Die sichere, faire und transparente Verarbeitung personenbezogener Daten ist uns bei InnoCraft äußerst wichtig. Um die personenbezogenen Daten von Einzelpersonen besser zu schützen, bieten wir diese Vereinbarung an, um InnoCraft und die Verarbeitung personenbezogener Daten in Ihrem Namen zu regeln.

Definitionen

1. "Kunde" bezieht sich auf die Organisation, die den Dienst nutzt;
2. "Wir" oder "Innocraft" bezieht sich auf InnoCraft Ltd, 7 Waterloo Quay, Postfach 625, 6140 Wellington, Neuseeland;
3. Im Zuge der Bereitstellung der Matomo Analytics Cloud zur Analyse des Online-Verhaltens der Besucher der Website des Kunden oder der Nutzer der App des Kunden ("Service") gegenüber dem Kunden kann InnoCraft personenbezogene Daten im Auftrag des Kunden verarbeiten.
4. In dieser Datenverarbeitungsvereinbarung ("DPA") bezeichnet "Datenschutzgesetzgebung" die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und alle anderen anwendbaren Gesetze in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz, die in einer relevanten Gerichtsbarkeit bestehen können;
5. "Datenverantwortlicher", "Datenverarbeiter", "Beauftragte Person", "personenbezogene Daten", "Verarbeitung" und "angemessene technische und organisatorische Maßnahmen" sind in Übereinstimmung mit den Datenschutzgesetzen auszulegen;
6. Die Parteien stimmen zu, dass der Kunde der Datenverantwortliche ist und dass InnoCraft sein Datenverarbeiter in Bezug auf personenbezogene Daten ist, die im Rahmen der Bereitstellung des Dienstes verarbeitet werden.

Art und Zweck der beabsichtigten Verarbeitung personenbezogener Daten

Der Zweck der Datenverarbeitung ist die statistische Bewertung und Analyse der Leistung und des Nutzungsverhaltens von Personen auf den Websites oder Apps des Verantwortlichen (Kunden). Dies kann auf anonyme oder zumindest pseudonymisierte Weise erfolgen. Der Auftragsverarbeiter (InnoCraft) verfolgt mit dieser Datenverarbeitung keine eigenen Zwecke.

Verarbeitung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen (Kunde)

1. Je nachdem, wie der für die Verarbeitung Verantwortliche den Dienst nutzt, kann der Gegenstand der Verarbeitung personenbezogener Daten die folgenden Arten/Kategorien von Daten umfassen:
   • IP-Adresse (standardmäßig wird die IP-Adresse anonym gespeichert)
   • Stadt, Region, Land, Längengrad/Breitengrad (Breitengrad und Längengrad befinden sich oft in der Nähe des Bevölkerungszentrums. Diese Werte sind nicht genau und können nicht zur Identifizierung einer bestimmten Adresse oder eines bestimmten Haushalts verwendet werden.)
   • Browser, Browserversion, Gerätetyp, Betriebssystem, Benutzeragent
   • Datum, Uhrzeit, Zeitzone
   • besuchte Seiten (Seiten-URLs und Seitentitel)
   • Bildschirme besucht
   • Empfehlungs-URL
   • URL-Parameter der Marketingkampagne
   • Dateien angeklickt und heruntergeladen
   • Links zu einer externen Domain, auf die geklickt wurde
   • Bildschirmauflösung
   • Sitzungsaufzeichnung, in der die HTML-Seite und alle Mausereignisse (Bewegungen, Schriftrollen, Standorte und Klicks) sowie Tastendrücke gespeichert werden
   • Suchbegriffe, die in der Suchmaschine einer internen mobilen oder Web-Eigenschaften verwendet werden
   • benutzerdefinierte Dimensionen und benutzerdefinierte Variablen (alle persönlichen oder nicht personenbezogenen Daten, die der Verantwortliche verarbeiten möchte)
   • benutzerdefinierte Veranstaltungen
   • Inhaltsstücke
   • JavaScript-Fehler
   • Benutzer-ID
   • E-Commerce-Bestell-ID, Bestellung dDate
   • E-Commerce verlassene Einkaufswagen
   • Medientitel und URLs
   • Teilnahme an A/B-Tests
2. Die Gruppe der betroffenen Personen, die von der Verarbeitung ihrer personenbezogenen Daten im Rahmen dieser Vereinbarung betroffen sind, umfasst Endbenutzer der Websites und Apps des für die Verarbeitung Verantwortlichen, die den Dienst nutzen.

