Datenschutzrichtlinie der Tedee-App

vom 25.01.2024

Inhaltsverzeichnis

§ 1 Begriffsbestimmungen

§ 2 Allgemeine Informationen

§ 3 Welche Arten personenbezogener Daten wir erheben

§ 4 Warum wir personenbezogene Daten erheben

§ 5 Wie lange wir personenbezogene Daten speichern

§ 6 Welche Rechte die Nutzer haben

§ 7 Übermitteln wir personenbezogene Daten in Drittländer

§ 8 Geben wir personenbezogene Daten an Dritte weiter

§ 9 Auftragsverarbeitungsvertrag

§ 10 Haftung und Urheberrecht

§ 11 Änderung der Richtlinie

§ 1 Begriffsbestimmungen

1)Personenbezogene Datenalle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen. Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere anhand eines Identifikators wie eines Namens, erkannt werden kann. Vereinfacht ausgedrückt sind personenbezogene Daten alle Informationen, die mit einer Person in Verbindung gebracht werden können;
2)Verantwortlichereine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, wenn der Nutzer auf die Tedee-App zugreift;
3)Nutzer / Siejede natürliche oder juristische Person, die die Tedee-App für persönliche oder geschäftliche Zwecke nutzt, einschließlich Geräteeigentümer, Administratoren und Nutzer, die zur Nutzung von Tedee-Geräten eingeladen wurden;
4)Tedee-Appdie mobile Anwendung „Tedee App”, die für iOS und AndroidOS verfügbar ist;
5)DSGVOVerordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
6)Auftragsverarbeitereine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten Dritter im Auftrag des Verantwortlichen verarbeitet;
7)          Datenschutzrichtliniediese Datenschutzrichtlinie;

§ 2 Allgemeine Informationen

Tedee legt besonderen Wert auf den Schutz der Vertraulichkeit und Privatsphäre der Informationen, die uns Nutzer anvertrauen. Eine unserer zentralen Aufgaben ist es, ein angemessenes Sicherheitsniveau und die ordnungsgemäße Verwendung der über unsere Anwendung erhobenen personenbezogenen Daten der Nutzer zu gewährleisten.

Der Verantwortliche für Ihre personenbezogenen Daten ist:

TEDEE Spółka z ograniczoną odpowiedzialnością, eingetragen im Unternehmerregister des Nationalen Gerichtsregisters, geführt vom Bezirksgericht für die Hauptstadt Warschau, 12. Handelsabteilung des Nationalen Gerichtsregisters unter der KRS-Nummer: 0000712451, NIP: 7010795542, REGON: 369188621, mit Sitz in Warschau, 02-127, Karola Bohdanowicza 21/57, E-Mail-Adresse: [email protected]

Der Verantwortliche teilt mit, dass er seine Aufgaben als Verantwortlicher selbstständig wahrnimmt und zu diesem Zweck keinen Datenschutzbeauftragten im Sinne von Artikel 37 der DSGVO bestellt hat.

Tedee verarbeitet personenbezogene Daten der Nutzer für verschiedene Zwecke. Abhängig vom jeweiligen Zweck können daher unterschiedliche Erhebungsmethoden, Rechtsgrundlagen für die Verarbeitung, Verwendungs-, Offenlegungs- und Speicherzeiträume gelten. Wir erheben ausschließlich personenbezogene Daten, die uns von Nutzern freiwillig bereitgestellt werden, die Informationen erhalten oder unsere Dienste in Anspruch nehmen möchten.

In dieser Datenschutzrichtlinie beschreiben wir, wie wir personenbezogene Daten der Nutzer erheben und verwenden, sowie Ihre Rechte und Ihre Möglichkeit, Kontrolle über die von uns gespeicherten Daten auszuüben. Alle großgeschriebenen Begriffe in dieser Datenschutzrichtlinie haben die in § 1 Begriffsbestimmungen festgelegten Bedeutungen.

Wenn Sie Fragen dazu haben, wie Tedee Ihre personenbezogenen Daten verarbeitet, empfehlen wir Ihnen, uns unter folgender Adresse zu kontaktieren: [email protected]

§ 3 Welche Arten personenbezogener Daten wir erheben


Tedee erhebt folgende Arten personenbezogener Daten des Nutzers:

  • E-Mail-Adresse;
  • GPS-Standort des Nutzers und des Endgeräts des Nutzers;
  • IP-Adresse des Nutzers, Datum und Uhrzeit des Zugriffs, Betriebssystem, Sprache, Land;
  • Benutzer-ID;
  • telemetrische Daten des Geräts des Nutzers;
  • Aktivitätsprotokolle, einschließlich historischer Daten zum Sperren und Entsperren des Geräts, die Ihrer Benutzer-ID zugeordnet sind.

