Datenverarbeitungszusatz

1. Allgemein

1.1 Gegenstand des DVZ: Wire stellt dem Verantwortlichen den in den NB beschriebenen Dienst („Dienst„) zur Verfügung und verarbeitet personenbezogene Daten im Rahmen der Leistungserbringung im Auftrag des Verantwortlichen.

1.2 Gegenstand des DVZ: Wire stellt dem Verantwortlichen die in den Nutzungsbedingungen („Dienste„) beschriebene Dienstleistung zur Verfügung und verarbeitet personenbezogene Daten im Rahmen der Leistungserbringung.
Die Datenverarbeitung dient der Bereitstellung einer Softwarelösung für Messaging-Dienste, wie sie in den Nutzungsbedingungen als Bestandteil des Dienstes beschrieben sind. Die Dauer der Bearbeitung richtet sich nach der Dauer der Leistungserbringung.

1.3. Gruppe der Betroffenen: Nutzer des Dienstes, die der Verantwortliche für den Dienst anmeldet sowie Personen, deren personenbezogene Daten Inhalt der Kommunikation zwischen den Nutzern sind.

1.4. Art der verarbeiteten personenbezogenen Daten:
Wire verarbeitet im Auftrag des Verantwortlichen folgende Arten personenbezogener Daten:

• Metadaten des Dienstes; dazu gehören insbesondere Informationen über den Ersteller eines Teams, den Namen der Unterhaltung und die pseudonymisierte Teilnehmerliste sowie die Team-Zuordnung der Teilnehmer;
• vollständiger Name und E-Mail-Adresse und/oder Handynummer;
• temporäre Verkehrsdaten des Dienstes wie Log-Files einschließlich Gerätetyp des Nutzers und IP-Adressen;
• Ende-zu-Ende verschlüsselte Kommunikationsdaten, wie Nachrichten und Dateien (Wire speichert nur vorübergehend verschlüsselte Nachrichten auf seinen Servern, damit diese später an Offline-Clients zugestellt werden können, sobald Nutzer wieder online sind. Wire besitzt die Entschlüsselungsschlüssel für diese Nachrichten nicht und kann daher nicht auf den Inhalt zugreifen);
• Daten, die der Nutzer gesondert bereitstellt, z. B. Profilbild.

1.5. Auftragsverarbeiter: In Bezug auf die Verarbeitung personenbezogener Daten im Rahmen des DVZ ist Wire der Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

1.6. Ort der Verarbeitung: Wire führt die vertraglich vereinbarte Verarbeitung personenbezogener Daten grundsätzlich auf Servern in den Mitgliedstaaten der Europäischen Union und der Schweiz durch. Werden die vereinbarten Leistungen dennoch auf Weisung des Verantwortlichen außerhalb des Bereichs der Mitgliedstaaten der Europäischen Union oder der Schweiz erbracht, stellt Wire sicher, dass die Übermittlung der personenbezogenen Daten gemäß Art. 44 ff. DSGVO zulässig ist, indem mindestens eine der folgenden Bedingungen erfüllt ist:

• Für das Drittland liegt ein Angemessenheitsbeschluss der Europäischen Kommission vor;
• es werden geeignete Schutzvorkehrungen getroffen wurden (z. B. verbindliche interne Datenschutzvorschriften (BCR), Abschluss vom Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder Zertifizierungsmechanismen);
• die Datenübermittlung ist durch Ausnahmeregelungen für bestimmte Situationen gemäß Art. 49 der DSGVO gedeckt.

1.7. Weisungen des Verantwortlichen: Wire verarbeitet personenbezogene Daten als Auftragsverarbeiter gemäß der NB und des DVZ. Die NB und der DVZ enthalten die Weisungen des Verantwortlichen zur Datenverarbeitung. Dementsprechend wird Wire die Daten verarbeiten:

• Soweit nach Umfang und Art zur Erbringung des Dienstes und zur Erfüllung der Verpflichtungen aus den NB und diesem DVZ erforderlich;
• soweit Wire nach dem Recht der Union oder dem Recht der Mitgliedstaaten, dem Wire unterliegt, hierzu verpflichtet ist (in einem solchen Fall teilt Wire dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet).

Der Verantwortliche behält sich im Rahmen der in den NB und in diesem DVZ getroffenen Regelungen ein Weisungsrecht betreffend die Datenverarbeitung vor. Weisungen des Verantwortlichen werden mit Wire abgestimmt und sind zu dokumentieren. Hierfür entstehende Aufwände bei Wire sind vom Verantwortlichen zu vergüten.

2. Rechte und Pflichten des Verantwortlichen

2.1. Datenverantwortung: Der Verantwortliche ist für die Zulässigkeit der Verarbeitung personenbezogener Daten sowie für den Schutz der Rechte der betroffenen Personen verantwortlich.

