DATENVERARBEITUNGSVERTRAG (DPA)

Inkrafttreten: 23. Juni 2025 Zuletzt aktualisiert: 23. Juni 2025

1. EINFÜHRUNG UND GELTUNGSBEREICH

Dieser Datenverarbeitungsvertrag („DPA“) bildet Teil der Dienstleistungsvereinbarung zwischen MICRO DIGITAL ELECTRONICS CORP S.R.L. („Auftragsverarbeiter“, „wir“, „uns“ oder „unser“) und der Vertragspartei („Verantwortlicher“, „Sie“ oder „Ihr“) für die Bereitstellung von Informationsdienstleistungen im Zusammenhang mit dem VENDOR-Energieprojekt über https://vendor.energy. Dieser DPA regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen in Übereinstimmung mit:
  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO“)
  • Gesetz Nr. 190/2018 zur Umsetzung der DSGVO in Rumänien
  • Rumänisches Gesetz Nr. 506/2004 über die Verarbeitung personenbezogener Daten
  • Andere anwendbare Datenschutzgesetze

2. AUFTRAGSVERARBEITER-INFORMATIONEN

Rechtsperson: MICRO DIGITAL ELECTRONICS CORP S.R.L. Registrierungsnummer: 50047468 Adresse: Splaiul Unirii nr. 16, Büro 705, Bukarest, Sektor 4, Rumänien EUID: ROONRC.J2024009262405 Datenschutz-Kontakt: Vitaly Peretyachenko E-Mail: vp@vendor.energy Adresse: Splaiul Unirii nr. 16, Büro 705, Bukarest, Sektor 4, Rumänien

3. DEFINITIONEN

Für die Zwecke dieses DPA:

3.1 DSGVO-Definitionen

  • „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt
  • „Auftragsverarbeiter“ bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
  • „Personenbezogene Daten“ bezeichnen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
  • „Verarbeitung“ bezeichnet jeden mit personenbezogenen Daten durchgeführten Vorgang
  • „Betroffene Person“ bezeichnet die identifizierte oder identifizierbare natürliche Person
  • „Aufsichtsbehörde“ bezeichnet die unabhängige öffentliche Behörde, die für die Überwachung der DSGVO-Compliance zuständig ist

3.2 Dienstleistungsspezifische Definitionen

  • „Dienstleistungsvereinbarung“ bezeichnet die Hauptvereinbarung für Informationsdienstleistungen
  • „Autorisiertes Personal“ bezeichnet Mitarbeiter und Auftragnehmer, die zum Zugriff auf personenbezogene Daten berechtigt sind
  • „Sicherheitsvorfall“ bezeichnet jede Verletzung der Sicherheit, die zur Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt

4. GEGENSTAND UND DAUER

4.1 Gegenstand

Der Gegenstand dieses DPA ist die Verarbeitung personenbezogener Daten, die erforderlich ist für:
  • Verwaltung von Geschäftskommunikation und Anfragen
  • Bereitstellung von Projektinformationen und Updates
  • Erleichterung von Investor Relations und Kommunikation
  • Pflege von Kontaktdatenbanken und Kommunikationspräferenzen
  • Verarbeitung von Newsletter-Abonnements und Marketing-Kommunikation

4.2 Dauer

Dieser DPA bleibt für die Dauer der Dienstleistungsvereinbarung in Kraft und besteht fort, bis alle personenbezogenen Daten gelöscht oder an den Verantwortlichen zurückgegeben wurden, wie hierin spezifiziert.

4.3 Art und Zweck der Verarbeitung

Die Verarbeitung ist auf Aktivitäten beschränkt, die für die Bereitstellung von Informationsdienstleistungen über das VENDOR-Energieprojekt und die Aufrechterhaltung von Geschäftsbeziehungen mit potenziellen Investoren und Partnern erforderlich sind.

5. KATEGORIEN VON DATEN UND BETROFFENEN PERSONEN

5.1 Kategorien betroffener Personen

Personenbezogene Daten können sich beziehen auf:
  • Geschäftskontakte: Vertreter von Partnerunternehmen, Investoren und Stakeholdern
  • Newsletter-Abonnenten: Personen, die Projekt-Updates abonniert haben
  • Anfragekontakte: Personen, die Kontaktformulare oder Anfragen eingereicht haben
  • Website-Besucher: Personen, die auf unsere Website zugreifen (nur Analysedaten)