(zusammen: „Personenbezogene Daten”).

Die Bereitstellung Ihrer personenbezogenen Daten gegenüber dem Verantwortlichen ist vollständig freiwillig, obwohl die Angabe wahrer und vollständiger Daten zur Erbringung einer bestimmten Leistung oder zur Erreichung eines bestimmten Zwecks für Tedee oder den Nutzer erforderlich sein kann. Zum Beispiel im Fall von:

  1. der Registrierung eines Benutzerkontos in der Tedee-App – es ist erforderlich, dem Verantwortlichen folgende Daten bereitzustellen: (i) den Benutzernamen (ID) des Nutzers und (ii) die E-Mail-Adresse, um dem Nutzer den Dienst des Benutzerkontos der Tedee-App bereitzustellen;
  2. der Nutzung der Funktionen der Tedee-App – es ist erforderlich, dem Verantwortlichen folgende Daten bereitzustellen: (i) den GPS-Standort des Nutzers und des Endgeräts, (ii) die Benutzer-ID, (iii) die telemetrischen Daten des Geräts, (iv) die Sprache und (v) das Land, um dem Nutzer die Verwendung dieser Funktionen zu ermöglichen;
  3. der Integration des Geräts des Nutzers mit einem Smart-Home-Integrator eines Drittanbieters (z. B. Amazon Alexa, Google Home) – es ist erforderlich, dem Verantwortlichen folgende Daten bereitzustellen: (i) den Benutzernamen (ID) des Nutzers und (ii) die E-Mail-Adresse, um die Integration zu erleichtern;
  4. der Überwachung des ordnungsgemäßen Betriebs der Tedee-App und der Fehlerbehebung – es ist erforderlich, dem Verantwortlichen folgende Daten bereitzustellen: (i) die IP-Adresse des Nutzers, (ii) Datum und Uhrzeit des Zugriffs, (iii) das Betriebssystem und (iv) die E-Mail-Adresse, um Überwachung, Fehlerbehebung und die Information des Nutzers über potenzielle Probleme und wichtige Angelegenheiten im Zusammenhang mit der Tedee-App zu ermöglichen.

(zusammen: „Dienste“)

Tedee verarbeitet ausschließlich personenbezogene Daten, die der Nutzer uns selbst bereitstellt, mit Ausnahme von Überwachungs- und Fehlerbehebungsdaten, die automatisch erhoben werden, um den kontinuierlichen Betrieb der Tedee-App zu gewährleisten.

§ 4 Warum wir personenbezogene Daten erheben

Tedee erhebt Ihre personenbezogenen Daten für folgende Zwecke:

  1. Registrierung eines Benutzerkontos in der Tedee-App
    • Erfüllung vertraglicher Verpflichtungen, d. h. Abschluss und Erfüllung der Verpflichtungen von Tedee aus einem Vertrag über die Bereitstellung des Benutzerkontodienstes der Tedee-App – auf Grundlage von Artikel 6 Abs. 1 lit. b) DSGVO und Artikel 6 Abs. 1 lit. a) DSGVO;
  2. Nutzung der Funktionen der Tedee-App
    • Erfüllung vertraglicher Verpflichtungen, d. h. Abschluss und Erfüllung der Verpflichtungen von Tedee aus einem Vertrag über die Bereitstellung der Funktionen der Tedee-App – auf Grundlage von Artikel 6 Abs. 1 lit. b) DSGVO und Artikel 6 Abs. 1 lit. a) DSGVO;
  3. Integration des Geräts des Nutzers mit einem Smart-Home-Integrator eines Drittanbieters (z. B. Amazon Alexa, Google Home)
    • Erleichterung der Nutzung der Drittanbieter-Integration durch den Nutzer über die Tedee-App – auf Grundlage von Artikel 6 Abs. 1 lit. a) DSGVO;
  4. Überwachung des ordnungsgemäßen Betriebs der Tedee-App und Fehlerbehebung
    • Ermöglichung der kontinuierlichen Verbesserung der Tedee-App und der allgemeinen Dienstqualität sowie Leistungsüberwachung und Optimierung der Datennutzung – auf Grundlage von Artikel 6 Abs. 1 lit. f) DSGVO.
  5. Archivierung
    • Führung von Aufzeichnungen über die Verarbeitung personenbezogener Daten, wie von der DSGVO und gesonderten Rechtsvorschriften gefordert – auf Grundlage von Artikel 6 Abs. 1 lit. c) und Artikel 6 Abs. 1 lit. f) DSGVO;
    • Archivierung von Informationen zu Beweiszwecken, um relevante Tatsachen nachzuweisen – auf Grundlage von Artikel 6 Abs. 1 lit. c) DSGVO.

