CatalogPilot™ – AdVision eCommerce Inc.

(Offizielle deutsche Übersetzung)

1. Zweck und Anwendungsbereich

Diese Auftragsverarbeitungsvereinbarung („DPA“) ist Bestandteil der jeweils geltenden Allgemeinen Geschäftsbedingungen zwischen AdVision eCommerce Inc. („Dienstleister“) und dem Kunden („Verantwortlicher“) in Bezug auf die Nutzung der CatalogPilot™-Dienste.

Diese DPA regelt die Bedingungen, unter denen der Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, gemäß den geltenden Datenschutzgesetzen, einschließlich der Verordnung (EU) 2016/679 („DSGVO“).

2. Art und Zweck der Verarbeitung

Der Dienstleister verarbeitet personenbezogene Daten ausschließlich, soweit dies zur Erbringung der CatalogPilot™-Dienste erforderlich ist, einschließlich:

• Erfassung und Synchronisierung von Produktkatalogdaten
  
  
• Generierung und Anreicherung von Metadaten
  
  
• Verarbeitung von Inhalten zu Barrierefreiheit, SEO und Compliance
  
  
• Hosting, Protokollierung und Systemüberwachung
  
  
• Automatisierte und KI-gestützte Arbeitsabläufe
  
  
• Technischer Support und Kundenbetreuung
  
  

Die Verarbeitung erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen.

3. Kategorien personenbezogener Daten

Abhängig von den vom Verantwortlichen bereitgestellten Informationen können unter anderem folgende Kategorien personenbezogener Daten verarbeitet werden:

• Geschäftliche Kontaktdaten (z. B. Name, E-Mail-Adresse)
  
  
• Kataloginhalte, die personenbezogene Daten enthalten können
  
  
• Technische Nutzungs- und Protokolldaten
  
  
• Support- und Kommunikationsdaten
  
  

CatalogPilot™ ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO bestimmt.

4. Rollen und Verantwortlichkeiten

Der Verantwortliche bleibt vollständig verantwortlich für:

• Die Rechtmäßigkeit der Verarbeitung
  
  
• Die Richtigkeit und Zulässigkeit der bereitgestellten Daten
  
  
• Die Einhaltung von Informations- und Einwilligungspflichten
  
  

Der Dienstleister handelt ausschließlich als Auftragsverarbeiter und bestimmt weder Zweck noch Mittel der Verarbeitung.

5. Pflichten des Dienstleisters

Der Dienstleister verpflichtet sich:

• Daten ausschließlich gemäß dokumentierten Weisungen zu verarbeiten
  
  
• Die Vertraulichkeit der Daten zu wahren
  
  
• Angemessene technische und organisatorische Maßnahmen zu ergreifen
  
  
• Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
  
  

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit die Genehmigung zur Einschaltung von Unterauftragsverarbeitern durch den Dienstleister, einschließlich für:

• Cloud-Hosting und Infrastruktur
  
  
• KI-Dienste
  
  
• Abrechnungs- und Zahlungsdienste
  
  
• Kommunikations- und Supportsysteme
  
  

Der Dienstleister stellt sicher, dass alle Unterauftragsverarbeiter Datenschutzpflichten unterliegen, die dieser DPA gleichwertig sind.

7. Internationale Datenübermittlung

Personenbezogene Daten können außerhalb des Europäischen Wirtschaftsraums verarbeitet oder gespeichert werden.

In solchen Fällen implementiert der Dienstleister geeignete Schutzmaßnahmen, einschließlich der von der Europäischen Kommission genehmigten Standardvertragsklauseln.

8. Sicherheit der Verarbeitung

Der Dienstleister setzt Sicherheitsmaßnahmen gemäß Art. 32 DSGVO um, darunter:

• Zugriffskontrollen
  
  
• Verschlüsselung, sofern angemessen
  
  
• Überwachung und Protokollierung von Zugriffen
  
  
• Logische Trennung von Systemumgebungen
  
  

Weitere Details sind im Sicherheitskonzept des Dienstleisters beschrieben.

9. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert der Dienstleister den Verantwortlichen unverzüglich und unterstützt bei der Erfüllung gesetzlicher Meldepflichten.

10. Aufbewahrung und Löschung

Nach Beendigung der Dienste löscht oder gibt der Dienstleister personenbezogene Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Rechte betroffener Personen

Der Dienstleister unterstützt den Verantwortlichen nach Möglichkeit bei der Bearbeitung von Anfragen betroffener Personen hinsichtlich ihrer Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit).

12. Unterstützung bei der Einhaltung

Der Dienstleister unterstützt den Verantwortlichen angemessen bei der Einhaltung der DSGVO, einschließlich Datenschutz-Folgenabschätzungen und vorheriger Konsultationen.

13. Audits und Prüfungen

Der Verantwortliche ist berechtigt, Prüfungen zur Überprüfung der Einhaltung durchzuführen, unter der Voraussetzung von:

• Angemessener Vorankündigung
  
  
• Wahrung der Vertraulichkeit
  
  
• Beschränkung auf das erforderliche Maß
  
  

Vor-Ort-Prüfungen sind nur zulässig, wenn gesetzlich vorgeschrieben.

14. Vertraulichkeit

Die Vertraulichkeitsverpflichtungen gemäß dieser DPA gelten auch nach Beendigung der Dienste fort.

15. Haftung

Die Haftung des Dienstleisters im Rahmen dieser DPA unterliegt den Haftungsbeschränkungen der Allgemeinen Geschäftsbedingungen.

16. Rangfolge der Dokumente

Bei Widersprüchen zwischen dieser DPA und den Allgemeinen Geschäftsbedingungen hat diese DPA in Datenschutzfragen Vorrang.

17. Änderungen

Änderungen dieser DPA werden dem Verantwortlichen mitgeteilt und können durch fortgesetzte Nutzung der Dienste akzeptiert werden.

18. Anwendbares Recht

Für diese DPA gilt das in den Allgemeinen Geschäftsbedingungen festgelegte Recht.