5.2 Kategorien personenbezogener Daten

Der Auftragsverarbeiter kann die folgenden Kategorien personenbezogener Daten verarbeiten: Kontaktinformationen:
  • Vollständiger Name und Titel
  • E-Mail-Adresse
  • Telefonnummer
  • Firmenname und Position
  • LinkedIn-Profil-URL
Kommunikationsdaten:
  • Anfrageinhalte und Nachrichten
  • Kommunikationspräferenzen
  • Abonnementstatus und Präferenzen
  • Antwort- und Engagement-Daten
Technische Daten (Website-Analyse):
  • IP-Adresse (soweit möglich anonymisiert)
  • Browser- und Geräteinformationen
  • Website-Nutzungsmuster
  • Zugriffsprotokolle und Zeitstempel

6. AUFTRAGSVERARBEITER-VERPFLICHTUNGEN

6.1 Verarbeitungsanweisungen

Der Auftragsverarbeiter wird:
  • Personenbezogene Daten nur auf dokumentierte Anweisungen des Verantwortlichen verarbeiten
  • Personenbezogene Daten nicht für andere Zwecke ohne vorherige schriftliche Genehmigung verarbeiten
  • Den Verantwortlichen unverzüglich informieren, wenn Anweisungen gegen geltendes Datenschutzrecht zu verstoßen scheinen
  • Aufzeichnungen aller Verarbeitungsaktivitäten gemäß Artikel 30 DSGVO führen

6.2 Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass:
  • Alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind
  • Vertraulichkeitsverpflichtungen das Ende der Beschäftigung oder des Auftrags überdauern
  • Der Zugang zu personenbezogenen Daten nur auf autorisiertes Personal beschränkt ist
  • Regelmäßige Schulungen zu Datenschutzanforderungen bereitgestellt werden

6.3 Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert angemessene technische und organisatorische Maßnahmen einschließlich: Technische Maßnahmen:
  • Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand
  • Regelmäßige Sicherheitsupdates und Patch-Management
  • Zugriffskontrollen und Authentifizierungssysteme
  • Netzwerksicherheit und Firewall-Schutz
  • Regelmäßige Sicherheitsüberwachung und Vorfallserkennung
Organisatorische Maßnahmen:
  • Datenschutzrichtlinien und -verfahren
  • Regelmäßige Mitarbeiterschulungen zum Datenschutz
  • Verfahren zur Reaktion auf Vorfälle
  • Lieferantenmanagement und Due Diligence
  • Regelmäßige Sicherheitsbewertungen und Audits

7. UNTERAUFTRAGSVERARBEITUNG

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt eine allgemeine Genehmigung für den Auftragsverarbeiter zur Beauftragung von Unterauftragsverarbeitern, vorbehaltlich der in diesem Abschnitt festgelegten Bedingungen.

7.2 Aktuelle Unterauftragsverarbeiter

Der Auftragsverarbeiter beauftragt derzeit die folgenden Unterauftragsverarbeiter:
Unterauftragsverarbeiter Dienstleistung Standort Schutzmaßnahmen
Google LLC Analysedienste USA/EU EU-US DPF, SCCs
EU-Hosting-Anbieter Web-Hosting EU Angemessenheitsbeschluss
E-Mail-Dienstanbieter E-Mail-Kommunikation EU Angemessenheitsbeschluss

7.3 Neue Unterauftragsverarbeiter

Vor der Beauftragung neuer Unterauftragsverarbeiter wird der Auftragsverarbeiter:
  • Angemessene Due Diligence durchführen
  • Angemessene Datenschutzschutzmaßnahmen sicherstellen
  • Den Verantwortlichen mit mindestens 30 Tagen Vorlaufzeit benachrichtigen
  • Dem Verantwortlichen erlauben, der Beauftragung zu widersprechen

7.4 Anforderungen an Unterauftragsverarbeiter

Alle Unterauftragsverarbeiter müssen:
  • Ausreichende Garantien für technische und organisatorische Maßnahmen bieten
  • Durch schriftliche Vereinbarungen mit Datenschutzverpflichtungen gebunden sein, die diesem DPA entsprechen
  • Audits und Inspektionen durch den Auftragsverarbeiter und Verantwortlichen ermöglichen
  • Den Auftragsverarbeiter unverzüglich über Sicherheitsvorfälle benachrichtigen

8. RECHTE BETROFFENER PERSONEN

8.1 Unterstützung bei Anfragen betroffener Personen

Der Auftragsverarbeiter wird den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen unterstützen durch:
  • Bereitstellung technischer und organisatorischer Maßnahmen zur Ermöglichung der Rechtsausübung
  • Prompte Weiterleitung aller direkt erhaltenen Anfragen betroffener Personen
  • Bereitstellung notwendiger Informationen und Unterstützung innerhalb von 10 Werktagen
  • Implementierung von Maßnahmen zur Erleichterung automatisierter Rechtsausübung, wo möglich

