Auftragsverarbeitungsvertrag
Zuletzt aktualisiert: 16. Mai 2026
Dieser Auftragsverarbeitungsvertrag wird in den Sprachen Englisch, Deutsch, vereinfachtes Chinesisch, Spanisch und Ungarisch veröffentlicht. Bei Widersprüchen zwischen den Sprachfassungen ist die englische Fassung maßgebend. Die durch Bezugnahme einbezogenen Standardvertragsklauseln gelten in ihrer im Amtsblatt der Europäischen Union veröffentlichten Originalfassung.
Dieser Auftragsverarbeitungsvertrag (der „DPA") ist Bestandteil des Master Services Agreement, der Nutzungsbedingungen oder einer sonstigen schriftlichen oder elektronischen Vereinbarung zwischen der Haltless Kft. („Haltless") und dem in dieser Vereinbarung benannten Kunden („Kunde") über die Bereitstellung der Haltless-Dienste (gemeinsam die „Vereinbarung"). Der DPA regelt die Verarbeitung personenbezogener Daten des Kunden durch Haltless im Rahmen der Dienste. Im Falle eines Widerspruchs zwischen der Vereinbarung und diesem DPA in Datenschutzfragen geht dieser DPA im Umfang des Widerspruchs vor. Haltless kann diesen DPA von Zeit zu Zeit aktualisieren, um Änderungen des anwendbaren Rechts oder der Dienste Rechnung zu tragen, mit Bekanntmachung gemäß der Vereinbarung.
1. Begriffsbestimmungen
Die Begriffe „Verantwortlicher", „Auftragsverarbeiter", „betroffene Person", „personenbezogene Daten", „Verarbeitung" und „Aufsichtsbehörde" haben die Bedeutung, die ihnen in der DSGVO zukommt. Andere großgeschriebene, hier nicht definierte Begriffe haben die in der Vereinbarung festgelegte Bedeutung. Zusätzlich gelten die folgenden Begriffsbestimmungen:
- "Anwendbares Datenschutzrecht"
- Alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten des Kunden im Rahmen dieses DPA anwendbar sind, einschließlich: (i) der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO"); (ii) des UK Data Protection Act 2018 und der UK GDPR; (iii) des Schweizer Bundesgesetzes über den Datenschutz; (iv) des California Consumer Privacy Act von 2018 in der durch den California Privacy Rights Act geänderten Fassung („CCPA"); (v) des Personal Information Protection Law der Volksrepublik China („PIPL"); sowie (vi) jedes anderen anwendbaren Datenschutzgesetzes, jeweils in der jeweils geltenden Fassung.
- "Personenbezogene Daten des Kunden"
- Sämtliche personenbezogenen Daten, die Haltless im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet. Personenbezogene Daten der Abrechnungskontakte des Kunden, die von Haltless oder Paddle als eigenständige Verantwortliche zu Abrechnungs-, Steuer-, Betrugspräventions- oder Compliance-Zwecken verarbeitet werden, fallen nicht hierunter.
- "Verletzung des Schutzes personenbezogener Daten"
- Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten des Kunden führt, die im Rahmen dieses DPA übermittelt, gespeichert oder anderweitig verarbeitet werden.
- "Erlaubter Zweck"
- Eine Verarbeitung, die zur Erbringung der Dienste im Einklang mit den dokumentierten Weisungen des Kunden erforderlich ist, einschließlich jeder Weisung, die sich vernünftigerweise aus der Konfiguration und Nutzung der Dienste durch den Kunden, der Vereinbarung und diesem DPA ableiten lässt.
- "Standardvertragsklauseln (SCCs)"
- Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der DSGVO, festgelegt in dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, in der jeweils geltenden oder ersetzenden Fassung. In diesem DPA beziehen sich die SCCs auf Modul 2 (Verantwortlicher an Auftragsverarbeiter), wenn der Kunde Verantwortlicher ist, und auf Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter), wenn der Kunde selbst Auftragsverarbeiter für einen eigenen Verantwortlichen ist.
- "Unterauftragsverarbeiter"
- Jeder Dritte, den Haltless mit der Verarbeitung personenbezogener Daten des Kunden im Auftrag des Kunden im Zusammenhang mit den Diensten beauftragt. Verbundene Unternehmen von Haltless, die personenbezogene Daten des Kunden verarbeiten, gelten ebenfalls als Unterauftragsverarbeiter.
- "UK-Addendum"
- Das International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission, Version B1.0, herausgegeben vom UK Information Commissioner und gültig seit dem 21. März 2022, in der jeweils geltenden Fassung.
- "China-Standardvertrag"
- Der Standardvertrag für die grenzüberschreitende Übermittlung personenbezogener Daten, herausgegeben von der Cyberspace Administration of China, in Kraft seit dem 1. Juni 2023, in der jeweils geltenden Fassung.
2. Rollen, Geltungsbereich und Laufzeit
Der Kunde handelt als Verantwortlicher (oder als Auftragsverarbeiter im Auftrag eines Dritten als Verantwortlichem) hinsichtlich der personenbezogenen Daten des Kunden und beauftragt Haltless als Auftragsverarbeiter. Haltless verarbeitet personenbezogene Daten des Kunden nur für den Erlaubten Zweck. Die Kategorien betroffener Personen, die Kategorien der personenbezogenen Daten des Kunden, die Verarbeitungsvorgänge und sonstige Einzelheiten der Verarbeitung sind in Anhang I beschrieben.
Dieser DPA gilt für die Dauer, in der Haltless personenbezogene Daten des Kunden verarbeitet, was der Laufzeit der Vereinbarung sowie jedem zusätzlichen Zeitraum entspricht, der zur Erfüllung der in Abschnitt 12 (Rückgabe oder Löschung) festgelegten Verpflichtungen und gesetzlicher Aufbewahrungspflichten erforderlich ist.
Soweit der Kunde selbst Auftragsverarbeiter im Auftrag eines Dritten als Verantwortlichem ist, sichert der Kunde zu, dass er alle erforderlichen Genehmigungen dieses Verantwortlichen für den Abschluss dieses DPA eingeholt hat und dass der Verantwortliche dem Einsatz von Haltless und seiner Unterauftragsverarbeiter zugestimmt hat.
3. Einhaltung des anwendbaren Rechts
Jede Partei hält sich an das auf sie anwendbare Datenschutzrecht. Der Kunde ist dafür verantwortlich, dass für die im Rahmen der Dienste durchgeführte Verarbeitung eine gültige Rechtsgrundlage besteht, dass die betroffenen Personen alle nach Art. 13 und 14 DSGVO (und entsprechenden Bestimmungen anderer Datenschutzgesetze) erforderlichen Informationen erhalten haben und dass etwaige erforderliche Einwilligungen eingeholt wurden. Haltless ist für die ihm als Auftragsverarbeiter obliegenden Pflichten verantwortlich. Haltless wird den Kunden informieren, wenn nach seiner Auffassung eine Weisung gegen das anwendbare Datenschutzrecht verstößt, ist jedoch nicht verpflichtet, die Einhaltung des Datenschutzrechts durch den Kunden aktiv zu überwachen.
4. Weisungen des Kunden und ausgeschlossene Kategorien
Haltless verarbeitet personenbezogene Daten des Kunden nur auf der Grundlage dokumentierter Weisungen des Kunden, auch in Bezug auf Übermittlungen in ein Drittland oder an eine internationale Organisation, es sei denn, eine andere Verarbeitung ist nach dem Recht der Union oder der Mitgliedstaaten, dem Haltless unterliegt, vorgeschrieben; in diesem Fall teilt Haltless dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. Die Vereinbarung, dieser DPA sowie die Nutzung und Konfiguration der Dienste durch den Kunden bilden die dokumentierten Weisungen des Kunden.
Der Kunde darf die folgenden Kategorien personenbezogener Daten nicht in die Dienste einbringen und betroffenen Personen das Einbringen nicht gestatten: besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (einschließlich Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung), Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO), Zahlungskartendaten, die dem PCI-DSS-Standard unterliegen, staatlich ausgestellte Ausweisnummern oder personenbezogene Daten von Kindern unter 16 Jahren. Die Dienste sind für die Verarbeitung dieser Kategorien nicht konfiguriert, und Haltless übernimmt keine Haftung für deren Einbringung unter Verstoß gegen diesen Abschnitt.
5. Vertraulichkeit autorisierter Personen
Haltless stellt sicher, dass jede natürliche Person, die unter seiner Verantwortung handelt und personenbezogene Daten des Kunden verarbeitet, einschließlich Mitarbeiter, Auftragnehmer und Vertreter, durch eine schriftliche Vertraulichkeitsverpflichtung oder eine angemessene gesetzliche Geheimhaltungspflicht gebunden ist und personenbezogene Daten des Kunden nur auf Weisungen von Haltless verarbeitet, die mit diesem DPA im Einklang stehen. Vertraulichkeitsverpflichtungen gelten auch nach Beendigung der Beziehung zur betreffenden Person fort.
6. Sicherheit der Verarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlich wahrscheinlichen und schweren Risiken für die Rechte und Freiheiten natürlicher Personen ergreift Haltless geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Anhang II beschrieben. Haltless überprüft und aktualisiert diese Maßnahmen regelmäßig. Haltless kann Anhang II von Zeit zu Zeit aktualisieren, sofern die aktualisierten Maßnahmen ein Schutzniveau bieten, das dem zum Zeitpunkt des Abschlusses dieses DPA geltenden Niveau im Wesentlichen entspricht oder dieses übertrifft.
7. Unterauftragsverarbeiter
Der Kunde erteilt Haltless eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten des Kunden, vorbehaltlich der Bedingungen dieses Abschnitts. Die Liste der zum Zeitpunkt dieses DPA eingesetzten Unterauftragsverarbeiter ist in Anhang III aufgeführt und wird zusätzlich unter der in Anhang III angegebenen URL veröffentlicht.
Haltless informiert den Kunden mindestens dreißig (30) Tage vor Wirksamwerden einer Änderung über jede beabsichtigte Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters, indem die veröffentlichte Liste aktualisiert und ein Benachrichtigungsmechanismus zur Verfügung gestellt wird, den der Kunde abonnieren kann. Der Kunde kann einer vorgeschlagenen Änderung innerhalb von fünfzehn (15) Tagen nach Bekanntmachung aus nachvollziehbaren datenschutzrechtlichen Gründen schriftlich widersprechen. Können sich die Parteien nicht innerhalb von dreißig (30) Tagen nach dem Widerspruch einigen, kann der Kunde den betroffenen Teil der Dienste, der ohne den Unterauftragsverarbeiter nicht erbracht werden kann, kündigen, mit anteiliger Erstattung etwaiger vorausbezahlter Entgelte für den ungenutzten Teil der Laufzeit.
Soweit Haltless einen Unterauftragsverarbeiter einsetzt, erlegt Haltless diesem im Wege eines schriftlichen Vertrags Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem DPA festgelegten Pflichten, einschließlich der für Haltless geltenden Pflichten nach Art. 28 und 32 DSGVO. Haltless bleibt gegenüber dem Kunden für die Erfüllung der Datenschutzpflichten jedes Unterauftragsverarbeiters vollumfänglich verantwortlich.
8. Unterstützung bei Betroffenenrechten
Unter Berücksichtigung der Art der Verarbeitung unterstützt Haltless den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte nach dem anwendbaren Datenschutzrecht (einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch). Die Dienste bieten Selbstbedienungswerkzeuge, mit denen der Kunde personenbezogene Daten einsehen, exportieren, berichtigen oder löschen kann. Wendet sich eine betroffene Person mit einem Antrag in Bezug auf personenbezogene Daten des Kunden direkt an Haltless, wird Haltless inhaltlich nicht antworten und den Antrag unverzüglich an den Kunden weiterleiten.
9. Meldung von Verletzungen des Schutzes personenbezogener Daten
Haltless benachrichtigt den Kunden unverzüglich, in jedem Fall jedoch innerhalb von zweiundsiebzig (72) Stunden nach Kenntnisnahme einer bestätigten Verletzung des Schutzes personenbezogener Daten des Kunden. Die erste Benachrichtigung erfolgt an den im Kundenkonto bezeichneten Sicherheitskontakt oder, falls kein solcher Kontakt benannt wurde, an den primären Administrator des Kunden.
Die Benachrichtigung enthält, soweit zum Zeitpunkt der Mitteilung bekannt: (i) eine Beschreibung der Art der Verletzung, einschließlich der Kategorien und ungefähren Anzahl der betroffenen Personen und Datensätze; (ii) die wahrscheinlichen Folgen der Verletzung; (iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung möglicher nachteiliger Auswirkungen; und (iv) den Kontaktpunkt bei Haltless, bei dem weitere Informationen erlangt werden können. Soweit Informationen nicht gleichzeitig bereitgestellt werden können, werden sie ohne unangemessene weitere Verzögerung in Etappen nachgereicht. Haltless arbeitet mit dem Kunden zusammen und leistet angemessene Unterstützung, damit der Kunde seine eigenen Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen nach Art. 33 und 34 DSGVO (und entsprechenden Bestimmungen anderer Datenschutzgesetze) erfüllen kann.
10. Datenschutz-Folgenabschätzung und vorherige Konsultation
Unter Berücksichtigung der Art der Verarbeitung und der Haltless zur Verfügung stehenden Informationen unterstützt Haltless den Kunden in angemessener Weise (auf Kosten des Kunden) bei jeder Datenschutz-Folgenabschätzung sowie bei jeder vorherigen Konsultation mit einer Aufsichtsbehörde, die der Kunde nach Art. 35 und 36 DSGVO (oder entsprechenden Bestimmungen anderer Datenschutzgesetze) in Bezug auf die Verarbeitung personenbezogener Daten des Kunden durch Haltless durchführen muss. Diese Unterstützung kann die Bereitstellung der in diesem DPA, in Anhang I, in Anhang II und im Trust and Security Center unter haltless.io/security enthaltenen Informationen umfassen.
11. Internationale Datenübermittlungen
Soweit die Verarbeitung personenbezogener Daten des Kunden eine Übermittlung aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz in ein Land umfasst, das nicht von einem Angemessenheitsbeschluss nach dem anwendbaren Datenschutzrecht erfasst wird, beziehen die Parteien Modul 2 der SCCs (Verantwortlicher an Auftragsverarbeiter) oder Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter), sofern der Kunde als Auftragsverarbeiter handelt, mit folgenden Festlegungen durch Bezugnahme ein: Klausel 7 (Andockklausel) ist enthalten; Klausel 9 Option 2 (allgemeine schriftliche Genehmigung) gilt mit der in Abschnitt 7 festgelegten Frist von dreißig (30) Tagen für die Vorabbenachrichtigung; die optionale Formulierung in Klausel 11(a) ist ausgeschlossen; Klausel 17 (anwendbares Recht) ist das Recht Ungarns; Klausel 18 (Gerichtsstand) benennt die Gerichte Ungarns; die Anhänge zu den SCCs werden unter Bezugnahme auf Anhang I, Anhang II und Anhang III dieses DPA ausgefüllt.
Für Übermittlungen personenbezogener Daten, die der UK GDPR unterliegen, wird das UK-Addendum durch Bezugnahme einbezogen und unter Verwendung der Informationen in Anhang I, Anhang II und Anhang III dieses DPA ausgefüllt. Die Tabellen 1, 2 und 3 des UK-Addendums werden durch die in diesem DPA ausgefüllten SCCs befüllt, und Tabelle 4 weist darauf hin, dass der Datenimporteur das UK-Addendum beenden darf, wo dies zulässig ist.
Für Übermittlungen, die dem Schweizer Bundesgesetz über den Datenschutz unterliegen, gelten die SCCs mit folgenden Anpassungen: Verweise auf die DSGVO sind, soweit relevant, als Verweise auf das Schweizer Bundesgesetz über den Datenschutz auszulegen; der Begriff „Mitgliedstaat" ist so auszulegen, dass betroffene Personen in der Schweiz nicht von der Geltendmachung ihrer Rechte ausgeschlossen werden; und die zuständige Aufsichtsbehörde ist der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
Für Übermittlungen personenbezogener Informationen von in der Volksrepublik China ansässigen Personen, die dem PIPL und den Vorschriften für grenzüberschreitende Übermittlungen der Cyberspace Administration of China unterliegen, wenden die Parteien den China-Standardvertrag oder einen anderen rechtmäßigen Mechanismus (etwa eine Sicherheitsbewertung oder Zertifizierung) an, soweit dies angesichts des Umfangs und der Sensibilität der übermittelten personenbezogenen Informationen erforderlich ist. Der Kunde ist als Verantwortlicher für etwaige ihm obliegende Anmeldungen oder Bewertungen verantwortlich; Haltless leistet angemessene Mitwirkung, einschließlich der zur Ausfüllung des Standardvertrags erforderlichen Informationen.
Die Parteien anerkennen, dass Haltless personenbezogene Daten des Kunden an Empfänger in den Vereinigten Staaten übermitteln kann, die unter dem EU-US Data Privacy Framework, der UK-Erweiterung des EU-US Data Privacy Framework oder dem Schweiz-US Data Privacy Framework selbstzertifiziert sind. Erfolgen solche Übermittlungen, stützt sich der zertifizierte Empfänger auf das jeweilige Framework. Ist der Empfänger nicht zertifiziert oder das jeweilige Framework nicht mehr in Kraft, gelten die SCCs gemäß diesem Abschnitt.
12. Rückgabe oder Löschung personenbezogener Daten
Nach Wahl des Kunden löscht Haltless alle personenbezogenen Daten des Kunden oder gibt sie zurück und löscht bestehende Kopien, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten verlangt eine Aufbewahrung. Während der Laufzeit der Vereinbarung kann der Kunde personenbezogene Daten jederzeit über die von den Diensten bereitgestellten Exportwerkzeuge exportieren. Nach Beendigung oder Ablauf der Vereinbarung hat der Kunde dreißig (30) Tage Zeit, den Abruf personenbezogener Daten zu beantragen; nach Ablauf dieser Frist löscht Haltless personenbezogene Daten innerhalb von sechzig (60) Tagen aus den Produktivsystemen und aus verschlüsselten Sicherungen entsprechend dem in Anhang II beschriebenen Rotationsplan.
Soweit Haltless nach Unionsrecht oder dem Recht der Mitgliedstaaten verpflichtet ist, personenbezogene Daten des Kunden über die oben genannten Löschfristen hinaus aufzubewahren, isoliert Haltless die Daten, beschränkt die weitere Verarbeitung auf den Aufbewahrungszweck und löscht die Daten nach Ablauf der Aufbewahrungspflicht. Haltless kann anonymisierte oder aggregierte Daten, die keine betroffene Person mehr identifizieren, für eigene Zwecke im Einklang mit der Vereinbarung aufbewahren.
13. Audits und Inspektionen
Haltless unterhält unabhängige Drittprüfungen und Zertifizierungen seines Informationssicherheitsprogramms, einschließlich ISO 27001-Alignment-Beurteilungen und gleichwertiger Bescheinigungen, wie unter haltless.io/security aufgeführt. Der Kunde kann eine Zusammenfassung des aktuellsten Auditberichts und der zugehörigen Dokumentation per E-Mail an privacy@haltless.io anfordern. Diese Informationen sind vertrauliche Informationen von Haltless und werden vorbehaltlich der Vertraulichkeitsverpflichtungen der Vereinbarung bereitgestellt.
Darüber hinaus kann der Kunde mit angemessener schriftlicher Vorankündigung und nicht häufiger als einmal pro Kalenderjahr (außer bei Eintritt einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft) ein Audit der Einhaltung dieses DPA durch Haltless durchführen. Das Audit findet während der üblichen Geschäftszeiten, auf Kosten des Kunden und entweder durch den Kunden oder durch einen unabhängigen, an angemessene Vertraulichkeitsverpflichtungen gebundenen Drittprüfer statt. Der Umfang des Audits darf die Offenlegung von Informationen, welche die Sicherheit, Vertraulichkeit oder Geschäftsinteressen von Haltless oder seiner anderen Kunden beeinträchtigen würden, nicht erfordern. Die Parteien vereinbaren Umfang, Methodik und Zeitpunkt des Audits in gutem Glauben.
14. Bestimmungen nach dem California Consumer Privacy Act
Im Sinne des CCPA ist der Kunde das „business" und Haltless ist „service provider" oder „contractor" hinsichtlich der personenbezogenen Daten des Kunden, wie diese Begriffe im CCPA definiert sind. Haltless wird: (i) personenbezogene Daten des Kunden ausschließlich für die in der Vereinbarung und in diesem DPA festgelegten begrenzten und spezifizierten geschäftlichen Zwecke verarbeiten; (ii) personenbezogene Daten des Kunden nicht verkaufen oder teilen (im Sinne des CCPA); (iii) personenbezogene Daten des Kunden nicht für andere Zwecke als die angegebenen Geschäftszwecke oder außerhalb der direkten Geschäftsbeziehung mit dem Kunden aufbewahren, nutzen oder offenlegen; (iv) personenbezogene Daten des Kunden nicht mit personenbezogenen Informationen kombinieren, die Haltless von anderen Personen erhält, außer wie nach dem CCPA zulässig; und (v) den Kunden benachrichtigen, wenn Haltless feststellt, dass es seine CCPA-Pflichten nicht mehr erfüllen kann.
Haltless unterstützt den Kunden bei der Beantwortung verifizierter Verbraucheranfragen nach dem CCPA, einschließlich Auskunfts-, Lösch-, Korrektur- und Opt-out-Anfragen für Verkauf oder Teilung. Der Kunde ist für die Identitätsverifikation des anfragenden Verbrauchers und die Entscheidung über die Beantwortung verantwortlich. Der Kunde gewährt Haltless das Recht, jederzeit angemessene und geeignete Schritte zu unternehmen, um eine unbefugte Nutzung personenbezogener Daten des Kunden zu stoppen und zu beheben.
15. Edge-Agent und industrielle Steuerungsdaten
Der Haltless Edge-Agent läuft auf vom Kunden kontrollierter Infrastruktur und liest aus industriellen Endpunkten (etwa OPC-UA-Servern, Modbus-Geräten und Historian-Datenbanken), die der Kunde ausdrücklich konfiguriert. Der Edge-Agent liest nicht aus Endpunkten, die der Kunde nicht konfiguriert hat. Industrielle Telemetrie (Sensorwerte, Maschinenzustand, Ereigniszähler) stellt im Allgemeinen keine personenbezogenen Daten dar; jedoch können vom Kunden oder von seinen Bedienern eingegebene Zusatzfelder wie Vorgesetzten- und Bedienernamen sowie Schichtanmerkungen personenbezogene Daten darstellen und werden im Sinne dieses DPA als personenbezogene Daten des Kunden behandelt.
Der Kunde ist für die Hostumgebung des Edge-Agents verantwortlich, einschließlich Betriebssystem-Patches, Netzwerksegmentierung, Stromversorgung und der für den Zugriff auf industrielle Endpunkte verwendeten Zugangsdaten. Haltless haftet nicht für Schäden an speicherprogrammierbaren Steuerungen, Mensch-Maschine-Schnittstellen oder anderen industriellen Geräten, die durch Konfigurationsfehler des Kunden oder durch das Handeln Dritter verursacht werden. Die Dienste sind eine Überwachungs- und Analyseplattform; sie stellen kein sicherheitsgerichtetes System im Sinne der IEC 61511 dar, und der Kunde darf sich nicht allein auf die Dienste für sicherheitskritische Steuerungsentscheidungen verlassen. Der Kunde bleibt für die Einhaltung der für seinen Betrieb geltenden branchenspezifischen Cybersicherheitspflichten verantwortlich, darunter, soweit anwendbar, der Richtlinie (EU) 2022/2555 (NIS2) und der Verordnung (EU) 2024/2847 (Cyber Resilience Act).
16. Haftung
Die Haftung jeder Partei aus oder im Zusammenhang mit diesem DPA unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen, die für die kumulative Haftung der Parteien nach der Vereinbarung und diesem DPA gemeinsam gelten. Nichts in diesem DPA beschränkt die Haftung einer Partei für Schäden, die einer betroffenen Person gemäß Art. 82 DSGVO entstehen, für die Verletzung von Drittbegünstigtenrechten nach den SCCs, für Freistellungspflichten, für Betrug oder vorsätzliches Fehlverhalten, für Verletzungen der Vertraulichkeit oder für eine Haftung, die nach dem anwendbaren Datenschutzrecht nicht ausgeschlossen oder begrenzt werden kann.
17. Laufzeit, Rangfolge und Fortgeltung
Dieser DPA tritt zum Zeitpunkt des Abschlusses der Vereinbarung in Kraft und gilt, solange Haltless personenbezogene Daten des Kunden verarbeitet. Die Beendigung der Vereinbarung entbindet keine Partei von Verpflichtungen, die ihrer Natur nach fortbestehen, einschließlich derjenigen zur Rückgabe oder Löschung personenbezogener Daten des Kunden, Vertraulichkeit, Audit-Rechte für während der Laufzeit erfolgte Verarbeitungen, Haftung und anwendbares Recht.
Im Falle eines Widerspruchs gilt folgende Rangfolge: (i) die SCCs (sowie das UK-Addendum und der China-Standardvertrag, soweit anwendbar), soweit sie Anwendung finden; (ii) dieser DPA; und (iii) die Vereinbarung. Aktualisiert Haltless seine Unterauftragsverarbeiter-Liste, seine technischen und organisatorischen Maßnahmen oder seine Sicherheitsdokumentation, werden diese Aktualisierungen mit der Veröffentlichung wirksam, vorbehaltlich der in diesem DPA festgelegten Benachrichtigungs- und Widerspruchsrechte.
18. Anwendbares Recht und Gerichtsstand
Dieser DPA unterliegt dem Recht Ungarns unter Ausschluss seiner Kollisionsnormen, es sei denn, die SCCs, das UK-Addendum oder der China-Standardvertrag verlangen für die von ihnen geregelten Gegenstände ein abweichendes Recht. Die Gerichte von Budapest, Ungarn, sind ausschließlich zuständig für jede Streitigkeit aus oder im Zusammenhang mit diesem DPA, unbeschadet des Rechts betroffener Personen, Verfahren an ihrem gewöhnlichen Aufenthaltsort einzuleiten, wie in den SCCs und im anwendbaren Datenschutzrecht vorgesehen.
Soweit der Kunde in der Europäischen Union, im Vereinigten Königreich oder in der Schweiz niedergelassen ist und eine zwingende Vorschrift dieser Rechtsordnung für bestimmte Aspekte der Verarbeitung personenbezogener Daten des Kunden die Anwendung eines anderen Rechts verlangt, gilt diese zwingende Vorschrift im erforderlichen Umfang.
Anhang I. Beschreibung der Verarbeitung
Kategorien betroffener Personen
Haltless verarbeitet im Auftrag des Kunden die folgenden Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer und sonstige autorisierte Nutzer der Dienste des Kunden; Bediener, Vorgesetzte, Wartungstechniker und sonstiges Schichtpersonal des Kunden, deren Namen in Schichtprotokollen, Arbeitsauftragsunterlagen oder Audit-Trails erscheinen; sowie Personen, deren Kontaktdaten in der Konfiguration der Dienste des Kunden gespeichert sind (etwa Eskalationskontakte und Bereitschaftslisten).
Kategorien personenbezogener Daten
Der Kunde kann die folgenden Kategorien personenbezogener Daten über die Dienste übermitteln, deren Umfang und Inhalt vom Kunden festgelegt werden:
| Identifikatoren und Kontaktdaten | Vollständiger Name, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Berufsbezeichnung, Arbeitgebername, Postanschrift, sofern angegeben. |
|---|---|
| Authentifizierungs- und Sicherheitsartefakte | Gehashte Passwörter, Geheimnisse für Mehrfaktor-Authentifizierung, Subject-Identifikatoren des Single Sign-On, Sitzungskennungen, Geräte-Fingerprints, IP-Adressen, Browser- und Betriebssystem-Metadaten. |
| Audit-Trail-Daten | Akteur-Nutzerkennungen, IP-Adressen, Zeitstempel, Aktionstypen, Ziel-Ressourcenkennungen und Anfrage-Metadaten, erfasst für Sicherheits-, Compliance- und forensische Zwecke. |
| Schicht- und Betriebsdaten | Bedienernamen, Vorgesetztennamen, Schichtanmerkungen, Kommentare zu Arbeitsaufträgen und sonstige Felder, die vom Kundenpersonal beim Betrieb der Dienste eingegeben werden. |
| Support- und Kommunikationsdaten | Namen, Kontaktdaten und Inhalte der Kommunikation zwischen dem Kundenpersonal und dem Haltless-Support, einschließlich Ticketinhalten, Anhängen und gegebenenfalls Anrufaufzeichnungen. |
| Push- und Benachrichtigungsendpunkte | VAPID-Push-Abonnement-Endpunkte (Apple Push Notification, Firebase Cloud Messaging, Mozilla autopush), Benachrichtigungseinstellungen und Zustellquittungen. |
| Abrechnungsbezogene personenbezogene Daten | Namen, E-Mail-Adressen, Rechnungsadressen und Steueridentifikationsnummern von Abrechnungskontakten, verarbeitet von Paddle als Merchant of Record. Haltless erhält eine begrenzte Teilmenge dieser Daten zur Kontoverwaltung. |
| Marketing-Attributionsdaten | UTM-Parameter, Referrer-URLs, Zeitstempel der Marketing-Einwilligung und Interaktionsdatensätze, sofern das Kundenpersonal Marketingmitteilungen zugestimmt hat. |
Sensible Daten
Es ist nicht vorgesehen, im Rahmen dieses DPA besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sowie Daten zu strafrechtlichen Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO zu verarbeiten. Der Kunde darf solche Daten nicht in die Dienste einbringen. Die Dienste sind nicht so konfiguriert, dass sie die für solche Daten erforderlichen zusätzlichen Schutzmaßnahmen anwenden.
Häufigkeit der Verarbeitung
Kontinuierlich, für die Dauer der Vereinbarung, entsprechend der Nutzung der Dienste durch den Kunden.
Art und Zweck der Verarbeitung
Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Abruf, Einsichtnahme, Verwendung, Offenlegung durch Übermittlung an autorisierte Nutzer, Abgleich, Verknüpfung, Einschränkung, Löschung oder Vernichtung, jeweils erforderlich zur Erbringung der Dienste, zum sicheren Betrieb der Plattform, zur Erfüllung gesetzlicher Pflichten und zur Unterstützung des Kunden. Spezifische Zwecke umfassen die Kontobereitstellung und -authentifizierung, die Erfassung und Darstellung industrieller Telemetrie, die Erzeugung von Warnmeldungen und Anomaliebenachrichtigungen, Audit-Logging, Sicherheitsüberwachung, Kundensupport und Abrechnungsverwaltung.
Aufbewahrung
Personenbezogene Daten werden für die in der Haltless-Datenschutzerklärung unter haltless.io/privacy und in der Vereinbarung festgelegte Dauer aufbewahrt. Audit-Log-Datensätze werden sieben (7) Jahre lang aufbewahrt, um die SOC-2-Bescheinigung und das berechtigte Interesse an sicherheitsforensischen Maßnahmen zu unterstützen. Die Aufbewahrung der Betriebstelemetrie ist je nach Kunden-Tarif (Pilot, Site, Enterprise) konfiguriert. Nach Ende der Dienste richtet sich die Aufbewahrung nach Abschnitt 12 dieses DPA.
Zuständige Aufsichtsbehörde
Die Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit (Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) fungiert als zuständige Aufsichtsbehörde. Soweit der Kunde in einem anderen EU-Mitgliedstaat niedergelassen ist und die Verarbeitung durch Haltless im Wesentlichen mit dieser Niederlassung verbunden ist, ist die Datenschutzbehörde dieses Mitgliedstaats die zuständige Aufsichtsbehörde.
Anhang II. Technische und organisatorische Maßnahmen
Haltless setzt die folgenden technischen und organisatorischen Maßnahmen um und erhält sie aufrecht, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Haltless kann diese Maßnahmen im Laufe der Zeit aktualisieren, sofern die aktualisierten Maßnahmen ein Sicherheitsniveau bieten, das den nachstehenden im Wesentlichen entspricht oder darüber hinausgeht.
| Verschlüsselung bei der Übertragung | TLS 1.2 oder höher mit modernen Cipher-Suites für alle kundennahen Verbindungen. Strict Transport Security, Certificate Pinning auf dem Steuerkanal des Edge-Agents und HSTS auf Web-Endpunkten. |
|---|---|
| Verschlüsselung im Ruhezustand | AES-256-Verschlüsselung für produktive Datenbanken, Objektspeicher und Sicherungen. Mandantenspezifische Schlüsselableitung, sofern anwendbar, mit von einem gehärteten Key-Management-Service verwalteten Schlüsseln. |
| Zugriffskontrolle | Rollenbasierte Zugriffskontrolle mit Least-Privilege-Voreinstellungen, Funktionstrennung zwischen Entwicklung, Betrieb und Sicherheit, zeitlich begrenzter erweiterter Produktivzugriff und obligatorisches Single Sign-On mit Mehrfaktor-Authentifizierung für sämtliches Personal mit Produktivzugriff. |
| Authentifizierung und Passwort-Hygiene | Die Kundenauthentifizierung setzt strenge Passwortrichtlinien, bcrypt- oder Argon2-Hashing sowie Unterstützung von TOTP- und WebAuthn-Mehrfaktor-Authentifizierung durch. Sitzungstoken verwenden HMAC-SHA256-Signaturen mit kurzer Gültigkeit und Sperrung bei Abmeldung oder Kompromittierung. |
| Netzwerk- und Infrastruktursicherheit | Mehrschichtige Netzwerksegmentierung, hostbasierte Firewalls, Container-Image-Scanning, Schwachstellenmanagement mit priorisierter Behebung sowie laufende Überwachung der Produktivinfrastruktur. |
| Anwendungssicherheit | Sicherer Software-Entwicklungslebenszyklus mit Code-Review, Abhängigkeits-Scanning, statischer und dynamischer Analyse, Geheimnis-Erkennung sowie regelmäßigen Penetrationstests der kundennahen und Edge-Agent-Komponenten durch Dritte. |
| Protokollierung und Audit-Trails | Manipulationssichere Audit-Logs mit einer HMAC-SHA256-Hash-Kette, sieben (7) Jahre aufbewahrt. Die Logs umfassen Authentifizierungsereignisse, privilegierte Operationen, Konfigurationsänderungen und Zugriffe auf personenbezogene Daten des Kunden. |
| Sicherung und Disaster Recovery | Tägliche verschlüsselte Sicherungen mit Off-Region-Replikation, regelmäßige Wiederherstellungstests, dokumentierte RPO- und RTO-Ziele sowie quartalsweise Business-Continuity-Übungen. |
| Reaktion auf Vorfälle | Dokumentiertes Playbook für die Vorfallsreaktion mit 24-Stunden-Bereitschaft für hochkritische Ereignisse, vordefinierten Benachrichtigungszeiträumen einschließlich der 72-Stunden-Verpflichtung zur Meldung von Datenschutzverletzungen und Nachbesprechungen für wesentliche Ereignisse. |
| Personalsicherheit | Hintergrundprüfungen, soweit zulässig, für Personal mit Produktivzugriff, verpflichtende schriftliche Vertraulichkeitsverpflichtungen, jährliche Schulungen zu Sicherheit und Datenschutz sowie Trennung von administrativen und persönlichen Konten. |
| Physische Sicherheit | Produktivumgebungen in nach ISO 27001 oder SOC 2 zertifizierten Rechenzentren mit physischen Zugangskontrollen, Umgebungsüberwachung und durchgehender Bewachung durch den zugrundeliegenden Cloud-Anbieter. |
| Steuerung von Unterauftragsverarbeitern | Dokumentierte Due-Diligence-Prüfung beim Onboarding von Unterauftragsverarbeitern, vertragliche Datenschutzbedingungen, die den für Haltless geltenden entsprechen, regelmäßige Überprüfung der Sicherheitslage der Unterauftragsverarbeiter sowie der in Abschnitt 7 dieses DPA beschriebene Benachrichtigungsmechanismus. |
Anhang III. Unterauftragsverarbeiter
Haltless setzt die folgenden Unterauftragsverarbeiter zur Erbringung der Dienste ein. Die aktuelle Liste mit dem Datum jeder Hinzufügung oder Ersetzung ist unter haltless.io/security veröffentlicht. Der Kunde kann Aktualisierungen wie in Abschnitt 7 dieses DPA beschrieben abonnieren.
| Unterauftragsverarbeiter | Zweck | Verarbeitungsort |
|---|---|---|
| Cloud-Infrastrukturanbieter | Hosting produktiver Anwendungsserver, Datenbanken, Objektspeicher und Sicherungen. | Europäische Union (primär), mit Backup-Region innerhalb des EWR. |
| Paddle.com Market Limited | Merchant of Record für Verkauf, Abrechnung, Steuerermittlung und -abführung, Betrugsprävention und Rückbuchungen. | Vereinigtes Königreich und Europäische Union. |
| Anbieter transaktionaler E-Mails | Zustellung transaktionaler E-Mails (Kontobestätigung, Passwortzurücksetzung, Warnmeldungen, Abrechnungsbenachrichtigungen). | Europäische Union oder Vereinigte Staaten (unter dem EU-US Data Privacy Framework). |
| Push-Benachrichtigungs-Gateways | Zustellung von Web- und Mobil-Push-Benachrichtigungen über Apple Push Notification, Firebase Cloud Messaging und Mozilla autopush. | Vereinigte Staaten und Europäische Union, je nach Anbieter-Routing. |
| Single-Sign-On-Identitätsanbieter | OpenID-Connect-Föderation mit Google und Microsoft zur Kontoanmeldung, sofern der Kunde dies aktiviert. | Europäische Union und Vereinigte Staaten, je nach Anbieter. |
| Dienst zur Fehlerüberwachung | Erfassung und Aggregation von Anwendungsfehlerereignissen zur Unterstützung des Reliability Engineering. Personenbezogene Daten des Kunden werden vor der Übermittlung entfernt. | Europäische Union. |
| Kundensupport-Plattform | Hosting von Support-Tickets, Wissensdatenbank-Inhalten und über das In-Product-Support-Widget initiierten Kundenkommunikationen. | Europäische Union. |
| Status- und Vorfalls-Kommunikationsplattform | Betrieb von status.haltless.io, einschließlich Vorfallsbenachrichtigungen und Wartungsankündigungen. | Europäische Union. |
| Observability- und Logging-Plattform | Aggregation von Anwendungsprotokollen und Metriken zur Betriebsüberwachung. Personenbezogene Daten des Kunden werden vor der Übermittlung minimiert. | Europäische Union. |
| Haltless-verbundene Unternehmen | Engineering, Support und Sicherheitsbetrieb durch Unternehmen der Haltless-Gruppe unter denselben Datenschutzbedingungen wie Haltless Kft. | Europäische Union (Ungarn). |
Weitere Unterauftragsverarbeiter können ausschließlich auf Weisung des Kunden und nur für den Umfang der jeweiligen Integration für ERP-, MES- oder CMMS-Integrationen eingesetzt werden. Solche Einsätze werden dem Kunden vor jeder Übermittlung personenbezogener Daten des Kunden gemäß Abschnitt 7 mitgeteilt.
Für Fragen zu diesem DPA, zur Anmeldung für Unterauftragsverarbeiter-Benachrichtigungen oder zur Koordination eines Audits wenden Sie sich an privacy@haltless.io.