pinterest-site-verification=70d12a13c4a05433e0d6404c86d6e774
top of page
SB-Only.png

Vereinbarung zur Verarbeitung ausgehender Motorendaten

Autor:

Soufiane Boudarraja

Datum:

24. Februar 2026

1. Vertragsparteien und Geltungsbereich

Diese Datenverarbeitungsvereinbarung („DPA“) ist Bestandteil des Vertragsrahmens zwischen:

1) dem Kunden („Verantwortlicher“):der Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, und

2) Soufiane Boudarraja („Auftragsverarbeiter“):dem Dienstleister, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

Diese DPA gilt für das Soufiane-Boudarraja-Ökosystem (das „Ökosystem“), und zwar ausschließlich dort, wo Soufiane Boudarraja personenbezogene Daten im Auftrag des Kunden als Auftragsverarbeiter im Zusammenhang mit den „Diensten“ verarbeitet.

Agiert Soufiane Boudarraja als unabhängiger Verantwortlicher (z. B. Website-Besucher, Direktkunden digitaler Produkte oder POD-Käufer), gilt die Datenschutzerklärung anstelle dieser DPA.

Wenn die Parteien als separate Verantwortliche agieren (Verantwortlicher-zu-Verantwortlicher), findet diese Datenverarbeitungsvereinbarung keine Anwendung, es sei denn, dies wurde schriftlich vereinbart.

2. Definitionen„DSGVO“ bezeichnet die Verordnung (EU) 2016/679.

„Personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die in der DSGVO festgelegten Bedeutungen.„Kundendaten“ bezeichnet personenbezogene Daten, die der Auftragsverarbeiter im Auftrag des Kunden gemäß dieser Auftragsverarbeitungsvereinbarung verarbeitet.

„Unterauftragsverarbeiter“ bezeichnet einen vom Auftragsverarbeiter beauftragten Dritten, der Kundendaten im Auftrag des Kunden verarbeitet.„Dienstleistungen“ bezeichnet die professionellen Dienstleistungen, Software und Liefergegenstände, die im Rahmen des jeweiligen Vertrags, der Leistungsbeschreibung, des Bestellformulars oder einer ähnlichen Vereinbarung (der „Hauptvertrag“) bereitgestellt werden.

Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien der betroffenen Personen sind in Anhang 1 (Details zur Datenverarbeitung) beschrieben. Die Verarbeitung beschränkt sich auf das zur Erbringung der Dienstleistungen Notwendige.4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter ist verpflichtet:Kundendaten nur auf dokumentierte Anweisung des Kunden zu verarbeiten, einschließlich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist nach dem Recht der Union oder eines Mitgliedstaats erforderlich; In einem solchen Fall muss der Auftragsverarbeiter den Kunden vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.

Stellen Sie sicher, dass die zur Verarbeitung von Kundendaten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

Setzen Sie geeignete technische und Organisatorische Maßnahmen („TOMs“), um ein dem Risiko angemessenes Sicherheitsniveau gemäß Anhang 2 unter Berücksichtigung von Artikel 32 DSGVO zu gewährleisten.

Die Bedingungen für die Beauftragung von Unterauftragnehmern gemäß Abschnitt 6 einhalten.

Den Kunden nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen unterstützen, um die Erfüllung der Verpflichtung des Kunden zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO.

  1. Unterstützung des Kunden bei der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

  2. Nach Wahl des Der Kunde löscht oder gibt alle Kundendaten, die sich auf die Verarbeitung beziehen, nach Beendigung der Leistungserbringung zurück und löscht bestehende Kopien, es sei denn, das Recht der Gewerkschaft oder eines Mitgliedslandes schreibt die Speicherung vor.

  3. Dem Kunden werden alle Informationen zur Verfügung gestellt, die erforderlich sind, um die Einhaltung dieser Datenschutzvereinbarung nachzuweisen, und die Durchführung von Audits, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Auditor ermöglicht und unterstützt werden, vorbehaltlich der Abschnitt 11.

