Marzipan Datenverarbeitungsvertrag

Dies ist eine Übersetzung, die nur zur Information bereitgestellt wird. Die englische Version ist der maßgebliche und rechtlich bindende Text; im Falle von Abweichungen hat die englische Version Vorrang.

Dieser Auftragsverarbeitungsvertrag ("AVV") ergänzt den Vertrag, der zwischen Marzipan und einem Kunden ausschließlich auf Grundlage der Marzipan Nutzungsbedingungen zustande kommt, wenn ein Kunde sich für die Dienste registriert oder auf diese zugreift, und wird durch Verweis in diesen Vertrag einbezogen. Dies gilt insbesondere, jedoch nicht ausschließlich, für:

  1. den von Marzipan unter dem Namen "Labls" auf labls.io und labls.co (einschließlich etwaiger Subdomains) bereitgestellten Dienst zur Erstellung und zum Hosting digitaler Weinkennzeichnungen, der für Weinproduzenten entwickelt wurde, die gesetzlich verpflichtet sind, korrekte lokalisierte Informationen in einer Amtssprache der EU über die Herkunft und den Inhalt von innerhalb der EU vertriebenen Weinen gemäß der Verordnung (EU) 2021/2117 zu veröffentlichen (die "Labls-Dienste");
  2. die von Marzipan auf marzipan.co (einschließlich etwaiger Subdomains) bereitgestellte cloudbasierte E-Commerce- und Datenverwaltungsplattform, die es Weingütern ermöglicht, ihre E-Commerce-Aktivitäten zu bündeln, indem sie Lagerbestand, Bestellungen, Fulfillment & Versand, Zahlungen, Analysen, Marketingkampagnen und Kundenkommunikation über alle digitalen Vertriebskanäle hinweg über ein zentrales Dashboard und ein Content-Management-System verwalten (die "Plattform-Dienste").

Dieser AVV findet Anwendung, sofern und soweit Marzipan im Rahmen der Erbringung der Dienste gemäß dem Vertrag personenbezogene Daten im Auftrag eines Kunden als Auftragsverarbeiter verarbeitet. Die Kategorien personenbezogener Daten, die Marzipan im Rahmen der Dienste verarbeitet, sind in Ziffer 4 dieses AVV vollständig aufgeführt.

Da die Verordnung (EU) 2021/2117 Weingütern und anderen Branchenakteuren untersagt, personenbezogene Daten von Verbrauchern über elektronische Weinkennzeichnungen, die sie an ihren Produkten anbringen, zu verarbeiten, hat Marzipan seinen E-Label-Hosting- und Erstellungsdienst auf labls.io und labls.co so gestaltet, dass keine personenbezogenen Daten von einem Kunden oder Marzipan in Bezug auf ein E-Label erfasst oder nachverfolgt werden können. Dieser AVV findet daher auf diesen Aspekt der Dienste keine Anwendung.

Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die ihnen im Vertrag zugewiesene Bedeutung. Zur Klarstellung: Alle Verweise auf den „Vertrag" umfassen dieses DPA (einschließlich der Anhänge zu diesem DPA und der SCCs). Im Falle eines Widerspruchs zwischen dem Vertrag und diesem DPA hat das DPA hinsichtlich der Verarbeitung personenbezogener Daten Vorrang.

  1. Definitionen

    Affiliate
    bezeichnet eine Einheit, die eine andere Einheit direkt oder indirekt Kontrolliert, von ihr Kontrolliert wird oder gemeinsam mit ihr unter einheitlicher Kontrolle steht.
    Geschäftszwecke
    die Leistungen, die Marzipan dem Kunden gemäß dem Vertrag zu erbringen hat.
    Kontrolle
    bezeichnet ein Eigentums-, Stimm- oder ähnliches Interesse, das fünfzig Prozent (50 %) oder mehr der zu diesem Zeitpunkt ausstehenden Gesamtanteile der betreffenden Einheit repräsentiert. Der Begriff „Controlled" ist entsprechend auszulegen.
    Kunde
    die natürliche oder juristische Person oder Einrichtung, die Partei des Vertrags ist.
    Kundenkonto
    jegliche(s) Online-Konto/-Konten, das/die der Kunde bei den Diensten registriert hat und das/die einen autorisierten Zugang zu den Diensten gewährt/gewähren.
    Kundendaten
    bezeichnet alle personenbezogenen Daten, die Marzipan im Auftrag des Kunden über die Dienste verarbeitet.
    Datenschutzgesetze
    bezeichnet alle anwendbaren Gesetze und Vorschriften in den jeweiligen Rechtsordnungen, die die Nutzung oder Verarbeitung personenbezogener Daten regeln, einschließlich: (i) des California Consumer Privacy Act 2018 ("CCPA"); (ii) der Datenschutz-Grundverordnung ((EU) 2016/279) ("EU GDPR"); (iii) des Schweizer Bundesgesetzes über den Datenschutz; (iv) der EU GDPR in ihrer Funktion als Teil des Rechts von England und Wales, Schottland und Nordirland gemäß Abschnitt 3(10) (ergänzt durch Abschnitt 205(4)) des Data Protection Act 2018 ("UK GDPR"); (v) des Data Protection Act 2018 (sowie der dazu erlassenen Vorschriften) ("DPA 2018"); und (vi) der Privacy and Electronic Communications Regulations 2003 (SI 2003/2426) in der jeweils gültigen Fassung ("PECR 2003"); jeweils in der von Zeit zu Zeit aktualisierten, geänderten oder ersetzten Fassung. Die Begriffe "Verantwortlicher" (Data Controller), "Auftragsverarbeiter" (Data Processor), "Betroffene Person" (Data Subject), "Anfrage der betroffenen Person" (Data Subject Request), "Personenbezogene Daten" (Personal Data), "Verletzung des Schutzes personenbezogener Daten" (Personal Data Breach), "Verarbeitung" (Processing), "Unterauftragsverarbeiter" (Subprocessor) und "Aufsichtsbehörde" (Supervisory Authority) haben die in der EU GDPR festgelegten Bedeutungen.
    E-Label
    ein dediziertes elektronisches Weinetikett, das auf labls.io und labls.co (oder einer Drittanbieter-Website im Auftrag von Marzipan) gehostet wird und strukturierte Informationen (E-Label-Inhalte) über das Wein- oder aromatisierte Weinprodukt eines Kunden für einen bestimmten EU-Markt in einer der 24 Amtssprachen der EU-Mitgliedstaaten zusammenstellt und den allgemeinen und sektorspezifischen Etikettierungsanforderungen der EU-Weinetikettierungsverordnungen entspricht.
    EWR
    der Europäische Wirtschaftsraum.
    Endkunden
    die Verbraucher oder Geschäftskunden, denen der Kunde über die Dienste Produkte oder Dienstleistungen anbietet, vermarktet oder bereitstellt.
    EU SCCs
    bezeichnet die Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 genehmigt wurden und derzeit hier abrufbar sind.
    EU-Weinetikettierungsvorschriften
    die Vorschriften zur Etikettierung von Weinen und aromatisierten Weinerzeugnissen, die durch die Verordnung (EU) 2021/2117 des Europäischen Parlaments und des Rates zur Änderung der Verordnung (EU) Nr. 1308/2013 eingeführt wurden, einschließlich der Umsetzung und des Inkrafttretens dieser Vorschriften gemäß der Delegierten Verordnung (EU) 2019/33 der Kommission vom 17. Oktober 2018 zur Ergänzung der Verordnung (EU) Nr. 1308/2013
    Ex-EEA-Übermittlung
    bezeichnet die Übermittlung von Kundendaten, die gemäß der EU-DSGVO verarbeitet werden, an einen Server, ein Netzwerk, ein Computersystem, ein Unternehmen, eine Person oder eine Einrichtung außerhalb des EWR, sofern diese Übermittlung nicht durch einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Artikel 45 EU-DSGVO geregelt ist.
    Ex-UK-Übermittlung
    bezeichnet die Übermittlung von Kundendaten, die gemäß dem UK GDPR und dem Data Protection Act 2018 verarbeitet werden, an einen Server, ein Netzwerk, ein Computersystem, ein Unternehmen, eine Person oder eine Einrichtung außerhalb des UK, sofern diese Übermittlung nicht durch einen Angemessenheitsbeschluss des zuständigen UK-Staatssekretärs gemäß den einschlägigen Bestimmungen des UK GDPR und des Data Protection Act 2018 geregelt ist.
    Labls-Dienste
    die von Marzipan auf labls.io auf Abonnementbasis (oder anderweitig) bereitgestellten Dienste zur Erstellung, Verwaltung und Bereitstellung elektronischer Etiketten (E-Labels), die es Kunden ermöglichen, E-Labels für ihre Wein- oder aromatisierten Weinprodukte zu erstellen, zu verwalten und zu veröffentlichen.
    Marzipan-Datenschutzrichtlinie
    bezeichnet den Hinweis zur ordnungsgemäßen Datenverarbeitung, den Marzipan unter marzipan.co/privacy bereitstellt, in der jeweils gültigen, geänderten oder ergänzten Fassung.
    Plattformdienste
    die von Marzipan auf marzipan.co bereitgestellte cloudbasierte E-Commerce- und Datenverwaltungsplattform, die es Weingütern ermöglicht, ihre E-Commerce-Aktivitäten zu bündeln, indem sie Lagerbestand, Bestellungen, Fulfillment & Versand, Zahlungen, Analysen, Marketingkampagnen und Kundenkommunikation über alle digitalen Vertriebskanäle hinweg zentral über ein einheitliches Dashboard und ein Content-Management-System verwalten.
    Sicherheitsvorfall
    jeder unbefugte oder rechtswidrige Sicherheitsverstoß, der zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust oder zur Veränderung von Kundendaten oder zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf Kundendaten in Systemen führt, die von Marzipan verwaltet oder anderweitig kontrolliert werden.
    Service Provider
    hat die Bedeutung, die ihm im California Consumer Privacy Act von 2018 ("CCPA") zukommt.
    Services
    bezeichnet einzeln und zusammen die Labls Services und Platform Services.
    Special Category Data
    hat die Bedeutungen gemäß Artikeln 4(13), 4(14), 4(15) und 9 der EU GDPR und UK GDPR (jeweils soweit anwendbar).
    Standard Contractual Clauses (SCCs)
    bezeichnet die EU SCCs und UK SCCs, jeweils soweit anwendbar.
    UK Addendum
    bezeichnet das Internationale Datenübermittlungs-Addendum (Version B1.0), das vom Information Commissioner's Office gemäß S.119(A) des UK Data Protection Act 2018 herausgegeben wurde, in der jeweils gültigen oder geänderten Fassung.
    UK SCCs
    bezeichnet die EU SCCs in der durch das UK Addendum überarbeiteten und geänderten Fassung.
    Usage Data
    alle Daten, die im Zusammenhang mit dem Zugriff, der Nutzung und der Konfiguration der Dienste durch Kunden generiert werden, sowie daraus abgeleitete Daten. Nutzungsdaten umfassen keine Kundendaten oder sonstigen personenbezogenen Daten.

  2. Customer Instructions

    1. Marzipan und der Kunde vereinbaren, dass diese DPA und der Vertrag sowie die Konfiguration oder Nutzung von Einstellungen, Funktionen oder Optionen in den Services durch den Kunden (soweit der Kunde diese von Zeit zu Zeit ändern kann) die schriftlich dokumentierten Weisungen des Kunden hinsichtlich der Verarbeitung von Kundendaten durch Marzipan darstellen (einschließlich für Zwecke der UK SCCs) (die "Dokumentierten Weisungen"). Marzipan verarbeitet die Kundendaten ausschließlich im Einklang mit den Dokumentierten Weisungen. Zusätzliche Weisungen, die über den Umfang der Dokumentierten Weisungen hinausgehen (sofern vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen Marzipan und dem Kunden.
    2. Marzipan ist berechtigt, diese DPA und den Vertrag ohne Haftung gegenüber dem Kunden zu kündigen, wenn Marzipan es ablehnt, Weisungen zu befolgen, die gegen die Datenschutzgesetze oder anwendbare Datenschutzbestimmungen der EU-Weinetikettierungsverordnungen verstoßen oder die über den in dieser DPA oder in einer sonstigen schriftlichen Vereinbarung zwischen den Parteien erteilten oder vereinbarten Umfang hinausgehen oder von diesem abweichen.
    3. Der Kunde wird Marzipan keine Daten besonderer Kategorien (Special Category Data) zur Verarbeitung im Rahmen des Vertrags übermitteln (oder veranlassen, dass diese übermittelt werden), und Marzipan haftet in keiner Weise für Daten besonderer Kategorien, weder im Zusammenhang mit einem Sicherheitsvorfall noch anderweitig. Zur Klarstellung: Diese DPA findet auf Daten besonderer Kategorien keine Anwendung.

  3. Data Processing

    1. When Marzipan processes Customer Data while providing the Services, Marzipan will:

      (a)soweit die UK GDPR oder EU GDPR Anwendung findet, die Kundendaten als Auftragsverarbeiter im Auftrag des Kunden verarbeiten (unabhängig davon, ob dieser selbst Verantwortlicher oder Auftragsverarbeiter im Auftrag eines drittparteilichen Verantwortlichen ist);

      (b)soweit der CCPA Anwendung findet, die Kundendaten im Auftrag des Kunden als Service Provider verarbeiten (Einzelheiten hierzu siehe Klausel 3.2 nachstehend);

      (c)Kundendaten ausschließlich auf folgenden Servern verarbeiten und speichern:

      a.betrieben vom Rechenzentrumsanbieter UpCloud Oy, einer finnischen Gesellschaft mit beschränkter Haftung ("UpCloud"), in seinem Rechenzentrum DE-FRA1 in Frankfurt am Main, Deutschland.

      b.betrieben vom Rechenzentrumsanbieter Scaleway SAS, einer französischen vereinfachten Aktiengesellschaft ("Scaleway"), in seinem Rechenzentrum in Paris.

      c.betrieben vom Rechenzentrumsanbieter Hetzner Online GmbH, einer deutschen Gesellschaft mit beschränkter Haftung ("Hetzner"), in ihren Rechenzentren in Nürnberg und Falkenstein, Deutschland; und

      d.betrieben vom Cloud-Speicheranbieter BunnyWay d.o.o., einer slowenischen Gesellschaft mit beschränkter Haftung ("BunnyWay"), an seinem Edge-Server-Standort in Nürnberg, Deutschland.

      (d)die Kundendaten nur in dem Umfang und auf eine Weise verarbeiten, die für die Geschäftszwecke in Übereinstimmung mit den rechtmäßigen Dokumentierten Weisungen des Kunden erforderlich ist (sofern diese Weisungen mit den Funktionalitäten der vom Kunden im Rahmen des Vertrags erworbenen Services vereinbar sind);

      (e)sofern Marzipan gesetzlich verpflichtet ist, die Kundendaten für einen anderen Zweck als die Geschäftszwecke zu verarbeiten, wird Marzipan den Kunden vor Durchführung einer solchen Verarbeitung über diese Verpflichtung informieren, es sei denn, Marzipan ist gesetzlich daran gehindert, eine solche Mitteilung zu machen;

      (f)unverzüglich jeglichen rechtmäßigen schriftlichen Anweisungen des Kunden nachkommen, die Marzipan zur Änderung, Übertragung, Löschung oder sonstigen Verarbeitung der Kundendaten oder zur Einstellung, Minderung oder Behebung einer unzulässigen Verarbeitung verpflichten;

      (g)die Vertraulichkeit der Kundendaten wahren und die Kundendaten nicht an Dritte weitergeben, sofern der Kunde oder dieses DPA die Weitergabe nicht ausdrücklich gestattet oder eine solche Weitergabe nach nationalem Recht, durch gerichtliche Anordnung oder aufgrund behördlicher Vorschriften erforderlich ist (einschließlich etwaiger Anweisungen des UK ICO Commissioner oder einer anderen zuständigen Behörde im UK und/oder EWR);

      (h)den Kunden in angemessener Weise und ohne zusätzliche Kosten für den Kunden dabei unterstützen, seinen Compliance-Pflichten gemäß den Datenschutzgesetzen nachzukommen, unter Berücksichtigung der Art der Verarbeitung durch Marzipan und der Marzipan zur Verfügung stehenden Informationen – unter anderem, jedoch nicht abschließend, durch die Bereitstellung angemessener Informationen, die den Kunden bei der Durchführung etwaiger Datenschutz-Folgenabschätzungen unterstützen, sowie durch Unterstützung des Kunden bei der Beantwortung von Betroffenenanfragen; und

      (i)den Kunden unverzüglich über alle Änderungen der Datenschutzgesetze zu informieren, die vernünftigerweise als nachteilig für die Erfüllung der Verpflichtungen von Marzipan aus dem Vertrag oder diesem DPA ausgelegt werden können.

    2. CCPA. Die Parteien erkennen an und stimmen zu, dass Marzipan im Sinne des CCPA (soweit anwendbar) ein Dienstleister (Service Provider) in Bezug auf die Kundendaten ist und personenbezogene Daten vom Kunden erhält, um die Dienste gemäß dem Vertrag zu erbringen, was einen geschäftlichen Zweck darstellt. Marzipan wird solche personenbezogenen Daten nicht verkaufen. Marzipan wird keine vom Kunden gemäß dem Vertrag bereitgestellten personenbezogenen Daten aufbewahren, verwenden oder offenlegen, es sei denn, dies ist für den spezifischen Zweck der Erbringung der Dienste für den Kunden gemäß diesem Vertrag erforderlich oder anderweitig im Vertrag festgelegt oder nach dem CCPA zulässig. Die Begriffe "personenbezogene Daten" (personal information), "Dienstleister" (Service Provider), "Verkauf" (sale) und "verkaufen" (sell) haben die Bedeutung, die ihnen in Abschnitt 1798.140 des CPA (in der jeweils geänderten, neu erlassenen oder aktualisierten Fassung) zugewiesen wird. Marzipan bestätigt, dass es die Einschränkungen dieser Klausel (i) versteht.
    3. Dienste Dritter. Im Rahmen der Dienste bietet Marzipan dem Kunden die Möglichkeit, die Dienste von Zeit zu Zeit mit bestimmten Diensten, Integrationen und Anwendungen Dritter zu integrieren und/oder zu verbinden ("Dienste Dritter"). Bitte beachten Sie, dass die Nutzung der Dienste Dritter durch den Kunden in jedem Fall ausschließlich durch die Allgemeinen Geschäftsbedingungen und die dazugehörigen Datenschutzrichtlinien (zusammen die "EULA") geregelt wird, gemäß denen der Drittanbieter dem Kunden die jeweiligen Dienste Dritter zur Verfügung stellt (der "Drittanbieter"). Jede EULA wird ausschließlich zwischen dem Kunden und dem Drittanbieter geschlossen, und Marzipan ist kein Vertragspartner solcher EULAs.
    4. Wenn der Kunde uns anweist, die Marzipan-Produkte oder -Konten des Kunden mit einem oder mehreren Drittanbieterdiensten zu integrieren, stimmt der Kunde zu, dass Marzipan die Kundendaten an die Drittanbieter überträgt, damit diese ihre Dienste für den Kunden erbringen können. Sofern Drittanbieter die Kundendaten anschließend verarbeiten, unterliegt dies den einschlägigen Datenschutzbestimmungen ihrer jeweiligen Endnutzer-Lizenzvereinbarung (EULA), und Marzipan ist für eine solche Verarbeitung nicht verantwortlich.
    5. Third-Party Services from the following Third-Party Service Providers are currently available to be integrated and/or interfaced with Marzipan.
      Name Description
      Fathom Analytics This integration allows Customers who are subscribed to Fathom Analytics’ web analytics service to view their Fathom Analytics dashboard within Marzipan’s e-commerce and data management platform. All EEA and UK traffic processed via the integration is processed solely on EU servers owned and operated by the German cloud service provider etzner Online GmbH, a German legal entity.
      MailChimp This integration allows Customers who are subscribed to MailChimp’s email marketing service to send data to MailChimp to enable the Customer to send emails to their subscribers.
    6. Bitte beachten Sie, dass, sofern Marzipan dem Kunden die Integration der Dienste mit einem Drittanbieterdienst ermöglicht, der in der obigen Tabelle nicht aufgeführt ist, die Nutzung eines solchen Drittanbieterdienstes durch den Kunden zu denselben Bedingungen wie in Klausel (i) dieses Vertrags durch die geltende EULA des jeweiligen Drittanbieters geregelt wird.
    7. SCCs. Sofern Marzipan und der Kunde Standardvertragsklauseln gemäß Klausel 10 (Übermittlungen von Kundendaten) abgeschlossen haben, gilt Folgendes: (i) Die Weisung des Kunden an Marzipan gemäß Klausel 3.3 dieses Vertrags, den/die Drittanbieterdienst(e) (soweit zutreffend) als Teil der Dienste zu integrieren, gilt als vorherige schriftliche Einwilligung des Kunden zur Übermittlung von Kundendaten durch Marzipan an den Drittanbieter, sofern eine solche Einwilligung gemäß den SCCs erforderlich ist; (ii) die Parteien vereinbaren, dass Marzipan die Kopien der Vereinbarungen mit Drittanbietern, die Marzipan dem Kunden gemäß Klausel 9(c) der EU SCCs oder einer einschlägigen Klausel der UK SCCs (jeweils soweit zutreffend) zur Verfügung stellen muss, vorab um kommerzielle Informationen oder Informationen, die nicht im Zusammenhang mit den Standardvertragsklauseln oder deren Äquivalent stehen, bereinigen darf, und dass solche geschwärzten Kopien von Marzipan nur auf schriftliche Anfrage des Kunden bereitgestellt werden.
    8. The Customer’s responsibilities. The Customer:

      (a)ist der Verantwortliche (Data Controller) in Bezug auf alle Kundendaten;

      (b)bleibt verantwortlich für die Erfüllung der Compliance-Pflichten des Kunden gemäß den anwendbaren Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf die Erteilung etwaig erforderlicher Hinweise und die Einholung etwaig erforderlicher Einwilligungen, die Marzipan benötigt, um die Kundendaten für die Geschäftszwecke zu verarbeiten;

      (c)stellt Marzipan keine besonderen Kategorien personenbezogener Daten (Special Category Data) zur Verarbeitung im Rahmen des Vertrags zur Verfügung (und veranlasst dies auch nicht) und Marzipan übernimmt keinerlei Haftung in Bezug auf besondere Kategorien personenbezogener Daten, weder im Zusammenhang mit einem Sicherheitsvorfall noch anderweitig. Zur Klarstellung: Dieses DPA findet auf besondere Kategorien personenbezogener Daten keine Anwendung;

      (d)versichert und gewährleistet, dass es alle anwendbaren Gesetze, einschließlich der Datenschutzgesetze, in Bezug auf die Verarbeitung von Kundendaten und etwaige Dokumentierte Weisungen, die es Marzipan erteilt, eingehalten hat und weiterhin einhalten wird;

      (e)trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie für die Art und Weise, wie der Kunde die Kundendaten erworben hat. Unbeschadet der Allgemeinheit des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er für die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze) verantwortlich ist, die auf alle über die Dienste erstellten, gesendeten oder verwalteten Inhalte anwendbar sind;

      (f)stellt sicher, dass die Verarbeitung der Kundendaten durch Marzipan gemäß den Dokumentierten Weisungen des Kunden Marzipan nicht dazu veranlasst, gegen geltende Gesetze, Vorschriften oder Regelungen zu verstoßen, einschließlich, ohne Einschränkung, der Datenschutzgesetze. Marzipan wird den Kunden unverzüglich schriftlich benachrichtigen – sofern dies nicht durch Datenschutzgesetze untersagt ist –, wenn Marzipan feststellt oder davon überzeugt ist, dass eine Datenverarbeitungsanweisung des Kunden gegen Datenschutzgesetze verstößt; und

      (g)gewährleistet, soweit es als Auftragsverarbeiter im Auftrag eines Dritten als Verantwortlicher (oder als sonstige Zwischenstelle zum letztverantwortlichen Verantwortlichen) handelt, dass seine Dokumentierten Weisungen gemäß dem Vertrag und diesem DPA, einschließlich seiner Genehmigungen an Marzipan zur Beauftragung von Unterauftragsverarbeitern gemäß diesem DPA, durch den jeweiligen Verantwortlichen autorisiert wurden.

  4. Arten von Kundendaten und Verarbeitungszwecke

    1. Gegenstand. Gegenstand der Datenverarbeitung im Rahmen dieses DPA sind die über die Dienste verarbeiteten Kundendaten.
    2. Laufzeit. Im Verhältnis zwischen Marzipan und dem Kunden bestimmt der Kunde die Dauer der Datenverarbeitung im Rahmen dieser DPA. Der Kunde kann die Datenverarbeitung aussetzen oder beenden, indem er sein Abonnement der Plattformdienste und/oder Labls-Dienste (sofern zutreffend) aussetzt oder kündigt oder von Marzipan gehostete Integrationen aussetzt (wie etwa proprietäre APIs, die Marzipan dem Kunden zur Verfügung stellt) und die der Kunde im Rahmen seines Betriebs nutzt.
    3. Zweck. Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Erbringung der vom Kunden jeweils initiierten Leistungen, einschließlich – zur beispielhaften Veranschaulichung – der Bereitstellung der E-Commerce- und Datenverwaltungsplattform von Marzipan und/oder des Dienstes zur Erstellung und Bereitstellung von E-Labels für den Kunden.
    4. Art der Verarbeitung. Marzipan ermöglicht es Unternehmen, ihre E-Commerce-Aktivitäten zu vereinheitlichen und E-Labels für ihre Weinprodukte zu erstellen, unter anderem durch die Bereitstellung der „Leistungen", wie in Klausel 1 dieses DPA definiert. Diese Leistungen umfassen die Verarbeitung von Kundendaten durch Marzipan, seine Unterauftragsverarbeiter und gegebenenfalls die Drittanbieter. Kundendaten können vom Kunden über das Kundenkonto, über alle APIs, die Marzipan von Zeit zu Zeit zur Verfügung stellt und die eine Schnittstelle zu den Leistungen bilden, sowie über (iii) alle Drittanbieterdienste, die Kundendaten mit den Leistungen teilen, in die Leistungen hochgeladen und/oder dort verarbeitet werden.
    5. Types of Customer Data. Customer Data uploaded to the Services:

      (a)durch den Kunden über das Kundenkonto;

      (b)über eine der APIs oder Webkomponenten von Marzipan, die die Dienste mit den Systemen des Kunden verbinden; und

      (c)über Drittanbieterdienste, die der Kunde mit den Diensten integriert.

      Arten personenbezogener Daten, die im Rahmen der Kundendaten in die Dienste hochgeladen werden, können umfassen:

      • Name, E-Mail-Adresse, Kontakt-, Rechnungs- und Versandinformationen des Kunden.
      • Kauf-, Abonnement- (z. B. Weinclub) und sonstige Transaktionsinformationen (einschließlich, aber nicht beschränkt auf Statusinformationen) aus den physischen und digitalen Verkaufspunkten des Kunden;
      • Aktivitäten der Endkunden in den digitalen Verkaufspunkten des Kunden, einschließlich Bestellhistorie, angesehener Produkte und im Warenkorb befindlicher Produkte.
      • Geräteinformationen der Endkunden für Geräte, die beim Besuch der Verkaufspunkte des Kunden verwendet werden, einschließlich IP-Adresse, Browser und Netzwerkaktivität.
      • Alle weiteren personenbezogenen Daten, die der Kunde Marzipan zur Verfügung zu stellen wählt.
    6. Kategorien betroffener Personen. Zu den betroffenen Personen können gehören: (i) der Kunde, seine Mitarbeiter, Auftragnehmer, Vertreter, Lieferanten und Anbieter sowie (ii) die tatsächlichen und potenziellen Endkunden des Kunden.

