Auftragsverarbeitungsvertrag

"Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen, wie in Artikel 4 Absatz 1 der DSGVO definiert. "Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgefuehrt wird, wie in Artikel 4 Absatz 2 der DSGVO definiert. "Betroffene Person" bezeichnet die identifizierte oder identifizierbare natuerliche Person, auf die sich personenbezogene Daten beziehen. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von uns beauftragt wird, personenbezogene Daten in Ihrem Auftrag zu verarbeiten. "Sicherheitsvorfall" bezeichnet jeden Verstoss gegen die Sicherheit, der zur versehentlichen oder unrechtmaessigen Vernichtung, zum Verlust, zur Veraenderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten fuehrt.

Dieser AVV gilt fuer alle Verarbeitungen personenbezogener Daten durch uns in Ihrem Auftrag im Zusammenhang mit FaceShot. Die Parteien erkennen an, dass: • Sie der Verantwortliche fuer personenbezogene Daten sind • Wir der Auftragsverarbeiter sind, der in Ihrem Auftrag und nach Ihren Weisungen handelt Der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sowie die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anhang 1 dieses AVV beschrieben.

Wir werden: • Personenbezogene Daten nur auf Ihre dokumentierten Weisungen verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben • Sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind • Geeignete technische und organisatorische Sicherheitsmassnahmen umsetzen • Keine Unterauftragsverarbeiter ohne vorherige Genehmigung beauftragen (siehe unsere Unterauftragsverarbeiterliste) • Sie bei der Beantwortung von Anfragen betroffener Personen unterstuetzen • Sie bei der Einhaltung der Artikel 32-36 der DSGVO unterstuetzen • Alle personenbezogenen Daten bei Beendigung loeschen oder zurueckgeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben • Informationen bereitstellen, die zum Nachweis der Einhaltung erforderlich sind, und Pruefungen ermoeglichen

Sie genehmigen uns, Unterauftragsverarbeiter zu beauftragen, personenbezogene Daten in Ihrem Auftrag zu verarbeiten, vorbehaltlich dieses AVV. Wir fuehren eine Liste der aktuellen Unterauftragsverarbeiter unter /legal/subprocessors. Wir werden Sie ueber beabsichtigte Aenderungen bei den Unterauftragsverarbeitern informieren und Ihnen die Moeglichkeit zum Einspruch geben. Wir werden mit jedem Unterauftragsverarbeiter schriftliche Vertraege abschliessen, die Datenschutzverpflichtungen enthalten, die nicht weniger schuetzend sind als dieser AVV.

Personenbezogene Daten koennen in Laender ausserhalb des Europaeischen Wirtschaftsraums (EWR) uebermittelt und dort verarbeitet werden. Wir stellen sicher, dass solche Uebermittlungen dem Kapitel V der DSGVO entsprechen, unter Verwendung von: • Standardvertragsklauseln (SVK), die von der Europaeischen Kommission genehmigt wurden • Uebermittlungen in Laender mit Angemessenheitsbeschluss • Anderen gueltigen Uebermittlungsmechanismen gemaess der DSGVO Auf Anfrage stellen wir Ihnen Kopien der vorhandenen Uebermittlungsmechanismen zur Verfuegung.

Wir werden Sie unverzueglich (und in jedem Fall innerhalb von 48 Stunden) benachrichtigen, nachdem wir von einem Sicherheitsvorfall erfahren haben, der Ihre personenbezogenen Daten betrifft. Die Benachrichtigung umfasst: • Beschreibung der Art des Vorfalls • Kategorien und ungefaehre Anzahl der betroffenen Personen • Voraussichtliche Folgen des Vorfalls • Ergriffene oder vorgeschlagene Massnahmen zur Behebung des Vorfalls Wir werden bei der Untersuchung, Eindaemmung und Behebung jedes Sicherheitsvorfalls mit Ihnen zusammenarbeiten.

Auf angemessene Anfrage und vorbehaltlich von Vertraulichkeitsverpflichtungen stellen wir Informationen bereit, die zum Nachweis der Einhaltung dieses AVV erforderlich sind. Sie koennen eine Pruefung durchfuehren, um unsere Einhaltung zu ueberpruefen, vorbehaltlich: • Angemessener Vorankuendigung (mindestens 30 Tage) • Pruefungen waehrend der normalen Geschaeftszeiten • Begrenzung des Umfangs auf relevante Einrichtungen und Unterlagen • Vertraulichkeitsvereinbarung des Pruefers

Dieser AVV tritt ab dem Datum in Kraft, an dem Sie unsere Allgemeinen Geschaeftsbedingungen akzeptieren, und gilt bis zur Beendigung der Services. Bei Beendigung: • Werden wir nach Ihrer Wahl alle personenbezogenen Daten loeschen oder zurueckgeben • Vorhandene Kopien werden innerhalb von 90 Tagen geloescht (es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben) • Auf Anfrage werden wir die Loeschung schriftlich bestaetigen

Gegenstand: Verarbeitung personenbezogener Daten, soweit dies fuer die Bereitstellung von FaceShot erforderlich ist. Dauer: Fuer die Laufzeit der Servicevereinbarung zuzueglich etwaiger gesetzlich vorgeschriebener Aufbewahrungsfristen. Art und Zweck: • Bereitstellung des KI-Bewerbungsfoto-Services • Benutzerauthentifizierung und Kontoverwaltung • Analysen und Serviceverbesserung • Abrechnung und Zahlungsabwicklung Arten personenbezogener Daten: • Kontaktinformationen (E-Mail, Name) • Kontodaten • Zum Verarbeiten hochgeladene Fotos • Nutzungsdaten und Protokolle • Zahlungsinformationen (verarbeitet durch Stripe) Kategorien betroffener Personen: • Registrierte Nutzer von FaceShot • In hochgeladenen Fotos abgebildete Personen (mit Einwilligung)