Auftragsverarbeitungsvereinbarung
Datum der letzten Änderung: 28. Januar 2026
Diese Auftragsverarbeitungsvereinbarung ("DPA") ist Bestandteil der Allgemeinen Geschäftsbedingungen und Nutzungsbedingungen von ENGINY SALES SOLUTIONS, S.L. ("Enginy") und gegebenenfalls jeder anderen zwischen Ihnen und Enginy unterzeichneten Vereinbarung zur Regelung der Beauftragung und Nutzung der Plattform (zusammen die "Vereinbarung").
Diese DPA und die übrigen Klauseln der Vereinbarung ergänzen einander; im Falle eines datenschutzrechtlichen Widerspruchs geht jedoch diese DPA vor.
INKRAFTTRETEN
Der Abschluss der Vereinbarung (oder der Beginn der kostenlosen Testphase) durch den Kunden bedeutet die Annahme dieser DPA, die zu diesem Zeitpunkt in Kraft tritt und für beide Parteien rechtlich bindend ist.
WIRKSAMKEIT
Die Person, die den Vertrag im Namen des Kunden eigenständig annimmt oder unterzeichnet, erklärt gegenüber Enginy, dass sie die rechtliche Befugnis hat, den Kunden zu binden, und dass sie rechtsfähig ist, Verträge abzuschließen. Die Laufzeit dieser DPA entspricht der Laufzeit des Vertrags. Dies bedeutet, dass diese Auftragsverarbeitungsvereinbarung automatisch mit der Beendigung der Vereinbarung oder einer früheren Beendigung gemäß den Bedingungen dieser Auftragsverarbeitungsvereinbarung endet.
BEDINGUNGEN DES AUFTRAGSVERTRAGS
Definitionen
Die folgenden Begriffe haben die folgenden Bedeutungen:
"ENGINY", "wir", "uns", "unser" bezieht sich auf ENGINY SALES SOLUTIONS, S.L., ein spanisches Unternehmen mit Sitz in Passeig del Mare Nostrum, 15, 08039 - Barcelona, Autor, Urheber und Entwickler der Plattform.
"Dienste" oder "Plattform" werden synonym verwendet und bezeichnen unsere Software, die auf einer Plattform entwickelt und betrieben wird, deren Zweck darin besteht, gezielte Lead-Listen zu erstellen, diese mit verifizierten Unternehmens- und Kontaktdaten aus marktführenden Tools und Datenbanken anzureichern und E-Mail- und LinkedIn-Outreach-Kampagnen in unserem Tool zu automatisieren.
"Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "Verarbeitung" und "geeignete technische und organisatorische Maßnahmen" "Standardvertragsklauseln", "Datenpanne" haben in dieser DPA die Bedeutung, die ihnen in der DSGVO zugewiesen wird.
"Kunde", "Sie", "Ihr" bezieht sich auf die Rechtseinheit, die die Enginy-Plattform beauftragt und deren Angaben in der Vereinbarung aufgeführt sind.
"Datenschutzvorschriften" bedeutet (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("DSGVO"); (ii) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; und (iii) alle anwendbaren nationalen Vorschriften, unabhängig davon, ob sie europäische oder internationale Vorschriften umsetzen oder in nationales Recht umsetzen.
"Unterauftragsverarbeiter" hat die Bedeutung, die dem Begriff "anderer Auftragsverarbeiter" in Artikel 28 Abs. 4 der DSGVO zugewiesen wird.
Zweck und Rollen
Zweck: Bei der Erbringung der beauftragten Dienste führt der Auftragsverarbeiter die Verarbeitung folgender Daten durch: Erhebung, Organisation, Speicherung, Übermittlung, Abfrage und Löschung personenbezogener Daten.
Rollen: Für die Zwecke dieser DPA gilt: Der Kunde gilt als Verantwortlicher und Enginy gilt als Auftragsverarbeiter.