  5. Sicherheit der Datenverarbeitung

    1. Marzipan wird jederzeit geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Zugang, Kopierung, Änderung, Vervielfältigung, Anzeige oder Weitergabe der Kundendaten sowie gegen versehentlichen oder unrechtmäßigen Verlust, Vernichtung, Veränderung, Offenlegung oder Beschädigung der Kundendaten treffen, einschließlich, aber nicht beschränkt auf die in den Marzipan-Sicherheitsstandards (Anhang A) beschriebenen Maßnahmen, um in jedem Fall ein dem Risiko angemessenes Sicherheitsniveau für die Kundendaten gemäß Artikel 32 EU/UK GDPR zu gewährleisten.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including as appropriate:

      (a)die Pseudonymisierung und Verschlüsselung von Kundendaten;

      (b)die Fähigkeit, die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen;

      (c)die Fähigkeit, die Verfügbarkeit und den Zugang zu Kundendaten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen; und

      (d)ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen.

  6. Mitarbeiter von Marzipan

    1. Marzipan will ensure its employees, contractors and agents:

      (a)über die vertrauliche Natur der Kundendaten informiert sind und Vertraulichkeitsverpflichtungen sowie Nutzungsbeschränkungen in Bezug auf die Kundendaten unterliegen;

      (b)eine Schulung zu den Datenschutzgesetzen im Zusammenhang mit der Verarbeitung von Kundendaten und deren Anwendung auf ihre Aufgaben absolviert haben; und

      (c)sowohl über die Pflichten von Marzipan als auch über ihre eigenen Pflichten und Verpflichtungen gemäß den Datenschutzgesetzen und dem Vertrag informiert sind.

  7. Sicherheit

    1. Marzipan wird jederzeit geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, Zugang, Kopierung, Änderung, Vervielfältigung, Anzeige oder Weitergabe der Kundendaten sowie gegen versehentlichen oder unrechtmäßigen Verlust, Vernichtung, Veränderung, Offenlegung oder Beschädigung von Kundendaten treffen.
    2. Marzipan shall implement such measures to ensure a level of security appropriate to the risk involved, including for illustrative purposes and as appropriate:

      (a)die Pseudonymisierung und Verschlüsselung von Kundendaten;

      (b)die Fähigkeit, die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen;

      (c)die Fähigkeit, die Verfügbarkeit und den Zugang zu Kundendaten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen; und

      (d)ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen.

  8. Verletzung des Schutzes personenbezogener Daten

    1. Marzipan shall within 72 hours and in any event without undue delay notify the Customer if it becomes aware of:

      (a)der Verlust, die unbeabsichtigte Vernichtung oder Beschädigung, Beschädigung oder sonstige Beeinträchtigung eines Teils oder aller Kundendaten;

      (b)jede versehentliche, unbefugte oder unrechtmäßige Verarbeitung der Kundendaten; oder

      (c)jede Verletzung des Schutzes personenbezogener Daten.

    2. Where Marzipan becomes aware of any of the foregoing matters described in clauses 8.1(a), (b) and/or (c) above, it shall, without undue delay, also provide the Customer with the following:

      (a)eine Beschreibung der Art des in Bezug auf die Klauseln 8.1(a), (b) und/oder (c) erfassten Sachverhalts, einschließlich der Kategorien der betroffenen Kundendaten sowie der ungefähren Anzahl der betroffenen Personen und der betroffenen Kundendatensätze; oder

      (b)eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung der in Bezug auf die Klauseln 8.1(a), (b) und/oder (c) erfassten Sachverhalte, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

    3. Unmittelbar nach einer versehentlichen, unbefugten oder unrechtmäßigen Verarbeitung von Kundendaten oder einer Verletzung des Schutzes personenbezogener Daten wird Marzipan den Kunden kontaktieren, damit wir unsere Untersuchung des Vorfalls gemeinsam koordinieren können.
    4. Marzipan wird keine dritte Partei über eine versehentliche, unbefugte oder rechtswidrige Verarbeitung aller oder eines Teils der Kundendaten und/oder eine Verletzung des Schutzes personenbezogener Daten informieren, ohne zuvor die schriftliche Zustimmung des Kunden eingeholt zu haben, es sei denn, eine solche Offenlegung ist als Teil der Maßnahmen zur Behebung einer solchen Verarbeitung oder Verletzung des Schutzes personenbezogener Daten erforderlich oder wird durch geltendes Recht vorgeschrieben.
    5. Marzipan trägt die angemessenen Kosten, die mit der Erfüllung seiner Pflichten gemäß den Klauseln 8.1 und 8.2 verbunden sind, es sei denn, die Angelegenheit ist auf spezifische schriftliche Anweisungen des Kunden, Fahrlässigkeit, vorsätzliches Fehlverhalten oder einen Verstoß gegen den DPA oder den Vertrag zurückzuführen; in diesem Fall trägt der Kunde alle angemessenen Kosten (einschließlich der angemessenen Kosten von Marzipan und seiner Fachberater).

  9. Unterauftragsverarbeiter

    1. Marzipan uses the following Sub-processors to host and/or process Customer Data, to provide infrastructure and network services to support Marzipan, and to perform service functions on our behalf as part of the Services:
      Name Description
      Active Campaign LLC Trading as "Postmark", Active Campaign delivers transactional emails (e.g. password reset emails, notification emails, receipt and invoice emails) on behalf of Marzipan as part of the Services.
      Automattic, Inc. Trading as "Gravatar." Automattic allows Customers to upload pre-existing image and public profile data to the Platform Services.
      BunnyWay d.o.o BunnyWay provides Marzipan with Domain Name System (DNS), Website Application Firewall (WAF) and Content Delivery Network (CDN) services.
      Fathom Analytics Fathom Analytics provides web analytics services that enable Marzipan to track and analyse web traffic’s engagement with the Services.
      Functional Software Inc. Trading as "Sentry", Functional Software provides Marzipan with crash and error monitoring services in respect of the Services.
      Internet Security Research Group ISRG’s "Let’s Encrypt" service provides Marzipan with the digital certificate necessary to enable HTTPS (SLS/TLS) on its websites.
      Laravel Holdings Inc. Laravel provides Marzipan with its: (i) "Forge" server management services in relation to the provisioning and deployment of the Services on Hetzner Online GmbH’s servers; and (ii) "Envoyer" zero downtime deployment services.
      OhMySMTP Ltd OhMySMTP, trading as "MailPace", provides Marzipan with email services for sending transactional emails (e.g. password reset emails, notification emails, order confirmation emails) on behalf of Marzipan as part of the Services.
      PayPal UK Ltd PayPal provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
      Stripe Payments UK, Ltd. Stripe provides Marzipan with authorised payment gateway and payment processing services in respect of payload and payment data submitted to the Services.
    2. Der Kunde ermächtigt uns, die in Klausel 9.1 aufgeführten Unterauftragsverarbeiter im Rahmen der Dienste einzusetzen, und erteilt uns darüber hinaus eine allgemeine Genehmigung, weitere Unterauftragsverarbeiter für Verarbeitungstätigkeiten in Bezug auf Kundendaten einzusetzen, die wir im Rahmen des Vertrags vom Kunden erheben. Marzipan wird den Kunden mindestens 10 Tage vor entsprechenden Änderungen informieren, wenn Unterauftragsverarbeiter hinzugefügt oder entfernt werden.
    3. Where Marzipan engages a Sub-processor as described in clause 9.1:

      (a)Marzipan wird den Zugang des Unterauftragsverarbeiters zu Daten auf das beschränken, was zur Bereitstellung, Aufrechterhaltung oder Verbesserung der Dienste vernünftigerweise erforderlich ist; und

      (b)Marzipan wird mit dem Unterauftragsverarbeiter einen schriftlichen Datenverarbeitungsvertrag abschließen und, soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsleistungen erbringt wie Marzipan im Rahmen dieses DPA, dem Unterauftragsverarbeiter dieselben vertraglichen Verpflichtungen auferlegen, die Marzipan hierin unterliegt.

