Datenschutz- & Auftragsverarbeitungs-Anhang (DPA)

Veröffentlicht am: 15. Januar 2025 · Gültig ab: 15. Januar 2025 · Version: 1.0

Unverbindliche Zusammenfassung

Dieser Anhang regelt, wann Zlox als Auftragsverarbeiter für den Händler handelt, Sicherheitserwartungen, Unterauftragsverarbeiter und Übermittlungen, Meldung von Verletzungen sowie Löschung oder Rückgabe von Daten.

Inhalt

  • Rollenverteilung
  • Weisungen und Umfang
  • Sicherheitsmaßnahmen
  • Unterauftragsverarbeiter und internationale Übermittlungen
  • Betroffenenrechte und Vorfallsbearbeitung
  • Audits, Aufbewahrung, Rückgabe/Löschung
  • Anhänge und Änderungsprotokoll

1. Rollenverteilung

Zlox ist eigenverantwortlicher Verantwortliche für eigene Zwecke (Sicherheit, Betrugsbekämpfung, Analytics, Rechtskonformität, Produktverwaltung). Für Kundendaten allein auf Weisung des Merchants ist der Merchant Verantwortliche und Zlox Auftragsverarbeiter.

2. Weisungen und Umfang

Zlox verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Merchants, sofern nicht gesetzlich anders vorgegeben. Der Merchant gewährleistet Rechtsgrundlage, Transparenz und Rechteverwaltung.

3. Sicherheitsmaßnahmen

Zlox setzt angemessene technische und organisatorische Maßnahmen ein, u.a. Verschlüsselung während der Übertragung, Zugriffskontrollen, Rollentrennung, Protokollierung, Schwachstellenmanagement, Backups und Incident-Response, risikogerecht.

4. Unterauftragsverarbeiter und Übermittlungen

Zlox kann Unterauftragsverarbeiter mit schriftlichen Verpflichtungen von wesentlich gleicher Stärke einsetzen. Für Übermittlungen außerhalb EWR/UK/CH gelten zulässige Garantien (SCC, erg. Maßnahmen bei Bedarf).

5. Betroffenenrechte und Datenpannen

Zlox leistet angemessene Unterstützung bei Rechtsanfragen und DSFA wo erforderlich. Zlox benachrichtigt den Merchant unverzüglich nach Bekanntwerden einer Panne, die merchant-kontrollierte Daten betrifft.

6. Audits, Aufbewahrung, Rückgabe/Löschung

Zlox stellt zum Nachweis der Compliance angemessene Informationen bereit. Audits sind auf angemessene Häufigkeit, Vertraulichkeit und ohne Störung des sicheren Betriebs beschränkt. Bei Ende der Vereinbarung Löschung oder Rückgabe nach Weisung, sofern keine gesetzliche Aufbewahrung.

7. Anhänge und Protokoll

Anhang A: Gegenstand, Dauer, Datenkategorien und betroffene Personen.

Anhang B: Sicherheitskontrollen (Kurzfassung).

Anhang C: Liste Unterauftragsverarbeiter und Transferinstrumente.

Anhang D: Aufbewahrung/Lösch-Matrix.

  • v1.0 (2025-01-15): Erste DPA-Gliederung

Implementierungshinweise (nicht rechtsverbindlich)

  • DPA-Annahme oder Gegenzeichnung für Merchant-Org-Admin
  • Unterauftragsverarbeiterliste mit Revisionhistorie
  • Intake Betroffenenanfragen und SLA im Support
  • Protokolle Löschung/Rückgabe und Aufbewahrungsausnahmen