PrismaNote
Rechtliches

Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung zwischen PrismaNote und Einzelhändlern oder Marken ergänzt die Servicebedingungen.

Nach der EU-Datenschutz-Grundverordnung (DSGVO) handelt PrismaNote als ‘Auftragsverarbeiter’ und die Nutzer von PrismaNote als ‘Verantwortliche’ in Bezug auf die von den Nutzern bereitgestellten personenbezogenen Daten.

Diese Vereinbarung ist integraler Bestandteil der Servicebedingungen. Ihre Bestimmungen ersetzen entgegenstehende Klauseln der allgemeinen Servicebedingungen im Umfang des Widerspruchs.

In unserer Datenschutzerklärung erläutern wir, wann PrismaNote selbst Verantwortlicher ist.

1. Definitionen

Begriffe wie ‘Verarbeiter’ (PrismaNote), ‘Verantwortlicher’ (registrierter Nutzer), ‘Verarbeitung’, ‘Daten’, ‘Betroffene Person’ und ‘Datenschutzverletzung’ haben die in der DSGVO festgelegte Bedeutung.

2. Verarbeitung

Der Verarbeiter verarbeitet alle Daten ausschließlich gemäß dokumentierten Weisungen des Verantwortlichen und im Einklang mit der DSGVO. Das Eigentum an den Daten verbleibt beim Verantwortlichen.

3. Personal

Alle Personen, die unter der Aufsicht des Verarbeiters tätig sind, sind zur Vertraulichkeit verpflichtet und verarbeiten Daten nur auf Weisung des Verantwortlichen.

4. Sicherheit

Der Verarbeiter setzt geeignete technische und organisatorische Maßnahmen um, einschließlich Pseudonymisierung, Verschlüsselung sowie laufender Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit.

5. Unterauftragsverarbeiter

Unterauftragsverarbeiter werden nur mit vorheriger schriftlicher Zustimmung beauftragt. Bei genereller Zustimmung wird der Verantwortliche über Änderungen informiert und kann innerhalb von 15 Tagen widersprechen. Dem Unterauftragsverarbeiter werden dieselben Datenschutzpflichten auferlegt.

6. Rechte der betroffenen Personen

Der Verarbeiter unterstützt den Verantwortlichen bei Anfragen betroffener Personen und reagiert nur auf dessen Weisung.

7. Datenschutzverletzung

Datenschutzverletzungen werden dem Verantwortlichen unverzüglich gemeldet, mit ausreichenden Informationen, um Meldepflichten zu erfüllen.

8. Datenschutz-Folgenabschätzung

Der Verarbeiter unterstützt den Verantwortlichen bei Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden.

9. Löschung oder Rückgabe

Nach Beendigung werden alle Daten innerhalb von 30 Tagen gelöscht oder auf Wunsch zurückgegeben. Die Einhaltung wird innerhalb von 60 Tagen schriftlich bestätigt.

10. Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung zu prüfen; der Verarbeiter stellt notwendige Informationen bereit und ermöglicht Audits.

11. Schlussbestimmungen

Soweit hier nicht geregelt, gelten die Servicebedingungen. Sollte eine Bestimmung unwirksam sein, bleibt der Rest unberührt.

Anhang 1: Technische und organisatorische Maßnahmen

Der Verarbeiter setzt die folgenden Maßnahmen im Sinne von Art. 28 DSGVO um:

Vertraulichkeit

  • Zuweisung von Benutzerrechten
  • Benutzerprofile
  • Authentifizierung per Benutzername und Passwort
  • Passwortrichtlinien (Länge, Komplexität, regelmäßige Änderung)
  • VPN, Antivirus, Firewall
  • Trennung von Firmennetz und Gast-WLAN
  • Rollenbasierte Berechtigungen
  • Sichere Datenvernichtung und TLS-Verschlüsselung
  • Pseudonymisierung über Kunden- / Nutzer-IDs

Integrität

  • Protokollierung der IT-Systeme
  • Sicherung der Logdateien
  • Verträge mit Unterauftragsverarbeitern nach Art. 28 DSGVO
  • Vertraulichkeitsverpflichtung der Mitarbeiter

Vorsorge- und Sicherheitsmaßnahmen

  • Brandschutztüren
  • Feuerlöscher
  • Regelmäßige Datensicherungen

Regelmäßige Überprüfung

  • Datenschutzmanagement und Richtlinien
  • Verzeichnis der Verarbeitungstätigkeiten
  • Regelmäßige Schulungen
  • Vertraulichkeit von Mitarbeitern und Dritten

Letzte Aktualisierung: Juni 2026