Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen:

Verantwortlicher (Auftraggeber):
Der jeweilige Nutzer (nachfolgend „Kunde“), der sich bei emlyx registriert und den Dienst nutzt.

Auftragsverarbeiter (Auftragnehmer):
PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estland
E-Mail: info@proxaly.com
(nachfolgend „Anbieter“)

Kunde und Anbieter werden nachfolgend einzeln auch als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

Dieser AVV ergaenzt die Allgemeinen Geschaeftsbedingungen (AGB) und die Datenschutzerklaerung von emlyx und wird mit der Registrierung des Kunden Vertragsbestandteil.

1.1 Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden im Rahmen der Bereitstellung des E-Mail-Versanddienstes „emlyx“. Der Anbieter handelt dabei als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

1.2 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (Nutzung des Dienstes gemaess den AGB). Der AVV endet automatisch mit Beendigung des Hauptvertrages, unbeschadet etwaiger Loeschpflichten gemaess Abschnitt 9 dieses AVV.

2.1 Die Verarbeitung dient ausschliesslich der Erbringung des E-Mail-Versanddienstes, insbesondere:

• Entgegennahme und Weiterleitung von E-Mails des Kunden an den E-Mail-Zustelldienst
• Speicherung von E-Mail-Logs und Zustellstatusinformationen
• Bereitstellung des Dashboards zur Verwaltung und Einsicht von E-Mail-Daten
• Optional: Open/Click-Tracking (sofern vom Kunden aktiviert)

2.2 Die Verarbeitung erfolgt ausschliesslich im Rahmen der Weisungen des Kunden (vgl. Abschnitt 5) und dient keinem eigenen Zweck des Anbieters.

3.1 Folgende Kategorien personenbezogener Daten werden im Rahmen der Auftragsverarbeitung verarbeitet:

• E-Mail-Adressen der Empfaenger
• Absender-Informationen (Name, E-Mail-Adresse)
• E-Mail-Betreff
• E-Mail-Inhalt (HTML-Body)
• Zustellstatus (zugestellt, fehlgeschlagen, zurueckgewiesen etc.)
• Zeitstempel (Versandzeitpunkt, Zustellzeitpunkt)
• Optional: Open/Click-Tracking-Daten (Oeffnungszeitpunkt, angeklickte Links, IP-Adresse, User-Agent)

3.2 Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung. Der Kunde ist verpflichtet, sicherzustellen, dass keine besonderen Kategorien personenbezogener Daten ueber den Dienst verarbeitet werden, es sei denn, er hat hierfuer eine hinreichende Rechtsgrundlage und entsprechende Schutzmassnahmen getroffen.

4.1 Von der Verarbeitung betroffen sind:

• Empfaenger der vom Kunden ueber den Dienst versandten E-Mails (z. B. Kunden des Kunden, Newsletter-Abonnenten, Websitebesucher, Geschaeftspartner)

4.2 Die konkrete Bestimmung der betroffenen Personen obliegt dem Kunden als Verantwortlichem.

5.1 Der Kunde ist im Rahmen dieses AVV fuer die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich, insbesondere fuer die Rechtmaessigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen (Art. 12–22 DSGVO).

5.2 Der Kunde erteilt dem Anbieter Weisungen hinsichtlich der Art, des Umfangs und des Verfahrens der Datenverarbeitung. Die Weisungen sind in diesem AVV und in den AGB niedergelegt. Einzelweisungen, die ueber die in diesem AVV festgelegte Verarbeitung hinausgehen, beduerfen der Schriftform (E-Mail genuegt).

5.3 Der Kunde hat das Recht, die Einhaltung der Bestimmungen dieses AVV und der datenschutzrechtlichen Vorschriften durch den Anbieter zu ueberpruefen (vgl. Abschnitt 8).

5.4 Der Kunde informiert den Anbieter unverzueglich, wenn er Fehler oder Unregelmaessigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

6.1 Weisungsgebundenheit

Der Anbieter verarbeitet personenbezogene Daten ausschliesslich auf dokumentierte Weisung des Kunden (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaates zur Verarbeitung verpflichtet. In einem solchen Fall informiert der Anbieter den Kunden vorab ueber diese rechtliche Verpflichtung, sofern das betreffende Recht eine solche Information nicht wegen eines wichtigen oeffentlichen Interesses verbietet.

Ist der Anbieter der Auffassung, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstoesst, hat er den Kunden unverzueglich darauf hinzuweisen. Der Anbieter ist berechtigt, die Ausfuehrung der betreffenden Weisung bis zur Bestaetigung oder Aenderung durch den Kunden auszusetzen.