    4. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)die vorstehenden Genehmigungen stellen die vorherige schriftliche Einwilligung des Kunden zur Unterbeauftragung der Verarbeitung von Kundendaten durch Marzipan dar, sofern eine solche Einwilligung gemäß den SCCs erforderlich ist;und

      (b)Marzipan wird mit dem Unterauftragsverarbeiter einen schriftlichen Datenverarbeitungsvertrag abschließen und, soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsleistungen erbringt wie Marzipan im Rahmen dieses DPA, dem Unterauftragsverarbeiter dieselben vertraglichen Verpflichtungen auferlegen, die Marzipan hierin unterliegt.

    5. If Marzipan and the Customer have entered into Standard Contractual Clauses as described in clause 10 (Transfers of Customer Data):

      (a)die vorstehenden Genehmigungen stellen die vorherige schriftliche Einwilligung des Kunden zur Unterbeauftragung der Verarbeitung von Kundendaten durch Marzipan dar, sofern eine solche Einwilligung gemäß den SCCs erforderlich ist; und

      (b)die Parteien vereinbaren, dass Marzipan aus den Kopien der Vereinbarungen mit Unterauftragsverarbeitern, die Marzipan dem Kunden gemäß Klausel 9(c) der EU-SCCs oder einer entsprechenden Klausel der UK-SCCs (sofern anwendbar) zur Verfügung stellen muss, im Voraus kommerzielle Informationen oder Informationen, die nicht mit den Standardvertragsklauseln oder deren Äquivalent in Zusammenhang stehen, entfernen darf, und dass solche geschwärzten Kopien von Marzipan nur auf schriftliche Anfrage des Kunden bereitgestellt werden.

  10. Übermittlungen von Kundendaten

    1. Die Parteien vereinbaren, dass Marzipan Kundendaten, die im Rahmen des Vertrags verarbeitet werden, soweit für die Erbringung der Dienste erforderlich, außerhalb des EWR, des UK oder der Schweiz übermitteln darf. Der Kunde nimmt zur Kenntnis, dass die Verarbeitungsvorgänge vieler Drittanbieter und Unterauftragsverarbeiter in den Vereinigten Staaten stattfinden und die Übermittlung der Kundendaten für die Erbringung der Dienste gegenüber dem Kunden erforderlich ist. Sofern Marzipan Kundendaten, die durch diesen Vertrag geschützt sind, in ein Land übermittelt, für das die Europäische Kommission oder der UK Secretary of State (jeweils soweit anwendbar) keinen Angemessenheitsbeschluss erlassen hat, stellt Marzipan sicher, dass für die Übermittlung der Kundendaten geeignete Garantien gemäß den Datenschutzgesetzen implementiert wurden.
    2. Ex-EEA Transfers. The parties agree that ex-EEA Transfers are made pursuant to Module Two (Controller to Processor) of the EU SCCs which is deemed entered (and incorporated into this DPA) and which shall apply as follows (unless stated otherwise, references to clause numbers are references to clause numbers of Module Two of the EU SCCs):

      (a)Die optionale Beitrittsklausel in Klausel 7 findet keine Anwendung;

      (b)In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist für die vorherige Ankündigung von Änderungen bei Unterauftragsverarbeitern richtet sich nach Klausel 9.2 dieses DPA;

      (c)In Klausel 11 findet die optionale Sprache keine Anwendung;

      (d)Alle eckigen Klammern in Klausel 12 werden hiermit entfernt;

      (e)In Klausel 17 (Option 10) unterliegen die EU SCCs irischem Recht;

      (f)In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;

      (g)Teil 1 von Anhang B ("Grenzüberschreitende Übermittlungen") zu diesem DPA enthält die in Anhang I der EU-Standardvertragsklauseln geforderten Informationen;

      (h)Teil 1 von Anhang B ("Grenzüberschreitende Übermittlungen") zu diesem DPA enthält die in Anhang II der EU-Standardvertragsklauseln geforderten Informationen;

      (i)Mit Abschluss dieses DPA gelten die Parteien als Unterzeichner der hierin einbezogenen EU SCCs einschließlich ihrer Anhänge.

    3. Ex-UK Transfers

      (a)Die Parteien vereinbaren, dass das IDTA DPA auf eine ex-UK Transfer Anwendung findet. Teil 2 von Anhang B („Grenzüberschreitende Übermittlungen") enthält die im IDTA DPA erforderlichen Informationen.

    4. Transfers from Switzerland. The parties agree that transfers from Switzerland are made pursuant to the EU SCCs with the following modifications:

      (a)Die Begriffe „Datenschutz-Grundverordnung" oder „Verordnung (EU) 2016/679", wie sie in den EU SCCs verwendet werden, sind dahingehend auszulegen, dass sie das Bundesgesetz über den Datenschutz vom 19. Juni 2022 (das „DSG") und in seiner überarbeiteten Fassung vom 25. September 2020 (das „revidierte DSG") in Bezug auf Datenübermittlungen einschließen, die dem DSG unterliegen.

      (b)Die Bedingungen der EU SCCs sind so auszulegen, dass sie die Daten juristischer Personen schützen, bis sie im Rahmen des revidierten FADP wirksam sind.

      (c)Klausel 13 der EU SCCs wird dahingehend geändert, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ("FDPIC") der Schweiz für Datenübermittlungen zuständig ist, die dem FADP unterliegen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen zuständig ist, die der EU GDPR unterliegen. Vorbehaltlich des Vorstehenden sind alle übrigen Anforderungen von Klausel 13 der EU SCCs zu beachten.

      (d)Der Begriff „EU-Mitgliedstaat", wie er in den EU SCCs verwendet wird, darf nicht so ausgelegt werden, dass er betroffene Personen in der Schweiz davon ausschließt, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18(c) der EU SCCs geltend zu machen.