Beschreibung der Verarbeitung und Sicherheitsmaßnahmen
Eine detaillierte Beschreibung der durchzuführenden Verarbeitung (Art und Zweck der Verarbeitung, Arten personenbezogener Daten und Kategorien betroffener Personen) ist dieser DPA als Anhang 1 beigefügt. Eine Liste der von Enginy eingesetzten Unterauftragsverarbeiter finden Sie in Anhang 2.
Verantwortung des Kunden
Der Kunde ist in seiner Eigenschaft als Verantwortlicher dafür verantwortlich, sicherzustellen, dass seine Nutzung der Plattform den Datenschutzvorschriften entspricht, und dafür zu sorgen und zu überwachen, dass Enginy während der gesamten Verarbeitung die Datenschutzvorschriften einhält.
In diesem Zusammenhang und vor dem Abschluss der Plattform oder der Beantragung der Aktivierung zusätzlicher Funktionen verpflichtet sich der Kunde, auf eigene Kosten zu prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist, die entsprechenden vorherigen Konsultationen durchzuführen und alle anwendbaren Verpflichtungen gemäß den Datenschutzvorschriften einzuhalten.
Der Kunde verpflichtet sich, Enginy nicht aufzufordern, Funktionen der Plattform zu beauftragen oder zu aktivieren, für die eine Datenschutz-Folgenabschätzung zu einem negativen Ergebnis geführt hat oder bei einem positiven Ergebnis der Kunde die in der Folgenabschätzung genannten Maßnahmen nicht umgesetzt hat. Der Kunde stellt Enginy von jeglicher Haftung frei, die sich aus der Nichteinhaltung dieser Klausel durch den Kunden ergibt.
Pflichten von Enginy in seiner Eigenschaft als Auftragsverarbeiter.
In seiner Eigenschaft als Auftragsverarbeiter verpflichtet sich Enginy zu Folgendem:
(i) personenbezogene Daten des Kunden nur gemäß den dokumentierten Weisungen des Kunden zu verarbeiten (wie in dieser DPA festgelegt oder wie vom Kunden über die Plattform oder per E-Mail angewiesen) zur Erbringung der Dienstleistung;
(ii) die geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 der DSGVO unter den in Klausel 3.3 dieser DPA festgelegten Bedingungen zu ergreifen;
(iii) den Kunden unverzüglich zu informieren, wenn eine Weisung nach seiner Auffassung gegen die Datenschutzvorschriften verstößt;
(iv) dem Kunden alle Informationen zur Verfügung zu stellen, die dieser vernünftigerweise anfordert, um die Einhaltung der in Artikel 28 der DSGVO festgelegten Pflichten nachzuweisen, und Audits durch den Kunden oder einen vom Kunden autorisierten Prüfer zu ermöglichen;
Die Audits dürfen in keinem Fall verlangen, dass Enginy dem Kunden oder seinen Prüfern oder bevollmächtigten Vertretern Zugang gewährt oder offenlegt: (i) Daten oder Informationen anderer Kunden von Enginy; (ii) interne Buchhaltungs- oder Finanzinformationen von Enginy; (iii) Geschäftsgeheimnisse von Enginy; (iv) Informationen, die nach vernünftiger Einschätzung von Enginy die Sicherheit seiner Systeme oder Einrichtungen gefährden oder Enginy dazu veranlassen könnten, gegen seine Verpflichtungen nach den Datenschutzvorschriften oder anderen anwendbaren Vorschriften zu verstoßen; oder (v) Informationen, auf die der Kunde, seine Prüfer oder bevollmächtigten Vertreter aus anderen Gründen als zur Überprüfung der Einhaltung der in Artikel 28 der DSGVO festgelegten Bedingungen durch Enginy zugreifen möchten.
Darüber hinaus sind Audits auf einmal pro Jahr beschränkt, es sei denn, Enginy hat in den vorangegangenen zwölf (12) Monaten eine Datenpanne erlitten, von der die im Auftrag des Kunden verarbeiteten personenbezogenen Daten betroffen waren.
(v) den Kunden unter Berücksichtigung der Art der Verarbeitung und der Enginy zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 35 und 36 der DSGVO festgelegten Verpflichtungen zu unterstützen;
(vi) den Kunden unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen nach Möglichkeit dabei zu unterstützen, seiner Verpflichtung zur Beantwortung von Anfragen zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte betroffener Personen nachzukommen;
(vii) sicherzustellen, dass das Personal von Enginy, das Zugang zu personenbezogenen Daten haben wird, die im Auftrag des Kunden verarbeitet werden, sich zur Vertraulichkeit verpflichtet hat oder einer gesetzlichen Vertraulichkeitspflicht unterliegt;
(viii) den Kunden über Datenpannen zu informieren, die personenbezogene Daten betreffen, die im Auftrag des Kunden verarbeitet werden. Die Mitteilung erfolgt gemäß den in Klausel 3.6 dieser DPA genannten Bedingungen;
(ix) nach Wahl des Kunden alle personenbezogenen Daten bei Beendigung der Erbringung der Verarbeitungsdienste zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern die Aufbewahrung personenbezogener Daten nicht nach Unions- oder Mitgliedstaatenrecht erforderlich ist;
(x) den Kunden unverzüglich über alle Anfragen zu informieren, die es von der betroffenen Person erhält. Es wird auf eine solche Anfrage nicht selbst antworten, es sei denn, es wurde dazu vom Verantwortlichen ermächtigt. Darüber hinaus wird Enginy den Kunden bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte unter Berücksichtigung der Art der Verarbeitung unterstützen.
Meldung von Sicherheitsvorfällen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die von Enginy verarbeitet werden, informiert Enginy den Kunden unverzüglich und in jedem Fall innerhalb von 48 Stunden, nachdem Enginy von dem Vorfall Kenntnis erlangt hat. Eine solche Mitteilung enthält mindestens: (i) eine Beschreibung der Art der Sicherheitsverletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen und Datensätze); (ii) Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Datenpanne erhältlich sind; und (iii) die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Sicherheitsverletzung, einschließlich der Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen. Soweit und insofern nicht alle Informationen gleichzeitig bereitgestellt werden können, enthält die erste Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen, und sobald weitere Informationen vorliegen, werden diese unverzüglich nachgereicht.
Unterauftragsverarbeiter und internationale Übermittlungen.
Enginy verfügt über eine allgemeine Genehmigung des Kunden, die in Anhang 2 aufgeführten Unterauftragsverarbeiter zu beauftragen. Enginy wird den Kunden schriftlich und speziell über etwaige Ergänzungen oder Ersetzungen von Unterauftragsverarbeitern in dieser Liste mindestens 10 Tage im Voraus informieren, damit der Kunde ausreichend Zeit hat, solchen Änderungen zu widersprechen, bevor die betreffenden Unterauftragsverarbeiter beauftragt werden. Enginy stellt dem Kunden die notwendigen Informationen zur Verfügung, damit der Kunde sein Widerspruchsrecht ausüben kann.
Enginy gewährleistet, dass internationale Übermittlungen personenbezogener Daten, die an personenbezogenen Daten durchgeführt werden, die im Auftrag des Kunden verarbeitet werden, im Einklang mit Kapitel V der DSGVO erfolgen.
Falls Enginy eine internationale Übermittlung vornimmt, für die der eingesetzte Übermittlungsmechanismus nach der DSGVO nicht mehr gültig ist, gewährt der Kunde Enginy eine angemessene Frist zur Behebung der Nichtkonformität, um zu ermitteln, welche zusätzlichen Schutzmaßnahmen oder anderen Maßnahmen getroffen werden können, um die Einhaltung der Datenschutzvorschriften sicherzustellen.
