Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung („DPA") wird geschlossen zwischen PulseCargo.ai („Verarbeiter") und dem Kunden, der in der zugehörigen SaaS-Vereinbarung identifiziert ist („Verantwortlicher"). Diese DPA ergänzt die SaaS-Vereinbarung und regelt die Verarbeitung personenbezogener Daten durch den Verarbeiter im Auftrag des Verantwortlichen.

1. Definitionen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von dem Verarbeiter im Namen des Verantwortlichen über die Plattform verarbeitet werden.

Verarbeitung: Jeder Vorgang, der auf personenbezogene Daten angewendet wird, einschließlich Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Alteration, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung, Ausrichtung, Kombination, Einschränkung, Löschung oder Vernichtung.

Betroffene Person: Die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen, einschließlich Mitarbeiter des Verantwortlichen, Endbenutzer, Versender, Empfänger und ihre Vertreter.

Unterverarbeiter: Ein Drittunternehmen, das von PulseCargo.ai beauftragt wird, personenbezogene Daten im Namen des Verantwortlichen zu verarbeiten.

2. Umfang und Zweck der Verarbeitung

Zweck. Der Verarbeiter verarbeitet personenbezogene Daten ausschließlich zu dem Zweck, die Plattformdienste wie in der SaaS-Vereinbarung beschrieben bereitzustellen, einschließlich Datensynchronisierung vom TMS/ERP des Verantwortlichen, Synthetic Intelligence-gestützte Analysen und Vorhersagen, Sendungsverfolgung und Benachrichtigungen, Dokumentenverarbeitung und Zahlungserleichterung.

Kategorien personenbezogener Daten. Namen, E-Mail-Adressen, Telefonnummern, Berufsbezeichnungen, Firmennamen, IP-Adressen, Anmeldedaten, Sendungsdaten, die sich auf identifizierbare Personen beziehen, und Kommunikationsaufzeichnungen.

Kategorien betroffener Personen. Mitarbeiter und autorisierte Benutzer des Verantwortlichen, Kunden des Verantwortlichen (Versender, Empfänger, Importeure, Exporteure) und ihre jeweiligen Mitarbeiter und Vertreter.

Dauer. Die Verarbeitung wird während der Dauer der SaaS-Vereinbarung plus dem darin angegebenen Datenspeicherzeitraum fortgesetzt (30 Tage nach Kündigung, mit vollständiger Löschung innerhalb von 90 Tagen).

3. Verpflichtungen des Verarbeiters

Personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen verarbeiten, einschließlich der in der SaaS-Vereinbarung festgelegten Anweisungen.

Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, sich an Vertraulichkeitsverpflichtungen gebunden haben.

Implementieren Sie angemessene technische und organisatorische Maßnahmen, um ein der Gefährdung angemessenes Sicherheitsniveau zu gewährleisten, einschließlich AES-256-Verschlüsselung im Ruhezustand, TLS 1.3 im Transit, Multi-Faktor-Authentifizierung, Mandantenisolation und Zugriffskontrolle.

Kein anderes Unternehmen (Unterverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen einbeziehen. Eine Liste genehmigter Unterverarbeiter wird gepflegt und auf Anfrage zur Verfügung gestellt.

Den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Zugriff, Berichtigung, Löschung, Portabilität, Einschränkung, Widerspruch) unterstützen, indem Funktionalität in der Plattform oder dedizierte Support-Dienste bereitgestellt werden.

Den Verantwortlichen beim Gewährleisten der Compliance bei Datensicherheit, Sicherheitsverletzungsmitteilung, Auswirkungsbewertung und vorheriger Konsultation unterstützen.

Nach Wahl des Verantwortlichen alle personenbezogenen Daten bei Beendigung der Vereinbarung löschen oder zurückgeben und bestehende Kopien löschen, sofern nicht gesetzlich erforderlich.

Dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Compliance mit dieser DPA zu demonstrieren, und Audits zulassen und durchführen, die vom Verantwortlichen oder einem qualifizierten Drittanbieter-Auditor durchgeführt werden.

