pinterest-site-verification=70d12a13c4a05433e0d6404c86d6e774
top of page
SB-Only.png

Outbound Engine Datenverarbeitungsvereinbarung

Autor:

Soufiane Boudarraja

Datum:

24. Februar 2026

1. Parteien und Umfang

Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil des vertraglichen Rahmens zwischen:

1) Kunde ("Verantwortlicher"): die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, und

2) Soufiane Boudarraja ("Auftragsverarbeiter"): der Dienstleister, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

Diese DPA gilt für das Soufiane Boudarraja-Ökosystem (das "Ökosystem"), in dem und nur in dem Soufiane Boudarraja personenbezogene Daten im Auftrag des Kunden als Auftragsverarbeiter im Zusammenhang mit den "Dienstleistungen" verarbeitet.

Wenn Soufiane Boudarraja als unabhängiger Verantwortlicher handelt (zum Beispiel, Webseite-Besucher, direkte Kunden digitaler Produkte oder POD-Käufer), gilt die Datenschutzrichtlinie anstelle dieser DPA. Wenn die Parteien als separate Verantwortliche (Verantwortlicher zu Verantwortlichem) handeln, gilt diese DPA nicht, es sei denn, es wurde schriftlich vereinbart.

2. Definitionen

"DSGVO" bedeutet Verordnung (EU) 2016/679.

"Personenbezogene Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter" und "Aufsichtsbehörde" haben die in der DSGVO festgelegten Bedeutungen.

"Kundendaten" bedeutet Von dem Auftragsverarbeiter im Auftrag des Kunden im Rahmen dieser DPA verarbeitete personenbezogene Daten.

"Subauftragsverarbeiter" bedeutet eine dritte Partei, die vom Auftragsverarbeiter beauftragt wurde, Kundendaten im Auftrag des Kunden zu verarbeiten.

"Dienstleistungen" bedeutet die professionellen Dienstleistungen, Software und Liefergegenstände, die im Rahmen des anwendbaren Vertrags, der Leistungsbeschreibung, des Bestellformulars oder einer ähnlichen Vereinbarung (der "Hauptvereinbarung") bereitgestellt werden.

3. Verarbeitungsdetails

Die Gegenstände, Dauer, Art und Zweck der Verarbeitung, die Arten von personenbezogenen Daten und Kategorien von betroffenen Personen sind in Anhang 1 (Verarbeitungsdetails) beschrieben. Die Verarbeitung wird auf das beschränkt, was notwendig ist, um die Dienstleistungen bereitzustellen.

4. Verpflichtungen des Auftragsverarbeiters

Der Auftragsverarbeiter hat:

  1. Kundendaten nur auf dokumentierte Anweisungen des Kunden zu verarbeiten, einschließlich in Bezug auf Übertragungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, es sei denn, dies ist nach dem Recht der Union oder des Mitgliedstaats erforderlich; in einem solchen Fall hat der Auftragsverarbeiter den Kunden vor der Verarbeitung über diese rechtliche Anforderung zu informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.

  2. Stellen Sie sicher, dass Personen, die befugt sind, Kundendaten zu verarbeiten, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

  3. Implementieren Sie geeignete technische und organisatorische Maßnahmen ("TOMs"), um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, wie in Anhang 2 beschrieben, unter Berücksichtigung von Artikel 32 DSGVO.

  4. Beachten Sie die Bedingungen für die Beauftragung von Subunternehmern, wie in Abschnitt 6 dargelegt.

  5. Unterstützen Sie den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO zu reagieren.

  6. Unterstützen Sie den Kunden dabei, die Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO (Sicherheit, Verletzungsbenachrichtigung, DPIAs und vorherige Konsultation) einzuhalten, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind.

  7. Nach Wahl des Kunden alle Kundendaten nach Beendigung der Bereitstellung von Dienstleistungen, die die Verarbeitung betreffen, löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das Recht der Union oder des Mitgliedstaats verlangt die Speicherung.

  8. Dem Kunden alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, und Audits, einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen, vorbehaltlich Abschnitt 11.

5. Verpflichtungen des Kunden

Der Kunde hat:

  • Sicherzustellen, dass er eine rechtmäßige Grundlage für die Verarbeitung von Kundendaten und für die Anweisung des Prozessors zur Verarbeitung von Kundendaten hat.

  • Stellen Sie dokumentierte Anweisungen bereit und stellen Sie sicher, dass diese Anweisungen den geltenden Gesetzen entsprechen.

  • Stellen Sie sicher, dass Transparenzhinweise den betroffenen Personen bereitgestellt werden, wo erforderlich, einschließlich der Verwendung von Auftragsverarbeitern und internationalen Übertragungen.

  • Seien Sie verantwortlich für die Genauigkeit, Qualität und Rechtmäßigkeit der vom Auftragsverarbeiter bereitgestellten Kundendaten.

  • Konfigurieren und verwenden Sie alle von Ihnen ausgewählten oder kontrollierten Drittanbieter-Tools auf eine konforme Weise, einschließlich Benutzerberechtigungen und Aufbewahrungseinstellungen.

6. Unterauftragsverarbeiter

Der Kunde erteilt dem Auftragsverarbeiter die allgemeine Erlaubnis, Subunternehmer zu beauftragen, um Kundendaten zum Zwecke der Bereitstellung der Dienstleistungen zu verarbeiten, vorbehaltlich der nachstehenden Anforderungen.

6.1 Bedingungen für Subunternehmer

  • Der Auftragsverarbeiter wird jedem Subunternehmer datenschutzrechtliche Verpflichtungen auferlegen, die im Wesentlichen den in diesem DPA festgelegten ähnlich sind, einschließlich angemessener Sicherheitsmaßnahmen.

  • Der Auftragsverarbeiter bleibt verantwortlich für die Erfüllung der Verpflichtungen des Subunternehmers.

6.2 Liste der Subunternehmer und Aktualisierungen

Eine aktuelle Liste der Kategorien von Subunternehmern und Werkzeugtypen, die für das Ökosystem verwendet werden, wird im Anhang zu Dritten Tools und Datenanbietern (Richtlinie 14) geführt. Bei kundenspezifischen Engagements können die anwendbaren Subunternehmer von den Dienstleistungen und den gewählten Werkzeugen des Kunden abhängen.

Wenn eine Änderung einen neuen Subunternehmer einführt, der Kundendaten für ein laufendes Engagement verarbeitet, wird der Verarbeiter, wo dies vernünftigerweise möglich ist, im Voraus informieren. Der Kunde kann aus angemessenen Gründen, die den Datenschutz betreffen, Widerspruch einlegen. Wenn die Parteien den Widerspruch nicht lösen können, kann jede Partei den betroffenen Teil der Dienstleistungen ohne Strafe über die bis zur Kündigung geschuldeten Gebühren hinaus kündigen, es sei denn, die Hauptvereinbarung sieht etwas anderes vor.

7. Weltweite Übertragungen

Kundendaten sollten standardmäßig innerhalb des Europäischen Wirtschaftsraums ("EWR") verarbeitet werden, wo die Dienstleistungen und gewählten Werkzeuge dies zulassen. Wenn Kundendaten außerhalb des EWR übertragen werden, unterliegt die Übertragung einem angemessenen Schutz gemäß Kapitel V der DSGVO.

7.1 Übertragungsmechanismen

  • Angemessenheitsentscheidung (Artikel 45 DSGVO), sofern zutreffend.

  • Standardvertragsklauseln ("SCCs"), die von der Europäischen Kommission angenommen wurden (Artikel 46 DSGVO), sofern zutreffend.

  • Andere rechtmäßige Mechanismen, die unter Kapitel V der DSGVO anerkannt sind, sofern zutreffend.

Wo SCCs erforderlich sind, vereinbaren die Parteien, die von der Kommission verabschiedeten SCCs (Durchführungsbeschluss (EU) 2021/914) zu verwenden, mit dem/den für die Beziehung geeigneten Modul(en) (typischerweise Verantwortlicher zu Auftragsverarbeiter). Die SCCs sind durch Verweis in diesen Vertrag aufgenommen und gelten in dem Umfang, der für die Übertragung erforderlich ist.