  4. 5. Pflichten des Kunden

  5. Der Kunde ist verpflichtet:

  6. Sicherzustellen, dass er über eine rechtmäßige Grundlage für die Verarbeitung von Kundendaten und für die Anweisung an den Auftragsverarbeiter zur Verarbeitung von Kundendaten verfügt.

  7. Dokumentierte Anweisungen bereitzustellen und sicherzustellen, dass diese Anweisungen geltendem Recht entsprechen.

  8. Sicherzustellen, dass den betroffenen Personen gegebenenfalls Transparenzhinweise bereitgestellt werden, insbesondere im Hinblick auf die Nutzung von Auftragsverarbeitern und Internationale Datenübermittlungen.

Verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der dem Auftragsverarbeiter übermittelten Kundendaten.

Konfiguriert und verwendet alle von ihm ausgewählten oder kontrollierten Drittanbieter-Tools in einer gesetzeskonformen Weise, einschließlich Benutzerberechtigungen und Aufbewahrungseinstellungen.

  • 6. Unterauftragnehmer

  • Der Kunde erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, Unterauftragnehmer mit der Verarbeitung von Kundendaten zum Zwecke der Erbringung der Dienstleistungen zu beauftragen, vorbehaltlich der nachstehenden Anforderungen.

  • 6.1 Bedingungen für Unterauftragnehmer

  • Der Auftragsverarbeiter verpflichtet jeden Unterauftragnehmer zu Datenschutzverpflichtungen, die im Wesentlichen den in dieser Auftragsverarbeitungsvereinbarung festgelegten Verpflichtungen entsprechen, einschließlich angemessener Sicherheitsmaßnahmen.

  • Der Auftragsverarbeiter bleibt für die Erfüllung der Verpflichtungen des Unterauftragnehmers verantwortlich.

Eine aktuelle Liste der Kategorien von Unterauftragnehmern und der für das Ökosystem verwendeten Tool-Typen wird im Anhang „Tools und Datenanbieter von Drittanbietern“ (Richtlinie 14) geführt. Bei kundenspezifischen Projekten können die jeweiligen Unterauftragnehmer von den Diensten und den vom Kunden gewählten Tools abhängen.

Wenn durch eine Änderung ein neuer Unterauftragnehmer eingeführt wird, der Kundendaten für ein laufendes Projekt verarbeitet, wird der Auftragsverarbeiter dies nach Möglichkeit im Voraus ankündigen. Der Kunde kann aus berechtigten datenschutzrechtlichen Gründen Widerspruch einlegen. Können die Parteien den Widerspruch nicht beilegen, kann jede Partei den betroffenen Teil der Dienste ohne weitere Vertragsstrafe als die bis zur Kündigung geleisteten Arbeiten kündigen, sofern im Hauptvertrag nichts anderes bestimmt ist.

7. Internationale Datenübermittlung

  • Kundendaten sollten standardmäßig innerhalb des Europäischen Wirtschaftsraums ("EWR") verarbeitet werden, sofern die Dienste und die gewählten Tools dies zulassen. Werden Kundendaten außerhalb des EWR übermittelt, unterliegt die Übermittlung geeigneten Schutzmaßnahmen gemäß Kapitel V DSGVO.

  • 7.1 Übermittlungsmechanismen

Angemessenheitsbeschluss (Artikel 45 DSGVO), sofern anwendbar.

Standardvertragsklauseln („SCCs“), die von der Europäischen Kommission angenommen wurden (Artikel 46 DSGVO), sofern anwendbar.

Andere anerkannte rechtmäßige Mechanismen gemäß DSGVO Kapitel V, sofern anwendbar.

Soweit Standardvertragsklauseln (SCCs) erforderlich sind, vereinbaren die Parteien die Verwendung der durch den Durchführungsbeschluss (EU) 2021/914 der Kommission angenommenen SCCs mit den für die Beziehung (typischerweise Verantwortlicher-Auftragsverarbeiter) geeigneten Modulen. Die SCCs sind durch Bezugnahme Bestandteil dieser Vereinbarung und gelten im erforderlichen Umfang für die Übermittlung.

8. Sicherheit (Artikel 32 DSGVO)

Der Auftragsverarbeiter implementiert und pflegt geeignete Sicherheitsrichtlinien (TOMs) gemäß Anhang 2. Der Auftragsverarbeiter kann die TOMs im Laufe der Zeit aktualisieren, um sich ändernden Risiken und Technologien Rechnung zu tragen, sofern das allgemeine Sicherheitsniveau dadurch nicht wesentlich beeinträchtigt wird.

  • 9. Benachrichtigung über Datenschutzverletzungen

  • Der Auftragsverarbeiter benachrichtigt den Kunden unverzüglich, sobald er Kenntnis von einer Datenschutzverletzung erlangt, die Kundendaten betrifft. Die Benachrichtigung enthält, soweit verfügbar, die Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, wahrscheinliche Folgen sowie Maßnahmen, die zur Behebung der Verletzung ergriffen oder vorgeschlagen wurden. Der Auftragsverarbeiter wird auf angemessene Anfragen des Kunden nach zusätzlichen Informationen hinarbeiten.

  • 10. Unterstützung bei Anfragen betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Kunden nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Kapitel III DSGVO. Erhält der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person in Bezug auf Kundendaten, leitet er diese, sofern dies nicht gesetzlich untersagt ist, unverzüglich an den Kunden weiter und antwortet nur auf dessen dokumentierte Anweisung.

11. Audits und Informationen zur Einhaltung der Vorschriften

Der Auftragsverarbeiter stellt die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser Datenverarbeitungsvereinbarung nachzuweisen. Audits können vom Kunden oder einem vom Kunden beauftragten unabhängigen Auditor unter folgenden Bedingungen durchgeführt werden:

Auditanfragen müssen angemessen, verhältnismäßig und auf die in dieser Datenverarbeitungsvereinbarung (DPA) genannten Verarbeitungstätigkeiten beschränkt sein.

Audits werden mit angemessener Vorankündigung und während der üblichen Geschäftszeiten terminiert, es sei denn, ein Verstoß oder eine dringende rechtliche Verpflichtung rechtfertigt eine beschleunigte Durchführung.

Audits werden so durchgeführt, dass unnötige Störungen vermieden werden.

und schützt die Vertraulichkeit und Sicherheit anderer Kunden und der Systeme des Auftragsverarbeiters.

Der Kunde trägt seine eigenen Prüfungskosten und erstattet dem Auftragsverarbeiter den angemessenen Zeitaufwand für die Unterstützung der Prüfung, es sei denn, die Prüfung deckt einen wesentlichen Verstoß des Auftragsverarbeiters gegen diese Vereinbarung auf.

12. Löschung und Rückgabe von Daten

  • Bei Beendigung oder Ablauf der Dienstleistungen, die die Verarbeitung gemäß dieser Auftragsverarbeitungsvereinbarung (AVV) beinhalten, löscht oder gibt der Auftragsverarbeiter nach Wahl des Kunden die Kundendaten zurück und löscht bestehende Kopien, es sei denn, die Speicherung ist nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich. Wird die Löschung gewählt, löscht der Auftragsverarbeiter die Kundendaten innerhalb eines wirtschaftlich angemessenen Zeitraums aus den aktiven Systemen und kann begrenzte Sicherungskopien für einen begrenzten Zeitraum aufbewahren, der mit den Sicherheits- und Notfallwiederherstellungspraktiken vereinbar ist.

  • 13. Vertraulichkeit

  • Der Auftragsverarbeiter behandelt Kundendaten vertraulich und stellt sicher, dass die zur Verarbeitung von Kundendaten berechtigten Personen zur Vertraulichkeit verpflichtet sind. Diese Verpflichtung gilt zusätzlich zu den Vertraulichkeitsbestimmungen im Hauptvertrag.

  • 14. Haftung

Die Haftung gemäß dieser AVV richtet sich nach der Haftungsverteilung im Hauptvertrag, sofern nicht zwingende gesetzliche Bestimmungen etwas anderes vorschreiben. Nichts in dieser Auftragsverarbeitungsvereinbarung beschränkt die Haftung einer der Parteien, soweit eine solche Beschränkung nach geltendem Recht nicht zulässig ist.

