zwischen
dem Kunden (im Folgenden: „Verantwortlicher")
– gemäß den Angaben im Vertrag bzw. im Account-Setup –
und
Typzee UG (haftungsbeschränkt)
Geschäftsführer: Eric Fröhlich
Paul-Bertz-Straße 8, 09120 Chemnitz, Deutschland
Amtsgericht Chemnitz, HRB 37269
E-Mail: privacy@fynspark.com
(im Folgenden: „Auftragsverarbeiter" oder „Fynspark")
– beide gemeinsam: „Parteien" –
Der Verantwortliche nutzt die SaaS-Plattform „Fynspark" der Typzee UG (haftungsbeschränkt) auf Grundlage des zwischen den Parteien geschlossenen Hauptvertrags (Nutzungsbedingungen / AGB / Service-Vertrag — im Folgenden: „Hauptvertrag"). Im Rahmen der Leistungserbringung verarbeitet Fynspark personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen. Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO und gilt für sämtliche Verarbeitungen personenbezogener Daten, die Fynspark im Rahmen des Hauptvertrags durchführt.
Diese Vereinbarung ist Bestandteil des Hauptvertrags. Bei Widersprüchen zwischen dieser Vereinbarung und den übrigen Bestandteilen des Hauptvertrags gehen die Regelungen dieser Vereinbarung in datenschutzrechtlichen Fragen vor.
Diese Vereinbarung wird wirksam:
In beiden Fällen entfaltet diese Vereinbarung dieselbe rechtliche Bindungswirkung.
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch Fynspark im Rahmen der Bereitstellung der SaaS-Plattform „Fynspark" gemäß Hauptvertrag. Die Plattform kann KI-gestützte Funktionen zur Erstellung, Optimierung und Verwaltung von Inhalten bereitstellen.
Diese Vereinbarung gilt ab Zustandekommen für die gesamte Laufzeit des Hauptvertrags. Sie endet automatisch mit Beendigung des Hauptvertrags. Pflichten, die ihrem Wesen nach über die Vertragsbeendigung hinauswirken (insbesondere Löschungs-, Geheimhaltungs- und Rückgabepflichten), bleiben bestehen.
Fynspark verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:
Erhebung, Erfassung, Speicherung, Organisation, Ordnen, Strukturierung, Anpassung, Veränderung, Abfrage, Verwendung, Übermittlung, Verbreitung oder andere Form der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschung und Vernichtung personenbezogener Daten.
Die Plattform ist nicht spezifisch für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse, politische oder weltanschauliche Daten, Daten zur sexuellen Orientierung, biometrische oder genetische Daten) oder Daten zu strafrechtlichen Verurteilungen nach Art. 10 DSGVO ausgelegt. Der Verantwortliche sollte solche Daten nur dann in die Plattform einbringen, wenn hierfür eine tragfähige Rechtsgrundlage besteht, die Verarbeitung für den jeweiligen Zweck erforderlich ist und er die damit verbundenen Risiken — insbesondere bei KI-gestützten Funktionen und eingesetzten Sub-Auftragsverarbeitern — zuvor angemessen bewertet hat. Fynspark empfiehlt, besondere Kategorien personenbezogener Daten und Daten nach Art. 10 DSGVO nach Möglichkeit nicht oder nur in anonymisierter bzw. pseudonymisierter Form zu verwenden.
Fynspark verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Der Hauptvertrag und diese Vereinbarung einschließlich der Nutzung der Plattform durch den Verantwortlichen stellen die initialen Weisungen dar.
Weitere Weisungen erteilt der Verantwortliche in Textform an privacy@fynspark.com oder über die zentrale Account-Administration in der Plattform. Mündliche Weisungen werden unverzüglich in Textform bestätigt.
Der Verantwortliche ist für die Rechtmäßigkeit seiner Weisungen verantwortlich.
Fynspark informiert den Verantwortlichen unverzüglich, wenn nach Ansicht von Fynspark eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Fynspark ist berechtigt, die Ausführung der entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
Mehraufwand durch Sonderweisungen, die über die im Hauptvertrag vereinbarten Standardleistungen hinausgehen, kann gesondert berechnet werden.
Fynspark verpflichtet sich, insbesondere:
Der Verantwortliche erteilt Fynspark hiermit die allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO zur Inanspruchnahme weiterer Auftragsverarbeiter (Sub-Auftragsverarbeiter), die zur Erbringung der Leistungen erforderlich sind.
Eine aktuelle Übersicht der eingesetzten Sub-Auftragsverarbeiter wird auf Anfrage an privacy@fynspark.com innerhalb angemessener Frist bereitgestellt. Nicht jeder Sub-Auftragsverarbeiter wird zwingend bei jeder Nutzung oder für jeden Kunden eingesetzt; der konkrete Einsatz hängt von den jeweils genutzten Funktionen, Einstellungen, Zahlungs- und Supportprozessen ab. Zum Zeitpunkt des Vertragsschlusses sind insbesondere folgende Sub-Auftragsverarbeiter eingesetzt:
| Sub-Auftragsverarbeiter | Sitz | Zweck | Datenschutzhinweis des Anbieters |
|---|---|---|---|
| STRATO AG | Deutschland | Hosting der Plattform | strato.de/datenschutz |
| Framer B.V. | Niederlande | Hosting der Marketing-Website | framer.com/legal/privacy-statement |
| Cloudflare Germany GmbH (mit Cloudflare, Inc.) | Deutschland / USA | Content Delivery Network, Sicherheit | cloudflare.com/de-de/privacypolicy |
| Amazon Web Services EMEA SARL (mit Amazon Web Services, Inc.) | Luxemburg / USA | Cloud-Subprozessor von Drittanbietern (insb. KI- und Mail-Dienste) | aws.amazon.com/de/privacy |
| ProspectOne sp. z o.o. (JSDelivr) | Polen | Open-Source-CDN für JavaScript-Bibliotheken | jsdelivr.com/terms/privacy-policy-jsdelivr-net |
| Usercentrics GmbH | Deutschland | Consent Management | usercentrics.com/de/datenschutzerklaerung |
| Functional Software, Inc. d/b/a Sentry | USA | Fehler- und Performance-Monitoring | sentry.io/privacy |
| Uptime Robot Service Provider Ltd. | Vereinigtes Königreich | Externes Verfügbarkeits-Monitoring | uptimerobot.com/privacyPolicy |
| GitHub B.V. (mit GitHub, Inc. / Microsoft Corporation) | Niederlande / USA | Quellcode-Verwaltung und Software-Deployment (keine End-Nutzer-Daten) | docs.github.com/site-policy/privacy-policies |
| Stripe Payments Europe Ltd. (mit Stripe, Inc.) | Irland / USA | Zahlungsabwicklung | stripe.com/de/privacy |
| Intercom R&D Unlimited Company (mit Intercom, Inc.) | Irland / USA | Customer Messaging, Support | intercom.com/legal/privacy |
| HubSpot Ireland Ltd. (mit HubSpot, Inc.) | Irland / USA | Marketing-Automation, Newsletter, CRM | legal.hubspot.com/de/privacy-policy |
| Anthropic, PBC | USA | KI-Inferenz (Text) | anthropic.com/legal/privacy |
| OpenAI Ireland Ltd. (mit OpenAI OpCo, LLC) | Irland / USA | KI-Inferenz (Text/Bild) | openai.com/policies/privacy-policy |
| Google Ireland Ltd. (mit Google LLC) | Irland / USA | KI-Inferenz (Vertex AI / Gemini); Google Fonts und gstatic.com; reCAPTCHA; Single Sign-On (Google Sign-In); Tag Manager, Analytics 4, Ads-Ökosystem inkl. AdServices, DoubleClick, Conversion Linker, Tag Services und Inhalts-/Profilbild-Auslieferung (googleusercontent) | policies.google.com/privacy |
| BFL GmbH | Deutschland | KI-Bildgenerierung | blackforestlabs.ai/privacy-policy |
| Perplexity AI, Inc. | USA | KI-Recherche-Schnittstelle | perplexity.ai/hub/legal/privacy-policy |
| Meta Platforms Ireland Limited (mit Meta Platforms, Inc.) | Irland / USA | Meta Pixel und Meta Conversions API (gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bei der Pixel-Erhebung; im Übrigen eigene Verantwortlichkeit von Meta) | facebook.com/privacy/policy |
| Hotjar Ltd. | Malta | Pseudonyme Verhaltensanalyse | hotjar.com/legal/policies/privacy |
| Contentsquare SAS | Frankreich | Pseudonyme Experience-Analyse | contentsquare.com/privacy-and-security |
| TikTok Technology Limited (mit TikTok Inc.) | Irland / USA / VR China | TikTok Pixel (Reichweiten-, Conversion-Messung); Meta-/TikTok-typische Anbieterrollen können hierbei eigenständige oder gemeinsame Verantwortlichkeit umfassen | tiktok.com/legal/page/eea/privacy-policy/de-DE |
| Twitter International Unlimited Company (mit X Corp.) | Irland / USA | X (Twitter) Advertising Pixel | privacy.x.com/de |
| Clearbit (a HubSpot brand) | USA | B2B-Datenanreicherung; je nach Konstellation eigenständige Verantwortlichkeit des Anbieters | clearbit.com/privacy-policy |
Hinweis zur Rollenverteilung: Soweit einzelne der vorgenannten Anbieter im Hinblick auf einzelne Verarbeitungsvorgänge nach datenschutzrechtlicher Bewertung nicht als Auftragsverarbeiter im Sinne des Art. 28 DSGVO, sondern als eigenständige oder gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO handeln (insbesondere im Bereich Marketing-Pixel und werbenetzwerkbasierter Conversion-Messung), gelten für diese Vorgänge die einschlägigen Regelungen der Datenschutzerklärung sowie die jeweiligen Vereinbarungen des Anbieters. Die Aufnahme eines Anbieters in die vorstehende Übersicht erfolgt zum Zweck transparenter Information und ersetzt diese Rollenbewertung nicht. Eine vollständige Übersicht der Rollen je Verarbeitungsvorgang ist in der Datenschutzerklärung dargestellt.
Fynspark erlegt jedem Sub-Auftragsverarbeiter die Datenschutzpflichten dieser Vereinbarung vertraglich auf, soweit diese auf den jeweiligen Verarbeitungsumfang anwendbar sind. Bei Sub-Auftragsverarbeitern, die ein Standard-Data-Processing-Addendum vorgeben, gelten deren Bedingungen entsprechend, soweit sie das durch die DSGVO geforderte Schutzniveau erreichen.
Fynspark informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Austausch von Sub-Auftragsverarbeitern mit angemessener Vorankündigung (in der Regel mindestens 30 Tage im Voraus) per E-Mail an die im Account hinterlegte Adresse oder durch Veröffentlichung in der Plattform.
Der Verantwortliche kann der Änderung innerhalb von 30 Tagen ab Information aus wichtigem datenschutzrechtlichen Grund widersprechen. Im Widerspruchsfall werden die Parteien gemeinsam eine angemessene Lösung suchen. Kommt eine solche nicht zustande, sind beide Parteien berechtigt, den Hauptvertrag im Hinblick auf die betroffenen Leistungen mit angemessener Frist zu kündigen.
Konzernverbundene Unternehmen der genannten Sub-Auftragsverarbeiter können in die Leistungserbringung eingebunden sein, soweit dies in den jeweiligen Datenschutzinformationen, Subprozessorlisten oder Data-Processing-Addenda des betreffenden Sub-Auftragsverarbeiters vorgesehen ist und ein im Wesentlichen gleichwertiges Datenschutzniveau gewährleistet wird. Soweit hierdurch ein neuer eigenständiger Sub-Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingesetzt wird, gelten die Informations- und Widerspruchsregelungen dieser Vereinbarung.
Reine Nebenleistungen wie Telekommunikationsdienste, Postdienste, Reinigungsdienste oder klassische Wartungsleistungen für Hardware und Software gelten nicht als Sub-Auftragsverarbeitung im Sinne dieser Vereinbarung.
Im Rahmen der Leistungserbringung kann es zur Übermittlung personenbezogener Daten in Drittländer (insbesondere in die USA und das Vereinigte Königreich) kommen, insbesondere durch die in Ziffer 5.2 genannten Sub-Auftragsverarbeiter.
Soweit es im Rahmen der Leistungserbringung zu Übermittlungen in Drittländer kommt, stützt Fynspark diese — abhängig vom jeweiligen Empfänger und Verarbeitungsvorgang — insbesondere auf:
Soweit für den Einsatz von Sub-Auftragsverarbeitern außerhalb des EWR EU-Standardvertragsklauseln erforderlich sind, stellt Fynspark sicher, dass entsprechende vertragliche Garantien in der jeweils anwendbaren Konstellation abgeschlossen werden. Dies erfolgt insbesondere durch Abschluss geeigneter Standardvertragsklauseln oder durch Einbindung in die vom jeweiligen Sub-Auftragsverarbeiter bereitgestellten Data-Processing-Addenda.
Fynspark unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anfragen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III DSGVO (insbesondere Art. 15 bis 22 DSGVO).
Wendet sich eine betroffene Person direkt an Fynspark, wird Fynspark die Anfrage unverzüglich an den Verantwortlichen weiterleiten und nicht eigenständig beantworten, es sei denn, dies ist gesetzlich vorgeschrieben oder mit dem Verantwortlichen anders vereinbart.
Soweit verfügbar, kann Fynspark dem Verantwortlichen in der Plattform Funktionen bereitstellen, mit denen der Verantwortliche Betroffenenrechte selbständig umsetzen kann (insbesondere Datenexport, Löschung von Inhalten und Accounts).
Über die in der Plattform verfügbaren Standardfunktionen hinausgehende Unterstützungsleistungen kann Fynspark nach Aufwand berechnen.
Fynspark informiert den Verantwortlichen unverzüglich nach Kenntniserlangung über jede Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die Daten des Verantwortlichen betrifft. Die Meldung erfolgt so rechtzeitig, dass der Verantwortliche seine eigene Meldepflicht nach Art. 33 DSGVO (innerhalb von 72 Stunden) einhalten kann.
Die Meldung enthält, soweit zum Zeitpunkt der Information verfügbar:
Weitere Informationen werden nachgereicht, sobald sie verfügbar sind.
Fynspark unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten nach:
Fynspark stellt dem Verantwortlichen die zur Erfüllung der gesetzlichen Nachweispflichten angemessen erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Diese umfassen insbesondere:
Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung durch Fynspark zu überprüfen. Das Audit-Recht wird vorrangig durch Bereitstellung von Auskünften, Testaten und Selbst-Auskunftsbögen erfüllt.
Reichen diese im Einzelfall nicht aus, kann der Verantwortliche nach vorheriger Anmeldung mit angemessener Frist (in der Regel mindestens 30 Tage) während der üblichen Geschäftszeiten eine Vor-Ort-Prüfung durchführen oder durch einen sachverständigen Dritten durchführen lassen, der zur Verschwiegenheit verpflichtet ist und nicht in einem Wettbewerbsverhältnis zu Fynspark steht.
Vor-Ort-Audits sind auf einmal pro Kalenderjahr begrenzt, es sei denn, es liegen besondere Anhaltspunkte für einen Datenschutzverstoß vor oder eine zuständige Aufsichtsbehörde verlangt eine zusätzliche Prüfung.
Der Aufwand von Fynspark für die Mitwirkung an Audits kann nach tatsächlichem Aufwand berechnet werden, soweit das Audit nicht durch einen konkret nachgewiesenen Verstoß von Fynspark veranlasst ist.
Nach Beendigung des Hauptvertrags wird Fynspark nach Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten zurückgeben oder löschen.
Sofern der Verantwortliche innerhalb von 30 Tagen nach Vertragsende keine abweichende Weisung erteilt, wird Fynspark die Daten löschen.
Der Verantwortliche kann seine Daten über die in der Plattform bereitgestellten Export-Funktionen jederzeit während der Vertragslaufzeit selbst exportieren.
Die Löschung erfolgt regelmäßig innerhalb von 30 Tagen aus der Produktivumgebung. Aus Backups werden Daten im Rahmen des Backup-Rotationszyklus entfernt (regelmäßig innerhalb von 90 Tagen).
Gesetzliche Aufbewahrungspflichten (insbesondere nach §§ 257 HGB, 147 AO) bleiben unberührt. Daten, die solchen Aufbewahrungspflichten unterliegen, werden während der gesetzlichen Frist gesperrt und nur für die vorgeschriebenen Zwecke verarbeitet.
Die Haftung der Parteien richtet sich nach den Regelungen des Hauptvertrags. Art. 82 DSGVO sowie zwingende gesetzliche Haftungsregelungen bleiben unberührt.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
Soweit gesetzlich zulässig, ist Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung der Sitz von Fynspark (Chemnitz).
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für die Änderung dieser Klausel selbst.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung tritt eine wirksame und durchführbare Regelung, deren Wirkung der wirtschaftlichen Zielsetzung am nächsten kommt, die die Parteien mit der unwirksamen Bestimmung verfolgt haben.
Bei Widersprüchen zwischen Regelungen dieser Vereinbarung und Regelungen anderer Vertragsbestandteile gehen die Regelungen dieser Vereinbarung in datenschutzrechtlichen Fragen vor. Im Übrigen gelten die Regelungen des Hauptvertrags.
Fynspark setzt technische und organisatorische Maßnahmen ein, die unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten betroffener Personen angemessen sind. Die Maßnahmen orientieren sich an der Größe, Struktur und technischen Ausgestaltung des Unternehmens sowie an der jeweils eingesetzten Infrastruktur. Die nachfolgende Beschreibung gibt den Stand zum Zeitpunkt des Vertragsschlusses wieder; Anpassungen im Rahmen technischer, organisatorischer oder rechtlicher Weiterentwicklung bleiben vorbehalten.
Die jeweils aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter wird auf Anfrage an privacy@fynspark.com bereitgestellt. Eine zum Zeitpunkt des Vertragsschlusses gültige Übersicht ist in Ziffer 5.2 dieser Vereinbarung enthalten.