Datenverarbeitungsvereinbarung

Effektives Datum: September 24, 2025
Parteien: Diese DPA ist Teil der Vereinbarung zwischen Furious („Processor„) und dem Kunden, der die Dienste kauft oder nutzt („Controller„).

Durch die Ausführung eines Auftrags oder die Nutzung der Dienste stimmen der Controller und der Auftragsverarbeiter diesem DPA zu.

1) Rollen, Umfang und Anweisungen

Rollen. Controller bestimmt die Zwecke und Mittel; Prozessor verarbeitet persönliche Daten in Controller’s Auftrag.
Scope. Die Verarbeitung ist auf die Bereitstellung, Pflege und Unterstützung der Dienste, wie in der Vereinbarung beschrieben, beschränkt.
Anweisungen. Der Verarbeiter verarbeitet persönliche Daten nur nach dokumentierten Anweisungen des Controllers (die Vereinbarung und dieses DPA sind die vollständigen Anweisungen), einschließlich für alle internationalen Übertragungen.

2) Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass Personen, die zur Verarbeitung persönlicher Daten befugt sind, an Vertraulichkeitsverpflichtungen gebunden sind.

3) Sicherheit

Processor implementiert angemessene technische und organisatorische Maßnahmen, um persönliche Daten vor unfallbedingter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder Zugriff zu schützen (detaillierte Maßnahmen können auf einer separaten Seite beschrieben werden und sind nicht Teil dieses DPA).

4) Subprozessoren

Allgemeine Berechtigung. Der Controller bevollmächtigt den Prozessor, die in Abschnitt 12 aufgelisteten Subprozessoren einzusetzen.
Flow-down. Processor legt Subprocessors Datenschutzverpflichtungen auf, die nicht weniger schützend sind als die in diesem DPA.
Updates. Die Liste der Subprozessoren kann durch Aktualisierung dieser Seite aktualisiert werden.

5) Unterstützung

Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Processor zur Verfügung stehen, wird Processor den Controller bei Anträgen zum Datenschutz und bei den Verpflichtungen gemäß GDPR Artikel 32-36 angemessen unterstützen. Processor kann angemessene Gebühren für Unterstützung erheben, die nicht Bestandteil der Dienstleistungen ist.

6) Personal Data Breach

Der Auftragsverarbeiter wird den Controller unverzüglich nach Bekanntwerden eines Datenschutzverstoßes in Bezug auf personenbezogene Daten, die im Auftrag des Controllers verarbeitet werden, benachrichtigen und Informationen bereitstellen, die nach vernünftigem Ermessen verfügbar sind, um den Controller bei der Erfüllung seiner Verpflichtungen zu unterstützen.

7) Return & Deletion

Bei Beendigung oder Ablauf der Dienstleistungen wird Processor die persönlichen Daten innerhalb eines kommerziell angemessenen Zeitraums löschen, unter Berücksichtigung der gesetzlich vorgeschriebenen Mindestsicherung/Archivierung (Rückgabe wird nicht angeboten, es sei denn, dies ist gesetzlich vorgeschrieben).

8) Rechnungsprüfungen und Information

Processor will make information available necessary to demonstrate compliance with this DPA and, upon reasonable request, provide recent independent reports or other information (which may include summaries). Formal audits/inspections occur only where required by law or where provided information is insufficient, no more than once every 12 months, on reasonable notice, during normal business hours, and with without undue disruption. Jede Partei trägt ihre eigenen Kosten; Controller erstattet Processor die angemessenen Kosten.

9) Internationale Transfers

Wenn Personaldaten außerhalb des EEA/der UK übertragen werden, ohne dass eine angemessene Entscheidung vorliegt, wird die Kommission die Daten an die zuständigen Behörden weiterleiten. EU Standard Contractual Clauses (2021/914, Module 2 und/oder 3) und, falls anwendbar, die UK Addendum gelten durch Bezugnahme und bilden einen Teil dieses DPA, wobei der Controller als „Datenexporteur“ und der Prozessor (oder der entsprechende Unterprozessor) als „Datenimporteur“ gilt.

10) Aufzeichnungen und Zusammenarbeit

Der Verarbeiter führt die Aufzeichnungen, die von GDPR Art. 30(2) gefordert werden, und wird diese auf Anfrage den Aufsichtsbehörden zur Verfügung stellen.

