Mailtastic hat sich mit Signitic zusammengeschlossen. Sie wurden auf unsere neue Website weitergeleitet.
Documents
>
DPA

DPA

1. Allgemeines

Allgemeine Geschäftsbedingungen
Impressum
Vertraulichkeitspolitik

2. DSGVO

Cookies
DPA
Nachfolgende Subunternehmer

3. Sicherheit

Grundsätze der Sicherheit

4. Formular

Kontakt-Formular
Erstellung eines Benutzerkontos
Ressourcen hochladen

Auftragsverarbeitungsvertrag (AVV)

Gültig ab dem 18/11/2025

Die vorliegende Auftragsverarbeitungsvertrag (“AVV”) ist eine Anlage zu den Allgemeinen Geschäftsbedingungen und bildet einen integralen Bestandteil des zwischen Netstag GmbH (nachfolgend “Netstag”) und dem Kunden abgeschlossenen Vertrags. Im Falle eines Widerspruchs zwischen den Allgemeinen Geschäftsbedingungen und dem AVV hat der AVV Vorrang.

1. Anwendungsbereich und Stellung der Parteien

Dieser AVV regelt die Bedingungen, unter denen Netstag in der Rolle des Auftragsverarbeiters im Namen und gemäß den Weisungen des Kunden personenbezogene Daten im Zusammenhang mit den Diensten verarbeitet sowie die Pflichten und Rechte von Netstag und des Kunden. Diese Vereinbarung findet keine Anwendung, wenn Netstag als Verantwortlicher handelt. Mit Inkrafttreten ersetzt und annulliert dieser AVV sämtliche früheren Vereinbarungen oder Verträge zwischen den Parteien mit identischem Gegenstand.

Im Rahmen dieses AVV wird davon ausgegangen, dass der Kunde als Verantwortlicher agiert. Handelt der Kunde im Auftrag eines Dritten als Verantwortlicher, also selbst als Auftragsverarbeiter, gewährleistet er:

  • dass er über alle erforderlichen Befugnisse zur Schließung dieses AVV und zur Verarbeitung personenbezogener Daten durch Netstag als weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) verfügt;
  • dass der mit dem betreffenden Verantwortlichen geschlossene Vertrag den Bestimmungen des AVV entspricht;
  • dass die vom Kunden im Rahmen der Durchführung dieses AVV erteilten Weisungen strikt den Anweisungen des Verantwortlichen entsprechen und verpflichtet sich, diesem die von Netstag zur Verfügung gestellten Informationen bereitzustellen, sofern dies gemäß der DSGVO gefordert ist.

Der Kunde bleibt gegenüber Netstag allein verantwortlich für die ordnungsgemäße Erfüllung der Pflichten des Verantwortlichen gemäß dieses AVV.

Die Parteien verpflichten sich, die durch die DSGVO sowie durch sämtliche weitere für sie anwendbare datenschutzrechtliche Vorschriften auferlegten Bestimmungen einzuhalten.

2. Begriffsbestimmungen

Für diesen AVV gelten die nachfolgend aufgeführten Definitionen. Die Definitionen der Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“, „Verarbeitung“, „Aufsichtsbehörde“, „Verletzung des Schutzes personenbezogener Daten“ entsprechen den Bestimmungen der DSGVO.

Personenbezogene Daten: bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als „identifizierbare natürliche Person“ gilt eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennnummer oder zu einem oder mehreren der Person eigenen Merkmalen, identifiziert werden kann und deren Daten von Netstag im Auftrag des Kunden verarbeitet werden, um die im Vertrag vereinbarten Dienste zu erbringen.

Betroffene Person: bezeichnet eine natürliche Person, deren personenbezogene Daten verarbeitet werden.

DSGVO: bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

3. Beschreibung der Verarbeitungstätigkeiten

Netstag ist berechtigt, im Auftrag des Kunden die zur Erbringung der im Vertrag vorgesehenen Dienste erforderlichen personenbezogenen Daten zu verarbeiten. Die Verarbeitung erfolgt wie folgt:

  1. Arten personenbezogener Daten: Identifikationsdaten, Nutzungsdaten, Verbindungsdaten
  2. Kategorien betroffener Personen: Mitarbeiter des Verantwortlichen sowie deren Kontakte
  3. Zweck und Art der Verarbeitung: Zweck der Verarbeitung personenbezogener Daten durch Netstag ist die Bereitstellung der Dienste für den Kunden, was die Verarbeitung personenbezogener Daten umfasst. Hierzu zählen insbesondere der Dienst für personalisierte E-Mail-Signaturen, die Durchführung von zielgerichteten Kampagnen auf Nutzerebene sowie das Hosting digitaler Visitenkarten. Die Art der Verarbeitung umfasst das Erheben, Auslesen, Erfassen, Organisieren, Speichern, Anpassen oder Verändern, Auslesen, Verwenden, Übermitteln durch Übertragung, Strukturieren, Verknüpfen, Löschen und Vernichten personenbezogener Daten. Die personenbezogenen Daten unterliegen den im Vertrag näher beschriebenen Verarbeitungstätigkeiten.
  4. Dauer der Verarbeitung: Die Verarbeitungstätigkeiten erfolgen für die im Vertrag vorgesehene Dauer.

4. Pflichten des Kunden

Der Kunde verpflichtet sich:

1.  Sicherzustellen, dass die von Netstag beauftragten Dienste über die für die geplante Verarbeitung erforderlichen Eigenschaften und Bedingungen verfügen. Die bereitgestellten Informationen dienen insbesondere dazu, dem Kunden eine Bewertung der Konformität dieser Maßnahmen im Hinblick auf die geplante Verarbeitung zu ermöglichen;

2.  Die personenbezogenen Daten, die an Netstag zur Ausführung der Dienste übermittelt werden, eigenverantwortlich, rechtmäßig, nach Treu und Glauben sowie transparent zu erheben. Der Kunde prüft insbesondere die Rechtsgrundlage dieser Datenerhebung sowie die ordnungsgemäße Erfüllung der Informationspflicht gegenüber den betroffenen Personen, für die er weiterhin verantwortlich bleibt;

3.  Netstag ausschließlich die für die Erbringung der Dienste erforderlichen personenbezogenen Daten bereitzustellen und keine irrelevanten, unverhältnismäßigen oder nicht notwendigen personenbezogenen Daten zu übermitteln – insbesondere keine besonderen Kategorien personenbezogener Daten im Sinne der DSGVO, wie insbesondere sensible Daten;

4.  Jede Weisung bezüglich der Verarbeitung personenbezogener Daten zu dokumentieren. Es gilt als vereinbart, dass die Nutzungsmodalitäten der Dienste und der vorliegende AVV als Weisung an Netstag hinsichtlich der durchzuführenden Verarbeitung gelten. Zusätzliche oder abweichende Weisungen erfordern die Zustimmung beider Parteien. Sie müssen zunächst schriftlich bei der Beauftragung der Dienste festgelegt werden und können jederzeit auf schriftlichen Antrag des Kunden nach vorheriger schriftlicher Zustimmung von Netstag – auch in elektronischer Form – angepasst, ergänzt oder ersetzt werden;

5.  Vor Beginn und während der gesamten Dauer der Verarbeitung darauf zu achten, dass Netstag die Pflichten gemäß der DSGVO einhält;

6.  Alle Pflichten zu erfüllen, die dem Verantwortlichen nach der DSGVO obliegen, insbesondere die Wahrung der Rechte der betroffenen Personen.

 5. Pflichten von Netstag

Netstag verpflichtet sich:

  1. Die personenbezogenen Daten unter den im Vertrag vorgesehenen Bedingungen zu verarbeiten;
  2. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden im Sinne von Artikel 4.4 zu verarbeiten, es sei denn, Netstag ist laut anwendbarem Recht des Vertrages hierzu verpflichtet. In diesem Fall informiert Netstag den Kunden über diese rechtliche Verpflichtung, soweit das betreffende Recht eine solche Information nicht aus Gründen des öffentlichen Interesses untersagt. Falls Netstag der Auffassung ist, dass eine Weisung einen Verstoß gegen die DSGVO oder eine andere anwendbare Vorschrift des Unionsrechts oder des Rechts der Mitgliedstaaten zum Datenschutz darstellt, unterrichtet sie den Kunden unverzüglich schriftlich; 
  3. Bei Entwicklung und Bereitstellung ihrer Tools, Produkte, Applikationen oder Dienste die Grundsätze „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ zu berücksichtigen;
  4. Ihr Personal im Bereich Datenschutz zu schulen und zu sensibilisieren;
  5. Die Vertraulichkeit der personenbezogenen Daten einzuhalten, sie nicht offenzulegen – unabhängig von der Art der Weitergabe –, außer (i) soweit dies zur Ausführung der Dienste, zur Erreichung der Zwecke und zur Umsetzung des Vertrags erforderlich ist; (ii) auf Grundlage gesetzlicher oder behördlicher Vorgaben; (iii) zur Erfüllung von Anfragen gerichtlicher und/oder behördlicher Stellen; (iv) mit vorheriger Zustimmung, auf Anfrage oder im Auftrag des Kunden. 