§ 5 Wie lange wir personenbezogene Daten speichern

Tedee erhebt und verarbeitet (verwendet) Ihre personenbezogenen Daten ab der Registrierung des Benutzerkontos in der Tedee-App und tut dies während der gesamten Erbringung der Dienste, und zwar:

  • bis zum Ablauf des Vertrags über die Erbringung von Diensten gemäß den Nutzungsbedingungen der Tedee-App und dieser Datenschutzrichtlinie;
  • bis zum Ablauf der Verjährungsfrist für vermögensrechtliche/persönliche Ansprüche nach den einschlägigen Rechtsvorschriften – in Bezug auf die Daten der Nutzer;
  • bis zum Ablauf der Aufzeichnungspflicht aufgrund besonderer gesetzlicher Vorschriften, einschließlich des Steuerrechts – in Bezug auf die Daten der Nutzer,
    – je nachdem, welcher der oben genannten Zeitpunkte zuerst eintritt.

§ 6 Welche Rechte die Nutzer haben

Gemäß den Bestimmungen der Artikel 15 bis 20 der DSGVO hat jeder Nutzer folgende Rechte in Bezug auf seine personenbezogenen Daten, die von Tedee verarbeitet werden:

  1. Recht auf Auskunft über personenbezogene Daten (Artikel 15 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat diese Person auch das Recht auf Auskunft über diese Daten.
    Wenn die personenbezogenen Daten des Nutzers in ein Drittland oder an eine internationale Organisation übermittelt werden, hat der Nutzer das Recht, über die geeigneten Garantien im Zusammenhang mit der Übermittlung informiert zu werden.
  2. Recht auf Berichtigung personenbezogener Daten (Artikel 16 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
    Darüber hinaus hat der Nutzer auch das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, unter anderem durch Abgabe einer ergänzenden Erklärung.
  3. Recht auf Löschung (Recht auf Vergessenwerden) (Artikel 17 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich aus der Datenbank des Verantwortlichen gelöscht werden.
    Der Verantwortliche kann im Falle des Widerrufs der Einwilligung durch den Nutzer auf eine Löschung verzichten, wenn die Einwilligung nicht die einzige primäre Grundlage für die Verarbeitung seiner Daten war. Dies ist insbesondere dann der Fall, wenn die Verarbeitung zur weiteren Erfüllung der Verpflichtungen aus dem Vertrag zwischen dem Nutzer und dem Verantwortlichen erforderlich ist, oder wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, für statistische Zwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
  4. Recht auf Einschränkung der Verarbeitung personenbezogener Daten (Artikel 18 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung ihrer Daten zu verlangen, in Situationen wie:
    • Bestreitung der Richtigkeit seiner personenbezogenen Daten durch den Nutzer (für einen Zeitraum, der es dem Verantwortlichen ermöglicht, deren Richtigkeit zu überprüfen);
    • unrechtmäßige Verarbeitung, bei der der Nutzer der Löschung der Daten widerspricht und stattdessen die Einschränkung der Verarbeitung verlangt;
    • eine Situation, in der der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, sie aber vom Nutzer zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden;
    • wenn der Nutzer Widerspruch gegen die Verarbeitung gemäß Artikel 21 Abs. 1 DSGVO eingelegt hat, bis festgestellt wird, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
  5. Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
    Die betroffene Person erhält auf Anfrage die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. .doc, .docx, .pdf usw.).
    Diese Daten wurden dem Verantwortlichen vom Nutzer bereitgestellt und werden vom Verantwortlichen verarbeitet. Darüber hinaus hat der Nutzer das Recht zu verlangen, dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Er hat auch das Recht, diese Daten ohne Behinderung durch den Verantwortlichen an einen anderen Verantwortlichen zu übertragen.
  6. Widerspruchsrecht (Artikel 21 DSGVO)
    Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, die zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, einschließlich Profiling auf der Grundlage dieser Bestimmungen, erforderlich ist.
    Ab dem Zeitpunkt des Widerspruchs bis zu seiner positiven oder negativen Entscheidung ist dem Verantwortlichen die Verarbeitung Ihrer personenbezogenen Daten nicht gestattet, es sei denn, er weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Um eines der oben genannten Rechte auszuüben, wenden Sie sich bitte an den Verantwortlichen unter der in § 1 der Datenschutzrichtlinie angegebenen Adresse oder unter der E-Mail-Adresse: [email protected], wobei Sie im Nachrichtentext den Umfang des Anliegens des Nutzers angeben. Die Frist für die Beantwortung des Anliegens beträgt 30 Tage ab dem Datum des wirksamen Eingangs eines vollständig ausgefüllten Anliegens.