11) Haftung und Präzedenzfall

Die Haftung unterliegt den Beschränkungen und Ausschlüssen der Vereinbarung. Wenn es einen Konflikt gibt, kontrolliert diese DPA, inwieweit sie die Verarbeitung von persönlichen Daten betrifft.

12) Subprocessors (Live-Liste)

Verarbeitungsort: EU by default.

Subprocessor	Zweck	Ort der Verarbeitung	Kategorien von personenbezogenen Daten	Weitere Informationen
Amazon Web Services, Inc. (AWS)	Hosting & Infrastruktur für die Dienste	EU-Regionen standardmäßig (z.B. Dublin/Frankfurt)	Kunden-/Endnutzer-Kontodaten und Nutzungs-/Logdaten, die in den Diensten gespeichert sind	aws.amazon.com
Intercom R&D Unlimited Company	Customer support tooling (in-app messaging, helpdesk)	EU/EEA by default (abhängig von Intercom’s regionalem Routing)	Customer/admin contact data and support conversation metadata.	intercom.com/legal

Anhang A – Verarbeitungsdetails (GDPR Art. 28(3))

Gegenstand der Angelegenheit: Bereitstellung und Unterstützung der Furious Services.
Duration: Laufzeit der Vereinbarung plus begrenzte Sicherung/Archivierung.
Art & Zweck: Hosting, Speicherung, Übertragung, Anzeige und Verarbeitung, die für die Bereitstellung der Dienste erforderlich sind; Unterstützung; produktinterne Service-Analysen.
Arten von persönlichen Daten: Kontaktdaten (z.B. Namen, E-Mails), Konto-/Profildaten, vom Controller hochgeladene Inhalte (wie vom Controller festgelegt), Service-Nutzung/Log-Daten.
Kategorien von Datensubjekten: Mitarbeiter des Controllers, Auftragnehmer und Endnutzer (wie vom Controller festgelegt).
Controller obligations: Provide lawful instructions and ensure a valid legal basis.

Anhang B – Verwendung von Google-Nutzerdaten

1. Zugang und Nutzung: Die Furious-Anwendung kann über Google APIs (z.B. Gmail, Calendar oder Drive) auf bestimmte Google Nutzerdaten zugreifen, die ausschließlich der Bereitstellung und Verbesserung der Furious Services dienen.- Es wird nur auf die für die gewünschte Funktionalität erforderlichen Mindestdaten zugegriffen.- Google Nutzerdaten werden nicht für Werbe- oder Marketingzwecke verwendet.- Google Nutzerdaten werden nicht verkauft oder vermietet.

2. Weitergabe und Offenlegung: Google-Nutzerdaten werden nicht an Dritte weitergegeben, außer:- An die in Abschnitt 12 dieser Datenschutzerklärung aufgeführten Unterauftragnehmer, die ausschließlich für die Bereitstellung von Hosting und technischer Unterstützung für die Furious Services zuständig sind;- Sofern gesetzlich vorgeschrieben oder gesetzlich vorgeschrieben;- Mit ausdrücklicher Zustimmung des Controllers.

3. Speicherung und Aufbewahrung: Googles Nutzerdaten werden sicher auf Servern in der Europäischen Union (z.B. AWS in Dublin oder Frankfurt) gespeichert und nur so lange aufbewahrt, wie es für die Bereitstellung der Dienste erforderlich ist oder wie es gesetzlich vorgeschrieben ist.

4. Nutzerkontrolle und Löschung: Nutzer können den Zugriff von Furious auf ihre Google-Daten jederzeit über ihre Google-Kontoeinstellungen widerrufen:
Kontoeinstellungen: https://myaccount.google.com/permissions. Nach dem Widerruf oder der Löschung des Kontos löscht Furious die zugehörigen Google-Daten innerhalb eines kommerziell angemessenen Zeitraums. 5. Compliance: Die Nutzung von Google-Nutzerdaten durch Furious entspricht der Google API Services User Data Policy, einschließlich der eingeschränkten Nutzungsbedingungen: https://developers.google.com/terms/api-services-user-data-policy.

CRM, Angebote und kaufmännische Betreuung

Rechnungsstellung, Einkauf und Vorbuchhaltung

Projekt- und Teammanagement

Dienstleistungen & NSE

Agenturen

Beratung & Prüfung

Unsere ebooks

Fallbeispiele

Unsere Nachrichten

Merkblätter

Datenverarbeitungsvereinbarung