Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Teil der Vereinbarung zwischen Ihnen ("Kunde") und Getia AS ("Auftragsverarbeiter") für die Nutzung unserer Dienste.

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
• Verarbeitung: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird
• Verantwortlicher: Die Stelle, die über Zweck und Mittel der Verarbeitung entscheidet
• Auftragsverarbeiter: Die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet

Der Auftragsverarbeiter wird:

• Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten
• Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
• Geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen
• Den Kunden bei der Beantwortung von Betroffenenanfragen unterstützen
• Alle personenbezogenen Daten bei Beendigung der Dienste löschen oder zurückgeben

Der Kunde genehmigt dem Auftragsverarbeiter die Beauftragung von Unterauftragsverarbeitern gemäß der Unterauftragsverarbeiterliste.

Einige unserer Unterauftragsverarbeiter befinden sich in den Vereinigten Staaten. Für Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), die kein angemessenes Datenschutzniveau gewährleisten, stützen wir uns auf folgende Rechtsgrundlagen:

• Standardvertragsklauseln (SVK): Wir haben EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) mit unseren Unterauftragsverarbeitern geschlossen, um einen angemessenen Schutz für außerhalb des EWR übermittelte personenbezogene Daten zu gewährleisten.
• Ergänzende Maßnahmen: Zusätzlich zu den SVK setzen wir ergänzende technische und organisatorische Maßnahmen um, darunter Verschlüsselung der Daten bei der Übertragung und im Ruhezustand, Zugriffskontrollen und vertragliche Verpflichtungen der Unterauftragsverarbeiter.
• Datenschutzrahmen: Sofern zutreffend, nehmen unsere US-basierten Unterauftragsverarbeiter am EU-US-Datenschutzrahmen teil.

Sie können eine Kopie der geltenden SVK anfordern, indem Sie uns kontaktieren unter dpo@attorly.ai.

• Verschlüsselung der Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256)
• Zugriffskontrollen und Authentifizierung
• Regelmäßige Sicherheitsbewertungen
• Verfahren zur Reaktion auf Vorfälle

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter den Kunden innerhalb von 72 Stunden benachrichtigen.

Wir bewahren personenbezogene Daten nur so lange auf, wie es zur Erfüllung der Zwecke erforderlich ist:

• Kontodaten: Werden für die Dauer Ihres Kontos aufbewahrt und innerhalb von 30 Tagen nach Kontoschließung gelöscht
• Dokumente: Werden auf Anfrage des Benutzers sofort oder innerhalb von 30 Tagen nach Kontolöschung gelöscht
• Analyseergebnisse: Werden 90 Tage nach Löschung des zugehörigen Dokuments aufbewahrt
• Prüfprotokolle: Werden 2 Jahre lang für Sicherheits- und Compliance-Zwecke aufbewahrt
• Zahlungsunterlagen: Aufbewahrung für 5 Jahre ab Ende des Geschäftsjahres, wie nach dem norwegischen Buchführungsgesetz (bokføringsloven) vorgeschrieben. Protokolle zu Testphasen und fehlgeschlagenen Zahlungen werden zur Betrugsprävention bis zu 12 Monate lang aufbewahrt

Datenschutzbeauftragter: dpo@attorly.ai