Datenverarbeitungsvereinbarung.

Diese DPA wird zwischen dem Verantwortlichen (dem Geschäftskunden, der zlabz.io zur Verarbeitung von Daten in Bezug auf seine eigenen Nutzer, Mitarbeiter oder Auftragnehmer verwendet) und zlabz.io, betrieben vom Inhaber der zlabz.io-Domain, als Auftragsverarbeiter geschlossen. Für Endverbraucher, die sich direkt bei zlabz.io anmelden, agieren wir als Verantwortlicher — diese DPA gilt nicht für diese Beziehung; unsere Datenschutzrichtlinie gilt.

Der Gegenstand der Verarbeitung sind die personenbezogenen Daten, die der Verantwortliche über den zlabz.io-Dienst hochlädt, erstellt oder anderweitig übermittelt (z.B. Absatztexte, Projektmetadaten, Endnutzerkennungen). Die Verarbeitung ist auf das Notwendige zur Bereitstellung, Sicherung und Unterstützung des Dienstes beschränkt.

• Dauer: solange der Verantwortliche ein aktives Abonnement oder eine Testversion hat, plus eine angemessene Nachlaufzeit für Löschung und gesetzliche Aufbewahrung.
• Art: Speicherung, Hosting, Übertragung, Rendering und Abruf von Verantwortlichen-Daten innerhalb der zlabz.io-Anwendung.
• Kategorien der betroffenen Personen: die Endnutzer, Mitarbeiter oder Auftragnehmer des Verantwortlichen, die im Auftrag des Verantwortlichen mit dem Dienst interagieren.
• Kategorien personenbezogener Daten: Kontokennungen (E-Mail, Name), an den Editor übermittelte Inhalte, Nutzungsmetadaten — wie in unserer Datenschutzrichtlinie und der Liste der Unterauftragsverarbeiter dokumentiert.

• Verarbeitung personenbezogener Daten nur auf dokumentierte Anweisungen des Verantwortlichen (die normale Nutzung des Dienstes stellt solche Anweisungen dar).
• Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, zur Vertraulichkeit verpflichtet sind.
• Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen (siehe nächsten Abschnitt).
• Unterstützung des Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen und, soweit zutreffend, bei Datenschutz-Folgenabschätzungen und vorheriger Konsultation mit Aufsichtsbehörden.
• Bereitstellung der notwendigen Informationen zur Nachweisführung der Einhaltung und Ermöglichung angemessener Prüfungen (typischerweise über schriftliche Fragebögen oder Anbieterberichte, angesichts der gemeinsamen Infrastruktur des Dienstes).

• Verschlüsselung während der Übertragung (HTTPS / TLS) an allen Endpunkten.
• Verschlüsselung im Ruhezustand über die Standardeinstellungen der Convex-Datenbank.
• Authentifizierung wird von Clerk gehandhabt — Passwörter werden niemals von zlabz.io gespeichert.
• Prinzip der minimalen Rechte auf Serverseite, benutzerbezogene Convex-Eingrenzung und keine datenübergreifenden Zugriffswege zwischen Mandanten.
• Zahlungsdaten bleiben strikt außerhalb des Umfangs — die Kartenabwicklung wird an Dodo Payments (PCI DSS Level 1) delegiert.

Der Verantwortliche erteilt eine allgemeine Genehmigung für die Nutzung der auf zlabz.io/subprocessors aufgeführten Unterauftragsverarbeiter. Wir werden mindestens 14 Tage im Voraus über jede Hinzufügung oder Änderung eines Unterauftragsverarbeiters informieren, während derer der Verantwortliche Einspruch erheben kann. Wenn der Verantwortliche berechtigterweise Einspruch erhebt, werden die Parteien eine Lösung besprechen; wenn keine gefunden wird, kann der Verantwortliche den betroffenen Dienst kündigen.

Wir bieten Selbstbedienungsendpunkte in /settings, damit Endnutzer ihre Daten exportieren (DSGVO Artikel 20) und ihre Konten löschen können (Artikel 17). Bei vom Verantwortlichen initiierten Anfragen werden wir im Rahmen der technischen Möglichkeiten des Dienstes unterstützen und jede direkt bei uns eingegangene Anfrage unverzüglich an den Verantwortlichen weiterleiten.

Im Falle eines Verstoßes gegen personenbezogene Daten, der die Daten des Verantwortlichen betrifft, werden wir den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen, mit der Art des Verstoßes, den betroffenen Kategorien, den wahrscheinlichen Folgen und den ergriffenen Abhilfemaßnahmen.

Wenn personenbezogene Daten außerhalb des EWR / UK übertragen werden, stützen wir uns auf die Standardvertragsklauseln (SCCs), die standardmäßig in die DPA jedes Anbieters aufgenommen sind (siehe /subprocessors), und wenden bei Bedarf ergänzende Maßnahmen an. Wir werden keine Daten in eine Gerichtsbarkeit ohne angemessenen Schutz übertragen, ohne einen gültigen Übertragungsmechanismus.

Bei Beendigung des Hauptdienstvertrags oder auf schriftliche Anfrage werden wir alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen löschen oder zurückgeben, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben (z.B. Abrechnungsunterlagen zur Einhaltung der Steuervorschriften). Der Verantwortliche kann jederzeit vor der Kündigung einen Export über /api/user/export oder unser Support-Team für größere Datensätze auslösen.

Die Haftung im Rahmen dieser DPA unterliegt den in den Nutzungsbedingungen festgelegten Beschränkungen und Ausschlüssen, es sei denn, eine solche Beschränkung ist nach geltendem Datenschutzrecht nicht zulässig. Nichts hierin schließt eine Haftung aus, die gesetzlich nicht ausgeschlossen werden kann.

Benachrichtigungen, Anfragen betroffener Personen, Berichte über Verstöße und Anfragen zur Unterzeichnung der DPA können über unseren Support-Kanal gesendet werden. Wir antworten innerhalb von zwei Werktagen.