8.2 Unterstützung spezifischer Rechte

Der Auftragsverarbeiter bietet Unterstützung für: Auskunftsrecht (Artikel 15):
  • Bereitstellung von Kopien verarbeiteter personenbezogener Daten
  • Bestätigung von Verarbeitungsaktivitäten und -zwecken
  • Identifizierung von Unterauftragsverarbeitern und Datenempfängern
Recht auf Berichtigung (Artikel 16):
  • Korrektur unrichtiger personenbezogener Daten
  • Vervollständigung unvollständiger personenbezogener Daten
  • Benachrichtigung relevanter Unterauftragsverarbeiter über Änderungen
Recht auf Löschung (Artikel 17):
  • Sichere Löschung personenbezogener Daten bei Bedarf
  • Sicherstellung der Löschung durch Unterauftragsverarbeiter
  • Bereitstellung einer Löschungsbestätigung
Recht auf Einschränkung der Verarbeitung (Artikel 18):
  • Implementierung von Verarbeitungseinschränkungen
  • Angemessene Kennzeichnung eingeschränkter Daten
  • Sicherstellung, dass Einschränkungen von Unterauftragsverarbeitern beachtet werden
Recht auf Datenübertragbarkeit (Artikel 20):
  • Bereitstellung von Daten in strukturiertem, maschinenlesbarem Format
  • Erleichterung direkter Übertragung an andere Verantwortliche, wo technisch machbar

9. VERLETZUNGEN PERSONENBEZOGENER DATEN

9.1 Vorfallserkennung und -reaktion

Der Auftragsverarbeiter wird:
  • Systeme zur prompten Erkennung von Sicherheitsvorfällen implementieren
  • Sofort auf die Eindämmung und Bewertung jedes Vorfalls reagieren
  • Ursache, Umfang und Auswirkungen von Vorfällen untersuchen
  • Alle Vorfälle und ergriffenen Reaktionsmaßnahmen dokumentieren

9.2 Benachrichtigungsanforderungen

Nach Kenntniserlangung einer Verletzung personenbezogener Daten wird der Auftragsverarbeiter:
  • Den Verantwortlichen unverzüglich und spätestens innerhalb von 24 Stunden benachrichtigen
  • Alle verfügbaren Informationen über den Vorfall bereitstellen
  • Vollständig bei der Vorfallsbewertung und -reaktion kooperieren
  • Bei Bedarf bei behördlichen Meldungen unterstützen

9.3 Verletzungsinformationen

Verletzungsmeldungen müssen enthalten:
  • Art der Verletzung und Kategorien betroffener Daten
  • Anzahl betroffener Personen und personenbezogener Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung
  • Kontaktinformationen für weitere Informationen

9.4 Behebung

Der Auftragsverarbeiter wird:
  • Sofortige Maßnahmen zur Schadensbegrenzung ergreifen
  • Zusätzliche Schutzmaßnahmen zur Verhinderung von Wiederholungen implementieren
  • Regelmäßige Updates zum Behebungsfortschritt bereitstellen
  • Kosten der Behebung tragen, es sei denn, sie wurden durch Handlungen des Verantwortlichen verursacht

10. DATENÜBERTRAGUNGEN

10.1 Zulässige Übertragungen

Personenbezogene Daten können übertragen werden an:
  • EU/EWR-Länder: Angemessenheitsbeschlüsse gelten
  • Drittländer mit Angemessenheitsbeschlüssen: Wie von der Europäischen Kommission bestimmt
  • Drittländer mit angemessenen Schutzmaßnahmen: Unter Verwendung von SCCs, BCRs oder Zertifizierungsschemata

10.2 Übertragungsschutzmaßnahmen

Für Übertragungen in Drittländer ohne Angemessenheitsbeschlüsse:
  • Standardvertragsklauseln (SCCs): EU-genehmigte Vertragsbedingungen
  • Transfer Impact Assessments: Bewertung lokaler Gesetze und Praktiken
  • Zusätzliche Schutzmaßnahmen: Technische Maßnahmen für Datenschutz
  • Regelmäßige Überprüfungen: Laufende Bewertung der Übertragungsbedingungen