2.2. Kontrollrechte: Wire ist verpflichtet, dem Verantwortlichen zum Nachweis der Einhaltung der Pflichten von Wire nach diesem DVZ, insbesondere die Pflicht zu Einhaltung der technischen und organisatorischen Maßnahmen nach § 4 dieses DVZ, vor Beginn der Datenverarbeitung und regelmäßig während der Datenverarbeitung, alle erforderlichen Informationen zur Verfügung zu stellen. Der Verantwortliche ist berechtigt, die Einhaltung der Pflichten von Wire nach diesem DVZ in angemessenem Umfang persönlich oder durch Dritte zu überprüfen, insbesondere durch Einholung von Informationen über die technischen und organisatorischen Maßnahmen und, falls diese Informationen nicht ausreichen, durch Vor-Ort-Kontrollen („Inspektionen“). Die Inspektionen beim Auftragsverarbeiter sind ohne vermeidbare Störungen des Geschäftsbetriebs des Auftragsverarbeiters und ohne Verletzung des Schutzes personenbezogener Daten durchzuführen. Inspektionen werden im Regelfall nach entsprechender Vorankündigung, in dringenden Fällen auch ohne Vorankündigung, und während der Geschäftszeiten des Auftragsverarbeiters, jedoch in der Regel nicht häufiger als alle 12 Monate, durchgeführt.

3. Rechte und Pflichten des Auftragsverarbeiters

3.1. Rechte der betroffenen Person: Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit der Verantwortliche die in Kapitel III der DSGVO festgelegten Rechte der betroffenen Personen erfüllen kann. Der Auftragsverarbeiter wird Betroffenenanfragen nur beantworten, falls der Verantwortliche den Auftragsverarbeiter dazu anweist oder eine gesetzliche Pflicht des Auftragsverarbeiters besteht. Die Unterstützung des Verantwortlichen durch den Auftragsverarbeiter im Zusammenhang mit den Rechten der betroffenen Personen kann für den Verantwortlichen kostenpflichtig sein.

3.2. Vertraulichkeit der Daten: Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, über die Vertraulichkeit der personenbezogenen Daten und über besondere Datenschutzanforderungen, die sich aus dieser Tätigkeit ergeben, insbesondere über die Beschränkung der Datenverarbeitung auf die vom Verantwortlichen vorgegebenen Zwecke, informiert werden und mit dem Auftragsverarbeiter Vertraulichkeitsvereinbarungen getroffen haben.

3.3. Weitere Unterstützung des Verantwortlichen u.a. betreffend technische und organisatorische Maßnahmen: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

3.4. Informationen über Bedenken: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedsstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der Weisung solange auszusetzen, bis die Weisung durch den Verantwortlichen bestätigt oder geändert wird.

4. Technische und organisatorische Maßnahmen

4.1. Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter wird alle nach Art. 32 DS-GVO und sonstigen datenschutzrechtlichen Vorgaben erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um ein dem mit seiner Verarbeitungstätigkeit verbundenen Risiko angemessenes Schutzniveau zu gewährleisten.
Weitere Informationen zu den von Wire getroffenen technischen Maßnahmen sind unter
https://wire.com/security abrufbar.

5. Sicherheitsrelevante Ereignisse

5.1. Meldung bei Sicherheitsvorfällen: Im Falle von Sicherheitsvorfällen ist der Auftragsverarbeiter verpflichtet, unverzüglich alle erforderlichen Maßnahmen zu ergreifen, um die Integrität und Vertraulichkeit der personenbezogenen Daten zu gewährleisten. Im Falle einer Datenschutzverletzung hat der Auftragsverarbeiter zudem den Verantwortlichen unverzüglich nach Bekanntwerden der Verletzung zu benachrichtigen. Wire wird dem Verantwortlichen in diesem Fall alle erforderlichen Informationen zukommen lassen, um den Verantwortlichen in die Lage zu versetzen, seinen gesetzlichen Verpflichtungen nachzukommen.

6. Subunternehmer

6.1. Autorisierte Subunternehmer: Der Auftragsverarbeiter kann Subunternehmer beauftragen. Eine Subunternehmerbeteiligung setzt voraus, dass der Auftragsverarbeiter (a) sicherstellt, dass der Subunternehmer die Pflichten des Auftragsverarbeiters gemäß diesem DVZ erfüllt und (b) gegenüber der betroffenen Person für Handlungen des betreffenden Subunternehmers haftet, als ob diese Handlungen vom Auftragsverarbeiter selbst vorgenommen worden wären. Wire setzt zum Zeitpunkt des Vertragsschlusses die folgenden Subunternehmer ein: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg für die Bereitstellung der Serverinfrastruktur und Zeta Project Germany GmbH, Rosenthaler Str. 41, 10178 Berlin, für die Entwicklung der Dienste. Wire informiert den Verantwortlichen über jede Hinzuziehung eines weiteren Subunternehmers oder Ersetzung eines Subunternehmers. Der Verantwortliche erhält die Möglichkeit, der Beauftragung innerhalb eines Monats nach der Information zu widersprechen. Wire steht im Falle eines Widerspruchs ein außerordentliches Kündigungsrecht zu.

6.2. Räumlicher Anwendungsbereich: Der Auftragsverarbeiter darf keine Subunternehmer außerhalb der Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraums oder der Schweiz für die Verarbeitung personenbezogener Daten einsetzen.

7. Löschung und Rückgabe personenbezogener Daten