Zu diesem Zweck stellt Netstag sicher, dass alle zur Verarbeitung personenbezogener Daten ermächtigten Personen (Personal, Partner, Unterauftragsverarbeiter etc.) entweder einer angemessenen gesetzlichen oder vertraglichen Verschwiegenheitspflicht unterliegen; 

  1. Ein Verzeichnis der Verarbeitungstätigkeiten zu führen, die für den Kunden im Sinne von Artikel 30 Absatz 2 DSGVO durchgeführt werden;
  2. Angemessen auf jede begründete Anfrage des Kunden zur Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen sowie bei der erforderlichen vorherigen Konsultation der Aufsichtsbehörde zu reagieren – insoweit als der Kunde hierzu nach geltendem Datenschutzrecht verpflichtet ist und diese Unterstützung im Zusammenhang mit dem von Netstag durchgeführten Verarbeitungsvorgang steht.

 6. Dauer der Aufbewahrung personenbezogener Daten

Nach Ablauf oder Beendigung des Vertrags verpflichtet sich Netstag, personenbezogene Daten unter den Bedingungen des Vertrags und vorbehaltlich der darin vorgesehenen Frist für den Kunden zur Datenrückerlangung entweder zu löschen oder auf irreversible Weise zu anonymisieren, sofern nicht das auf den Vertrag anwendbare Recht die Aufbewahrung personenbezogener Daten verlangt.

Je nach Art der Verarbeitung können personenbezogene Daten auch während der Laufzeit des Vertrags gelöscht oder irreversibel anonymisiert werden. Dies ist insbesondere der Fall, wenn Netstag dem Kunden im Rahmen der angebotenen Dienste Funktionen zur Verfügung stellt, die das Löschen und Exportieren personenbezogener Daten ermöglichen, oder wenn personenbezogene Daten entsprechend dem Zweck der betreffenden Verarbeitung einer befristeten Aufbewahrungsdauer unterliegen.

 7. Sicherheit

Netstag implementiert technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust, Änderung, Verbreitung oder unbefugtem Zugriff zu schützen – im Rahmen ihres Verantwortungsbereichs sowie entsprechend den ihr im Vertrag obliegenden Möglichkeiten. Diese Maßnahmen werden auf der Website von Netstag veröffentlicht und können angepasst werden. In diesem Fall verpflichtet sich Netstag, das bestehende Schutzniveau nicht zu reduzieren und mindestens das Sicherheitsniveau beizubehalten, das zum Zeitpunkt des Vertragsschlusses bestand. Sämtliche, den Schutz personenbezogener Daten wesentlich beeinflussenden Änderungen werden auf der Website bekannt gemacht. Dem Kunden obliegt es, regelmäßig zu prüfen, ob diese Maßnahmen dem jeweiligen Verarbeitungsvorgang angemessen sind.

Der Kunde seinerseits verpflichtet sich, alle erforderlichen Schutzmaßnahmen für personenbezogene Daten innerhalb seines Verantwortungsbereichs zu implementieren, insbesondere:

  1. die Vertraulichkeit sämtlicher API-Schlüssel, Zugangsdaten und Passwörter (oder sonstiger Zugangsmittel) zu wahren und dabei Passwörter gemäß den anerkannten Best-Practice-Regeln zu verwenden;
  2. die Sicherheit aller Arbeitsplätze, Endgeräte und Netzwerke sicherzustellen, von denen sein Personal oder sonstige ermächtigte Personen auf die Dienste zugreifen;
  3. Sicherzustellen, dass System-Updates, Sicherheitspatches sowie Antivirus- und Firewall-Software oder vergleichbare Sicherungsmaßnahmen stets umgesetzt und aktuell gehalten werden;
  4. dafür Sorge zu tragen, dass personenbezogene Daten an geeigneten Orten gesichert werden;
  5. die physischen Geschäftsräume zu schützen, insbesondere durch Einbruchsschutz- und Zutrittskontrollsysteme, die regelmäßig überprüft werden, unterschiedliche Zonen in Abhängigkeit vom Risiko abzusichern (z.B. Serverraum), Zugangsrechte nur bedarfsgerecht zu gewähren und das Prinzip der geringsten Privilegien einzuhalten;
  6. das eigene Personal, die Nutzer sowie alle autorisierten Personen im Bereich Datenschutz zu schulen;