10.3 Eingeschränkte Übertragungen

Der Auftragsverarbeiter wird personenbezogene Daten nicht übertragen an:
  • Länder ohne angemessenen Schutz oder Schutzmaßnahmen
  • Organisationen, die keinen gleichwertigen Schutz bieten können
  • Jurisdiktionen, in denen lokale Gesetze den Schutz untergraben könnten

11. AUDITS UND COMPLIANCE

11.1 Audit-Rechte

Der Verantwortliche hat das Recht:
  • Audits der Datenschutz-Compliance des Auftragsverarbeiters durchzuführen
  • Relevante Dokumentation und Systeme zu inspizieren
  • Autorisiertes Personal zu Datenschutzpraktiken zu befragen
  • Qualifizierte Drittanbieter-Auditoren zu beauftragen

11.2 Audit-Verfahren

Audits werden durchgeführt:
  • Mit angemessener Vorankündigung (mindestens 30 Tage)
  • Während normaler Geschäftszeiten
  • Ohne Störung des normalen Geschäftsbetriebs
  • Unter angemessenen Vertraulichkeitsvereinbarungen

11.3 Audit-Kosten

  • Der Verantwortliche trägt die Kosten für jährlich durchgeführte Audits
  • Zusätzliche Audits können auf Kosten des Auftragsverarbeiters gehen, wenn Non-Compliance festgestellt wird
  • Notfall-Audits nach Sicherheitsvorfällen gehen zu Lasten des Auftragsverarbeiters

11.4 Compliance-Überwachung

Der Auftragsverarbeiter führt:
  • Regelmäßige Selbstbewertung der Compliance
  • Dokumentation aller Datenschutzmaßnahmen
  • Aufzeichnungen von Mitarbeiterschulungen und Sensibilisierungsprogrammen
  • Nachweis technischer und organisatorischer Maßnahmen

12. DATENAUFBEWAHRUNG UND -LÖSCHUNG

12.1 Aufbewahrungsfristen

Personenbezogene Daten werden nur für den Zeitraum aufbewahrt, der zur Erfüllung der Zwecke erforderlich ist, für die sie erhoben wurden:
  • Kontaktdaten: 3 Jahre ab letzter Interaktion oder bis zur Löschungsanfrage
  • Newsletter-Abonnements: Bis zur Abmeldung oder Löschungsanfrage
  • Investor-Kommunikation: 7 Jahre für rechtliche Compliance
  • Website-Analyse: 26 Monate (Google Analytics Standard)

12.2 Sichere Löschung

Nach Ablauf der Aufbewahrungsfristen oder auf Anweisung des Verantwortlichen wird der Auftragsverarbeiter:
  • Alle personenbezogenen Daten aus allen Systemen sicher löschen
  • Löschung durch alle Unterauftragsverarbeiter sicherstellen
  • Schriftliche Bestätigung der Löschung bereitstellen
  • Aufzeichnungen der Löschung für Compliance-Zwecke führen

12.3 Rechtliche Aufbewahrungspflichten

Die Löschung kann ausgesetzt werden, wenn:
  • Gerichtsverfahren anhängig oder zu erwarten sind
  • Behördliche Untersuchungen laufen
  • Gesetzliche Aufbewahrungsfristen gelten
  • Der Verantwortliche spezifische schriftliche Anweisungen erteilt

13. RÜCKGABE VON DATEN

13.1 Datenrückgabeverfahren

Bei Beendigung der Dienstleistungsvereinbarung oder auf Anfrage wird der Auftragsverarbeiter:
  • Alle personenbezogenen Daten in strukturiertem, allgemein verwendetem Format an den Verantwortlichen zurückgeben
  • Alle Kopien aus Auftragsverarbeiter-Systemen und Unterauftragsverarbeiter-Systemen löschen
  • Löschungsbestätigung innerhalb von 30 Tagen bereitstellen
  • Backup-Kopien nur behalten, wenn gesetzlich vorgeschrieben

13.2 Datenformat

Zurückgegebene Daten werden bereitgestellt in:
  • Maschinenlesbarem Format (CSV, JSON, XML)
  • Verschlüsseltem Format für Sicherheit
  • Organisierter Struktur für einfachen Import
  • Vollständiger Dokumentation von Datenfeldern und Formaten

14. HAFTUNG UND ENTSCHÄDIGUNG

14.1 Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet für durch Verarbeitung verursachte Schäden nur dann, wenn:
  • Er DSGVO-Verpflichtungen, die speziell an Auftragsverarbeiter gerichtet sind, nicht eingehalten hat
  • Er außerhalb oder entgegen rechtmäßigen Anweisungen des Verantwortlichen gehandelt hat

14.2 Haftungsbeschränkung

Die Gesamthaftung des Auftragsverarbeiters unter diesem DPA übersteigt nicht die Gesamtgebühren, die unter der Dienstleistungsvereinbarung in den 12 Monaten vor der Geltendmachung gezahlt wurden.