8. Sicherheit (Artikel 32 DSGVO)

Der Auftragsverarbeiter wird angemessene TOMs implementieren und aufrechterhalten, wie in Anhang 2 beschrieben. Der Auftragsverarbeiter kann die TOMs im Laufe der Zeit aktualisieren, um sich entwickelnden Risiken und Technologien Rechnung zu tragen, vorausgesetzt, dass das allgemeine Sicherheitsniveau nicht wesentlich beeinträchtigt wird.

9. Benachrichtigung über eine Verletzung personenbezogener Daten

Der Auftragsverarbeiter wird den Kunden unverzüglich benachrichtigen, nachdem er von einer Verletzung personenbezogener Daten erfahren hat, die Kundendaten betrifft. Die Benachrichtigung wird, soweit verfügbar, die Art der Verletzung, Kategorien und die ungefähre Anzahl der betroffenen betroffenen Personen und Datensätze, wahrscheinliche Folgen und Maßnahmen, die ergriffen oder vorgeschlagen wurden, um die Verletzung zu beheben, umfassen. Der Auftragsverarbeiter wird mit den angemessenen Anfragen des Kunden nach zusätzlichen Informationen zusammenarbeiten.

10. Unterstützung bei Anfragen von betroffenen Personen

Unter Berücksichtigung der Art der Verarbeitung wird der Auftragsverarbeiter den Kunden durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit möglich, um Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß Kapitel III DSGVO zu erfüllen. Wenn der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person in Bezug auf Kundendaten erhält, wird der Auftragsverarbeiter, sofern gesetzlich nicht verboten, die Anfrage umgehend an den Kunden weiterleiten und nicht antworten, es sei denn, auf die dokumentierten Anweisungen des Kunden.

11. Prüfungen und Compliance-Informationen

Der Verarbeiter stellt die notwendigen Informationen zur Verfügung, um die Einhaltung dieser DPA nachzuweisen. Prüfungen können vom Kunden oder einem unabhängigen Prüfer, der vom Kunden beauftragt wurde, durchgeführt werden, vorbehaltlich der folgenden Bedingungen:

  • Prüfungsanfragen müssen angemessen, verhältnismäßig und auf die durch diese DPA abgedeckten Verarbeitungstätigkeiten beschränkt sein.

  • Prüfungen müssen mit angemessener Vorankündigung und während der normalen Geschäftszeiten geplant werden, es sei denn, ein Verstoß oder eine dringende rechtliche Anforderung rechtfertigt eine beschleunigte Durchführung.

  • Prüfungen müssen so durchgeführt werden, dass unnötige Störungen vermieden werden und die Vertraulichkeit sowie die Sicherheit anderer Kunden und der Systeme des Verarbeiters geschützt werden.

  • Der Kunde trägt seine eigenen Prüfkosten und erstattet dem Auftragsverarbeiter die angemessene Zeit, die für die Unterstützung der Prüfung aufgewendet wurde, es sei denn, die Prüfung offenbart einen wesentlichen Verstoß gegen diese DPA durch den Auftragsverarbeiter.

12. Löschung und Rückgabe von Daten

Nach Beendigung oder Ablauf der Dienstleistungen, die die Verarbeitung unter dieser DPA betreffen, hat der Auftragsverarbeiter, nach Wahl des Kunden, die Kundendaten zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, die Speicherung ist durch das Recht der Union oder des Mitgliedstaates erforderlich. Wenn die Löschung gewählt wird, wird der Auftragsverarbeiter die Kundendaten innerhalb eines kommerziell angemessenen Zeitraums aus aktiven Systemen löschen und kann begrenzte Backups für einen begrenzten Zeitraum gemäß den Sicherheits- und Notfallwiederherstellungspraktiken aufbewahren.

13. Vertraulichkeit

Der Auftragsverarbeiter behandelt Kundendaten als vertraulich und stellt sicher, dass Personen, die zur Verarbeitung von Kundendaten autorisiert sind, zur Vertraulichkeit verpflichtet sind. Diese Verpflichtung ergänzt alle Vertraulichkeitsbestimmungen im Hauptvertrag.

