Auftragsverarbeitung& Unterauftragsverarbeiter (Art. 28 DSGVO)

Der Verantwortliche ist die natürliche oder juristische Person, die die stads-Plattform nutzt und über Zwecke und Mittel der Verarbeitung personenbezogener Daten ihrer eigenen Endnutzer, Empfänger oder Kontakte entscheidet – etwa ein Werbetreibender, der eine Kampagne hochlädt, oder ein Publisher, der ein Entwicklerkonto betreibt.

Der Auftragsverarbeiter ist der Betreiber von stads:

Anbieter (Rechtsträger)

Fabian Bachfischer Software

Inhaltlich Verantwortlicher

Fabian Bachfischer

Datenschutzkontakt

privacy@soundworks-ai.com

Datenschutzbeauftragter (DSB)

Keiner bestellt und keiner gesetzlich erforderlich (Art. 37 DSGVO); Datenschutzkontakt ist Fabian Bachfischer, privacy@soundworks-ai.com.

Umsatzsteuer-Identifikationsnummer

Keine – Kleinunternehmer gemäß § 19 UStG; keine USt-IdNr.

Handelsregister

Keines – nicht im Handelsregister eingetragen (Einzelunternehmen).

Postanschrift des Auftragsverarbeiters:

PostanschriftFabian Bachfischer Software
c/o POSTFLEX PFX-504-917
Emsdettener Straße 10
48268 Greven
Deutschland (Germany)

Soweit stads selbst über Zwecke und Mittel der Verarbeitung entscheidet – etwa für die eigene Abrechnung, Betrugsprävention, Sicherheit und gesetzliche Aufbewahrung –, handelt stads insoweit als eigenständiger Verantwortlicher; diese Verarbeitung ist in der Datenschutzerklärung beschrieben und nicht Gegenstand dieses DPA.

Gegenstand der Verarbeitung ist der Betrieb des stads-Werbedienstes für CLI-ausgelieferte Textwerbung. stads ist datenminimierend konzipiert: Anzeigen sind eine gekennzeichnete Zeile Klartext; es gibt keine Tracking-Pixel, keine Bilder, und es verlässt kein Code den Rechner des Publishers. Der Client meldet nur grobe, nicht identifizierende Signale, die zur Validierung von Impressionen und zur Aufteilung der Erlöse erforderlich sind.

Art & Zweck

Auslieferung von Anzeigen, Validierung von Impressionen, Zuordnung und Aufteilung von Erlösen, Abrechnung sowie Bereitstellung von Dashboards und Reporting für den Verantwortlichen.

Kategorien betroffener Personen

Endnutzer / Kontoinhaber des Verantwortlichen sowie auf Werbetreibenden- und Publisher-Konten benannte Kontakte.

Kategorien personenbezogener Daten

Konto-Identifikatoren (z. B. E-Mail, Konto-ID), Abrechnungs- und Auszahlungs-Metadaten, grobe nicht identifizierende Nutzungssignale sowie technische Daten wie IP-Adresse und Request-Metadaten, die transient für Sicherheit und Auslieferung verarbeitet werden.

Besondere Kategorien

Werden nicht absichtlich verarbeitet. Der Verantwortliche darf keine Daten besonderer Kategorien (Art. 9 DSGVO) über die Plattform übermitteln.

Dauer

Für die Laufzeit der Plattformnutzung des Verantwortlichen zuzüglich der in § 08 genannten Aufbewahrungsfristen.

stads verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung in ein Drittland, es sei denn, stads ist nach dem Recht der EU oder eines Mitgliedstaats hierzu verpflichtet – in welchem Fall stads den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung informiert, sofern das Recht eine solche Information nicht aus wichtigen Gründen des öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).

Die Weisungen des Verantwortlichen werden durch die in der Plattform getroffenen Konfigurationsentscheidungen (z. B. Anlegen einer Kampagne, Einrichten eines Auszahlungskontos) sowie durch dieses DPA und die Nutzungsbedingungen erteilt. stads informiert den Verantwortlichen, wenn eine Weisung nach Auffassung von stads gegen die DSGVO oder sonstige Datenschutzvorschriften der EU oder eines Mitgliedstaats verstößt (Art. 28 Abs. 3 Satz 2 DSGVO).

stads stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Der Zugang ist auf Personen beschränkt, die ihn zur Vertragserfüllung benötigen.

Der Verantwortliche erteilt stads die allgemeine schriftliche Genehmigung, die nachfolgend aufgeführten Unterauftragsverarbeiter einzusetzen (Art. 28 Abs. 2 und 4 DSGVO). stads bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters voll verantwortlich und erlegt diesen vertraglich Datenschutzpflichten auf, die denen dieses DPA gleichwertig sind. stads informiert den Verantwortlichen mit angemessener Frist über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters und gibt dem Verantwortlichen die Möglichkeit zum Widerspruch.

Aktuelle Unterauftragsverarbeiter

Die Auswahl der Hosting-Region wird durchgesetzt, soweit der Anbieter sie anbietet (z. B. ein EU-gehostetes Datenbankprojekt). Einzelne Anbieter können begrenzte Support-, Abrechnungs- oder Sicherheits-Metadaten außerhalb der EU verarbeiten; die Übermittlungsgrundlage hierfür ist in § 06 dargelegt.

stads hält personenbezogene Daten innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums, wo immer der Unterauftragsverarbeiter eine EU-Region anbietet, und konfiguriert die EU-Residenz entsprechend. Soweit dennoch eine Übermittlung in ein Drittland erfolgt (z. B. an die Support- oder Abrechnungsfunktion eines US-Anbieters), erfolgt diese auf einer der folgenden Grundlagen:

• ▸einem Angemessenheitsbeschluss nach Art. 45 DSGVO, soweit ein solcher für den Empfänger gilt (etwa wenn der Empfänger nach dem EU–US Data Privacy Framework zertifiziert ist);
• ▸den Standardvertragsklauseln (SCC, Durchführungsbeschluss (EU) 2021/914) der Europäischen Kommission nach Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch eine Folgenabschätzung der Übermittlung und geeignete zusätzliche Maßnahmen (z. B. Verschlüsselung bei Übertragung und im Ruhezustand);
• ▸für Daten aus dem Vereinigten Königreich das UK International Data Transfer Addendum zu den SCC, soweit einschlägig.