6.2 Vertraulichkeit

Der Anbieter gewaehrleistet, dass die mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

6.3 Technische und organisatorische Massnahmen

Der Anbieter trifft alle gemaess Art. 32 DSGVO erforderlichen technischen und organisatorischen Massnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Die konkreten Massnahmen sind in der Anlage 1 (Technische und organisatorische Massnahmen) zu diesem AVV beschrieben.

Der Anbieter ueberprueft die Wirksamkeit dieser Massnahmen regelmaessig und passt sie bei Bedarf dem Stand der Technik an. Aenderungen sind zulaessig, sofern das Schutzniveau nicht unterschritten wird.

6.4 Unterauftragsverarbeiter

Die Einschaltung von Unterauftragsverarbeitern richtet sich nach Abschnitt 7 dieses AVV.

6.5 Unterstuetzung bei Betroffenenrechten

Der Anbieter unterstuetzt den Kunden nach Moeglichkeit mit geeigneten technischen und organisatorischen Massnahmen bei der Erfuellung seiner Pflichten zur Beantwortung von Antraegen betroffener Personen auf Ausuebung ihrer Rechte gemaess Kapitel III der DSGVO (Art. 28 Abs. 3 lit. e DSGVO), insbesondere bei Auskunfts-, Berichtigungs-, Loeschungs- und Uebertragungsanspruechen.

Wendet sich eine betroffene Person mit einem Antrag direkt an den Anbieter, leitet der Anbieter diesen Antrag unverzueglich an den Kunden weiter.

6.6 Unterstuetzung bei Datenschutzpflichten

Der Anbieter unterstuetzt den Kunden unter Beruecksichtigung der Art der Verarbeitung und der ihm zur Verfuegung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten, insbesondere bei:

• Der Gewaehrleistung der Sicherheit der Verarbeitung (Art. 32 DSGVO)
• Der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehoerde (Art. 33 DSGVO)
• Der Benachrichtigung betroffener Personen (Art. 34 DSGVO)
• Der Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35 DSGVO)

Der Anbieter informiert den Kunden unverzueglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird.

6.7 Loeschung und Rueckgabe von Daten

Die Loeschung und Rueckgabe personenbezogener Daten richtet sich nach Abschnitt 9 dieses AVV.

6.8 Kontroll- und Auskunftsrechte

Die Kontroll- und Auskunftsrechte des Kunden richten sich nach Abschnitt 8 dieses AVV.

7.1 Der Kunde erteilt dem Anbieter hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) zur Erfuellung seiner vertraglichen Verpflichtungen hinzuzuziehen (Art. 28 Abs. 2 DSGVO).

7.2 Zum Zeitpunkt des Abschlusses dieses AVV setzt der Anbieter folgende Unterauftragsverarbeiter ein:

7.3 Der Anbieter wird den Kunden ueber jede beabsichtigte Aenderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren. Die Information erfolgt per E-Mail oder ueber das Dashboard mindestens 14 Tage vor der beabsichtigten Aenderung.

7.4 Der Kunde hat das Recht, gegen die beabsichtigte Aenderung innerhalb von 14 Tagen nach Zugang der Information Widerspruch einzulegen. Der Widerspruch muss sachlich begruendet sein (insbesondere datenschutzrechtliche Bedenken). Legt der Kunde begruendeten Widerspruch ein, bemuehen sich die Parteien um eine einvernehmliche Loesung. Gelingt dies nicht, steht dem Kunden ein Sonderkuendigungsrecht zum Zeitpunkt der beabsichtigten Aenderung zu.

7.5 Der Anbieter stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag geschlossen wird, der mindestens die gleichen Datenschutzpflichten auferlegt, wie sie in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Anbieter haftet dem Kunden gegenueber fuer die Einhaltung der datenschutzrechtlichen Pflichten durch den Unterauftragsverarbeiter.

8.1 Der Anbieter stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen – einschliesslich Inspektionen –, die vom Kunden oder einem vom Kunden beauftragten Pruefer durchgefuehrt werden (Art. 28 Abs. 3 lit. h DSGVO).

8.2 Vor-Ort-Inspektionen sind unter folgenden Bedingungen moeglich:

• Der Kunde kuendigt die Inspektion mit einer Frist von mindestens 30 Tagen schriftlich an
• Die Inspektion findet waehrend der ueblichen Geschaeftszeiten statt und darf den Geschaeftsbetrieb nicht unverhaeltnismaessig beeintraechtigen
• Der Pruefer ist zur Vertraulichkeit verpflichtet
• Inspektionen sind auf einmal pro Kalenderjahr beschraenkt, es sei denn, es liegt ein konkreter Anlass vor (z. B. Datenschutzvorfall, Anfrage einer Aufsichtsbehoerde)

8.3 Der Anbieter kann alternativ aktuelle Zertifizierungen, Pruefberichte oder Bescheinigungen unabhaengiger Stellen vorlegen, sofern diese die Einhaltung der Pflichten aus diesem AVV hinreichend belegen.