14. Haftung

Die Haftung aus diesem DPA folgt der Haftungsverteilung im Hauptvertrag, es sei denn, zwingendes Recht verlangt etwas anderes. Nichts in diesem DPA beschränkt die Haftung einer der Parteien, wo eine solche Beschränkung nach geltendem Recht nicht zulässig ist.

15. Reihenfolge der Präferenz

Im Falle eines Konflikts zwischen diesem DPA und dem Hauptvertrag hat dieses DPA hinsichtlich der Datenschutzverpflichtungen Vorrang, es sei denn, die Parteien vereinbaren ausdrücklich schriftlich etwas anderes. Anhänge sind Teil dieses DPA.

16. Kontakt

Ansprechpartner für Datenschutzangelegenheiten:

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hessen, Deutschland

E-Mail: Soufiane.Boudarraja@soufbouda.com

Telefon: +49 152 2717 9992

Anhang 1: Verarbeitungsdetails (Artikel 28(3) DSGVO)

Dieser Anhang beschreibt typische Verarbeitungsdetails für Ecosystem-Dienste, bei denen Soufiane Boudarraja als Auftragsverarbeiter tätig ist. Für ein spezifisches Engagement können die Parteien diese Details im Leistungsbeschreibung oder Bestellformular verfeinern.

A. Gegenstand

  • Bereitstellung von Beratungs-, Unterstützungs-, operativen Governance-, Enablement-, Schulungs- und Transformationsdiensten.

  • Bereitstellung von Software, Automatisierung und verwandten Unterstützungsdiensten (einschließlich Outbound Engine und Outbound Assistant), bei denen der Kunde personenbezogene Daten zur Verarbeitung bereitstellt.

  • Bereitstellung von Forschung, Diagnostik, Datenanreicherung, Aktivierung von Outreach und verwandten Lieferungen, bei denen der Kunde personenbezogene Daten bereitstellt oder die Verarbeitung personenbezogener Daten anweist.

B. Dauer

Für die Dauer des Hauptvertrags und jeder anwendbaren Übergangszeit, die erforderlich ist, um Kundendaten zurückzugeben oder zu löschen, vorbehaltlich Abschnitt 12.

C. Art der Verarbeitung

  • Sammeln, Empfangen, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Beraten, Verwenden, Offenlegen durch Übertragung (wenn angewiesen), Ausrichten, Kombinieren, Einschränken, Löschen und Zerstören von Kundendaten.

  • Benutzerverwaltung und Zugriffskontrolle für gemeinsame Arbeitsbereiche, wo zutreffend.

  • Erstellung von Berichten, Dashboards und operativen Ergebnissen unter Verwendung von Kundendaten, wo angewiesen.

D. Zweck der Verarbeitung

  • Die Dienstleistungen wie vom Kunden angewiesen erbringen.

  • Betrieben und sichern Sie die Dienstumgebung, einschließlich Authentifizierung, Protokollierung, Überwachung und Vorfallreaktion.

  • Bieten Sie Unterstützung, Fehlersuche und Dienstverbesserungen im Zusammenhang mit der Kundenbindung.

E. Kategorien von betroffenen Personen

  • Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden.

  • Kunden, Interessenten, Leads, Lieferanten und Geschäftskontakte des Kunden, wie vom Kunden bereitgestellt oder angewiesen.

  • Andere Personen, deren Daten der Kunde rechtmäßig zur Verarbeitung im Zusammenhang mit den Dienstleistungen bereitstellt.

F. Arten von personenbezogenen Daten

  • Identitäts- und Kontaktdaten (Name, Rolle, geschäftliche E-Mail, geschäftliche Telefonnummer, Unternehmen, Berufsbezeichnung, Standort).

  • Kommunikations- und Interaktionsdaten (E-Mails, Nachrichten, Besprechungsnotizen, Anrufzusammenfassungen, Antworten), wie vom Kunden bereitgestellt.

  • Konto- und Zugangsdatendaten (Benutzer-IDs, Anmeldemetadata, Berechtigungen), wenn gemeinsame Arbeitsbereiche verwendet werden.