14.3 Entschädigung

Der Auftragsverarbeiter entschädigt den Verantwortlichen gegen:
  • Behördliche Bußgelder aufgrund von Non-Compliance des Auftragsverarbeiters
  • Drittansprüche aufgrund von Verletzungen dieses DPA durch den Auftragsverarbeiter
  • Kosten obligatorischer Datenschutzverletzungsmeldungen, die durch den Auftragsverarbeiter verursacht wurden

14.4 Versicherung

Der Auftragsverarbeiter unterhält angemessene Berufshaftpflicht- und Cyber-Versicherungsschutz zur Unterstützung seiner Verpflichtungen unter diesem DPA.

15. BEENDIGUNG

15.1 Beendigungsereignisse

Dieser DPA endet:
  • Bei Ablauf oder Beendigung der Dienstleistungsvereinbarung
  • Nach Erfüllung aller Datenrückgabe- und Löschungsverpflichtungen
  • Durch einvernehmliche schriftliche Vereinbarung der Parteien
  • Bei wesentlicher Verletzung, die nicht innerhalb von 30 Tagen behoben wird

15.2 Fortbestehen

Die folgenden Bestimmungen überdauern die Beendigung:
  • Datenrückgabe- und Löschungsverpflichtungen
  • Vertraulichkeitsanforderungen
  • Haftungs- und Entschädigungsbestimmungen
  • Audit-Rechte zur laufenden Compliance-Verifizierung

16. ANWENDBARES RECHT UND STREITIGKEITEN

16.1 Anwendbares Recht

Dieser DPA unterliegt rumänischem Recht und EU-Verordnungen, einschließlich der DSGVO.

16.2 Streitbeilegung

Streitigkeiten werden beigelegt durch:
  • Primäre Gerichtsbarkeit: Zuständige Gerichte von Bukarest, Rumänien
  • Alternative Streitbeilegung: Mediation durch anerkannte ADR-Stellen
  • Einstweiliger Rechtsschutz: Jede Partei kann einstweiligen Rechtsschutz bei Datenschutzverletzungen suchen

16.3 Behördliche Zusammenarbeit

Beide Parteien verpflichten sich zur vollständigen Zusammenarbeit mit:
  • Aufsichtsbehörden bei ihren Untersuchungen
  • Beschwerdeverfahren betroffener Personen
  • Behördlichen Durchsetzungsmaßnahmen

17. ÄNDERUNGEN UND UPDATES

17.1 Änderungsverfahren

Dieser DPA kann geändert werden:
  • Durch einvernehmliche schriftliche Vereinbarung der Parteien
  • Zur Einhaltung von Änderungen des anwendbaren Rechts
  • Zur Widerspiegelung von Änderungen in Verarbeitungsaktivitäten oder Technologie

17.2 Regulatorische Updates

Der Auftragsverarbeiter wird den Verantwortlichen benachrichtigen über:
  • Änderungen in der Datenschutzgesetzgebung
  • Neue Leitlinien von Aufsichtsbehörden
  • Entwicklungen bei branchenüblichen Best Practices

18. KONTAKTINFORMATIONEN

Für DPA-bezogene Angelegenheiten: Datenschutzbeauftragter: Vitaly Peretyachenko MICRO DIGITAL ELECTRONICS CORP S.R.L. E-Mail: vp@vendor.energy Adresse: Splaiul Unirii nr. 16, Büro 705, Bukarest, Sektor 4, Rumänien Allgemeiner Kontakt: E-Mail: info@vendor.energy Rumänische Aufsichtsbehörde: ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) Website: anspdcp.ro E-Mail: anspdcp@dataprotection.ro
Dieser Datenverarbeitungsvertrag ist ab dem oben erstmals angegebenen Datum wirksam und bleibt gemäß seinen Bestimmungen in Kraft. Durch die Inanspruchnahme unserer Dienstleistungen bestätigt und stimmt der Verantwortliche den Bedingungen dieses DPA zu.
MICRO DIGITAL ELECTRONICS CORP S.R.L. Auftragsverarbeiter Datum: 23. Juni 2025 _____________________ Unterschrift Verantwortlicher Unternehmen: ________________ Name: ________________ Titel: ________________ Datum: ________________