Die Verpflichtungen des Prozessors (InnoCraft) in Bezug auf den Controller

1. Der Auftragsverarbeiter (InnoCraft) verarbeitet die personenbezogenen Daten des für die Verarbeitung Verantwortlichen (Kunde) nur in Übereinstimmung mit den Anweisungen des für die Verarbeitung Verantwortlichen (Kunde) über die Einstellungen des Dienstes, d.h. (a) um die für die Bereitstellung des Dienstes verwendete Infrastruktur zu betreiben, zu warten und zu unterstützen; (b) um die Anweisungen des für die Verarbeitung des Der Auftragsverarbeiter (InnoCraft) garantiert die Vertraulichkeit der im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten.
2. Der Auftragsverarbeiter (InnoCraft) verarbeitet die personenbezogenen Daten des für die Verarbeitung Verantwortlichen (Kunden) nur in Übereinstimmung mit der Vereinbarung. Der Auftragsverarbeiter (InnoCraft) benachrichtigt den für die Verarbeitung Verantwortlichen (Kunde) unverzüglich, wenn nach Ansicht des Auftragsverarbeiters eine Anweisung des für die Verarbeitung Verantwortlichen (Kunde) gegen die Daten verstößt, gegen die Datenschutzgesetzgebung verstößt.
3. Wenn eine betroffene Person ihre Rechte als betroffene Person direkt gegenüber dem Auftragsverarbeiter (InnoCraft) geltend gemacht hat, wird diese Anfrage unverzüglich an den für die Verarbeitung Verantwortlichen (Kunden) weitergeleitet. Der Auftragsverarbeiter (InnoCraft) darf die Verarbeitung der im Rahmen des Vertrags verarbeiteten Daten nicht nicht nicht korrigieren, löschen, einschränken oder bereitstellen, sondern nur in Übereinstimmung mit den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen (Kunde), es sei denn, dies ist gesetzlich oder die Nutzungsbedingungen erforderlich.
4. Jede Übermittlung personenbezogener Daten in ein Land, das weder Mitglied der EU noch des EWR ist, bedarf der vorherigen Zustimmung des für die Verarbeitung Verantwortlichen (Kunde) und darf nur erfolgen, wenn die Anforderungen von Art. 44 der DSGVO erfüllt sind. Das angemessene Schutzniveau in Neuseeland wurde von der Europäischen Kommission genehmigt (Art. 45(3) DSGVO).
5. Der Auftragsverarbeiter (InnoCraft) stellt sicher, dass alle Mitarbeiter, die für den Zugriff auf die personenbezogenen Daten erforderlich sind, über die Vertraulichkeit der personenbezogenen Daten informiert werden und die in dieser Vereinbarung festgelegten Verpflichtungen einhalten.
6. Der Auftragsverarbeiter (InnoCraft) kann andere Unternehmen beauftragen, in seinem Namen eingeschränkte Dienstleistungen zu erbringen, sofern der Auftragsverarbeiter (InnoCraft) die Bestimmungen dieser Klausel einhält. Solche Subunternehmer dürfen personenbezogene Daten nur verarbeiten, um die Dienstleistungen zu erbringen, für die der Auftragsverarbeiter (InnoCraft) sie beauftragt hat, und es ist ihnen untersagt, personenbezogene Daten für andere Zwecke zu verwenden. Der Auftragsverarbeiter (InnoCraft) bleibt für die Einhaltung der Verpflichtungen dieser DPA durch seine Subunternehmer verantwortlich. Alle Subunternehmer, an die der Auftragsverarbeiter (InnoCraft) personenbezogene Daten übermittelt, haben mit dem Auftragsverarbeiter (InnoCraft) schriftliche Vereinbarungen getroffen, die verlangen, dass der Unterauftragnehmer Bedingungen einhält, die dieser DPA im Wesentlichen ähnlich sind. Eine Liste der Subunternehmer steht dem Verantwortlichen (Kunden) in der Datenschutzrichtlinie des Prozessors (InnoCraft) zur Verfügung. Vor der Änderung der Liste der Unterauftragsverarbeiter wird der Verantwortliche (Kunde) per E-Mail benachrichtigt. Die Liste wird innerhalb von dreißig (30) Tagen nach einer solchen Benachrichtigung aktualisiert, wenn der Verantwortliche (Kunde) nicht rechtmäßig innerhalb dieses Zeitrahmens Einspruch erhebt. Berechtigte Einwände müssen angemessene und dokumentierte Gründe enthalten, die sich auf die Nichteinhaltung der Datenschutzgesetze durch einen Subunternehmer beziehen. Wenn nach vernünftigem Ermessen des Auftragsverarbeiters solche Einwände legitim sind, kann der Verantwortliche (Kunde) die Vereinbarung durch schriftliche Mitteilung an den Auftragsverarbeiter (InnoCraft) kündigen.
7. Wenn der Auftragsverarbeiter (InnoCraft) von einer versehentlichen, unbefugten oder rechtswidrigen Verletzung, Zerstörung, Verlust, Änderung oder Offenlegung der personenbezogenen Daten, die vom Auftragsverarbeiter (InnoCraft) im Rahmen der Bereitstellung des Dienstes verarbeitet werden (ein "Vorfall") Kenntnis erhält, wird er den für die Verarbeitung Verantwortlichen (Kunde) unverzüglich per E-Mail benachrichtigen und dem Der Auftragsverarbeiter (InnoCraft) muss zusätzlich Maßnahmen ergreifen, um den Vorfall zu untersuchen und die Auswirkungen des Vorfalls vernünftigerweise zu verhindern oder zu mildern.
8. Der Auftragsverarbeiter (InnoCraft) unterstützt den für die Verarbeitung Verantwortlichen (Kunde) bei der Erfüllung der Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, die Meldepflichten für Datenschutzverletzungen, Datenschutzfolgenabschätzungen und vorherige Konsultationen gemäß den Artikeln 32 bis 36 der DSGVO.

Kundenunternehmen und die Unterstützung von InnoCraft

1. Der Verantwortliche (Kunde) garantiert, dass er alle Rechte hat, dem Auftragsverarbeiter (InnoCraft) die personenbezogenen Daten für die Verarbeitung im Zusammenhang mit der Bereitstellung der Dienste des Auftragsverarbeiters (InnoCraft) zur Verfügung zu stellen, einschließlich der Zustimmung der Benutzer, sofern dies nach den Datenschutzgesetzen erforderlich ist.
2. Der Verantwortliche (Kunde) muss jederzeit die Datenschutzgesetze in Bezug auf alle personenbezogenen Daten einhalten, die er dem Auftragsverarbeiter (InnoCraft) gemäß der Vereinbarung zur Verfügung gestellt hat.
3. Der Auftragsverarbeiter (InnoCraft) stellt dem für die Verarbeitung Verantwortlichen (Kunden) Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen des Auftragsverarbeiters (InnoCraft) aus dieser DPA nachzuweisen. Eine solche Prüfung besteht ausschließlich aus: (i) der Bereitstellung schriftlicher Informationen durch den Auftragsverarbeiter (InnoCraft) (einschließlich, aber nicht beschränkt auf Fragebögen und Informationen über Sicherheitsrichtlinien), die Informationen über Subunternehmer enthalten können; und (ii) Interviews mit dem IT-Personal des Auftragsverarbeiters (InnoCraft). Eine solche Prüfung kann vom für die Verarbeitung Verantwortlichen (Kunde) oder einer nationalen Datenschutzaufsichtsbehörde durchgeführt werden, die sich aus unabhängigen Mitgliedern zusammensetzt und über die erforderlichen beruflichen Qualifikationen verfügt, die durch eine Geheimhaltungspflicht (wie die ICO oder die CNIL) gebunden sind. Um Zweifel auszuschließen, ist kein Zugriff auf einen Teil des IT-Systems des Prozessors, Datenhosting-Sites oder -Zentren oder die Infrastruktur zu gewähren.

Technische und organisatorische Maßnahmen

1. Der Auftragsverarbeiter (InnoCraft) stellt die Datensicherheit gemäß Art. 28(3)(c), 32 und 5(1) und (2) DSGVO fest. Die Maßnahmen zur Datensicherheit und zur Gewährleistung eines angemessenen Schutzniveaus in Bezug auf das Risiko in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme. Der Stand der Technik, die Implementierungskosten, die Art, der Umfang und die Zwecke der Verarbeitung sowie die Wahrscheinlichkeit des Auftretens und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32(1) DSGVO muss berücksichtigt werden.
2. Vor Beginn der Verarbeitung dokumentiert der Auftragsverarbeiter (InnoCraft) die Umsetzung der notwendigen technischen und organisatorischen Maßnahmen in Bezug auf die Ausführung dieser Datenverarbeitungsvereinbarung und legt diese dokumentierten Maßnahmen dem für die Verarbeitung Verantwortlichen (Kunde) zur Einsichtnahme vor. Nach Annahme durch den für die Verarbeitung Verantwortlichen (Kunde) werden die dokumentierten Maßnahmen Teil der Datenverarbeitungsvereinbarung. Der Verarbeiter (InnoCraft) beachtet derzeit die in Anhang 1 beschriebenen Maßnahmen.
3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. In dieser Hinsicht kann der Prozessor (InnoCraft) alternative angemessene Maßnahmen ergreifen. Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht reduziert werden. Wesentliche Änderungen müssen dokumentiert werden.

Haftung und Entschädigung

Jede Partei entschädigt die andere und hält sie schadlos von allen Ansprüchen, Klagen, Ansprüchen Dritter, Verlusten, Schäden und Aufwendungen, die der entschädigten Partei entstehen und die sich direkt oder indirekt aus oder im Zusammenhang mit einem Verstoß gegen diese DPA ergeben.

Dauer und Kündigung

1. Diese DPA tritt mit der Annahme durch den Kunden in Kraft und bleibt so lange andauern, bis sie in Übereinstimmung mit den Nutzungsbedingungen geändert oder gekündigt wird.
2. Wenn Sie diese Vereinbarung im Namen des für die Verarbeitung Verantwortlichen (Kunde) akzeptieren, garantieren Sie, dass: (a) Sie die volle rechtliche Befugnis haben, den für die Verarbeitung Verantwortlichen (Kunde) an diese DPA zu binden; (b) Sie diese DPA gelesen und verstanden haben; und (c) Sie im Namen des für die Verarbeitung Verantwortlichen (Kunde) dieser DPA zustimmen Wenn Sie nicht die rechtliche Befugnis haben, den für die Verarbeitung Verantwortlichen (Kunden) zu binden, akzeptieren Sie bitte diese DPA nicht.
3. Nach Kündigung des Kontos des für die Verarbeitung Verantwortlichen (Kunden) löscht der Auftragsverarbeiter (InnoCraft) die Daten des Verantwortlichen (Kunden) innerhalb von 30 Tagen in Übereinstimmung mit seinen Standard-Sicherungs- und Aufbewahrungsrichtlinien und den Nutzungsbedingungen.
4. Die Kündigung oder der Ablauf dieser DPA entlastet die Parteien nicht von den hierin enthaltenen Vertraulichkeitsverpflichtungen.

DSB und EU-Vertreter

1. Als Datenschutzbeauftragter hat der Auftragsverarbeiter (InnoCraft) ernannt
   ePrivacy GmbH
   vertreten durch Prof. Dr. Christoph Bauer
   Große Bleichen 21, 20354 Hamburg, Deutschland
   Telefon: +49 40 609451 810
   E-Mail: l-Pn+Nfy5+X+4fb07rny4g@nospam 
   
   Der für die Verarbeitung Verantwortliche (Kunde) wird unverzüglich über jede Änderung des Datenschutzbeauftragten informiert.

2. Da der Auftragsverarbeiter (InnoCraft) außerhalb der EU und des EWR niedergelassen ist, benennt er den folgenden Vertreter innerhalb der Europäischen Union gemäß Art. 27(1) DSGVO:
   ePrivacy Holding GmbH
   vertreten durch Prof. Dr. Christoph Bauer
   Große Bleichen 21, 20354 Hamburg, Deutschland
   Telefon: +49 40 609451 810
   E-Mail: y66+5bmuu4uuu7mivaqosuWuvg@nospam 

Anhang 1 - Technische und organisatorische Maßnahmen

Der Prozessor (InnoCraft) beachtet derzeit die unten beschriebenen technischen und organisatorischen Maßnahmen.

a) Zugangskontrolle

i) Verhinderung des unbefugten Zugriffs auf Produkte

• Ausgelagerte Verarbeitung: Wir hosten unseren Service mit einem ausgelagerten Cloud-Infrastrukturanbieter, der mit einer Reihe von physischen Sicherheits- und Informationssicherheitsstandards kompatibel ist, die unter https://aws.amazon.com/security/ beschrieben werden. Darüber hinaus unterhalten wir vertragliche Beziehungen zu Anbietern, um den Service in Übereinstimmung mit unserer DPA bereitzustellen. Wir verlassen uns auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.
• Physische und ökologische Sicherheit: Wir hosten unsere Produktinfrastruktur mit mehreren Mietern, ausgelagerten Infrastrukturanbietern.
• Authentifizierung: Kunden, die über die Benutzeroberfläche mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht öffentliche Kundendaten zugreifen.
• Autorisierung: Kundendaten werden in Systemen gespeichert, auf die Kunden nur über Anwendungsbenutzeroberflächen und Anwendungsprogrammierungsschnittstellen zugreifen können. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Nur die entsprechend zugewiesenen Personen können auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen. Die Autorisierung von Datensätzen erfolgt durch die Validierung der Berechtigungen des Benutzers anhand der Attribute, die jedem Datensatz zugeordnet sind.
• Zugriff auf die Anwendungsprogrammierschnittstelle (API): Auf APIs kann über ein API-Token zugegriffen werden.

ii) Verhinderung der unbefugten Verwendung von Produkten

• Zugriffskontrollen: Netzwerkzugriffskontrollmechanismen wurden entwickelt, um zu verhindern, dass der Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreicht. Zu den technischen Maßnahmen gehören Virtual Private Cloud (VPC)-Implementierungen, die Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.
• Bug-Bounty: Ein Bug-Bounty-Programm lädt und bietet unabhängigen Sicherheitsforschern Anreize, Sicherheitslücken ethisch zu entdecken und offenzulegen. Wir implementieren ein Bug-Bounty-Programm, um die verfügbaren Möglichkeiten für die Einbindung in die Sicherheitsgemeinschaft zu erweitern und die Produktabwehr gegen ausgeklügelte Angriffe zu verbessern.

iii) Einschränkungen der Berechtigungs- und Genehmigungsanforderungen

• Produktzugriff: Eine Teilmenge unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Die Absicht, einer Untergruppe von Mitarbeitern Zugang zu gewähren, besteht darin, effektiven Kundensupport zu bieten, potenzielle Probleme zu beheben, Sicherheitsvorfälle zu erkennen und darauf zu reagieren und Datensicherheit zu implementieren. Der Zugriff wird durch "just in time"-Zugriffsanfragen aktiviert; alle diese Anfragen werden protokolliert.
• Zugang zur Produktionsumgebung. Unsere Backend-Produktionsumgebung, in der Matomo Cloud läuft, ist nur für eine dedizierte Gruppe privilegierter Benutzer zugänglich, deren Privilegien von der Geschäftsleitung genehmigt werden müssen. Privilegierte Benutzer können nur über einen Bastion-Host auf unsere Backend-Produktionsumgebung zugreifen, und dies erfordert 2FA, um sich anzumelden und einen SSH über den Bastion-Host einzurichten.
• Mitarbeiter, die Zugriff auf die Produkte und Kundendaten haben, werden zu bestimmten Sicherheitsthemen geschult, darunter Phishing, Schutz digitaler Identitäten, Social Engineering, WLAN-Sicherheit und der Umgang mit Kundendaten. Wir führen Aufzeichnungen über das Training und den Inhalt.

b) Getriebesteuerung

• In-transit (zum Load Balancer): Wir machen die HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) zum Standard und sind auf APIs und allen Benutzeroberflächen verfügbar. Unsere HTTPS-Implementierung verwendet branchenübliche Algorithmen und Zertifikate.
• Im ruhenen Bereich: Benutzerpasswörter und API-Token werden verschlüsselt in der Datenbank gespeichert. Wir verwenden Festplattenverschlüsselungstechnologien, um sicherzustellen, dass gespeicherte Daten im Ruhezustand verschlüsselt werden.

c) Eingabesteuerung

• Erkennung: Wir haben unsere Infrastruktur so konzipiert, dass umfangreiche Informationen über das Systemverhalten, den empfangenen Datenverkehr, die Systemauthentifizierung und andere Anwendungsanfragen protokolliert werden. Interne Systeme aggregierten Protokolldaten und alarmieren geeignete Mitarbeiter über böswillige, unbeabsichtigte oder anomale Aktivitäten. Unser Personal, einschließlich Sicherheits-, Betriebs- und Supportpersonal, reagiert auf bekannte Vorfälle.
• Reaktion und Verfolgung: Wir führen eine Aufzeichnung bekannter Sicherheitsvorfälle, die Beschreibung, Datum und Uhrzeit der relevanten Aktivitäten und die Disposition von Vorfällen enthält. Verdächtige und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportpersonal untersucht; und geeignete Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen werden wir geeignete Schritte unternehmen, um Produkt- und Kundenschäden oder unbefugte Offenlegung zu minimieren. Die Benachrichtigung des Kunden erfolgt in Übereinstimmung mit den Bedingungen der Vereinbarung.

d) Verfügbarkeitskontrolle

• Fehlertoleranz: Backup- und Replikationsstrategien sind so konzipiert, dass Redundanz- und Failover-Schutz bei einem erheblichen Verarbeitungsfehler gewährleistet sind. Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Verfügbarkeitszonen hinweg repliziert.
• Unsere Produkte wurden entwickelt, um Redundanz und nahtloses Failover zu gewährleisten. Die Serverinstanzen, die die Produkte unterstützen, sind auch mit dem Ziel konzipiert, einzelne Fehlerpunkte zu verhindern. Dieses Design unterstützt unseren Betrieb bei der Wartung und Aktualisierung der Produktanwendungen und des Backends und begrenzt gleichzeitig die Ausfallzeiten.
• Online-Replikate und Backups: Wo möglich, sind Produktionsdatenbanken so konzipiert, dass sie Daten zwischen nicht weniger als 1 primären und 1 sekundären Datenbank replizieren. Alle Datenbanken werden mit mindestens branchenüblichen Methoden gesichert und gepflegt.

Datenschutzerklärung

Weitere Informationen finden Sie in der Matomo Cloud-Datenschutzrichtlinie: https://matomo.org/matomo-cloud-privacy-policy