Datenschutzrichtlinie – GDPR

Datenverarbeiter:
ACCEPIO s.r.o.
Rybná 24
110 00 Prag, Tschechische Republik
IČO: 21288526

Gültig ab: 20. August 2025

1. Begriffsbestimmungen

GDPR (DSGVO) – Datenschutz-Grundverordnung der Europäischen Union, gültig seit dem 25. Mai 2018. Ziel ist es, das Schutzniveau personenbezogener Daten zu erhöhen und die Rechte der Bürgerinnen und Bürger der EU zu stärken.
Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher (Controller) – verarbeitet personenbezogene Daten in eigenem Namen, z. B. Daten über eigene Mitarbeiter oder Kunden.
Auftragsverarbeiter (Processor) – verarbeitet personenbezogene Daten im Auftrag anderer Unternehmen, z. B. Cloud-Anbieter oder Lohnbuchhaltungsfirmen.

2. Gegenstand der Verarbeitung

Die Parteien verpflichten sich, ihre Zusammenarbeit in Übereinstimmung mit der DSGVO und den geltenden Datenschutzgesetzen zu gestalten.

Speicherdauer: Personenbezogene Daten werden ein Jahr nach Ablauf der Testphase gespeichert, sofern der Kunde nicht eine frühere Löschung verlangt, oder zehn Jahre im Falle der Rechnungslegung. Für Kontakte, die zu Marketingzwecken (z. B. Newsletter, Werbemitteilungen) erhoben wurden, werden die Daten für die Dauer der Einwilligung bzw. bis zum Widerruf gespeichert, jedoch nicht länger als 5 Jahre seit der letzten Interaktion.

Umfang der Datenverarbeitung: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Rechnungsdaten sowie weitere Informationen, die für die Erbringung der Dienstleistungen oder für Marketingzwecke erforderlich sind.

Zweck der Verarbeitung: Sicherstellung der Funktionsfähigkeit der Accepio-Anwendung, Abwicklung von Bestellungen und Rechnungen sowie Versand von geschäftlichen Mitteilungen und Newslettern, Information über neue Funktionen und Durchführung von Marketingkampagnen.

Rechtsgrundlage der Verarbeitung: Erfüllung vertraglicher Pflichten, rechtliche Verpflichtungen (z. B. Aufbewahrung von Buchhaltungsunterlagen) sowie – im Falle von Marketingmaßnahmen – berechtigtes Interesse des Verantwortlichen oder Einwilligung der betroffenen Person.

Auftragsverarbeiter (Sub-Processor): Der Datenverarbeiter kann Dritte für die Verarbeitung personenbezogener Daten einsetzen. Dazu gehören insbesondere:

  • ECOMAIL.CZ, s.r.o., IČO: 02762943, Na Zderaze 1275/15, Nové Město, 120 00 Prag 2, Tschechische Republik – übernimmt den Versand von E-Mails und Marketingkommunikation.
  • Účetní služby Praha s.r.o., IČO: 27148401, Na Pankráci 1062/58, Nusle, 140 00 Prag 4, Tschechische Republik – übernimmt Buchhaltungsdienstleistungen und die Verarbeitung steuerlicher Unterlagen.

3. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich insbesondere zu folgenden Maßnahmen:

  • Kenntnisnahme des Sicherheitskonzepts und der datenschutzrelevanten Dokumentation.
  • Sichere Aufbewahrung aller Zugangsdaten; Zugangsdaten sind für jeden Mitarbeiter eindeutig und die Person ist für deren Missbrauch rechtlich verantwortlich.
  • Aktivierung eines Service-Accounts für Wartungsarbeiten durch den Auftragsverarbeiter und Sperrung nach Abschluss.
  • Wahrung der Vertraulichkeit über Prozesse, Daten und Dokumente des Auftragsverarbeiters.
  • Gewährleistung eines angemessenen Schutzes personenbezogener Daten im Rahmen der Tätigkeit.
  • Meldung von Missbrauch von Zugangsdaten, Diebstahl von Geräten oder Verlust von Daten unverzüglich, spätestens jedoch innerhalb von 36 Stunden.
  • Durchführung von Sicherheits-Audits beim Auftragsverarbeiter mit einer Vorankündigung von mindestens 3 Werktagen.
  • Kooperation mit dem Auftragsverarbeiter bei der Analyse von Logs und Sicherheitsvorfällen.

4. Rechte und Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter stellt die technische Funktionsfähigkeit der Systeme sicher, insbesondere der Accepio-Anwendung. Er verpflichtet sich zu folgenden Maßnahmen:

  • Volle Verantwortung für eingesetzte Sub-Auftragsverarbeiter.
  • Kenntnisnahme des Sicherheitskonzepts und relevanter Datenschutzdokumente.
  • Sichere Aufbewahrung aller Zugangsdaten, eindeutige Vergabe pro Mitarbeiter.
  • Regelmäßige Aktualisierung von Antivirensoftware und Betriebssystem.
  • Keine Speicherung personenbezogener Daten des Verantwortlichen auf lokalen Geräten.
  • Sperrung von Service-Accounts nach Abschluss von Wartungsarbeiten.
  • Wahrung der Vertraulichkeit über Prozesse, Daten und Dokumente des Verantwortlichen.
  • Gewährleistung eines angemessenen Schutzes personenbezogener Daten.
  • Sofortige Meldung und Behandlung von Sicherheitsvorfällen gemäß dem Incident-Response-Plan.
  • Bereitstellung aller notwendigen Informationen für die Nachweisführung der DSGVO-Compliance und Ermöglichung von Audits.
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen (z. B. Pseudonymisierung, Verschlüsselung, regelmäßige Tests, Wiederherstellungsfähigkeit nach Vorfällen).
  • Löschung oder Rückgabe aller personenbezogenen Daten sowie Löschung vorhandener Kopien nach Beendigung der Dienstleistungen.

5. Rechte der betroffenen Personen

Betroffene Personen haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht – Bestätigung, ob Daten verarbeitet werden, und ggf. Zugang zu diesen Daten.
  • Recht auf Berichtigung – Korrektur unrichtiger oder Ergänzung unvollständiger Daten.
  • Recht auf Löschung („Recht auf Vergessenwerden“) – Löschung personenbezogener Daten, wenn sie nicht mehr erforderlich sind oder die Einwilligung widerrufen wurde.
  • Recht auf Einschränkung der Verarbeitung – in den in der DSGVO vorgesehenen Fällen.
  • Recht auf Datenübertragbarkeit – Erhalt der bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen.
  • Widerspruchsrecht – gegen die Verarbeitung aufgrund berechtigter Interessen, einschließlich Widerspruch gegen Direktmarketing.
  • Beschwerderecht – bei der zuständigen Aufsichtsbehörde. In Tschechien ist dies das Amt für den Schutz personenbezogener Daten (www.uoou.cz).

Zur Ausübung dieser Rechte können sich betroffene Personen an den Verantwortlichen wenden: info@accepio.com

6. Schlussbestimmungen

Änderungen oder Erweiterungen dieses Vertrages bedürfen der Schriftform und der Zustimmung beider Parteien.
Die Parteien verpflichten sich, keine Informationen aus diesem Vertrag Dritten zugänglich zu machen oder für andere Zwecke zu verwenden. Jede Partei verpflichtet sich, angemessene Maßnahmen zu ergreifen, um eine unbefugte Offenlegung durch Mitarbeiter oder Dritte zu verhindern.
Keine Partei haftet für Verzögerungen oder Nichterfüllung aufgrund von Umständen, die außerhalb ihrer Kontrolle liegen (höhere Gewalt).
Der Vertrag kann durch schriftliche Vereinbarung oder Kündigung beendet werden.
Ein Kündigungsgrund liegt insbesondere bei Verstößen gegen Artikel 3 oder 4 vor. Die Kündigungsfrist beträgt drei Monate und beginnt mit dem ersten Tag des Folgemonats nach Zustellung der schriftlichen Kündigung.
Dieser Vertrag tritt mit Unterzeichnung durch beide Parteien in Kraft.
Für nicht geregelte Fragen gelten die einschlägigen Bestimmungen des Handelsgesetzbuchs in seiner gültigen Fassung.