Der Verantwortliche weist darauf hin, dass die Ausübung der oben genannten Rechte nicht absolut ist und nicht in gleichem Umfang für alle vom Verantwortlichen durchgeführten Datenverarbeitungstätigkeiten gilt. Detaillierte Informationen zu den oben genannten Einschränkungen sind im Text der DSGVO-Verordnung verfügbar.

Neben der Möglichkeit, ihre Rechte direkt gegenüber dem Verantwortlichen geltend zu machen, hat jeder Nutzer das Recht, eine Beschwerde bei der Aufsichtsbehörde für den Schutz personenbezogener Daten einzulegen, dem Präsidenten des Amtes für den Schutz personenbezogener Daten, ul. Stawki 2, 00-193 Warschau, unter: [email protected] oder über das elektronische Einreichungspostfach (ESP) unter: https://uodo.gov.pl/pl/83/153.

§ 7 Übermitteln wir personenbezogene Daten in Drittländer

Der Verantwortliche teilt mit, dass personenbezogene Daten des Nutzers unter Einhaltung aller Sicherheitsanforderungen nach den einschlägigen Rechtsvorschriften, einschließlich der DSGVO, außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums in Drittländer übermittelt werden können.

Die Einhaltung der oben genannten Standards beruht darauf, dass personenbezogene Daten nur an jene Stellen (Auftragsverarbeiter) weitergegeben werden, die:

  1. in einem Land ansässig sind, für das die EU-Kommission einen Durchführungsbeschluss erlassen hat, der ein angemessenes Schutzniveau für personenbezogene Daten feststellt (z. B. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0915&locale-en);
  2. in ihren Verträgen mit dem Verantwortlichen sogenannte Standardvertragsklauseln (SCC) vereinbart haben, die das nach den geltenden Rechtsvorschriften erforderliche Schutzniveau für personenbezogene Daten garantieren;

§ 8 Geben wir personenbezogene Daten an Dritte weiter

Der Verantwortliche teilt mit, dass die personenbezogenen Daten des Nutzers zur ordnungsgemäßen Erbringung der in der Datenschutzrichtlinie und den Nutzungsbedingungen genannten Dienste Dritten, mit denen der Verantwortliche zusammenarbeitet, unter Einhaltung aller Sicherheitsanforderungen der einschlägigen Rechtsvorschriften, einschließlich der DSGVO, zur Verfügung gestellt werden können.

Nutzerdaten können folgenden Stellen zur Verfügung gestellt werden:

  1. Geschäftspartner im Bereich Smart-Home-Integration (z. B. Amazon Alexa, Google Home, Fibaro, Homey, Krossbooking) – für den Fall, dass der Nutzer entscheidet, seine Geräte über die Tedee-App mit einem Drittanbieter-Integrator zu verbinden, kann der Nutzer Tedee ermächtigen, seine personenbezogenen Daten mit diesem Integrator zu teilen;
  2. An Behörden der öffentlichen Verwaltung (z. B. Strafverfolgungsbehörden, den Präsidenten des UOKiK) – im Falle einer Anfrage einer befugten Behörde zur Übermittlung der personenbezogenen Daten des Nutzers zur Erfüllung einer rechtlichen Verpflichtung;
  3. Anbieter von Hilfsdienstleistungen (z. B. Rechts-, Buchhaltungs- und IT-Dienstleister) – soweit diese Stellen dem Verantwortlichen Rechts-/Personal-/IT-Unterstützungsdienstleistungen erbringen, mit der Anforderung, die an diese Stellen weitergegebenen personenbezogenen Daten zu minimieren;
  4. An Geräteeigentümer und -administratoren – wenn Sie die Tedee-App auf der Grundlage einer Einladung zu einem bestimmten Gerät nutzen, werden Ihre Aktivitätsprotokolle in Bezug auf dieses Gerät (Zeitpunkt und Zugriffsmethode) automatisch mit dem Eigentümer und den Administratoren dieses Geräts geteilt, um Sicherheit und Zugriffskontrolle zu gewährleisten.