  • Daten zu Geschäftsbeziehungen (Kontozuweisungen, Pipeline-Daten, Status der Kontaktaufnahme, Metadaten zur Terminplanung).

  • Technische Daten, die zur Nutzung der Dienste erforderlich sind (Gerätekennungen, Protokolle, IP-Adressen, Zeitstempel), wo zutreffend.

Besondere Kategorien von Daten (Artikel 9 DSGVO) sind nicht zur Verarbeitung vorgesehen. Wenn der Kunde die Verarbeitung besonderer Kategorien oder von Daten zu Straftaten (Artikel 10 DSGVO) anweist, müssen die Parteien zusätzliche Schutzmaßnahmen schriftlich vereinbaren, bevor eine solche Verarbeitung erfolgt.

Anhang 2: Technische und organisatorische Maßnahmen (TOMs)

Die unten aufgeführten TOMs beschreiben eine grundlegende Sicherheitslage für die Ecosystem-Dienste. Tatsächliche Maßnahmen können je nach Dienst und Tool-Stack variieren. Der Auftragsverarbeiter hält Maßnahmen aufrecht, die dem Risiko angemessen sind, und kann auf Anfrage spezifische TOM-Details für das Engagement bereitstellen.

A. Organisatorische Maßnahmen

  • Vertraulichkeitsverpflichtungen für alle autorisierten Personen mit Zugang zu Kundendaten.

  • Zugangskontrollen basierend auf dem Prinzip der geringsten Privilegien und dem Need-to-Know-Prinzip.

  • Datenminimierungspraktiken für Liefergegenstände und gemeinsam genutzte Dateien, wo dies möglich ist.

  • Vorfallreaktionsprozess zur Identifizierung, Eindämmung, Untersuchung und Behebung von Sicherheitsereignissen.

  • Die Auswahl von Anbietern und Werkzeugen erfolgt gemäß dem Anhang zu Dritten Tools und Datenanbietern.

B. Technische Maßnahmen

  • Kontosicherheit: starke Authentifizierungspraktiken, einschließlich Multi-Faktor-Authentifizierung, wo von der Plattform unterstützt.

  • Verschlüsselung während der Übertragung mit TLS für webbasierte Dienste, wo unterstützt; Verschlüsselung im Ruhezustand, wo von Anbietern unterstützt.

  • Sichere Konfiguration der Geräte, die für die Bereitstellung von Diensten verwendet werden (Betriebssystem-Updates, Malware-Schutz, Festplattenverschlüsselung, wo verfügbar).

  • Protokollierung und Überwachung, die dem Dienstkontext angemessen sind, mit Zugriffskontrollen für Protokolle.

  • Backup- und Wiederherstellungsverfahren, die den verwendeten Werkzeugen angemessen sind, mit kontrolliertem Zugriff und Aufbewahrung.

  • Trennung von Kundendaten durch separate Arbeitsbereiche, Ordner oder logische Trennungsmaßnahmen, wo unterstützt.

C. Verfügbarkeit und Widerstandsfähigkeit

  • Nutzung von seriösen Hosting- und Cloud-Diensten, wo anwendbar.

  • Angemessene Kontinuitätsplanung basierend auf der Größe des Engagements.

D. Testen und Verbesserung

  • Regelmäßige Updates von Software und Abhängigkeiten, wo anwendbar.

  • Überprüfung der Zugriffsberechtigungen regelmäßig für aktive Engagements.

Anhang 3: Unterauftragsverarbeiter

Subunternehmer können je nach den Dienstleistungen und den vom Kunden gewählten Tools eingesetzt werden. Eine Beschreibung der Kategorien von Drittanbieter-Tools und typischen Anbietern, die im Ökosystem verwendet werden, wird im Anhang zu Drittanbieter-Tools und Datenanbietern (Richtlinie 14) bereitgestellt. Wenn der Kunde eine Liste der spezifischen Subunternehmer anfordert, die für ein bestimmtes Engagement verwendet werden, wird der Auftragsverarbeiter diese auf Anfrage bereitstellen.

bottom of page