15. Rangfolge

Im Falle eines Widerspruchs zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag hat diese Auftragsverarbeitungsvereinbarung hinsichtlich der Datenschutzverpflichtungen Vorrang, es sei denn, die Parteien vereinbaren ausdrücklich schriftlich etwas anderes. Anhänge sind Bestandteil dieser Auftragsverarbeitungsvereinbarung.

16. Kontakt

Ansprechpartner für Datenschutzangelegenheiten:

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hessen, Deutschland

E-Mail: Soufiane.Boudarraja@soufbouda.com

Telefon: +49 152 2717 9992

Anhang 1: Verarbeitungsdetails (Art. 28 Abs. 3 DSGVO)

Soufiane Boudarraja

Dieser Anhang beschreibt typische Verarbeitungsdetails für Ökosystemdienste, bei denen Soufiane Boudarraja als Auftragsverarbeiter fungiert. Für ein konkretes Projekt können die Parteien diese Details in der Leistungsbeschreibung oder im Bestellformular präzisieren.

Email: Soufiane.Boudarraja@soufbouda.com

A. Gegenstand

Bereitstellung von Beratungs-, Unterstützungs-, operativen Governance-, Befähigungs-, Schulungs- und Transformationsdienstleistungen.

Bereitstellung von Software, Automatisierung und zugehörigen Supportleistungen (einschließlich Outbound Engine und Outbound Assistant), wobei der Kunde personenbezogene Daten zur Verarbeitung bereitstellt.

Bereitstellung von Forschung, Diagnostik, Datenanreicherung, Outreach-Befähigung und damit verbundenen Leistungen, wobei die Der Kunde stellt personenbezogene Daten bereit oder weist die Verarbeitung personenbezogener Daten an.

  • B. Dauer

  • Für die Laufzeit des Hauptvertrags und eine etwaige Übergangsfrist, die für die Rückgabe oder Löschung der Kundendaten erforderlich ist, vorbehaltlich Abschnitt 12.

  • C. Art der Verarbeitung

Erfassen, Empfangen, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Abfragen, Verwenden, Offenlegen durch Übermittlung (sofern angewiesen), Abgleichen, Kombinieren, Einschränken, Löschen und Vernichten von Kundendaten.

Benutzerverwaltung und Zugriffskontrolle für gemeinsam genutzte Arbeitsbereiche, sofern zutreffend.

Erstellen von Berichten, Dashboards und      operative Ergebnisse unter Verwendung von Kundendaten, sofern angewiesen.

  • D. Zweck der Verarbeitung

  • Bereitstellung der Dienstleistungen gemäß den Anweisungen des Kunden.

  • Betrieb und Sicherung der Serviceumgebung, einschließlich Authentifizierung, Protokollierung, Überwachung und Reaktion auf Vorfälle.

Bereitstellung von Support, Fehlerbehebung und Serviceverbesserungen im Zusammenhang mit der Kundenbeziehung.

  • E. Kategorien der betroffenen Personen

  • Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden.

  • Kunden, Interessenten, Leads, Lieferanten und Geschäftskontakte des Kunden, wie vom Kunden bereitgestellt oder angewiesen.

Andere Personen, deren Daten der Kunde im Zusammenhang mit den Dienstleistungen rechtmäßig zur Verarbeitung bereitstellt.

  • F. Arten von personenbezogenen Daten

  • Identitäts- und Kontaktdaten (Name, Rolle, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Firma, Berufsbezeichnung, Standort).

  • Kommunikations- und Interaktionsdaten (E-Mails, Nachrichten, Besprechungsnotizen, Gesprächszusammenfassungen, Antworten), die vom Kunden bereitgestellt werden.

Konto- und Zugriffsdaten (Benutzer-IDs, Anmelde-Metadaten, Berechtigungen) bei Verwendung gemeinsam genutzter Arbeitsbereiche.