    5. Supplementary Measures. In respect of any ex-EEA Transfer or ex-UK Transfer, the following supplementary measures shall apply:

      (a)Zum Zeitpunkt des Abschlusses dieses DPA hat der Datenimporteur keine formellen rechtlichen Anfragen von Geheimdiensten oder Sicherheitsbehörden des Landes, in das die Kundendaten übermittelt werden, bezüglich des Zugangs zu (oder der Anfertigung von Kopien der) Kundendaten erhalten ("Behördenanfragen");

      (b)Sollte der Datenimporteur nach dem Datum dieses DPA Behördenanfragen erhalten, wird Marzipan versuchen, die Strafverfolgungsbehörde oder Regierungsbehörde dahingehend umzuleiten, die Daten direkt beim Kunden anzufordern. Im Rahmen dieser Bemühungen erklärt sich der Kunde damit einverstanden, dass wir der Behörde seine grundlegenden Kontaktdaten mitteilen dürfen. Ist Marzipan zur Offenlegung der Kundendaten gegenüber einer Strafverfolgungsbehörde oder Regierungsbehörde verpflichtet, wird Marzipan den Kunden mit angemessener Vorankündigung über die Anforderung informieren und kooperieren, um dem Kunden die Möglichkeit zu geben, eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel zu beantragen, sofern Marzipan gesetzlich nicht daran gehindert ist. Marzipan wird Kundendaten keiner Strafverfolgungsbehörde oder Regierungsbehörde freiwillig offenlegen. Marzipan wird (sobald dies vernünftigerweise praktikabel ist) erörtern und festlegen, ob alle oder einzelne Übermittlungen von Kundendaten gemäß diesem DPA angesichts solcher Behördenanfragen ausgesetzt werden sollten;

      (c)Marzipan and the Data Exporter will meet regularly to consider whether:

      a.Der Schutz, den die Gesetze des Landes des Datenimporteurs den betroffenen Personen gewähren, deren personenbezogene Daten im Rahmen der Kundendaten übermittelt werden, ist ausreichend, um einen dem im EWR oder im UK – je nach Anwendungsfall – gewährten Schutz weitgehend gleichwertigen Schutz zu bieten;

      b.Zusätzliche Maßnahmen sind vernünftigerweise erforderlich, um die Übermittlung mit dem Datenschutzrecht in Einklang zu bringen;

      c.Es ist weiterhin angemessen, Kundendaten an den betreffenden Datenimporteur zu übermitteln, unter Berücksichtigung aller den Parteien vorliegenden relevanten Informationen sowie der von den Aufsichtsbehörden bereitgestellten Leitlinien.

      (d)Sofern die Datenschutzgesetze verlangen, dass Marzipan die auf eine bestimmte Übermittlung von Kundendaten an einen Datenimporteur anwendbaren Standardvertragsklauseln als gesondertem Vertrag abschließt, hat der Datenimporteur auf Anfrage von Marzipan diese Standardvertragsklauseln unverzüglich zu unterzeichnen und dabei solche Änderungen einzubeziehen, die von Marzipan vernünftigerweise verlangt werden können, um die anwendbaren Anhänge, die Einzelheiten der Übermittlung und die Anforderungen der Datenschutzgesetze widerzuspiegeln; und

      (e)Sollte (i) eines der in diesem DPA festgelegten Mittel zur Legitimierung von Übermittlungen außerhalb des EWR, des UK oder der Schweiz seine Gültigkeit verlieren; oder (ii) eine Aufsichtsbehörde verlangen, dass Übermittlungen von Kundendaten auf Grundlage dieser Mittel ausgesetzt werden, so kann der Datenimporteur durch Mitteilung an Marzipan, mit Wirkung ab dem in dieser Mitteilung genannten Datum, alternative Regelungen für solche Übermittlungen treffen oder bestehende Regelungen ändern, wie vom Datenschutzrecht verlangt.

    6. Unterauftragsverarbeiter. Stimmt der Kunde der Beauftragung eines außerhalb des EWR ansässigen Unterauftragsverarbeiters gemäß den Bestimmungen von Klausel 9 zu, oder entscheidet sich der Kunde dazu, einen Drittanbieterdienst eines außerhalb des EWR ansässigen Drittdienstanbieters gemäß Klausel 3 zu integrieren, ermächtigt der Kunde uns, SSCs mit dieser Partei abzuschließen, auch im Namen und auf Rechnung des Kunden.

  11. Beschwerden, Anfragen betroffener Personen und Rechte Dritter

    1. Marzipan will take such reasonable technical and organisational measures as appropriate, and promptly provide such information to the Customer as the Customer may require, to enable the Customer to comply with:

      (a)the rights of Data Subjects under the Data Protection Laws, including subject access rights, the rights to rectify, port and erase Customer Data, object to the processing and automated processing of Customer Data, and restrict the processing of Customer Data; and/p>

      (b)Informations- oder Bewertungsbescheide, die dem Kunden vom UK ICO (oder einer anderen zuständigen Aufsichtsbehörde im EWR) gemäß den Datenschutzgesetzen zugestellt werden.

    2. Marzipan wird den Kunden unverzüglich schriftlich benachrichtigen, wenn Marzipan eine Beschwerde, einen Hinweis oder eine Mitteilung erhält, die sich direkt oder indirekt auf die Verarbeitung von Kundendaten oder auf die Einhaltung der Datenschutzgesetze durch Marzipan oder den Kunden bezieht.
    3. Marzipan wird den Kunden innerhalb von 14 Tagen benachrichtigen, wenn Marzipan einen Antrag einer betroffenen Person auf Zugang zu ihren Kundendaten oder auf Ausübung ihrer sonstigen Rechte gemäß den Datenschutzgesetzen erhält.
    4. Marzipan wird den Kunden bei der Beantwortung von Beschwerden, Hinweisen, Mitteilungen oder Anfragen betroffener Personen unterstützen.
    5. Marzipan wird die Kundendaten weder gegenüber einer betroffenen Person noch gegenüber einem Dritten offenlegen, es sei denn, dies erfolgt gemäß den schriftlichen Weisungen des Kunden oder ist nach nationalem Recht erforderlich.

  12. Laufzeit und Kündigung

    1. This DPA will remain in full force and effect so long as:

      (a)der Vertrag in Kraft bleibt; oder

      (b)Marzipan Kundendaten im Zusammenhang mit dem Vertrag in seinem Besitz oder unter seiner Kontrolle behält (die "Laufzeit").

    2. Jede Bestimmung dieses DPA, die ausdrücklich oder sinngemäß bei oder nach Beendigung des Vertrags in Kraft treten oder in Kraft bleiben soll, um die Kundendaten zu schützen, bleibt in vollem Umfang gültig und wirksam.
    3. Die Nichteinhaltung der Bedingungen dieses DPA durch Marzipan stellt eine wesentliche Vertragsverletzung dar. In einem solchen Fall kann der Kunde den Vertrag durch schriftliche Mitteilung an Marzipan mit sofortiger Wirkung kündigen, ohne weitere Haftung oder Verpflichtungen einzugehen.
    4. Verhindert eine Änderung der Datenschutzgesetze eine der Parteien an der vollständigen oder teilweisen Erfüllung ihrer Vertragspflichten, können die Parteien vereinbaren, die Verarbeitung der Kundendaten auszusetzen, bis diese Verarbeitung den neuen Anforderungen entspricht. Können die Parteien die Verarbeitung der Kundendaten nicht innerhalb von 90 Tagen mit den Datenschutzgesetzen in Einklang bringen, kann jede Partei den Vertrag mit sofortiger Wirkung durch schriftliche Mitteilung an die andere Partei kündigen.