4. Unterverarbeiter

Der Verarbeiter nutzt derzeit die folgenden Unterverarbeiter:

Microsoft Azure — Cloud-Infrastruktur-Hosting. Verarbeitete Daten: alle Kundendaten. Standort: US Central (nach Mandantenkonfiguration).

Azure OpenAI — KI-Modellverarbeitung (GPT-4o, Embedding-Modelle). Verarbeitete Daten: Kundendaten, die an Synthetic Intelligence-Funktionen übermittelt werden. Standort: USA (Azure-Region).

SendGrid (Twilio) — Transaktionale E-Mail-Zustellung. Verarbeitete Daten: E-Mail-Adressen, Benachrichtigungsinhalte. Standort: USA.

Stripe — Zahlungsverarbeitung. Verarbeitete Daten: Zahlungsmethodendaten, Rechnungsbeträge. Standort: USA.

Google Maps Plattform — Kartenvisualisierung, Geocodierung. Verarbeitete Daten: Adress- und Standortdaten. Standort: USA.

MarineTraffic — Schiffsverfolgung. Verarbeitete Daten: Schiffs-/Container-Identifikatoren. Standort: EU (Griechenland).

Der Verarbeiter benachrichtigt den Verantwortlichen mindestens 30 Tage vor der Beauftragung eines neuen Unterverarbeiters. Der Verantwortliche kann einen neuen Unterverarbeiter innerhalb von 15 Tagen nach der Benachrichtigung ablehnen. Wenn der Widerspruch des Verantwortlichen nicht beigelegt wird, kann der Verantwortliche die betroffenen Dienste kündigen.

5. Datensicherheitsmaßnahmen

Der Verarbeiter implementiert angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten gegen unbeabsichtigte oder rechtswidrige Verarbeitung, einschließlich:

Verschlüsselung. AES-256-Verschlüsselung im Ruhezustand für alle gespeicherten Daten; TLS 1.3-Verschlüsselung im Transit für alle Datenübertragungen.

Zugriffskontrolle. Rollenbasierte Zugriffskontrolle (RBAC) über Azure Entra ID; Multi-Faktor-Authentifizierung (MFA) für Administratorzugriff; Prinzip der geringsten Berechtigung für alle Mitarbeiter.

Überwachung und Protokollierung. Kontinuierliche Überwachung von Zugriffs- und Sicherheitsereignissen; Audit-Protokollierung aller Datenzugriffe; Speicherung von Protokollen für mindestens 90 Tage zu Untersuchungszwecken.

Isolierung. Strenge Mandantenisolation, um sicherzustellen, dass keine personenbezogenen Daten über Mandantengrenzen hinweg zugänglich sind; Trennung von Kundendaten von PulseCargo-Betriebsdaten.

Sicherung und Wiederherstellung. Automatisierte tägliche Sicherungen mit Point-in-Time-Wiederherstellung (PITR) für 35 Tage; Langzeitspeicherung (LTR) für 7 Jahre zu Compliance- und Notfallwiederherstellungszwecken.

Zusätzliche Sicherheitsmaßnahmen sind in Anlage C dieser DPA dokumentiert und werden regelmäßig überprüft und aktualisiert, um neu entstehende Sicherheitsrisiken und Compliance-Anforderungen zu adressieren.

6. Mitteilung von Datenverstößen

Der Verarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden, nachdem er sich einer Verletzung personenbezogener Daten bewusst wird. Die Benachrichtigung muss die Art der Verletzung, die Kategorien und die ungefähre Anzahl betroffener Personen, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung enthalten.

7. Internationale Datenübertragungen

Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder anderer Länder mit Datenübertragungsbeschränkungen übertragen werden, stellt der Verarbeiter sicher, dass angemessene Schutzmaßnahmen vorhanden sind, einschließlich Standard Contractual Clauses (SCCs) wie sie von der Europäischen Kommission angenommen wurden, oder Verlass auf andere genehmigte Übertragungsmechanismen.

8. Datenschutz-Folgenabschätzungen

Der Verarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen (DPIAs), soweit erforderlich, indem er Informationen über die Art, den Umfang und den Zweck der Verarbeitung, die vorhandenen technischen und organisatorischen Maßnahmen und die Risiken für betroffene Personen bereitstellt.

9. Laufzeit und Beendigung

Diese DPA wird für die Dauer der SaaS-Vereinbarung wirksam. Bei Beendigung hält sich der Verarbeiter an die in der SaaS-Vereinbarung und Abschnitt 3 dieser DPA angegebenen Datenrückgabe- und Löschverpflichtungen.

10. Anwendbares Recht

Diese DPA wird nach demselben Recht, das die SaaS-Vereinbarung regelt (Staat Kalifornien, Vereinigte Staaten), reguliert. Für betroffene Personen im EWR gelten die Bestimmungen der GDPR insoweit, als sie stärker schützend sind.

11. Audit-Rechte

Nach angemessener Benachrichtigung kann der Verantwortliche die Compliance des Verarbeiters mit dieser DPA einmal pro Kalenderjahr prüfen. Der Verantwortliche kann diese Audit-Anforderung erfüllen, indem er sich auf einen aktuellen SOC 2 Type 2-Bericht oder ISO 27001-Zertifizierung stützt, falls verfügbar.

Audits werden während normaler Geschäftszeiten mit mindestens 30 Tagen Vorlaufzeit durchgeführt und sind im Umfang auf Fragen begrenzt, die sich direkt auf die Compliance des Verarbeiters mit dieser DPA beziehen. Die Auditors des Verantwortlichen müssen vor der Durchführung eines Audits eine Geheimhaltungserklärung unterzeichnen.

Der Verarbeiter trägt die Kosten für die Audit-Behebung, sofern das Audit keine erhebliche Nicht-Compliance offenbart; in diesem Fall trägt der Verarbeiter die angemessenen Audit-Kosten.

12. Rechte und Unterstützung von Betroffenen

Der Verarbeiter leistet angemessene Unterstützung beim Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen (Zugriff, Berichtigung, Löschung, Portabilität, Einschränkung, Widerspruch), indem er Funktionalität in der Plattform oder dedizierte Support-Dienste bereitstellt.

Wenn eine betroffene Person den Verarbeiter direkt kontaktiert, informiert der Verarbeiter die betroffene Person, dass sie den Verantwortlichen kontaktieren soll, und benachrichtigt den Verantwortlichen unverzüglich ohne substanzielle Antwort ohne Anweisung des Verantwortlichen.

Der Verarbeiter unterstützt Datenschutz-Folgenabschätzungen (DPIAs) wie erforderlich durch geltendes Recht und stellt notwendige Dokumentation zu Verarbeitungsaktivitäten und Sicherheitsmaßnahmen bereit. Standarddokumentation ist auf Anfrage verfügbar.

13. Haftung und Abhilfe

Die Haftung des Verarbeiters für Verstöße gegen diese DPA unterliegt den Haftungsbeschränkungen in der MSA, es sei denn, zwingendes Recht (einschließlich GDPR Artikel 82) erlegt größere Haftung auf. Soweit gesetzlich zulässig, entschädigt der Verarbeiter den Verantwortlichen gegen Ansprüche Dritter und aufsichtliche Geldstrafen, die sich aus der Nicht-Compliance des Verarbeiters mit dieser DPA ergeben.

14. Kontakt und Unterschriften

Diese DPA wird als Teil der SaaS-Vereinbarung zwischen den Parteien ausgeführt. Um eine unterzeichnete Kopie dieser DPA anzufordern oder datenschutzbezogene Anfragen einzureichen, kontaktieren Sie bitte:

PulseCargo.ai
E-Mail: privacy@pulsecargo.ai
Legal: legal@pulsecargo.ai