V.01Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Online-AVV für Demo- und Self-Service-Verträge über die Nutzung der uxspire-Plattform.

Hinweis zur Einbeziehung: Diese Vereinbarung wird Bestandteil des jeweiligen Hauptvertrags, wenn der Kunde sie im Registrierungs-, Onboarding-, Checkout- oder Kundenkonto-Prozess elektronisch akzeptiert. Der Kunde wird durch die im Account, in der Organisation, im Checkout, in der Rechnung oder in einem sonstigen Vertragsschlussprozess hinterlegten Unternehmens- und Kontaktdaten identifiziert.

01

Parteien und Vertragsschluss

Diese Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO wird geschlossen zwischen dem Kunden als Verantwortlichem und der uxspire GmbH, Stixchesstr. 107, 51377 Leverkusen, Deutschland, als Auftragsverarbeiter.

Kunde ist die natürliche oder juristische Person, die im Registrierungs-, Organisations-, Checkout-, Rechnungs- oder sonstigen Vertragsschlussprozess als Vertragspartner angegeben ist. Akzeptiert ein Nutzer diese Vereinbarung für eine Organisation, bestätigt er, zur Abgabe der Erklärung für den Kunden berechtigt zu sein.

Diese Vereinbarung gilt für Demo- und Self-Service-Verträge, soweit uxspire personenbezogene Daten im Auftrag des Kunden verarbeitet. Für Enterprise-Verträge oder individuelle Angebote kann eine gesondert unterzeichnete oder individualvertraglich einbezogene AVV gelten; diese geht dieser Online-AVV vor, soweit sie denselben Gegenstand abweichend regelt.

02

Gegenstand und Dauer der Verarbeitung

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien für Leistungen, bei denen uxspire personenbezogene Daten im Auftrag des Kunden verarbeitet. Sie ist Bestandteil des jeweiligen Hauptvertrags über die Nutzung der uxspire-Plattform.

Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb der uxspire-Plattform für Voice-of-Customer-Funktionen, In-Product-Surveys, Zielgruppenstudien, NPS-, CSAT- und UEQ-Erhebungen, Auswertungen, Exporte und zugehörige Supportleistungen. Heatmaps, Session Recordings und Funnel-Analysen sind nicht Teil der derzeitigen Standardleistung und gelten nur, wenn sie später ausdrücklich vertraglich vereinbart und produktiv aktiviert werden.

Die Dauer der Verarbeitung richtet sich nach dem Hauptvertrag. Diese Vereinbarung gilt für die Dauer der Plattformnutzung und endet, wenn uxspire keine personenbezogenen Daten des Kunden mehr verarbeitet und die Löschung oder Rückgabe nach dieser Vereinbarung abgeschlossen ist.

03

Verantwortlichkeit und Weisungen

Der Kunde bleibt Verantwortlicher im Sinne der DSGVO. Er entscheidet über Zwecke und Mittel der durch ihn veranlassten Erhebung, Übermittlung und Verarbeitung personenbezogener Daten und bleibt für Rechtsgrundlagen, Informationspflichten, Einwilligungen, Widerspruchsmöglichkeiten und die Rechtmäßigkeit seiner Konfigurationen verantwortlich.

uxspire verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden. Die anfänglichen Weisungen ergeben sich aus dem Hauptvertrag, der Produktkonfiguration durch den Kunden und dieser Vereinbarung.

Weisungen können in Textform, über administrative Einstellungen der Plattform oder über vereinbarte Support- und Kommunikationskanäle erteilt werden. Ist uxspire der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, informiert uxspire den Kunden unverzüglich und ist berechtigt, die Ausführung der betroffenen Weisung auszusetzen, bis sie bestätigt, geändert oder zurückgenommen wird.

04

Umfang der Verarbeitung und Kundeninhalte

uxspire verarbeitet personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Abrechnung, Support, Wartung, Fehleranalyse, Missbrauchsverhinderung, Produktkonfiguration und Auswertung der vertraglich vereinbarten Plattformfunktionen erforderlich ist.

Der Kunde entscheidet eigenverantwortlich, welche Domains, digitalen Produkte, Projekte, Umfragen, Studien, Fragen, Antwortoptionen, Freitextfelder, Widgets, Snippet-Einbindungen, URL-Muster, Selektoren, Integrationen, Exporte und Analysefunktionen eingesetzt werden und welche personenbezogenen Daten dadurch verarbeitet werden.

Der Kunde ist allein verantwortlich für Inhalte von Umfragen, Studien, Fragen, Antwortoptionen und Freitextfeldern sowie für die Zulassung, Auswertung und Interpretation der erhobenen Daten. uxspire prüft vom Kunden angelegte Inhalte nicht vorab auf Rechtmäßigkeit, Zulässigkeit oder Zweckmäßigkeit.

Eine Interpretation oder Herleitung von Handlungsempfehlungen durch uxspire ist nicht Gegenstand der Standardleistung. Die Plattform stellt konfigurationsabhängige Auswertungen, Cluster, Metriken, Dashboards und Exporte bereit; fachliche Entscheidungen trifft der Kunde.

05

Vertraulichkeit

uxspire stellt sicher, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Personen mit Zugriff auf personenbezogene Daten werden mit den für sie relevanten Datenschutz- und Sicherheitsanforderungen vertraut gemacht. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Tätigkeit fort.

06

Technische und organisatorische Maßnahmen

uxspire trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die wesentlichen Maßnahmen sind in dieser Vereinbarung und der Leistungsbeschreibung dokumentiert.

  • Zugriffsbeschränkung durch rollenbasierte Berechtigungen, Authentifizierung und organisatorische Zugriffskontrolle.
  • Transportverschlüsselung, sichere Cloud-Infrastruktur, Trennung von Mandanten- und Projektkontexten sowie technische Zugriffsbeschränkungen.
  • Protokollierung sicherheitsrelevanter Vorgänge, Monitoring, Backup- und Wiederherstellungsprozesse nach Maßgabe der eingesetzten Infrastruktur.
  • Datenminimierung, konfigurierbare Privacy-Signale, Lösch- und Exportfunktionen sowie Beschränkung geplanter sensibler Module auf ausdrücklich aktivierte Leistungsbestandteile.
  • Interne Prozesse für Berechtigungsprüfungen, Sicherheitsvorfälle, Dienstleistersteuerung und regelmäßige Überprüfung der TOMs.

Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung der Plattform. uxspire darf alternative oder weiterentwickelte Maßnahmen einsetzen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

07

Unterstützung des Kunden

uxspire unterstützt den Kunden nach Maßgabe des Hauptvertrags und unter Berücksichtigung von Art, Umfang und Zweck der Verarbeitung bei der Erfüllung datenschutzrechtlicher Pflichten.

Dies umfasst insbesondere Unterstützung bei Anfragen betroffener Personen, Datenschutz-Folgenabschätzungen, vorherigen Konsultationen, Sicherheitsmaßnahmen, Nachweispflichten und Meldungen nach Art. 33 und 34 DSGVO, soweit uxspire hierzu Informationen verfügbar sind.

Wendet sich eine betroffene Person unmittelbar an uxspire, leitet uxspire die Anfrage an den Kunden weiter, sofern eine Zuordnung möglich ist. uxspire beantwortet solche Anfragen nicht eigenständig, sofern keine Weisung oder gesetzliche Pflicht besteht.

08

Meldung von Datenschutzvorfällen

uxspire informiert den Kunden unverzüglich, nachdem uxspire eine Verletzung des Schutzes personenbezogener Daten festgestellt hat, die Daten des Kunden betrifft.

Die Meldung enthält, soweit verfügbar, eine Beschreibung des Vorfalls, der betroffenen Daten und Personen, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung und Abhilfe.

uxspire trifft angemessene Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und stimmt weitere Maßnahmen mit dem Kunden ab.

09

Unterauftragsverarbeiter

Der Kunde erteilt uxspire eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern für die in dieser Vereinbarung beschriebenen Leistungen.

uxspire verpflichtet Unterauftragsverarbeiter vertraglich auf Datenschutzpflichten, die den Pflichten dieser Vereinbarung im Wesentlichen entsprechen. uxspire bleibt gegenüber dem Kunden für die Erfüllung der Datenschutzpflichten der Unterauftragsverarbeiter verantwortlich.

uxspire informiert den Kunden mindestens 30 Tage vor dem geplanten Einsatz neuer oder ersetzender Unterauftragsverarbeiter, sofern nicht dringende rechtliche, sicherheitsbezogene oder betriebliche Gründe eine kürzere Frist erfordern. Der Kunde kann innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. Bei einem berechtigten Widerspruch stimmen sich die Parteien über eine zumutbare Lösung ab; bleibt der Widerspruch bestehen, gelten die Kündigungsregelungen des Hauptvertrags für den betroffenen Leistungsbestandteil.

10

Drittlandübermittlungen

Die Verarbeitung personenbezogener Daten findet grundsätzlich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums statt, soweit in dieser Vereinbarung oder der jeweils aktuellen Unterauftragsverarbeiterliste nichts Abweichendes geregelt ist.

Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere durch Angemessenheitsbeschluss, EU-Standardvertragsklauseln, zusätzliche Schutzmaßnahmen oder eine andere zulässige Garantie.

11

Kontroll- und Nachweismöglichkeiten

uxspire stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlich und uxspire verfügbar sind.

Der Kunde kann nach angemessener Vorankündigung Kontrollen durchführen oder durch unabhängige Prüfer durchführen lassen. Kontrollen sind so auszugestalten, dass Betriebsabläufe, Sicherheit und Vertraulichkeit von uxspire sowie Rechte anderer Kunden nicht beeinträchtigt werden.

Soweit gleichwertige Nachweise wie Auditberichte, Zertifikate, Sicherheitsdokumentationen oder schriftliche Auskünfte ausreichen, sollen diese vorrangig genutzt werden.

12

Rückgabe und Löschung

Nach Beendigung der Leistungen oder auf dokumentierte Weisung des Kunden löscht uxspire personenbezogene Daten des Kunden oder stellt sie dem Kunden in einem verfügbaren Exportformat bereit, sofern und soweit dies technisch möglich und vertraglich vorgesehen ist.

Gesetzliche Aufbewahrungspflichten, Nachweiszwecke, Sicherheitsprotokolle und routinemäßige Backups bleiben unberührt. Daten in Backups werden nicht aktiv genutzt, sind gegen Zugriff geschützt und werden nach Ablauf der Backup-Zyklen gelöscht oder überschrieben.

13

Anlagen zur Verarbeitung

Art, Zweck und Umfang

Die Verarbeitung umfasst Erheben, Erfassen, Speichern, Ordnen, Strukturieren, Auswerten, Aggregieren, Visualisieren, Bereitstellen, Exportieren, Löschen und Protokollieren personenbezogener Daten im Rahmen der uxspire-Plattform. Zweck sind UX-Research, User-Feedback, In-Product-Surveys, VoC-Metriken, Zielgruppenstudien, Persona-Cluster, Dashboards, Exporte, Support, Sicherheit und Plattformbetrieb.

Datenarten

  • Account-, Organisations-, Workspace-, Projekt- und Rolleninformationen der Nutzer des Kunden.
  • Kontakt- und Kommunikationsdaten von Admins, Editoren, Viewern und Ansprechpartnern.
  • Nutzungs-, Ereignis- und technische Metadaten wie pseudonyme Profil- und Session-IDs, Zeitstempel, URL bzw. Pfad, Referrer-Host/-Pfad, Origin, Client-IP, Accept-Language, Gerätetyp, Viewport, Browser-/User-Agent sowie Pageview-, Survey-, Widget- und Interaktionsereignisse.
  • Survey-, VoC- und Studien-Daten wie Antworten, Bewertungen, optionale Freitexte, NPS-, CSAT-, UEQ-Ergebnisse, Zielgruppenstudien, Setcard-Informationen, Segment- und Clusterzuordnungen, Zeitstempel, pseudonyme Event-/Session-Bezüge, Dashboards und Exporte.
  • Technische Daten wie Client Keys, Projektkonfigurationen, Widget- und Theme-Einstellungen, URL-Muster, Selektoren, Consent-/Privacy-Status, Logs und Sicherheitsereignisse.
  • DOM-Snapshots, Heatmap-, Session-Recording- und Funnel-Daten nur soweit diese Funktionen künftig ausdrücklich vertraglich vereinbart, produktiv aktiviert und nicht technisch ausgeschlossen werden.

Kategorien betroffener Personen

  • Nutzer, Besucher, Kunden, Interessenten oder Teilnehmende der Websites, Apps, Shops, Produkte oder Umfragen des Kunden.
  • Mitarbeitende und Beauftragte des Kunden, die uxspire administrieren oder auswerten.
  • Sonstige Personen, deren Daten der Kunde über die Plattform erhebt oder verarbeitet.

Besondere Datenkategorien

Die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist nicht Gegenstand der Standardleistung. Der Kunde darf solche Daten sowie Daten über strafrechtliche Verurteilungen oder Straftaten, Daten von Minderjährigen, Gesundheitsdaten, HR- oder Bewerberdaten, Finanz- oder Versicherungsdaten oder Daten für diskriminierendes Profiling, Scoring oder Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung nur erheben, in Freitexten zulassen oder auswerten, wenn hierfür eine gesonderte ausdrückliche Vereinbarung, eine tragfähige Rechtsgrundlage und angemessene Schutzmaßnahmen bestehen.

Wesentliche Dienstleister

Dienstleister Zweck Datenkategorien Ort / Garantien
Microsoft Ireland Operations Ltd. / Microsoft Azure und verbundene Microsoft-Dienste Hosting der SaaS-Anwendung, Datenbank, Authentifizierung, Key Management, Logging, Monitoring und E-Mail-Infrastruktur soweit produktiv genutzt. Account-, Vertrags-, Workspace-, Projekt-, Nutzungs-, Survey-, VoC-, Zielgruppenstudien-, Antwort-, Clusterzuordnungs-, Telemetrie- und Konfigurationsdaten. EU/EWR bzw. nach aktueller Cloud-Konfiguration; Garantien nach Kapitel V DSGVO falls erforderlich.
Cloudflare, Inc. / Cloudflare R2 und CDN Speicherung und Auslieferung von Survey-Assets, CDN-, Sicherheits- und Performance-Funktionen sowie ggf. Consent-Nachweise. Asset-Dateien, technische Abrufdaten, IP-/Request-/Sicherheitslogs, Consent-ID/Status, Zeitstempel, Sprache, Pfad, Referrer, Browser- und Geräteinformationen. R2 mit EU-Jurisdiktion, im Übrigen nach aktueller Cloudflare-Konfiguration; Garantien nach Kapitel V DSGVO falls erforderlich.
Stripe Payments Europe, Ltd. / Stripe-Gruppe Zahlungs- und Abrechnungsprozesse für Kundenkonten, soweit Teil der gebuchten Leistung. Account-, Vertrags-, Zahlungs- und Abrechnungsdaten; regelmäßig keine Endnutzer-Feedbackdaten. EU/EWR und ggf. Drittlandtransfer nach Stripe-Dokumentation und geeigneten Garantien. Je nach Verarbeitung eigener Verantwortlicher und/oder Auftragsverarbeiter.

Die jeweils aktuelle öffentliche Übersicht wesentlicher Dienstleister und Subprozessoren findet sich zusätzlich in der Datenschutzerklärung. Für rechtsverbindliche Änderungen gelten die Benachrichtigungs- und Widerspruchsregelungen dieser Vereinbarung.

14

Schlussbestimmungen

Bei Widersprüchen zwischen dieser Vereinbarung und dem Hauptvertrag gehen die datenschutzrechtlichen Regelungen dieser Vereinbarung vor, soweit der Widerspruch die Auftragsverarbeitung betrifft.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform oder einer erneuten elektronischen Einbeziehung, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist. Änderungen werden dem Kunden in geeigneter Form mitgeteilt.

Es gilt deutsches Recht. Vertragssprache ist Deutsch. Übersetzungen dienen der Information; maßgeblich ist die deutsche Fassung. Gerichtsstand ist, soweit gesetzlich zulässig, Köln.

Kontakt

uxspire GmbH · Stixchesstr. 107, 51377 Leverkusen, Deutschland · E-Mail: