Rechtliches — Toqen

Auftragsverarbeitungsvertrag (Data Processing Addendum)

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Toqen im Auftrag seiner Partner gemäß der DSGVO.

TL;DR

  • Toqen handelt als Auftragsverarbeiter im Auftrag seiner Partner.
  • Personenbezogene Daten werden ausschließlich auf dokumentierte Weisungen sowie zu Zugriffs- und Sicherheitszwecken verarbeitet.
  • Angemessene technische und organisatorische Maßnahmen werden angewendet.
  • Unterauftragsverarbeiter und internationale Übermittlungen unterliegen den Schutzvorgaben der DSGVO.

Rollen und Anwendungsbereich

Dieser Auftragsverarbeitungsvertrag ("DPA") gilt, soweit Toqen.app personenbezogene Daten im Auftrag eines Partners verarbeitet, der als Verantwortlicher handelt, im Zusammenhang mit der Erbringung der Toqen-Dienste.

Im Sinne der DSGVO ist der Partner der Verantwortliche und Toqen.app der Auftragsverarbeiter, sofern nicht schriftlich etwas anderes vereinbart wurde.

Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung sind Authentifizierungs-, Zugriffskontroll- und damit verbundene Sicherheitsdienste von Toqen. Die Verarbeitung erfolgt für die Dauer der Leistungserbringung und gemäß den dokumentierten Weisungen des Verantwortlichen, sofern keine Aufbewahrungspflichten nach geltendem Recht bestehen.

Art und Zweck der Verarbeitung

  • Bereitstellung passwortloser Authentifizierungs- und Zugriffsprüfungsdienste.
  • Erzeugung und Validierung temporärer Token, Sitzungen und Einmalcodes.
  • Gewährleistung von Sicherheit, Missbrauchsprävention und Dienstzuverlässigkeit.
  • Erbringung betrieblicher Unterstützungsleistungen im Zusammenhang mit dem Dienst.

Kategorien personenbezogener Daten

  • Technische Kennungen wie temporäre Token, Sitzungskennungen und Anfrage-Metadaten.
  • IP-Adresse sowie Geräte- oder Browserinformationen, soweit diese im Rahmen von Zugriff, Sicherheit oder Missbrauchsprävention verarbeitet werden.
  • E-Mail-Adresse oder Spitzname, sofern diese vom Betroffenen über die Konfiguration des Partners bereitgestellt werden.

Kategorien betroffener Personen

  • Endnutzer, die auf Dienste des Partners zugreifen.
  • Autorisierte Vertreter oder Administratoren des Partners.

Pflichten des Verantwortlichen

Der Partner ist als Verantwortlicher dafür verantwortlich, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden, einschließlich der Bereitstellung geeigneter Informationen für betroffene Personen und der Einholung erforderlicher Einwilligungen.

Pflichten des Auftragsverarbeiters

  • Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen, sofern keine gesetzliche Verpflichtung besteht.
  • Sicherstellung, dass zur Verarbeitung befugte Personen geeigneten Vertraulichkeitsverpflichtungen unterliegen.
  • Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus.
  • Unterstützung des Verantwortlichen, soweit anwendbar und zumutbar, bei der Beantwortung von Anträgen betroffener Personen.
  • Unterstützung des Verantwortlichen bei der Einhaltung von Pflichten in Bezug auf Sicherheit, Datenschutzverletzungen und Datenschutz-Folgenabschätzungen unter Berücksichtigung der Art der Verarbeitung.
  • Führung von Verzeichnissen der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 2 DSGVO und Zusammenarbeit mit Aufsichtsbehörden, sofern erforderlich.

Sicherheitsmaßnahmen

Toqen setzt angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Zu diesen Maßnahmen zählen, soweit angemessen, Verschlüsselung oder Hashing, Zugriffskontrollen, Netzwerksicherheit und Sicherheitsüberwachung.

Unterauftragsverarbeiter

Der Verantwortliche ermächtigt Toqen zur Beauftragung von Unterauftragsverarbeitern, die für die Erbringung der Dienste erforderlich sind. Eine aktuelle Liste der Unterauftragsverarbeiter wird gemäß diesem DPA bereitgestellt. Toqen bleibt gemäß der DSGVO für die Leistung seiner Unterauftragsverarbeiter verantwortlich.

Internationale Datenübermittlungen

Soweit personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übermittelt werden, unterliegen solche Übermittlungen geeigneten Garantien gemäß den Artikeln 44–49 DSGVO, einschließlich Angemessenheitsbeschlüssen oder Standardvertragsklauseln.

Verletzung des Schutzes personenbezogener Daten

Toqen informiert den Verantwortlichen unverzüglich nach Kenntniserlangung über eine Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, die unter diesem DPA verarbeitet werden, und stellt angemessene Informationen zur Verfügung, um dem Verantwortlichen die Erfüllung seiner Meldepflichten zu ermöglichen.

Löschung oder Rückgabe von Daten

Nach Beendigung der Dienste löscht Toqen nach Wahl des Verantwortlichen die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Audits und Compliance

Toqen stellt die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses DPA nachzuweisen, und ermöglicht Prüfungen durch den Verantwortlichen oder einen unabhängigen Prüfer vorbehaltlich angemessener Vorankündigung, Umfangsbeschränkungen und Vertraulichkeitsverpflichtungen.

Anwendbares Recht

Dieser DPA unterliegt dem Recht des EU-Mitgliedstaats, in dem der Verantwortliche niedergelassen ist, sofern nicht schriftlich etwas anderes vereinbart wurde.

Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag wenden Sie sich bitte an hi@toqen.app.