Die Datenschutzbedingungen und Übermittlungsmechanismen jedes Unterauftragsverarbeiters sind beim jeweiligen Anbieter verfügbar und werden aus der aktuellen Liste der Unterauftragsverarbeiter verlinkt. stads stellt dem Verantwortlichen auf Anfrage eine Kopie des einschlägigen Übermittlungsmechanismus zur Verfügung, vorbehaltlich der Schwärzung geschäftlich vertraulicher Bedingungen.

stads trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 28 Abs. 3 lit. c und Art. 32 DSGVO), unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Hierzu gehören, je nach Eignung:

• ▸Verschlüsselung personenbezogener Daten bei der Übertragung (TLS) und im Ruhezustand;
• ▸Datenminimierung durch Technikgestaltung – keine Tracking-Pixel, keine Bilder, nur grobe nicht identifizierende Nutzungssignale und keine Ausführung von Remote-Code auf dem Rechner des Publishers;
• ▸rollenbasierte Zugriffskontrolle und Least-Privilege-Zugang, mit auf Datenbankebene durchgesetzter Zeilensicherheit (Row-Level Security);
• ▸serverseitige Validierung von Impressionen zur Abwehr ungültigen Traffics und Betrugs, mit reversiblen Ledger-Einträgen statt destruktiver Änderungen;
• ▸logische Trennung der Daten der Verantwortlichen und ein doppisches, append-artiges Ledger für den Geldzustand;
• ▸Pseudonymisierung und Tokenisierung von Zahlungsdaten über den Zahlungsdienstleister, sodass vollständige Kartendaten niemals in die Systeme von stads gelangen;
• ▸regelmäßige Backups, Monitoring und die Fähigkeit, Verfügbarkeit und Zugang nach einem Vorfall zeitnah wiederherzustellen;
• ▸Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen.

Eine aktuelle, detaillierte Beschreibung der technischen und organisatorischen Maßnahmen wird gepflegt und kann beim Datenschutzkontakt (privacy@soundworks-ai.com) angefordert werden; sie bildet einen Anhang zu diesem DPA.

Unter Berücksichtigung der Art der Verarbeitung unterstützt stads den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte (Art. 28 Abs. 3 lit. e und Kapitel III DSGVO) und unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation) – Art. 28 Abs. 3 lit. f DSGVO.

stads benachrichtigt den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die Daten des Verantwortlichen betrifft, mit den Informationen, die der Verantwortliche zur Erfüllung seiner eigenen Meldepflichten nach Art. 33 und 34 DSGVO benötigt.

Nach Wahl des Verantwortlichen löscht oder retourniert stads nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten und löscht vorhandene Kopien, sofern nicht das Recht der EU oder eines Mitgliedstaats die Speicherung vorschreibt (Art. 28 Abs. 3 lit. g DSGVO). Gesetzliche Aufbewahrungsfristen – etwa die handels- und steuerrechtlichen Aufbewahrungspflichten von bis zu zehn Jahren (§ 257 HGB, § 147 AO) – gelten für Abrechnungs- und Buchführungsunterlagen.

stads stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO). Audits erfolgen nach angemessener Vorankündigung, während der Geschäftszeiten, höchstens einmal jährlich (es sei denn, sie werden durch einen Vorfall oder eine Aufsichtsbehörde ausgelöst) und in einer Weise, die den Betrieb nicht unverhältnismäßig stört. stads kann Auditanfragen durch Bereitstellung einschlägiger Zertifizierungen, Berichte oder der Auditunterlagen der Unterauftragsverarbeiter erfüllen, soweit angemessen.

Dieses DPA wird elektronisch geschlossen und ist integraler Bestandteil der stads-Nutzungsbedingungen. Mit dem Anlegen eines Werbetreibenden- oder Publisher-Kontos, dem Konfigurieren einer Kampagne oder eines Auszahlungskontos oder der sonstigen Nutzung der Plattform zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen nimmt der Verantwortliche dieses DPA an. Für sein Wirksamwerden ist keine gesonderte Unterschrift erforderlich; die Annahme der Nutzungsbedingungen stellt die Annahme dieses DPA dar.

Verantwortliche, die einen gesondert unterzeichneten Auftragsverarbeitungsvertrag benötigen – aus Gründen der Beschaffung oder internen Compliance –, können ein gegengezeichnetes Exemplar per E-Mail an privacy@soundworks-ai.com anfordern. Die jeweils aktuelle, unter stads.cc/dpa veröffentlichte Fassung dieses DPA ist die maßgebliche Fassung; wesentliche Änderungen werden den Verantwortlichen mit angemessener Frist mitgeteilt.

Im Falle eines Widerspruchs zwischen diesem DPA und den Nutzungsbedingungen in Fragen des Datenschutzes geht dieses DPA vor. Dieses DPA unterliegt dem Recht der Bundesrepublik Deutschland und der DSGVO, unbeschadet zwingender Schutzrechte der betroffenen Personen.