellung von Piraja CRM-Diensten für Sie, einschließlich:
- Kundenbeziehungsmanagement: Speicherung und Verwaltung von Kontaktdaten, Organisationen und Personen.
- Kommunikation: Verarbeitung von E-Mail-Daten für das Modul zur Postfachintegration (Gmail, Outlook).
- Abrechnung und Rechnungsstellung: Verarbeitung von Zahlungs- und Abrechnungsinformationen über Stripe.
- Support und Ticketing: Verwaltung von Support-Tickets und Servicefällen.
- Analytik: Aggregierte, anonymisierte Nutzungsanalysen zur Verbesserung des Dienstes.
4. Kategorien von betroffenen Personen und personenbezogenen Daten
Betroffene Personen können umfassen:
- Ihre Mitarbeiter und Teammitglieder (Benutzerkonten)
- Ihre Kunden und Kontakte (CRM-Datensätze)
- Ihre Geschäftspartner und Anbieter
Kategorien von verarbeiteten personenbezogenen Daten:
- Kontaktdaten (Name, E-Mail, Telefonnummer, Adresse)
- Berufliche Informationen (Berufsbezeichnung, Unternehmen, Abteilung)
- Kommunikationsprotokolle (E-Mails, Notizen, Aktivitätsprotokolle)
- Finanzdaten (Rechnungen, Zahlungsreferenzen – Kartendaten werden ausschließlich von Stripe verarbeitet)
- Technische Daten (IP-Adressen, Browserinformationen zur Authentifizierung)
5. Pflichten des Auftragsverarbeiters
Wir werden:
a) Personenbezogene Daten nur gemäß Ihren dokumentierten Anweisungen verarbeiten, es sei denn, dies ist gesetzlich erforderlich.
b) Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
c) Angemessene technische und organisatorische Maßnahmen umsetzen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, einschließlich:
- Verschlüsselung von Daten während der Übertragung (TLS/HTTPS) und im Ruhezustand
- AES-256-GCM-Verschlüsselung für OAuth-Token
- Zeilenebene-Sicherheit (RLS) auf Datenbanktabellen
- Regelmäßige Sicherheitsbewertungen und Audits
- Zugriffskontrollen und Authentifizierung über Supabase Auth
d) Ohne Ihre vorherige allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter beauftragen. Wir führen eine Liste genehmigter Unterauftragsverarbeiter (siehe Abschnitt 8).
e) Ihnen bei der Beantwortung von Anfragen betroffener Personen (Zugriff, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung und Widerspruch) zu helfen.
f) Ihnen bei der Sicherstellung der Einhaltung Ihrer Verpflichtungen in Bezug auf Sicherheit, Benachrichtigung über Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen zu helfen.
g) Nach Ihrer Wahl alle personenbezogenen Daten nach Beendigung der Dienstleistung zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das geltende Recht verlangt die Speicherung.
h) Ihnen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, und Audits zu ermöglichen und daran mitzuwirken.
6. Pflichten des Verantwortlichen
Sie werden:
a) Sicherstellen, dass Ihre Nutzung unserer Dienste und Ihre Anweisungen an uns den geltenden Datenschutzgesetzen entsprechen.
b) Alle erforderlichen Einwilligungen und rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten, die Sie mit uns teilen, eingeholt haben.
c) Uns umgehend über alle Anfragen betroffener Personen zu informieren, die unsere Unterstützung erfordern.
7. Benachrichtigung über Datenschutzverletzungen
Wir werden Sie ohne unangemessene Verzögerung (und in jedem Fall innerhalb von 72 Stunden) benachrichtigen, nachdem wir von einer Datenschutzverletzung Kenntnis erlangt haben. Die Benachrichtigung wird Folgendes umfassen:
- Eine Beschreibung der Art der Verletzung
- Die Kategorien und die ungefähre Anzahl der betroffenen Personen und personenbezogenen Datensätze
- Die voraussichtlichen Folgen der Verletzung
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
8. Unterauftragsverarbeiter
Wir verwenden die folgenden Unterauftragsverarbeiter, um unsere Dienste bereitzustellen:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Supabase (Supabase Inc.) | Datenbankhosting, Authentifizierung, Dateispeicherung | Vereinigte Staaten (AWS) |
| Stripe (Stripe Inc.) | Zahlungsabwicklung, Abrechnung, Rechnungsstellung | Vereinigte Staaten |
| Vercel (Vercel Inc.) | Anwendungs-Hosting, Edge-Netzwerk, serverlose Funktionen | Global (Edge-Netzwerk) |
| Resend (Resend Inc.) | Transaktions-E-Mail-Zustellung | Vereinigte Staaten |
| OpenAI (OpenAI LLC) | KI-gestützte Funktionen (Aiden-Assistent) | Vereinigte Staaten |
| Google (Google LLC) | Gmail-Integration, Google Kalender, Analytics | Vereinigte Staaten |
| Microsoft (Microsoft Corp.) | Outlook/Microsoft 365-Integration | Vereinigte Staaten |
Wir werden Sie über beabsichtigte Änderungen bei den Unterauftragsverarbeitern informieren und Ihnen die Möglichkeit geben, Einwände zu erheben.
9. Internationale Datenübertragungen
Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, stellen wir sicher, dass angemessene Schutzmaßnahmen vorhanden sind, einschließlich:
- Standardvertragsklauseln (SCCs), die von der Europäischen Kommission genehmigt wurden
- Angemessenheitsentscheidungen, wo anwendbar
- Ergänzende Maßnahmen, wie erforderlich
Unsere primären Unterauftragsverarbeiter unterhalten ihre eigenen Datenübertragungsmechanismen und -zertifizierungen.
10. Datenaufbewahrung und -löschung
- Wir bewahren personenbezogene Daten nur so lange auf, wie es zur Bereitstellung unserer Dienste erforderlich ist.
- Sie können die Datenaufbewahrungsfristen in den Anwendungseinstellungen konfigurieren.
- Automatisierte Datenlöschungen erfolgen nach konfigurierbaren Zeitplänen.
- Nach Beendigung der Dienste werden wir Ihre Daten innerhalb von 30 Tagen löschen, es sei denn, das Gesetz verlangt deren Aufbewahrung.
- Sie können jederzeit über die Anwendung eine Datenexportanfrage stellen.
11. Prüfungsrechte
Sie haben das Recht, unsere Einhaltung dieser DPA zu prüfen. Prüfungen müssen:
- Mit angemessener Vorankündigung (mindestens 30 Tage) durchgeführt werden
- Auf einmal pro Jahr beschränkt sein, es sei denn, es ist eine Datenschutzverletzung aufgetreten
- Während der normalen Geschäftszeiten durchgeführt werden
- Auf Kosten des Verantwortlichen
Wir können Prüfungsanfragen durch Bereitstellung relevanter Zertifikate, Prüfungsberichte oder anderer Dokumentationen erfüllen.
12. Haftung
Die Haftung jeder Partei aus dieser DPA unterliegt den im Nutzungsbedingungen festgelegten Einschränkungen und Ausschlüssen.
13. Dauer und Beendigung
Diese DPA bleibt während der Dauer unserer Verarbeitung personenbezogener Daten in Ihrem Auftrag in Kraft. Sie endet automatisch, wenn wir keine personenbezogenen Daten mehr für Sie verarbeiten.
Bestimmungen, die ihrer Natur nach die Beendigung überdauern sollten (einschließlich der Verpflichtungen zur Datenlöschung, Vertraulichkeit und Haftung), bleiben bestehen.
14. Anwendbares Recht
Diese DPA unterliegt dem gleichen Recht, das auch für die Nutzungsbedingungen gilt, unbeschadet der geltenden Datenschutzgesetze.
15. Kontakt
Für Fragen zu dieser DPA oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:
E-Mail: support@piraja.io