  • Daten aus Geschäftsbeziehungen (Konto- und Aufgabenverwaltung, Pipeline-Daten, Outreach-Status, Metadaten zur Terminplanung).

  • Technische Daten, die für den Betrieb der Dienste erforderlich sind (Gerätekennungen, Protokolle, IP-Adressen, Zeitstempel), sofern zutreffend.

  • Besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) werden nicht verarbeitet. Wenn der Kunde die Verarbeitung besonderer Kategorien personenbezogener Daten oder Daten über Straftaten (Artikel 10 DSGVO) anordnet, müssen die Parteien vor dieser Verarbeitung zusätzliche Sicherheitsvorkehrungen schriftlich vereinbaren.

  • Anhang 2: Technische und organisatorische Maßnahmen (TOMs)

  • Die nachfolgenden TOMs beschreiben ein grundlegendes Sicherheitsniveau für die Ökosystemdienste. Die tatsächlichen Maßnahmen können je nach Dienst und Tool-Stack variieren. Der Auftragsverarbeiter unterhält risikogerechte Maßnahmen und kann auf Anfrage auftragsspezifische TOM-Details bereitstellen.

A. Organisatorische Maßnahmen

Vertraulichkeitsverpflichtungen für alle autorisierten Personen mit Zugriff auf Kundendaten.

Zugriffskontrollen basierend auf dem Prinzip der minimalen Berechtigungen und dem Need-to-know-Prinzip.

Datenminimierungspraktiken für Liefergegenstände und gemeinsam genutzte Dateien, wo dies möglich ist.

  • Prozess zur Reaktion auf Sicherheitsvorfälle zur Identifizierung, Eindämmung, Untersuchung und Behebung von Sicherheitslücken.

  • Ereignisse.

  • Die Auswahl von Anbietern und Tools erfolgt gemäß dem Anhang „Tools und Datenanbieter von Drittanbietern“.

  • B. Technische Maßnahmen

  • Kontosicherheit: Starke Authentifizierungsverfahren, einschließlich Multi-Faktor-Authentifizierung, sofern von der Plattform unterstützt.

Verschlüsselung der Datenübertragung mittels TLS für webbasierte Dienste, sofern unterstützt; Verschlüsselung ruhender Daten, sofern von den Anbietern unterstützt.

  • Sichere Konfiguration der für die Dienstbereitstellung verwendeten Geräte (Betriebssystemaktualisierungen, Malware-Schutz, Festplattenverschlüsselung, sofern verfügbar).

  • Protokollierung und Überwachung entsprechend dem Dienstkontext, mit Zugriffskontrollen für Protokolle.

  • Backup- und Wiederherstellungsverfahren, die den verwendeten Tools entsprechen, mit kontrolliertem Zugriff und Aufbewahrung.

  • Trennung von Kundendaten durch separate Arbeitsbereiche, Ordner oder logische Trennmaßnahmen, sofern unterstützt.

  • C. Verfügbarkeit und Ausfallsicherheit

  • Nutzung seriöser Hosting- und Cloud-Dienste, sofern anwendbar.

Angemessene Notfallplanung, die auf dem Umfang des Projekts basiert.

  • D. Testen und Verbessern

  • Regelmäßige Aktualisierungen der Software und, falls zutreffend, der zugehörigen Abhängigkeiten.

Regelmäßige Überprüfung der Zugriffsberechtigungen für laufende Projekte.

  • Anhang 3: Unterauftragnehmer

  • Unterauftragnehmer können je nach den angebotenen Dienstleistungen und den vom Kunden gewählten Tools eingesetzt werden. Eine Beschreibung der Kategorien von Drittanbieter-Tools und typischen Anbietern, die im Ökosystem verwendet werden, findet sich im Anhang „Drittanbieter-Tools und Datenanbieter“ (Richtlinie 14). Wenn der Kunde eine Liste der für ein bestimmtes Projekt eingesetzten Unterauftragnehmer anfordert, stellt der Auftragsverarbeiter diese auf Anfrage zur Verfügung.

bottom of page