8. Haftung

Netstag haftet nur für Schäden, die durch eine Verarbeitung verursacht wurden, bei der (i) Netstag gegen Verpflichtungen verstößt, die gemäß DSGVO speziell für Auftragsverarbeiter gelten, oder bei der (ii) Netstag außerhalb der rechtmäßigen Anweisungen des Kunden oder entgegen diesen gehandelt hat. In solchen Fällen gelten die im Vertrag aufgeführten Bestimmungen zur Haftung von Netstag.

 9. Audit

Netstag stellt auf ihrer Internetseite die wesentlichen Maßnahmen bereit, mit denen sie die Erfüllung ihrer Pflichten nachweist. Der Kunde kann bei Netstag sämtliche angemessenen weiteren Informationen anfordern. Der Kunde ist berechtigt, selbst oder durch eine von ihm beauftragte, mit dem Netstag-Konzern nicht konkurrierende und zur Verschwiegenheit verpflichtete Firma jede Überprüfung (Audit) einschließlich Penetrationstests durchzuführen, sofern dies zur Überprüfung der Einhaltung des vorliegenden AVV erforderlich und angemessen ist. Hierfür stimmen sich Netstag und der Kunde vorab hinsichtlich der organisatorischen und sicherheitstechnischen Rahmenbedingungen für eine Vor-Ort- oder Remote-Inspektion ab. Sämtliche Kosten für den Audit trägt ausschließlich der Kunde. In jedem Fall dürfen die Auditbedingungen die Sicherheit der Daten anderer Kunden von Netstag nicht beeinträchtigen und die regulären Geschäftsvorgänge von Netstag nicht stören.

 10. Rechte der betroffenen Personen

Informationspflicht: Es obliegt dem Kunden, die von den Verarbeitungstätigkeiten betroffenen Personen gemäß den Bedingungen der DSGVO, insbesondere den Artikeln 13 und 14, über die Datenverarbeitung zu informieren.

Ausübung der Rechte: Der Kunde ist verpflichtet, Anfragen von betroffenen Personen bezüglich der Ausübung ihrer Rechte (Recht auf Auskunft, Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung, Datenübertragbarkeit, Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, usw.) zu beantworten.

Soweit möglich und unter Berücksichtigung der Art der Verarbeitung sowie der zur Verfügung stehenden Informationen unterstützt Netstag den Kunden auf dessen Anfrage dabei, seinen Verpflichtungen zur Bearbeitung von Anfragen betroffener Personen nachzukommen, sofern der Kunde die Informationen oder Funktionen nicht bereits über die Dienste selbst zur Verfügung hat. Der Kunde bleibt allein verantwortlich für die erteilten Antworten und alle daraus resultierenden Maßnahmen gegenüber den betroffenen Personen.

Gehen Anfragen zur Ausübung der Rechte oder Beschwerden direkt bei Netstag ein, verpflichtet sich Netstag, diese unverzüglich an den Kunden weiterzuleiten.

 11. Verletzung des Schutzes personenbezogener Daten

Sollte Netstag von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangen, benachrichtigt sie den Kunden per E-Mail schnellstmöglich. Die Benachrichtigung enthält mindestens folgende Informationen:

  • die Art der Datenschutzverletzung, einschließlich – soweit möglich – der Kategorien und der ungefähr ermittelten Anzahl der betroffenen Personen sowie der Kategorien und Anzahl der betroffenen Datensätze personenbezogener Daten;
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson für weitergehende Informationen;
  • die wahrscheinlichen Folgen der Datenschutzverletzung;
  • die getroffenen oder geplanten Maßnahmen zur Bewältigung des Vorfalls.

 12. Einsatz von Unterauftragsverarbeitern

Netstag ist berechtigt, weitere Unterauftragsverarbeiter für bestimmte Verarbeitungstätigkeiten einzusetzen („Unterauftragsverarbeiter“ – siehe Anhang 1), was der Kunde akzeptiert und genehmigt. Der Kunde stimmt ausdrücklich zu, dass Netstag jeden in dieser Liste oder in weiteren diesbezüglichen Dokumenten aufgeführten Unterauftragsverarbeiter einsetzt.

Netstag sorgt dafür, dass mit jedem Unterauftragsverarbeiter ein Vertrag abgeschlossen wurde, der im Wesentlichen dieselben Verpflichtungen enthält wie die, denen Netstag gemäß diesem AVV unterliegt. Sollte ein Unterauftragsverarbeiter seinen datenschutzrechtlichen Pflichten nicht nachkommen, bleibt Netstag gegenüber dem Kunden vollumfänglich verantwortlich.

Bei Änderungen – insbesondere dem Hinzufügen oder Ersetzen von Unterauftragsverarbeitern – informiert Netstag den Kunden mindestens 30 Kalendertage vor Wirksamwerden per E-Mail unter Angabe von Name, Anschrift und Funktion des/der neuen Unterauftragsverarbeiter(s). Der Kunde kann diesem Wechsel widersprechen, indem er die betroffenen Dienste spätestens 30 Tage nach Versand der Benachrichtigung kündigt. Bei Kündigung aus diesem Grund und innerhalb der vorgegebenen Frist erhält der Kunde eine Erstattung bereits gezahlter, aber nicht genutzter Gebühren für den verbleibenden Zeitraum der betroffenen Dienste; das Vertragsende tritt mit Zugang der Kündigungsmitteilung bei Netstag ein. Vor einer solchen Kündigung kann der Kunde Netstag etwaige Einwände mitteilen. Die Parteien werden sich über angemessene Alternativen austauschen, um die betroffenen Unterauftragsverarbeiter gegebenenfalls auszuschließen. Diese Verhandlungen verlängern die Kündigungsfrist jedoch nicht. Netstag ist gegenüber dem Kunden nicht verpflichtet, auf die geplanten Änderungen zu verzichten. Erfolgt innerhalb der Frist keine Kündigung, gilt der

Einsatz oder Wechsel des/der Unterauftragsverarbeiter(s) als akzeptiert.

Jede Einwendung oder Kündigungsmitteilung nach diesem Artikel ist zu richten an: gdpr@signitic.com.

13. Datenübermittlung

Der Kunde wird darüber informiert und akzeptiert, dass Netstag im Rahmen der Dienste personenbezogene Daten an Unternehmen der eigenen Unternehmensgruppe übermitteln kann. Diese Übermittlungen sind ausschließlich für die Leistungserbringung erforderlich und beschränken sich auf interne Verwaltungszwecke.

Werden im Rahmen des Vertrags personenbezogene Daten in ein Land außerhalb der Europäischen Union übermittelt, für das keine Angemessenheitsentscheidung vorliegt, wird ein Vertrag nach den Standardvertragsklauseln oder – nach Wahl von Netstag – ein anderes geeignetes Garantiekonstrukt gemäß DSGVO abgeschlossen.

 14. Kontaktdaten – Benachrichtigung

Für Fragen im Zusammenhang mit personenbezogenen Daten kann der Kunde nach Wahl folgende Kontaktmöglichkeiten nutzen:

  • Den Kundenservice;
  • Die Rechtsabteilung per E-Mail: gdpr@signitic.com

Sofern der Kunde Benachrichtigungen in Bezug auf die Umsetzung dieses AVV an eine bestimmte E-Mail-Adresse erhalten möchte, kann er eine entsprechende Anfrage an gdpr@signitic.com richten. Andernfalls werden sämtliche Mitteilungen bezüglich dieser Vereinbarung an die bei Netstag im Rahmen der Dienste bekannte Hauptkontaktadresse des Kunden gesendet.

Bereit loszulegen?

Harmonisieren Sie Ihre E-Mail-Signaturen im Handumdrehen – und schöpfen Sie das volle Potenzial der täglich versendeten E-Mails aus!
Kostenlos testen
Kostenlos testen
Eine Demo buchen
Réserver une démo
Machen Sie aus jeder E-Mail eine Gelegenheit für starke Markenkommunikation.
Deutsch
Unsere Büros
Lyon — Berlin — Warschau — Turin — Mainz
Lösungen
Für die IT-AbteilungFür MarketingFür den Vertrieb
Integrationen
Google WorkspaceMicrosoft 365MarktplatzVisitenkarte
Über
Über unsPositivePreiseSicherheitComplianceRechtliche DokumenteCSR-Verpflichtungen
Ressourcen
LexikonROI berechnenAnleitungenFallstudien von KundenKomparativeAlternativenWhitepapersPartner werden
Impressum
Allgemeine Geschäftsbedingungen
Cookies
DPA
Vertraulichkeitspolitik
Status der Dienste