VERSCHIEDENES
Der Kunde erkennt an und stimmt zu, dass Enginy im Rahmen der Bereitstellung der Plattform berechtigt ist, Daten, die mit dem Betrieb, der Unterstützung oder der Nutzung der Plattform zusammenhängen oder daraus gewonnen werden, für seine legitimen internen Geschäftszwecke zu verwenden, z. B. zur Unterstützung von Abrechnungsprozessen, zur Verwaltung der Plattform, zur Verbesserung, zum Benchmarking und zur Entwicklung unserer Produkte und Dienstleistungen, zur Einhaltung geltender Gesetze (einschließlich Anfragen von Strafverfolgungsbehörden), zur Gewährleistung der Sicherheit unserer Plattform und zur Verhinderung von Betrug oder zur Minderung von Risiken.
Im Hinblick auf die verarbeiteten personenbezogenen Daten sichert Enginy zu, diese nicht für eigene Zwecke zu verwenden, es sei denn, sie wurden so zusammengefasst und anonymisiert, dass der Kunde oder eine andere Person, insbesondere Endnutzer, nicht identifiziert werden kann.
Diese DPA unterliegt dem anwendbaren Recht und den Gerichtsstandbedingungen der Vereinbarung. Ungeachtet des Vorstehenden unterliegt jede aus dieser DPA entstehende Haftung, soweit nach anwendbarem Recht zulässig, den Haftungsbeschränkungen (einschließlich Haftungshöchstgrenzen) der Vereinbarung.
Anhang 1
(Beschreibung der Verarbeitung)
Kategorien betroffener Personen, auf die sich die Daten beziehen
Bei den personenbezogenen Daten handelt es sich um die geschäftlichen E-Mails von Leads, die an die Plattform übermittelt werden.
Kategorien personenbezogener Daten
Die verarbeiteten personenbezogenen Daten können die folgenden Kategorien von Daten umfassen:
Direkte geschäftliche Identifikationsdaten (z. B. Name, E-Mail-Adresse, Telefonnummer).
Besondere Datenkategorien
Nicht zutreffend
Zweck der Verarbeitung
Personenbezogene Daten werden zum Zweck der Bereitstellung des Zugangs zur Plattform und deren Nutzung gemäß der Vereinbarung verarbeitet.
Arten der Verarbeitung
Erhebung oder Erfassung personenbezogener Daten.
Speicherung oder Aufbewahrung personenbezogener Daten.
Übermittlung personenbezogener Daten.
Nutzung personenbezogener Daten.
Anhang 2.
| LISTE DER UNTERAUFTRAGSVERARBEITER | ||
|---|---|---|
| Unterauftragsverarbeiter | Dienstleistung | Standort |
| Amazon Web Services | IT (Hosting und Infrastruktur) | Schweden (EU) |
| DigitalOcean Holdings, Inc. | IT (Hosting und Infrastruktur) | Deutschland (EU), Niederlande (EU) |
| Distant Future, S.L. | Telefonvalidierung | Spanien (EU) |
| Google Ireland, Ltd. | Google OAuth2 | Irland (EU) |
| Hubspot, Inc. | Vertrieb und Marketing | Deutschland (EU) |
| Stepward SAS | IT (Hosting und Infrastruktur) | Frankreich (EU) |
| Olinda SAS | Digitales Banking | Frankreich (EU) |
| SerpApi, LLC | IT (Hosting und Infrastruktur) | Texas (USA) |
| Slack Technologies, LLC | IT (Hosting und Infrastruktur) | Europa |
| Stripe Payments Europe, Limited | Bezahldienste | Europa |
| Temporal Technologies, Inc. | IT (Hosting und Infrastruktur) | Frankfurt (EU) |
| Warmy.io | IT (Hosting und Infrastruktur) | Israel |
| Zapier | IT-Ausgaben (Hosting und Infrastruktur) | Vereinigte Staaten |
| FullEnrich Corp | Leads | Delaware (USA) |