WICHTIG: Die Nutzung der personenbezogenen Daten des Nutzers durch Smart-Home-Integrationsgeschäftspartner von Drittanbietern erfolgt durch die Weitergabe personenbezogener Daten auf der Grundlage der ausdrücklichen Einwilligung des Nutzers. Da eine solche Integration keine Auftragsverarbeitung im Sinne von Artikel 28 der DSGVO darstellt, sind die spezifischen Bedingungen für die Verarbeitung der personenbezogenen Daten des Nutzers in der jeweiligen Datenschutzrichtliniendokumentation zugänglich, die von solchen Drittanbieter-Integratoren bereitgestellt wird. Es wird empfohlen, diese Dokumente stets sorgfältig zu lesen, bevor Sie der Weitergabe personenbezogener Nutzerdaten zustimmen.

§ 9 Auftragsverarbeitungsvertrag

Für den Fall, dass Sie (der Nutzer) als Verantwortlicher für personenbezogene Daten Dritter handeln und bei der Registrierung und Einrichtung des Benutzerkontos der Tedee-App solche personenbezogenen Daten durch jegliche Nutzung der Tedee-App verarbeitet, übermittelt, offengelegt oder dem Verantwortlichen anderweitig zur Verfügung gestellt werden sollen, schließen Sie und Tedee durch die Annahme dieser Datenschutzrichtlinie – ohne weitere Handlungen in dieser Hinsicht – einen Auftragsverarbeitungsvertrag im Sinne von Artikel 28 der DSGVO (AVV) ab, in dem Sie als Verantwortlicher für die anvertrauten personenbezogenen Daten und Tedee als Auftragsverarbeiter der so erhaltenen personenbezogenen Daten fungiert. Der Inhalt dieses Vertrags ist als Anlage Nr. 1 zu dieser Datenschutzrichtlinie beigefügt.

Alle in dem Auftragsverarbeitungsvertrag verwendeten großgeschriebenen Begriffe haben dieselbe Bedeutung wie für die Zwecke dieser Datenschutzrichtlinie definiert.

§ 10 Haftung und Urheberrecht

Der Verantwortliche teilt mit, dass alle Inhalte dieser Datenschutzrichtlinie ausschließliches Eigentum des Verantwortlichen sind und durch das Urheberrecht geschützt sind, wie im Gesetz über den Schutz des Urheberrechts und der verwandten Schutzrechte definiert.

Jeder Versuch, den Inhalt der Datenschutzrichtlinie ohne ausdrückliche schriftliche Zustimmung des Verantwortlichen zu kopieren, stellt eine rechtswidrige Verletzung des Urheberrechts dar, die den in den einschlägigen Bestimmungen des allgemein geltenden Rechts vorgesehenen rechtlichen Sanktionen unterliegt.

§ 11 Änderung der Richtlinie

Diese Datenschutzrichtlinie gilt ab dem 25. Januar 2024.

Tedee behält sich das Recht vor, diese Richtlinie im Zusammenhang mit der laufenden Weiterentwicklung der Tedee-App von Zeit zu Zeit zu ändern. Die Änderung wird für Sie mit Ihrer Annahme der neu veröffentlichten Version verbindlich, die in der Tedee-App angezeigt wird.

Archivierte Versionen der Datenschutzrichtlinie:

  1. Tedee-Datenschutzrichtlinie vom 25. Januar 2025
  2. Tedee-Datenschutzrichtlinie vom 2. Juni 2023;

Anlage Nr. 1

AUFTRAGSVERARBEITUNGSVERTRAG (AVV)
geschlossen in Warschau, Polen


zwischen:
dem Nutzer,
im Folgenden als Verantwortlicher bezeichnet
und
Tedee,
im Folgenden als Auftragsverarbeiter bezeichnet,
im Folgenden gemeinsam als die Parteien und einzeln als eine Partei bezeichnet.

§ 1 Vertragsgegenstand

  1. Im Zusammenhang mit dem Abschluss des Vertrags über die Erbringung der Dienste beauftragt der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung der in § 3 des Vertrags genannten personenbezogenen Daten (Personenbezogene Daten) (Verarbeitungsauftrag).
  2. Der Auftragsverarbeiter wird die vom Verantwortlichen anvertrauten personenbezogenen Daten ausschließlich zum Zweck der Erbringung der Dienste verarbeiten.
  3. Der Auftragsverarbeiter ist berechtigt, auf nicht automatisierte Weise folgende Verarbeitungsvorgänge an personenbezogenen Daten durchzuführen: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Abfragen, Einsehen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitige Bereitstellung, Einschränken, Löschen oder Vernichten – jedoch nur in dem für die Erfüllung dieses Vertrags erforderlichen Umfang.
  4. Die Parteien vereinbaren, dass der Auftragsverarbeiter die anvertrauten Daten nicht auf automatisierte Weise im Sinne von Artikel 22 der DSGVO, einschließlich des Einsatzes von Profiling, verarbeiten wird.

§ 2 Erklärungen des Verantwortlichen

  1. Der Verantwortliche erklärt hiermit, dass er im Rahmen dieses Vertrags:
    • als Verantwortlicher für personenbezogene Daten im Sinne der DSGVO handelt;
    • personenbezogene Daten vollständig rechtmäßig verarbeitet;
    • die personenbezogenen Daten auf rechtmäßige Weise für legitime Zwecke erhoben wurden;
    • die gesetzlichen Anforderungen einhält, denen der Verantwortliche unterliegt;
    • die Verarbeitung personenbezogener Daten auf eine Weise anvertraut, die keine vertraglichen Bestimmungen oder Rechte Dritter verletzt;
    • allein verantwortlich bleibt für die Erfüllung der Informationspflicht gegenüber den betroffenen Personen gemäß Artikel 13 der DSGVO, einschließlich der Information darüber, dass ihre Zugriffe protokolliert werden und wer Zugang zu diesen Protokollen hat.
  2. Der Verantwortliche verpflichtet sich, bei der Durchführung des Vertrags mit dem Auftragsverarbeiter zusammenzuarbeiten, einschließlich der Bereitstellung aller für die Vertragserfüllung notwendigen Informationen an den Auftragsverarbeiter.
  3. Der Verantwortliche verpflichtet sich, alle dem Auftragsverarbeiter erteilten Weisungen zur Verarbeitung personenbezogener Daten schriftlich zu dokumentieren.

§ 3 Kategorien betroffener Personen und Arten personenbezogener Daten

  1. Der Auftragsverarbeiter verarbeitet solche Arten und Kategorien personenbezogener Daten, die ihm vom Verantwortlichen im Zusammenhang mit der Nutzung der Dienste durch den Verantwortlichen anvertraut werden.

§ 4 Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich für den Zweck zu verarbeiten, für den sie ihm anvertraut wurden.
  2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, die Verpflichtung zur Verarbeitung personenbezogener Daten ergibt sich aus dem Recht. In diesem Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen vor Beginn der Verarbeitung über diese rechtliche Verpflichtung, sofern das betreffende Recht diese Unterrichtung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
  3. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen geltendes Recht verstößt.
  4. Der Auftragsverarbeiter erklärt, geeignete technische und organisatorische Maßnahmen getroffen zu haben, um die Sicherheit der Verarbeitung zu gewährleisten und ein dem Risiko der Verletzung der Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu bieten. Die vom Auftragsverarbeiter verwendeten technischen und organisatorischen Maßnahmen sind in § 5 des Vertrags beschrieben.
  5. Der Auftragsverarbeiter autorisiert nur diejenigen Mitarbeiter für den Zugriff auf die anvertrauten Daten, für die ein solcher Zugriff erforderlich ist, und nur in dem für die Verarbeitung der personenbezogenen Daten notwendigen Umfang. Jede Person, die unter der Autorität des Auftragsverarbeiters Zugang zu personenbezogenen Daten erhält, verpflichtet sich zur Vertraulichkeit.
  6. Der Auftragsverarbeiter erklärt, dass das oben genannte Personal über die Datenschutzvorschriften sowie über die Verantwortung für den Schutz der Daten vor unbefugtem Zugriff, Änderung, Verlust, Veröffentlichung oder Erlangung informiert wurde.
  7. Der Auftragsverarbeiter erklärt, keinen Datenschutzbeauftragten bestellt zu haben. Für alle Angelegenheiten im Zusammenhang mit der DSGVO und der Verarbeitung personenbezogener Daten wenden Sie sich bitte an [email protected].
  8. Der Auftragsverarbeiter verpflichtet sich, unter Berücksichtigung der Art der Verarbeitung mit dem Verantwortlichen bei der Erfüllung der Pflicht zur Beantwortung von Anfragen der betroffenen Person zur Ausübung ihrer Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht durch geeignete technische und organisatorische Maßnahmen zusammenzuarbeiten. Bei Eingang einer solchen Anfrage teilt der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich per E-Mail an: [email protected] mit, spätestens jedoch drei Tage nach Eingang der Anfrage.
  9. Der Auftragsverarbeiter verpflichtet sich, mit dem Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 der DSGVO festgelegten Pflichten zusammenzuarbeiten, d. h. bei der Datensicherung, der Meldung von Datenschutzverletzungen, der Benachrichtigung der betroffenen Personen über die Verletzung, der Durchführung einer Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde in Bezug auf die anvertrauten Daten.
  10. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über etwaige festgestellte Datenschutzverletzungen per E-Mail an [email protected] zu unterrichten.

§ 5 Technische und organisatorische Maßnahmen

  1. Im Zusammenhang mit der Erfüllung seiner Verpflichtungen aus diesem Vertrag erklärt der Auftragsverarbeiter unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten sowie des Risikos der Verletzung der Rechte und Freiheiten natürlicher Personen und unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Verletzung, dass er in seiner Organisation folgende technische und organisatorische Maßnahmen im Sinne von Artikel 32 der DSGVO getroffen hat:
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    • technische Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der in den Systemen verarbeiteten personenbezogenen Daten;
    • technische Maßnahmen zur Gewährleistung des effizienten Zugriffs auf personenbezogene Daten im Falle eines technischen oder physischen Sicherheitsvorfalls;
    • regelmäßige Überprüfung, Analyse und Bewertung der eingesetzten technischen und organisatorischen Maßnahmen.
  2. Der Auftragsverarbeiter erklärt die Einhaltung zumindest der Mindestanforderungen an den Datenschutz, einschließlich:
    • organisatorische Maßnahmen:
      • Einführung von Dokumentation, die die Grundlage für den Schutz personenbezogener Daten im Unternehmen des Auftragsverarbeiters festlegt;
      • Durchführung von Erst- und Wiederholungsschulungen zum Schutz der Verarbeitung personenbezogener Daten unter den Mitarbeitern des Auftragsverarbeiters;
      • Anwendung physischer Zugangskontrolle zu den Räumlichkeiten des Auftragsverarbeiters;
    • technische Maßnahmen:
      • Identifizierung sicherer Räumlichkeiten, in denen Daten verarbeitet werden können;
      • Implementierung geeigneter Sicherheitsmaßnahmen, z. B. Zugangskontrolle, Sperrung des Zugangs zu Geräten;
    • Sicherheitsmaßnahmen zur Zugangskontrolle:
      • jeder Mitarbeiter des Auftragsverarbeiters verfügt über ein separates, einzigartiges Passwort für den Zugang zum Computer und zum IT-System, in dem personenbezogene Daten verarbeitet werden;
      • Einführung einer Richtlinie für starke, regelmäßig geänderte Zugangskennwörter;
      • Implementierung der Verschlüsselung personenbezogener Daten, die auf mobilen Unternehmensgeräten verarbeitet werden;
      • der Fernzugriff auf personenbezogene Daten wird zentral verwaltet und überwacht.
    • operative Sicherheitsmaßnahmen:
      • die vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten verwendeten Anwendungen und IT-Systeme werden regelmäßig aktualisiert, überprüft und auf Anfälligkeit für Cyberangriffe getestet sowie mit Antivirensoftware geschützt;
      • Implementierung von Maßnahmen zum Schutz vor unbefugtem Zugriff auf Systeme und das Unternehmensnetzwerk mittels einer Firewall;
      • Implementierung von Systemen zur Überwachung des Netzwerkverkehrs, zur Anomalieerkennung und zur schnellen Reaktion.
  3. Der Auftragsverarbeiter erklärt, ein Verzeichnis der Kategorien der verarbeiteten personenbezogenen Daten zu führen, das die zur Verarbeitung anvertrauten personenbezogenen Daten abdeckt, gemäß Artikel 30 Abs. 2 der DSGVO, sofern er nicht gemäß Artikel 30 Abs. 5 der DSGVO von dieser Pflicht befreit ist.


§ 6 Prüfung

  1. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter alle Informationen zur Verfügung, die zur Durchführung oder zum Nachweis der Einhaltung seiner Pflichten gemäß der DSGVO erforderlich sind.
  2. Der Verantwortliche behält sich das Recht vor, die Vertragserfüllung mindestens alle 12 Monate und stets im Falle einer Datenschutzverletzung durch den Auftragsverarbeiter zu überprüfen.
  3. Der Auftragsverarbeiter ist verpflichtet, bei Kontrollmaßnahmen ordnungsgemäß mit dem Verantwortlichen zusammenzuarbeiten. Insbesondere verpflichtet sich der Auftragsverarbeiter:
    • dem Verantwortlichen die Dokumentation zur Verarbeitung personenbezogener Daten zur Verfügung zu stellen;
    • dem Verantwortlichen Zugang zu den Räumlichkeiten zu gewähren, in denen die personenbezogenen Daten verarbeitet werden;
    • dem Verantwortlichen die Anfertigung von Kopien der mit der Verarbeitung personenbezogener Daten zusammenhängenden Dokumente zu ermöglichen.
  4. Die Prüfung wird nach vorheriger Unterrichtung des Auftragsverarbeiters über den Prüfungstermin durchgeführt. Die Prüfung wird während der Geschäftszeiten des Auftragsverarbeiters durchgeführt.
  5. Der Auftragsverarbeiter verpflichtet sich, die bei der Prüfung festgestellten Mängel zu beheben und die Empfehlungen des Verantwortlichen innerhalb von höchstens 30 Tagen umzusetzen. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über die zu diesem Zweck getroffenen Maßnahmen.
  6. Der Verantwortliche behält sich das Recht vor, Dritte mit der Durchführung von Prüfungen (Prüfer) zu beauftragen sowie solche Prüfungen selbst durchzuführen.

§ 7 Unterauftragsverarbeitung

  1. Der Auftragsverarbeiter kann bestimmte Verarbeitungsvorgänge an personenbezogenen Daten auf der Grundlage eines Vertrags mit einem anderen Auftragsverarbeiter zur weiteren Verarbeitung übertragen (Unterauftragsverarbeitung).
  2. Der Auftragsverarbeiter verpflichtet sich sicherzustellen, dass die mit der weiteren Verarbeitung personenbezogener Daten betraute Stelle mindestens dieselben Garantien und Anforderungen an den Schutz personenbezogener Daten bietet wie diejenigen, die dem Auftragsverarbeiter gemäß dem Vertrag auferlegt wurden. Diese Anforderung betrifft insbesondere die Verpflichtung, hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung den Anforderungen der DSGVO entspricht.
  3. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich über geplante Änderungen bezüglich der Hinzuziehung oder Ablösung weiterer Auftragsverarbeiter zu informieren. Der Verantwortliche hat das Recht, gegen die geplanten Änderungen des Auftragsverarbeiters Einwände zu erheben.
  4. Der Auftragsverarbeiter darf die Vertragserfüllung nicht vollständig einem anderen Auftragsverarbeiter übertragen.
  5. Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber vollumfänglich für die Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.

§ 8 Verarbeitungsort

  1. Der Auftragsverarbeiter erklärt, dass im Zusammenhang mit der Durchführung dieses Vertrags keine Übermittlung von Daten in ein Drittland im Sinne der DSGVO stattfinden wird, weder durch eine Handlung noch durch eine Unterlassung des Auftragsverarbeiters oder weiterer Auftragsverarbeiter, es sei denn, die einschlägigen Rechtsvorschriften erlegen dem Auftragsverarbeiter entsprechende Rechtspflichten auf.
  2. Beabsichtigt der Auftragsverarbeiter, die unter diesen Vertrag fallenden personenbezogenen Daten in ein Drittland zu übermitteln, unterrichtet er den Verantwortlichen schriftlich darüber und ermöglicht ihm, an dem Prozess zur Sicherstellung der Rechtmäßigkeit einer solchen Übermittlung oder an der Kündigung dieses Vertrags teilzunehmen.

§ 9 Laufzeit

  1. Der Vertrag wird auf unbestimmte Zeit geschlossen und ist bindend bis zur Kündigung des Vertrags über die Erbringung der Dienste oder bis zum Ablauf oder zur Löschung des zugehörigen Benutzerkontos der Tedee-App.
  2. Nach Beendigung des Vertrags gibt der Auftragsverarbeiter je nach Weisung des Verantwortlichen die anvertrauten Daten zurück oder löscht sie und löscht alle vorhandenen Kopien davon, sofern das Unionsrecht oder das Recht eines Mitgliedstaats die Speicherung personenbezogener Daten vorschreibt. Das Ausbleiben einer solchen Entscheidung bei Vertragsbeendigung führt zur automatischen Löschung aller dem Auftragsverarbeiter anvertrauten personenbezogenen Daten.


§ 10 Schlussbestimmungen

  1. Der Vertrag wurde elektronisch in dokumentarischer Form abgeschlossen.
  2. Änderungen und Ergänzungen der Bestimmungen dieses Vertrags bedürfen der dokumentarischen Form, andernfalls sind sie nichtig.
  3. Der Auftragsverarbeiter hat keinen Anspruch auf eine gesonderte Vergütung für die Erfüllung seiner vertraglichen Pflichten.
  4. Auf Angelegenheiten, die durch diesen Vertrag nicht geregelt sind, finden die Bestimmungen des polnischen Zivilgesetzbuchs, der DSGVO sowie die Bestimmungen anderer den Datenschutz regelnder Gesetze Anwendung.
  5. Etwaige Streitigkeiten, die im Zusammenhang mit dem Abschluss oder der Durchführung des Vertrags entstehen können, werden durch das für den Sitz des Verantwortlichen zuständige Gericht entschieden.