1. Rollen.
Sie (der Kunde) sind Verantwortlicher für die personenbezogenen Daten, die Sie an den Dienst übermitteln. Contenza K/S ist Auftragsverarbeiter und handelt ausschließlich auf Ihre dokumentierten Weisungen. Soweit wir Daten zu eigenen Zwecken verarbeiten (Abrechnung, Sicherheit des Dienstes, Produktverbesserung auf aggregierten Daten), sind wir für diesen begrenzten Zweck eigenständig Verantwortlicher; die Verarbeitung richtet sich dann nach der Datenschutzerklärung und nicht nach diesem Vertrag.
2. Gegenstand, Dauer und Art der Verarbeitung.
Die Verarbeitung erfolgt zur Erbringung des Dienstes QRRegistry: Hosting der Datensätze des Digitalen Produktpasses, deren Auslieferung an Endnutzer, Erzeugung von QR-Codes, Versand operativer E-Mails und Abrechnung. Die Verarbeitung dauert für die Laufzeit des Abonnements zuzüglich des in Ziffer 9 festgelegten Auslaufzeitraums.
3. Datenkategorien und betroffene Personen.
Die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten beschränken sich auf: Kontaktdaten von Vertretern des Herstellers (gemäß Anhang III der Ökodesign-Verordnung), Mitarbeiterkonten des Kunden, die Passports verwalten, sowie Endnutzer-Scan-Ereignisse (Geolokalisierung auf Länderebene und User-Agent-Kategorie). Betroffene Personen sind Beschäftigte des Verantwortlichen sowie anonyme Endnutzer, die öffentliche QR-Codes scannen.
4. Weisungen des Verantwortlichen.
Wir verarbeiten personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Allgemeinen Geschäftsbedingungen sowie das in der öffentlichen Dokumentation beschriebene Produktverhalten bilden diese Weisungen. Sind wir der Auffassung, dass eine Weisung gegen die DSGVO verstößt, informieren wir den Verantwortlichen und setzen die Weisung bis zur Klärung aus.
5. Vertraulichkeit.
Zur Verarbeitung personenbezogener Daten befugtes Personal ist zur Verschwiegenheit verpflichtet; diese Pflicht besteht über das Ende der Beschäftigung hinaus.
6. Sicherheitsmaßnahmen (Art. 32).
- TLS 1.3 für alle Daten in der Übertragung. HSTS auf jeder öffentlichen Domain erzwungen.
- Verschlüsselung im Ruhezustand für Datenbankvolumes und Objektspeicher.
- Rollenbasierter Zugriff auf Produktivsysteme; Zugriffe werden protokolliert und vierteljährlich überprüft.
- Passwort-Hashing und Sitzungscookies, die HttpOnly, Secure und SameSite=Lax sind.
- Tägliche, an einen anderen Standort verschlüsselte Backups mit einem rollierenden 30-Tage-Fenster.
- Defence-in-Depth: isolierter Background-Worker, gekapselte Queue, strikte CSP auf der Viewer-Oberfläche.
7. Unterauftragsverarbeiter.
Der Verantwortliche genehmigt unsere Nutzung der unter /sub-processors aufgeführten Unterauftragsverarbeiter. Wir kündigen jede beabsichtigte Hinzunahme oder Ersetzung mindestens 30 Tage im Voraus an; während dieser Frist kann der Verantwortliche durch Kündigung des Abonnements gegen anteilige Rückerstattung widersprechen.
8. Rechte betroffener Personen und Unterstützung.
Wir unterstützen den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen. Soweit die Anfrage über Funktionen im Dashboard erfüllt werden kann (Export, Berichtigung, Löschung), bearbeitet der Verantwortliche sie selbst; ist ein Eingreifen des Betreibers erforderlich, antworten wir innerhalb von 10 Werktagen.
9. Löschung und Rückgabe bei Beendigung.
Bei Beendigung werden personenbezogene Daten, die in der Verantwortung des Verantwortlichen liegen, innerhalb von 90 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht (z. B. Rechnungsunterlagen). Veröffentlichte Digitale Produktpässe bleiben gemäß Artikel 10 Absatz 4 der Ökodesign-Verordnung weiterhin abrufbar; der Verantwortliche kann eine ausnahmsweise Löschung beantragen, wenn das zugrunde liegende Produkt vom Markt genommen wurde.
10. Audits.
Der Verantwortliche darf die Einhaltung dieses Vertrags einmal jährlich auf eigene Kosten überprüfen, indem er eine schriftliche Lückenanalyse mit Belegen anfordert. Vor-Ort-Audits werden nur dort ermöglicht, wo dies vernünftigerweise erforderlich ist, und sind an eine Vertraulichkeitsvereinbarung gebunden.
11. Internationale Datenübermittlungen.
Alle personenbezogenen Daten werden in der EU gespeichert. Soweit ein Unterauftragsverarbeiter außerhalb der EU/des EWR tätig ist, stützen sich Übermittlungen auf die Standardvertragsklauseln der Europäischen Kommission, ergänzt durch die technischen Maßnahmen aus Ziffer 6.
12. Meldung von Datenschutzverletzungen.
Wir benachrichtigen den Verantwortlichen unverzüglich — und in jedem Fall innerhalb von 48 Stunden nach Kenntnisnahme — über jede Verletzung des Schutzes personenbezogener Daten, die seine Daten betrifft. Die Meldung beschreibt Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Datensätze, wahrscheinliche Folgen sowie die ergriffenen Eindämmungsmaßnahmen.
Fragen zu dieser Richtlinie? Bitte das Kontaktformular nutzen — oder erreichen Sie das Team über die Angaben auf der Kontaktseite.