8.4 Die Kosten einer Inspektion traegt der Kunde, es sei denn, die Inspektion ergibt wesentliche Verstoesse des Anbieters gegen diesen AVV.

9.1 Waehrend der Vertragslaufzeit werden die im Auftrag des Kunden verarbeiteten Daten fuer die gesamte Dauer des Vertragsverhaeltnisses gespeichert. Dies umfasst insbesondere:

• E-Mail-Logs (Zustellstatus, Metadaten): bis zur Kontoloeschung
• E-Mail-Inhalte (HTML-Body): bis zur Kontoloeschung
• Open/Click-Tracking-Daten: bis zur Kontoloeschung

9.2 Nach Beendigung des Hauptvertrages loescht der Anbieter saemtliche im Auftrag des Kunden verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht (Art. 28 Abs. 3 lit. g DSGVO).

9.3 Der Kunde hat die Moeglichkeit, seine Daten vor Vertragsende ueber das Dashboard zu exportieren. Der Anbieter wird sich – sofern technisch moeglich – bemuehen, dem Kunden nach Vertragsende eine Frist von mindestens 7 Tagen zum Datenexport einzuraeumen.

9.4 Die Loeschung umfasst auch die Daten bei Unterauftragsverarbeitern. Der Anbieter stellt sicher, dass die Unterauftragsverarbeiter zur fristgerechten Loeschung verpflichtet sind.

9.5 Der Anbieter bestaetigt dem Kunden die vollstaendige Loeschung auf Anfrage schriftlich.

10.1 Eine Uebermittlung personenbezogener Daten in ein Drittland (ausserhalb des EWR) oder an eine internationale Organisation findet nur auf Grundlage einer der in Art. 44–49 DSGVO genannten Voraussetzungen statt.

10.2 Soweit der Unterauftragsverarbeiter Resend (USA) eingesetzt wird, erfolgt die Datenuebermittlung in die USA auf folgender Grundlage:

• Primaer: Angemessenheitsbeschluss der Europaeischen Kommission fuer das EU-US Data Privacy Framework (Art. 45 DSGVO)
• Ergaenzend / Fallback: EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemaess Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchfuehrungsbeschlusses (EU) 2021/914

10.3 Der Anbieter stellt sicher, dass bei Datenuebermittlungen in Drittlaender ein dem Schutzniveau der DSGVO angemessenes Datenschutzniveau gewaehrleistet ist. Ergaenzende Massnahmen (z. B. Verschluesselung, Pseudonymisierung) werden bei Bedarf ergriffen.

10.4 Sollte ein Angemessenheitsbeschluss aufgehoben werden oder seine Gueltigkeit verlieren, wird der Anbieter unverzueglich alternative Garantien gemaess Art. 46 DSGVO sicherstellen oder die Datenuebermittlung einstellen.

11.1 Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, soweit nicht zwingende datenschutzrechtliche Vorschriften des Unionsrechts Vorrang haben.

11.2 Im Falle von Widerspruechen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV hinsichtlich des Schutzes personenbezogener Daten vor.

11.3 Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchfuehrbar sein oder werden, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt. Die Parteien werden die unwirksame Bestimmung durch eine Regelung ersetzen, die dem datenschutzrechtlichen Zweck der unwirksamen Bestimmung am naechsten kommt.

11.4 Aenderungen und Ergaenzungen dieses AVV beduerfen der Schriftform (E-Mail genuegt). Muendliche Nebenabreden bestehen nicht.

11.5 Dieser AVV tritt mit der Registrierung des Kunden bei emlyx in Kraft.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zugriffskontrolle

• API-Token-basierte Authentifizierung fuer den Zugriff auf den E-Mail-Versand
• Rollenbasierte Zugriffskontrolle im Dashboard
• Passwortschutz mit bcrypt-Hashing
• API-Token werden mit AES-256 verschluesselt gespeichert

1.2 Trennungskontrolle

• Mandantentrennung durch eindeutige Projekt-IDs
• Logische Trennung der Kundendaten auf Datenbankebene

2. Integritaet (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

• TLS-Verschluesselung fuer alle Datenuebertragungen (HTTPS)
• Verschluesselte Kommunikation mit Unterauftragsverarbeitern

2.2 Eingabekontrolle

• Protokollierung von E-Mail-Versandvorgaengen mit Zeitstempeln
• Nachvollziehbarkeit ueber das Dashboard (E-Mail-Logs)

3. Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

• Hosting bei Hetzner Cloud (Rechenzentren in Deutschland)
• Automatische Backups der Datenbanken
• Ueberwachung der Systemverfuegbarkeit

4. Verfahren zur regelmaessigen Ueberpruefung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmaessige Ueberpruefung und Aktualisierung der technischen und organisatorischen Massnahmen
• Anpassung an den Stand der Technik