  13. Rückgabe und Löschung von Daten

    1. Auf Anfrage des Kunden wird Marzipan dem Kunden oder einem vom Kunden schriftlich benannten Dritten eine Kopie aller oder eines Teils der Kundendaten in seinem Besitz oder unter seiner Kontrolle übergeben oder Zugang dazu gewähren, und zwar in dem vom Kunden vernünftigerweise angegebenen Format und auf dem entsprechenden Datenträger.
    2. Bei Beendigung oder sonstigem Ablauf des Vertrags aus jedwedem Grund oder nach Abschluss der Leistungen hat Marzipan die Kundendaten zurückzugeben oder zu löschen, sofern die weitere Speicherung von Kundendaten nicht durch geltendes Recht vorgeschrieben oder genehmigt ist. Ist die Rückgabe oder Vernichtung undurchführbar oder gesetzlich, durch Vorschriften oder Verordnungen untersagt, ergreift Marzipan Maßnahmen, um die weitere Verarbeitung dieser Kundendaten zu sperren (außer soweit dies für die weitere gesetzlich vorgeschriebene Aufbewahrung oder Verarbeitung erforderlich ist) und schützt die in seinem Besitz, Gewahrsam oder unter seiner Kontrolle verbleibenden Kundendaten weiterhin angemessen. Haben Marzipan und der Kunde Standardvertragsklauseln gemäß Klausel 10 (Übermittlungen von Kundendaten) abgeschlossen, vereinbaren die Parteien, dass die nach Klausel 8.1(d) der EU SCCs und einer anwendbaren Bestimmung der UK SCCs (soweit anwendbar) erforderliche Bestätigung der Löschung von Marzipan an den Kunden nur auf dessen schriftliche Anfrage hin erteilt wird.
    3. Verlangen ein Gesetz, eine Vorschrift oder eine Behörde bzw. ein Regulierungsorgan, dass Marzipan Dokumente, Materialien oder Kundendaten aufbewahrt, die Marzipan andernfalls zurückgeben oder vernichten müsste, wird Marzipan den Kunden schriftlich über diese Aufbewahrungspflicht informieren und dabei die aufzubewahrenden Dokumente, Materialien oder Kundendaten, die Rechtsgrundlage für die Aufbewahrung sowie einen konkreten Zeitplan für die Löschung oder Vernichtung nach Wegfall der Aufbewahrungspflicht angeben.
    4. Marzipan wird dem Kunden schriftlich bestätigen, dass die Kundendaten innerhalb von 30 Tagen nach Abschluss der Löschung oder Vernichtung vernichtet wurden.

  14. Aufzeichnungen

    1. Marzipan führt detaillierte, genaue und aktuelle schriftliche Aufzeichnungen über jede Verarbeitung der Kundendaten, einschließlich, aber nicht beschränkt auf, den Zugang, die Kontrolle und die Sicherheit der Kundendaten, genehmigte Unterauftragsverarbeiter, die Verarbeitungszwecke, Kategorien der Verarbeitung, etwaige Übermittlungen von Kundendaten in ein Drittland und damit verbundene Schutzmaßnahmen sowie eine allgemeine Beschreibung der implementierten technischen und organisatorischen Sicherheitsmaßnahmen (die "Aufzeichnungen")
    2. Marzipan stellt sicher, dass die Aufzeichnungen ausreichen, um dem Kunden die Überprüfung der Einhaltung seiner Verpflichtungen aus diesem Vertrag durch Marzipan zu ermöglichen, und Marzipan stellt dem Kunden auf Anfrage Kopien der Aufzeichnungen zur Verfügung.

  15. Garantien

    1. TMarzipan warrants and represents that:

      (a)seine Mitarbeiter, Unterauftragsverarbeiter, Vertreter und alle anderen Personen, die in seinem Namen auf die Kundendaten zugreifen, zuverlässig und vertrauenswürdig sind und die erforderliche Schulung zu den Datenschutzgesetzen erhalten haben;

      (b)er und alle in seinem Namen handelnden Personen die Kundendaten in Übereinstimmung mit den Datenschutzgesetzen und anderen Gesetzen, Rechtsakten, Verordnungen, Anordnungen, Standards und ähnlichen Vorschriften verarbeiten werden;

      (c)er keinen Grund zu der Annahme hat, dass die Datenschutzgesetze ihn daran hindern, die vertraglich vereinbarten Leistungen zu erbringen; und

      (d)er unter Berücksichtigung des aktuellen technologischen Umfelds und der Implementierungskosten geeignete technische und organisatorische Maßnahmen ergreift, um die unbefugte oder unrechtmäßige Verarbeitung von Kundendaten sowie den versehentlichen Verlust, die Zerstörung oder Beschädigung von Kundendaten zu verhindern, und ein Sicherheitsniveau gewährleistet, das angemessen ist in Bezug auf:

      (i)den Schaden, der aus einer solchen unbefugten oder unrechtmäßigen Verarbeitung oder einem versehentlichen Verlust, einer Zerstörung oder Beschädigung entstehen könnte;

      (ii)die Art der zu schützenden Kundendaten; und

      (iii)die Einhaltung aller anwendbaren Datenschutzgesetze sowie seiner Informations- und Sicherheitsrichtlinien.

  16. Unterzeichnung und Änderungen

    1. Die Bedingungen dieser DPA werden durch Verweis in den Vertrag einbezogen und gelten als integraler Bestandteil desselben, als wären sie vollständig im Vertrag dargelegt. Durch den Abschluss des Vertrags erkennt der Kunde ausdrücklich an und stimmt zu, dass er an die Bedingungen dieser DPA gebunden ist.
    2. Marzipan kann nach vorheriger schriftlicher Ankündigung mit einer Frist von dreißig (30) Kalendertagen angemessene Änderungen an dieser DPA vornehmen, sofern dies aufgrund einer Änderung der Datenschutzgesetze oder einer Entscheidung einer zuständigen Behörde gemäß den Datenschutzgesetzen erforderlich ist, um die Verarbeitung von Kundendaten ohne Verstoß gegen die Datenschutzgesetze zu ermöglichen (oder weiterhin zu ermöglichen). Ist der Kunde mit solchen Änderungen nicht einverstanden, kann er innerhalb der genannten Ankündigungsfrist von dreißig (30) Kalendertagen Marzipan schriftlich über die Kündigung des Vertrags (einschließlich dieser DPA) mit sofortiger Wirkung informieren, soweit dieser von den vorgeschlagenen Änderungen (oder deren Ausbleiben) betroffen ist. Der Kunde zahlt Marzipan alle bis zum Kündigungsdatum entstandenen und zum Zeitpunkt der Kündigung noch ausstehenden Gebühren und sonstigen Beträge, die im Rahmen des Vertrags oder in Verbindung mit diesem angefallen sind. Dem Kunden stehen aufgrund oder im Zusammenhang mit der Kündigung dieses Vertrags gemäß Ziffer 16.2 keine weiteren Ansprüche zu (einschließlich der Forderung von Rückerstattungen für die Leistungen).

Verlassen Sie sich nicht nur auf unser Wort

“Wir haben den Wechsel von WooCommerce zu einer maßgeschneiderten Lösung auf Basis von Marzipan vollzogen. Die Verwaltung unserer Bestellungen ist ein Kinderspiel, und die Flexibilität der Abonnement-API hat es uns ermöglicht, unser Angebot zur Adoption alter Rebstöcke zu erweitern.”

Katie Jones hält einen Tuchan-Rechen
Katie Jones
Owner, Domaine Jones

“Marzipan ist unglaublich einfach zu bedienen und äußerst flexibel und konfigurierbar. Es macht wiederkehrende Weinclub-Abonnements viel einfacher als jedes andere System, das ich bisher verwendet habe, und kommt mit praktisch allem zurecht, was wir ihm abverlangt haben.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee