ALLGEMEINER AUFTRAGSVERARBEITUNGSVERTRAG THE DIGITAL PO BOX

1. Parteien

  1. The Digital PO Box - Eingetragene Marke von The Bizz Hub LLC-FZ, Büro im The Meydan Grandstand, 6. Etage, Meydan Road, Nad Al Sheba, Dubai, VAE, registriert unter der Nummer 2536783.01. Im Folgenden bezeichnet als: "Auftragsverarbeiter".
  2. Verantwortlicher - Die natürliche oder juristische Person, die einen Vertrag mit dem Auftragsverarbeiter (unter anderem) über die Postbearbeitung schließt und zu diesem Zweck den Scanservice nutzt. Im Folgenden bezeichnet als: "Verantwortlicher".
  3. Der Verantwortliche und der Auftragsverarbeiter werden im Folgenden gemeinsam als die "Parteien" bezeichnet.

Dieser Vertrag gilt unabhängig davon, ob der Kunde (Verantwortlicher) in persönlicher oder geschäftlicher Eigenschaft handelt.

Dieser Auftragsverarbeitungsvertrag gilt ausschließlich für das Scannen und die Digitalisierung von Postsendungen, die personenbezogene Daten enthalten. Für alle anderen Kategorien personenbezogener Daten, die von TBH verarbeitet werden (einschließlich Kontodaten, Abrechnungsdaten und Kommunikationsdaten), handelt TBH als unabhängiger Verantwortlicher, wie in seiner Datenschutzerklärung beschrieben.

2. Definitionen

  1. DSGVO: Die Datenschutz-Grundverordnung (EU) 2016/679.
  2. Personenbezogene Daten: Alle Daten, die direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person zurückgeführt werden können und die sich im Postgut des Verantwortlichen befinden können, wenn dieses gescannt wird.
  3. Verarbeitung (oder "Verarbeiten"): Jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Speichern, die Übermittlung, die Bereitstellung usw.
  4. Datenpanne / Sicherheitsvorfall: Eine Verletzung der Sicherheit, die (potenziell) zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu übermittelten, gespeicherten oder auf sonstige Weise verarbeiteten personenbezogenen Daten führt.
  5. Soweit dieser Vertrag auf Definitionen der DSGVO verweist, haben diese Begriffe dieselbe Bedeutung wie in Artikel 4 der DSGVO.
  6. Kunde / Verantwortlicher: In diesem Vertrag handelt der Kunde als Verantwortlicher im Sinne von Artikel 4(7) DSGVO, und The Digital PO Box handelt als Auftragsverarbeiter im Sinne von Artikel 4(8) DSGVO.

3. Zweck und Geltungsbereich

  1. Dieser Auftragsverarbeitungsvertrag gilt nur, wenn der Verantwortliche den Scanservice des Auftragsverarbeiters nutzt.
  2. Als Verantwortlicher verfügt der Verantwortliche über personenbezogene Daten. Der Auftragsverarbeiter verarbeitet diese personenbezogenen Daten nur im Auftrag des Verantwortlichen durch Scannen (Digitalisieren) und, falls erforderlich, Weiterleiten von Postsendungen, die personenbezogene Daten enthalten können.

4. Rollen und Verantwortlichkeiten

  1. Verantwortlicher:
    • bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten im Postdienst;
    • ist und bleibt letztlich verantwortlich für die Rechtmäßigkeit der Verarbeitung und die Einhaltung der DSGVO;
    • weist den Auftragsverarbeiter nur an, personenbezogene Daten zu scannen und über die vereinbarten Systeme bereitzustellen.
  2. Auftragsverarbeiter:
    • führt die Verarbeitung nur im Auftrag und unter der Verantwortung des Verantwortlichen durch, wie in diesem Vertrag und dem zugrundeliegenden diensterspezifischen Vertrag festgelegt;
    • hat keine unabhängige Kontrolle über den Zweck und die Mittel der Verarbeitung.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter garantiert die folgenden Pflichten gemäß Artikel 28 DSGVO:

5.1 Vertraulichkeit

  1. Der Auftragsverarbeiter und seine angeschlossenen Mitarbeiter (und etwaige Unterauftragsverarbeiter) behandeln die personenbezogenen Daten, von denen sie Kenntnis erlangen, vertraulich.
  2. Diese Vertraulichkeitspflicht gilt auch nach Beendigung dieses Auftragsverarbeitungsvertrags fort.

5.2 Geeignete Sicherheitsmaßnahmen

  1. Der Auftragsverarbeiter trifft geeignete technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, Zerstörung oder Beschädigung zu schützen.
  2. Zu den technischen Maßnahmen gehören z. B. Firewalls, Virenscanner, starke Passwörter und (wo relevant) Verschlüsselung gemäß den Normen ISO 27001 und ISO 27701. Zu den organisatorischen Maßnahmen gehören Zugangsbeschränkungen, Überprüfung des Personals und Verschluss von Bereichen, in denen Daten verarbeitet werden.
  3. Die Sicherheitsmaßnahmen entsprechen mindestens den Anforderungen von Artikel 32 der DSGVO und sind der Art der verarbeiteten Daten angemessen (dies kann je nach Postsendung variieren).

5.3 Verarbeitung innerhalb der EU/EWR

  1. Der Auftragsverarbeiter wird die Verarbeitung personenbezogener Daten nicht außerhalb des Europäischen Wirtschaftsraums (EWR) zulassen, es sei denn, eine solche Übermittlung ist durch geeignete Garantien abgedeckt, einschließlich der EU-Standardvertragsklauseln (SCCs) oder gleichwertiger Mechanismen, die ein angemessenes Schutzniveau gewährleisten, oder wenn dies gesetzlich vorgeschrieben ist.
  2. Für Übermittlungen in das Vereinigte Königreich oder die Vereinigten Arabischen Emirate wendet der Auftragsverarbeiter dieselben vertraglichen, technischen und organisatorischen Garantien an, wie sie in der Datenschutzerklärung von TDPB beschrieben sind.

5.4 Keine Weiterverarbeitung

  1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen. Eine Nutzung für andere Zwecke (z. B. eigenes Marketing) ist nicht gestattet.

5.5 Unterstützung bei der Erfüllung von Pflichten

  1. Soweit vernünftigerweise möglich, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung von Verpflichtungen gemäß der DSGVO, wie z. B. bei der Bearbeitung von Anträgen betroffener Personen oder der Durchführung von Datenschutz-Folgenabschätzungen (DSFA).

5.6 Bereitstellung von Informationen und Audit

  1. Bereitstellung von Informationen
    Der Auftragsverarbeiter stellt dem Verantwortlichen auf erste Anforderung und soweit vernünftigerweise erforderlich alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der Verpflichtungen aus diesem Auftragsverarbeitungsvertrag und der DSGVO nachzuweisen.
  2. Unterstützung bei der Einhaltung
    Wenn der Verantwortliche begründete Gründe hierfür hat (z. B. regelmäßige Überprüfung oder Verdacht auf Unregelmäßigkeiten), wird der Auftragsverarbeiter bei Audits oder Inspektionen mitwirken, einschließlich (gegebenenfalls) der Bereitstellung technischer Dokumentationen oder Berichte.
  3. Audit-Bedingungen
      Der Verantwortliche kündigt ein beabsichtigtes Audit oder eine Inspektion schriftlich mindestens 30 Werktage im Voraus an, mit einer klaren Beschreibung des Umfangs und des Zwecks, damit sich der Auftragsverarbeiter vorbereiten kann und die Kontinuität des Dienstes nicht unnötig beeinträchtigt wird.
    • Audits dürfen die Vertraulichkeit anderer Verantwortlicher oder die Sicherheit von Systemen, die auch Daten Dritter enthalten, nicht beeinträchtigen. Der Verantwortliche stimmt zu, dass das Audit durch einen unabhängigen Dritten unter Wahrung der Vertraulichkeit durchgeführt werden kann, um die Privatsphäre anderer Verantwortlicher zu schützen.
    • Die Kosten eines Audits, einschließlich der Arbeitsstunden des Auftragsverarbeiters, werden vom Verantwortlichen getragen, es sei denn, es wird festgestellt, dass der Auftragsverarbeiter gegen diesen Auftragsverarbeitungsvertrag oder die DSGVO verstößt; in diesem Fall trägt der Auftragsverarbeiter die angemessenen Auditkosten.
  4. Ergebnisse und Verbesserungen
    Der Auftragsverarbeiter informiert den Verantwortlichen über relevante Ergebnisse eines Audits oder einer Inspektion und schlägt gegebenenfalls Verbesserungsmaßnahmen vor oder setzt diese um, um weiterhin die Einhaltung dieses Auftragsverarbeitungsvertrags und der DSGVO zu gewährleisten.

5.7 Verarbeitung durch KI-Systeme

Dieser Artikel gilt für alle KI-gestützten Vorgänge, die vom Auftragsverarbeiter durchgeführt werden, und ist Teil der gemäß Artikel 28 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.

Geeignete Garantien, einschließlich, aber nicht beschränkt auf die EU-Standardvertragsklauseln und gleichwertige Übermittlungsmechanismen des Vereinigten Königreichs und der VAE, gelten für jede von OpenAI durchgeführte Verarbeitung.

6. Unterauftragsverarbeiter

6.1 Keine Aktivierung ohne Erlaubnis

  1. Der Auftragsverarbeiter beauftragt keine zusätzlichen Dritten (Unterauftragsverarbeiter) mit der eigentlichen Verarbeitung personenbezogener Daten ohne die (spezifische oder allgemeine) Zustimmung des Verantwortlichen.
  2. Wenn der Auftragsverarbeiter über eine allgemeine Erlaubnis des Verantwortlichen verfügt, informiert der Auftragsverarbeiter den Verantwortlichen mindestens vierzehn (14) Tage vor der Hinzufügung oder dem Austausch eines Unterauftragsverarbeiters durch Benachrichtigung über das Portal des Verantwortlichen oder per E-Mail, damit der Verantwortliche hiergegen Einspruch erheben kann.

6.2 Aktueller Unterauftragsverarbeiter für das Scannen

  1. Der Verantwortliche erkennt an und stimmt zu, dass der Auftragsverarbeiter bereits einen Unterauftragsverarbeiter für das Scannen und die Digitalisierung von Postsendungen beauftragt. Dieser Unterauftragsverarbeiter ist an dieselben (Datenschutz-)Verpflichtungen gebunden, wie sie in diesem Auftragsverarbeitungsvertrag enthalten sind, sodass er ebenfalls die DSGVO einhält.
  2. Der Verantwortliche kann vom Auftragsverarbeiter Informationen über die Identität und den Standort dieses Unterauftragsverarbeiters sowie über die Art und Weise der Gewährleistung geeigneter Garantien anfordern.

6.3 Verträge mit Unterauftragsverarbeitern

  1. Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, stellt der Auftragsverarbeiter einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter bereit, der mindestens dieselben (Datenschutz-)Verpflichtungen wie in diesem Auftragsverarbeitungsvertrag enthält, sodass der Unterauftragsverarbeiter die DSGVO einhält.
  2. Der Auftragsverarbeiter bleibt jederzeit der primäre Ansprechpartner für den Verantwortlichen und behält die (vertragliche) Verantwortung für die Verarbeitung durch den Unterauftragsverarbeiter.

7. Datenpannen (Sicherheitsvorfälle)

7.1 Meldepflicht

  1. Im Falle eines festgestellten oder vermuteten Sicherheitsvorfalls (mögliche Datenpanne), der sich auf die vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten bezieht, meldet der Auftragsverarbeiter dies dem Verantwortlichen ohne schuldhafte Verzögerung.
  2. Der Auftragsverarbeiter stellt so viele relevante Informationen wie möglich zur Verfügung, damit der Verantwortliche seiner eigenen Meldepflicht gegenüber der Aufsichtsbehörde (und etwaigen betroffenen Personen) nachkommen kann.

7.2 Unterstützung

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei allen Untersuchungen oder Maßnahmen, die infolge der Datenpanne ergriffen werden müssen (wie forensische Untersuchungen, Abhilfemaßnahmen).

8. Betroffenenanfragen

8.1 Bearbeitung durch den Verantwortlichen

  1. Wenn der Auftragsverarbeiter eine Anfrage (z. B. Einsicht, Berichtigung, Löschung) direkt von einer betroffenen Person erhält, leitet der Auftragsverarbeiter diese Anfrage ohne unangemessene Verzögerung an den Verantwortlichen weiter.
  2. Der Verantwortliche ist für die weitere Bearbeitung dieser Anfragen zuständig.

8.2 Mitwirkung

  1. Der Auftragsverarbeiter wirkt, soweit vernünftigerweise möglich, mit, um dem Verantwortlichen die Erfüllung seiner Verpflichtungen (Artikel 12–22 DSGVO) zu ermöglichen.

9. Laufzeit und Beendigung

9.1 Dauer

  1. Dieser Auftragsverarbeitungsvertrag tritt mit Beginn des Hauptvertrags (Verantwortlicher - Auftragsverarbeiter) in Kraft und bleibt gültig, solange der Auftragsverarbeiter personenbezogene Daten im Rahmen des Scanservices verarbeitet.

9.2 Beendigung

  1. Alle Scans und damit verbundenen personenbezogenen Daten werden innerhalb von neunzig (90) Tagen ab dem ursprünglichen Upload-Datum oder dreißig (30) Tage nach Beendigung des Scanservices gelöscht oder vernichtet, je nachdem, welcher Zeitpunkt später eintritt, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht oder der Verantwortliche weist eine Übertragung schriftlich an.
  2. Wenn ein digitales Archiv geführt wurde, bewahrt der Auftragsverarbeiter die Scans für denselben maximalen Zeitraum von neunzig (90) Tagen vor der endgültigen Löschung oder Vernichtung auf.
  3. Ausnahmen und gesetzliche Aufbewahrung: Wenn der Verantwortliche und der Auftragsverarbeiter gesetzlich (z. B. steuerlich oder administrativ) verpflichtet sind, bestimmte Daten über einen längeren Zeitraum aufzubewahren, kann der Auftragsverarbeiter nach Rücksprache mit dem Verantwortlichen die Daten für diesen spezifischen (gesetzlichen) Zeitraum weiterhin aufbewahren.
  4. Übertragungsanfrage: Der Verantwortliche kann innerhalb der in Absatz 2 genannten Frist die Übertragung der Scans in einer digitalen Datei oder einer anderen vereinbarten Form verlangen. Der Auftragsverarbeiter wird dabei, soweit vernünftigerweise möglich, mitwirken. Die damit verbundenen Kosten können dem Verantwortlichen in Rechnung gestellt werden, sofern nichts anderes vereinbart ist.
  5. Garantie der Löschung: Nach den in diesem Artikel genannten Fristen stellt der Auftragsverarbeiter sicher, dass die personenbezogenen Daten (Scans) vollständig gelöscht oder vernichtet werden, sodass sie nicht mehr zugänglich oder wiederherstellbar sind. Der Auftragsverarbeiter kann auf Anfrage eine Vernichtungsbestätigung ausstellen.

10. Haftung

  1. Die Haftungsbestimmungen der Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters gelten gleichermaßen für diesen Auftragsverarbeitungsvertrag. In allen Fällen übersteigt die gesamte kumulative Haftung des Auftragsverarbeiters, sei es aus Vertrag, unerlaubter Handlung oder anderweitig, nicht den Gesamtbetrag, den der Verantwortliche in den zwölf (12) Monaten vor dem Ereignis, das den Anspruch begründet, für die entsprechenden Scandienstleistungen an den Auftragsverarbeiter gezahlt hat.
  2. Der Auftragsverarbeiter haftet nicht für indirekte Schäden, Folgeschäden oder besondere Schäden, einschließlich, aber nicht beschränkt auf entgangenen Gewinn, Datenverlust oder Verlust des Firmenwerts (Goodwill), außer in Fällen von grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten des Auftragsverarbeiters.
  3. Der Verantwortliche bleibt allein verantwortlich für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und dafür, sicherzustellen, dass seine Weisungen den geltenden Datenschutzgesetzen entsprechen.

11. Sonstiges

  1. Jegliche Änderungen an diesem Vertrag müssen schriftlich (einschließlich elektronischer Form) erfolgen und von beiden Parteien akzeptiert werden (z. B. über elektronische Akzeptanzmechanismen).
  2. Die Parteien unternehmen gemeinsame Anstrengungen, um die DSGVO und andere geltende Datenschutzgesetze einzuhalten.
  3. Dieser Auftragsverarbeitungsvertrag unterliegt den Gesetzen von England und Wales und ist nach diesen auszulegen. Die Parteien unternehmen alle angemessenen Anstrengungen, um Streitigkeiten gütlich beizulegen. Können die Parteien innerhalb von dreißig (30) Tagen keine gütliche Einigung erzielen, wird die Streitigkeit endgültig durch ein Schiedsverfahren nach den Regeln des London Court of International Arbitration (LCIA) entschieden, wobei diese Regeln als durch Verweis einbezogen gelten. Der Schiedsort ist London, Vereinigtes Königreich, und die Schiedssprache ist Englisch. Der vom Schiedsrichter erlassene Schiedsspruch ist für beide Parteien endgültig und bindend.
    Nichts in dieser Klausel entzieht einem Verbraucher den Schutz, der ihm durch die zwingenden Gesetze seines Wohnsitzlandes gewährt wird.
  4. Mitteilungen und Aktualisierungen: Alle Mitteilungen oder Kommunikationen im Rahmen dieses Auftragsverarbeitungsvertrags, einschließlich Aktualisierungen oder Änderungen, werden elektronisch über das Kundenportal oder per E-Mail an die vom Verantwortlichen registrierte Kontaktadresse bereitgestellt. Die fortgesetzte Nutzung des Scanservices nach der Benachrichtigung gilt als Annahme der aktualisierten Bedingungen, es sei denn, der Verantwortliche widerspricht schriftlich innerhalb von vierzehn (14) Tagen.
  5. Im Falle von Widersprüchen oder Abweichungen zwischen dieser englischen Version und etwaigen Übersetzungen hat die englische Version Vorrang. Übersetzungen werden nur aus Gründen der Bequemlichkeit bereitgestellt und begründen keine rechtlichen Verpflichtungen oder Rechte.

Dieses Dokument ist Teil des rechtlichen Rahmens von The Digital PO Box.

Version: 1.4 / Datum: 18-11-2025