Rechtliches — Toqen

Auftragsverarbeitungsvereinbarung

Diese Auftragsverarbeitungsvereinbarung regelt die Verarbeitung personenbezogener Daten durch Toqen im Auftrag seiner Partner gemäß der DSGVO.

TL;DR

  • Toqen handelt im Auftrag seiner Partner als Auftragsverarbeiter.
  • Personenbezogene Daten werden ausschließlich auf dokumentierte Weisungen sowie zu Zugriffs- und Sicherheitszwecken verarbeitet.
  • Geeignete technische und organisatorische Maßnahmen werden angewendet.
  • Unterauftragsverarbeiter und internationale Übermittlungen unterliegen den Schutzmaßnahmen der DSGVO.

Rollen und Anwendungsbereich

Diese Auftragsverarbeitungsvereinbarung ("AVV") gilt, wenn Toqen.app personenbezogene Daten im Auftrag eines Partners verarbeitet, der als Verantwortlicher handelt, im Zusammenhang mit der Bereitstellung der Toqen-Dienste.

Für die Zwecke der DSGVO ist der Partner der Verantwortliche und Toqen.app handelt als Auftragsverarbeiter, sofern nicht schriftlich etwas anderes vereinbart wurde.

Gegenstand und Dauer

Gegenstand der Verarbeitung sind Authentifizierung, Zugriffskontrolle und damit verbundene Sicherheitsdienste, die von Toqen bereitgestellt werden. Die Verarbeitung erfolgt für die Dauer der Nutzung der Dienste durch den Partner, sofern nicht geltendes Recht etwas anderes verlangt.

Art und Zweck der Verarbeitung

  • Bereitstellung passwortloser Authentifizierungs- und Zugriffsverifizierungsdienste.
  • Erzeugung und Validierung temporärer Tokens, Sitzungen und Einmalcodes.
  • Gewährleistung von Sicherheit, Missbrauchsprävention und Zuverlässigkeit des Dienstes.
  • Bereitstellung von betrieblicher Unterstützung im Zusammenhang mit dem Dienst.

Kategorien personenbezogener Daten

  • Technische Kennungen wie temporäre Tokens, Sitzungskennungen und Anfragemetadaten.
  • IP-Adresse sowie Geräte- oder Browserinformationen.
  • E-Mail-Adresse oder Spitzname, sofern vom Betroffenen über die Konfiguration des Partners bereitgestellt.

Kategorien betroffener Personen

  • Endnutzer, die auf Dienste des Partners zugreifen.
  • Autorisierte Vertreter oder Administratoren des Partners.

Pflichten des Verantwortlichen

Der Partner ist als Verantwortlicher dafür verantwortlich, dass personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, einschließlich der Bereitstellung geeigneter Hinweise an die betroffenen Personen und der Einholung etwaiger erforderlicher Einwilligungen.

Pflichten des Auftragsverarbeiters

  • Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen, sofern nicht geltendes Recht etwas anderes verlangt.
  • Sicherstellung, dass alle zur Verarbeitung personenbezogener Daten befugten Personen geeigneten Vertraulichkeitsverpflichtungen unterliegen.
  • Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
  • Unterstützung des Verantwortlichen, soweit anwendbar, bei der Beantwortung von Anfragen betroffener Personen.
  • Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten zu Sicherheit, Meldung von Datenschutzverletzungen und Datenschutz-Folgenabschätzungen gemäß DSGVO.
  • Führung von Verzeichnissen der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 DSGVO und Zusammenarbeit mit Aufsichtsbehörden, soweit anwendbar.

Sicherheitsmaßnahmen

Toqen implementiert technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff. Dazu gehören gegebenenfalls Verschlüsselung oder Hashing, Zugriffskontrollen, Netzwerksicherheit und Überwachung.

Unterauftragsverarbeiter

Der Verantwortliche ermächtigt Toqen, für die Erbringung der Dienste erforderliche Unterauftragsverarbeiter einzusetzen. Eine aktuelle Liste der Unterauftragsverarbeiter wird gemäß dieser AVV bereitgestellt. Toqen bleibt für die Leistung seiner Unterauftragsverarbeiter verantwortlich.

Internationale Datenübermittlungen

Werden personenbezogene Daten außerhalb der Europäischen Union übermittelt, unterliegen solche Übermittlungen geeigneten Garantien gemäß den Artikeln 44–49 DSGVO, einschließlich Angemessenheitsbeschlüssen oder Standardvertragsklauseln.

Verletzung des Schutzes personenbezogener Daten

Toqen benachrichtigt den Verantwortlichen unverzüglich, nachdem es Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die personenbezogene Daten betrifft, die unter dieser AVV verarbeitet werden, und leistet angemessene Unterstützung, damit der Verantwortliche seinen Meldepflichten nachkommen kann.

Löschung oder Rückgabe von Daten

Nach Beendigung der Dienste löscht oder gibt Toqen personenbezogene Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, zurück, sofern die Aufbewahrung nicht nach geltendem Recht erforderlich ist.

Audits und Compliance

Toqen stellt Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen, und ermöglicht Audits durch den Verantwortlichen oder einen unabhängigen Prüfer, vorbehaltlich angemessener Vorankündigung und Vertraulichkeitsverpflichtungen.

Anwendbares Recht

Diese AVV unterliegt dem Recht der Europäischen Union und, soweit anwendbar, dem Recht des EU-Mitgliedstaats, in dem der Verantwortliche niedergelassen ist, sofern nicht schriftlich etwas anderes vereinbart wurde.

Kontakt

Bei Fragen zu dieser Auftragsverarbeitungsvereinbarung wenden Sie sich bitte an hi@toqen.app.