Leadbase Logo
Leadbase
Verträge & Rechtliches

Datenverarbeitungs-Zusatz

Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO

1. Gegenstand, Anwendungsbereich und rechtliche Grundlagen

Gegenstand der Vereinbarung

Dieser Datenverarbeitungs-Zusatz (DPA) regelt die Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO) zwischen dem Auftraggeber (Kunde) und dem Auftragsverarbeiter Workbase Platforms Sp. z o.o. (Leadbase). Diese Vereinbarung stellt einen integralen Bestandteil des Hauptvertrags dar und konkretisiert die datenschutzrechtlichen Pflichten beider Parteien.

Anwendungsbereich

Diese Vereinbarung gilt für alle Verarbeitungstätigkeiten personenbezogener Daten, die Leadbase im Rahmen der Erbringung der vereinbarten Dienstleistungen für den Auftraggeber durchführt. Umfasst sind insbesondere:

  • Lead-Datenanreicherung und -validierung
  • CRM-Integration und Datenübertragung
  • API-basierte Datenverarbeitung
  • Webhook-Verarbeitung und Real-time Updates
  • Data Export und Reporting-Services
  • Backup und Archivierung der Kundendaten

Rechtliche Grundlagen

Diese Vereinbarung basiert auf folgenden rechtlichen Grundlagen:

  • EU-Datenschutz-Grundverordnung (DSGVO) - Art. 28, 32, 33, 44-49
  • Bundesdatenschutzgesetz (BDSG) in der aktuellen Fassung
  • Polnisches Datenschutzgesetz (Ustawa o ochronie danych osobowych)
  • EU-Standardvertragsklauseln für internationale Datenübertragungen

Begriffsbestimmungen

Für diese Vereinbarung gelten die Begriffsbestimmungen der DSGVO. Zusätzlich werden folgende Begriffe wie folgt definiert:

  • Leadbase-Services: Alle über die Plattform bereitgestellten Dienste
  • Kundendaten: Alle vom Auftraggeber bereitgestellten personenbezogenen Daten
  • Angereicherte Daten: Durch Leadbase-Services ergänzte Informationen
  • Drittdatenquellen: Externe Datenlieferanten und öffentliche Quellen

2. Art, Zweck und Dauer der Datenverarbeitung

Verarbeitungszwecke im Detail

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden, eindeutig definierten Zwecken:

Primäre Verarbeitungszwecke

  • Lead-Anreicherung: Ergänzung unvollständiger Kontaktdaten um fehlende Informationen
  • Datenvalidierung: Überprüfung und Korrektur bestehender Datensätze
  • CRM-Synchronisation: Bidirektionale Datenübertragung mit Kundensystemen
  • Duplikatserkennung: Identifikation und Bereinigung doppelter Datensätze
  • Datenqualitätsprüfung: Automatisierte Qualitätsbewertung und -verbesserung

Sekundäre Verarbeitungszwecke

  • System-Monitoring: Überwachung der Datenverarbeitungsqualität
  • Performance-Analytik: Aggregierte Auswertungen zur Service-Optimierung
  • Compliance-Reporting: Dokumentation für Audit- und Compliance-Zwecke
  • Technischer Support: Fehlerbehebung und Kundensupport

Verarbeitungsarten und -methoden

  • Automatisierte Verarbeitung: API-basierte Datenabfragen und -übertragungen
  • Algorithmusbasierte Verarbeitung: Machine Learning für Datenmatching
  • Manuelle Verarbeitung: Nur bei Kundensupport und Problemlösung
  • Batch-Verarbeitung: Geplante Massenverarbeitung von Datensätzen
  • Real-time Verarbeitung: Sofortige Datenverarbeitung über Webhooks

Verarbeitungsdauer

Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zuzüglich der gesetzlichen Aufbewahrungsfristen. Spezifische Löschfristen:

  • Aktive Verarbeitung: Während der Vertragslaufzeit
  • Backup-Speicherung: 90 Tage nach Vertragsende
  • Log-Daten: 12 Monate für Sicherheits- und Compliance-Zwecke
  • Compliance-Dokumentation: 10 Jahre gemäß gesetzlicher Vorgaben

3. Umfassende Kategorien personenbezogener Daten und betroffener

Personen

Kategorien betroffener Personen

Primäre Zielgruppen

  • Geschäftsführer und C-Level Executives: CEOs, CTOs, CFOs, CMOs
  • Führungskräfte: Abteilungsleiter, Teamleiter, Regionaldirektoren
  • Vertriebsmitarbeiter: Account Manager, Sales Representatives, Business Development
  • Marketing-Verantwortliche: Marketing Manager, Digital Marketing Specialists
  • IT-Entscheider: IT-Leiter, System-Administratoren, Software-Architekten
  • Einkaufs- und Beschaffungsverantwortliche: Procurement Manager, Buyers

Erweiterte Zielgruppen

  • HR-Verantwortliche: Personalleiter, Recruiter, Talent Acquisition
  • Finanzverantwortliche: Controller, Buchhalter, Finance Director
  • Operations Manager: Betriebsleiter, Logistik-Manager, Produktionsleiter
  • Compliance Officer: Rechtsabteilung, Datenschutzbeauftragte

Kategorien personenbezogener Daten

Identifikationsdaten

  • Stammdaten: Vor- und Nachname, Titel, Geschlecht
  • Kontaktdaten: E-Mail-Adressen (geschäftlich/privat), Telefonnummern (Festnetz/Mobil)
  • Adressdaten: Geschäfts- und Privatadresse, Postleitzahl, Stadt, Land
  • Online-Identitäten: Social Media Profile, LinkedIn, XING, Website-URLs

Berufliche Informationen

  • Position und Hierarchie: Jobtitel, Abteilung, Berichtslinie, Seniorität
  • Verantwortungsbereiche: Fachbereiche, Budget-Verantwortung, Team-Größe
  • Berufserfahrung: Karriereverlauf, vorherige Positionen, Branchenerfahrung
  • Qualifikationen: Ausbildung, Zertifizierungen, Spezialisierungen

Unternehmensbezogene Daten

  • Firmeninformationen: Unternehmensname, Rechtsform, Registernummer
  • Unternehmensstruktur: Muttergesellschaft, Tochterunternehmen, Standorte
  • Geschäftsdaten: Branche, Umsatz, Mitarbeiterzahl, Gründungsjahr
  • Technologie-Stack: Verwendete Software, CRM-Systeme, IT-Infrastruktur

Verhaltensdaten und Präferenzen

  • Kommunikationspräferenzen: Bevorzugte Kanäle, Zeiten, Sprachen
  • Interessensprofile: Fachthemen, Produktinteressen, Event-Teilnahmen
  • Engagement-Daten: E-Mail-Öffnungsraten, Website-Besuche, Content-Interaktionen

Besondere Kategorien und Ausschlüsse

Leadbase verarbeitet grundsätzlich KEINE besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (rassische/ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Sexualleben). Sollten solche Daten versehentlich verarbeitet werden, erfolgt eine sofortige Löschung und Benachrichtigung des Auftraggebers.

4. Detaillierte technische und organisatorische Maßnahmen (TOMs)

Leadbase hat umfassende technische und organisatorische Maßnahmen implementiert, die den Anforderungen des Art. 32 DSGVO entsprechen und dem Stand der Technik genügen:

Technische Sicherheitsmaßnahmen

Verschlüsselung und Kryptographie

  • Datenübertragung: TLS 1.3 mit Perfect Forward Secrecy für alle API-Kommunikation
  • Datenspeicherung: AES-256 Verschlüsselung für Daten in Ruhe (Data at Rest)
  • Datenbank-Verschlüsselung: Transparent Data Encryption (TDE) auf Datenbankebene
  • Backup-Verschlüsselung: End-to-End verschlüsselte Backups mit separaten Schlüsseln
  • Key Management: Hardware Security Modules (HSM) für Schlüsselverwaltung

Zugriffskontrolle und Authentifizierung

  • Multi-Faktor-Authentifizierung: Obligatorisch für alle Admin-Zugriffe
  • Rollenbasierte Berechtigung: Least-Privilege-Prinzip mit granularen Rechten
  • Session Management: Automatische Session-Timeouts und Concurrent Session Control
  • API-Sicherheit: OAuth 2.0 mit JWT-Token und Rate Limiting
  • Privileged Access Management: Just-in-Time Access für administrative Tätigkeiten

Netzwerk- und Infrastruktursicherheit

  • Firewall-Systeme: Next-Generation Firewalls mit Deep Packet Inspection
  • Intrusion Detection/Prevention: Real-time Monitoring und automatische Abwehr
  • VPN-Zugang: Verschlüsselte VPN-Verbindungen für Remote-Zugriffe
  • Network Segmentation: Isolierte Netzwerkzonen nach Sicherheitsstufen
  • DDoS-Schutz: Cloudflare Enterprise mit Anti-DDoS-Funktionalität

Monitoring und Logging

  • SIEM-System: Security Information and Event Management mit Real-time Alerting
  • Audit-Logging: Vollständige Protokollierung aller Datenzugriffe
  • Log-Integrität: Kryptographische Signierung der Log-Dateien
  • Anomalie-Erkennung: Machine Learning basierte Erkennung abnormaler Aktivitäten
  • 24/7 SOC: Security Operations Center mit kontinuierlicher Überwachung

Organisatorische Sicherheitsmaßnahmen

Personal und Schulungen

  • Background-Checks: Umfassende Überprüfung aller Mitarbeiter vor Einstellung
  • Vertraulichkeitsverpflichtungen: Rechtlich bindende NDAs für alle Mitarbeiter
  • Security Awareness Training: Regelmäßige Schulungen zu Datenschutz und IT-Sicherheit
  • Phishing-Simulationen: Monatliche Tests der Mitarbeiter-Awareness
  • Incident Response Training: Regelmäßige Übungen für Notfallsituationen

Prozesse und Richtlinien

  • Information Security Policy: Umfassende Sicherheitsrichtlinien
  • Data Classification: Klassifizierung aller Daten nach Schutzbedarf
  • Change Management: Kontrollierte Änderungsprozesse für alle Systeme
  • Vendor Management: Sicherheitsbewertung aller Lieferanten
  • Business Continuity: Notfall- und Wiederherstellungspläne

Physische Sicherheit

  • Rechenzentrum-Sicherheit: Tier III/IV Rechenzentren mit biometrischen Kontrollen
  • Bürosicherheit: Zugangskontrolle, Clean Desk Policy, Besuchermanagement
  • Hardware-Sicherheit: Sichere Vernichtung von Datenträgern
  • Umgebungskontrolle: Klimaüberwachung, Brandschutz, USV-Systeme

Datenschutz durch Technikgestaltung (Privacy by Design)

  • Datenminimierung: Verarbeitung nur der erforderlichen Datenfelder
  • Pseudonymisierung: Verwendung von Hash-Werten wo möglich
  • Anonymisierung: Statistische Auswertungen ohne Personenbezug
  • Purpose Limitation: Strenge Zweckbindung in der Systemarchitektur
  • Data Protection Impact Assessment: Regelmäßige Datenschutz-Folgenabschätzungen

5. Umfassendes Management von Unterauftragsverarbeitern

Grundsätze der Unterauftragsverarbeitung

Die Beauftragung von Unterauftragsverarbeitern erfolgt ausschließlich nach den Bestimmungen des Art. 28 DSGVO und nur mit vorheriger schriftlicher Genehmigung des Auftraggebers oder im Rahmen einer allgemeinen schriftlichen Genehmigung.

Aktuelle Unterauftragsverarbeiter

Leadbase arbeitet mit folgenden, sorgfältig ausgewählten Unterauftragsverarbeitern zusammen:

Cloud-Infrastruktur und Hosting

  • Amazon Web Services (AWS): EU-Regionen (Frankfurt, Irland) - Serverhosting, Datenbank
  • Google Cloud Platform: EU-Regionen - Backup-Services und Analytics
  • Cloudflare Inc.: EU-Standorte - CDN, DDoS-Schutz, Edge Computing

Kommunikation und Support

  • E-Mail-Delivery: Transaktionale E-Mails
  • Intercom: Customer Support Chat und Ticketing-System
  • Slack Technologies: Interne Kommunikation (nur bei Support-Fällen)

Analytics und Monitoring

  • Google Analytics 4: Website-Analytics (IP-Anonymisierung aktiv)
  • Sentry.io: Error Tracking und Performance Monitoring
  • New Relic: Application Performance Monitoring

Zahlungsabwicklung

  • Autumn: Subscription Billing und Revenue Management
  • Stripe Inc.: Zahlungsverarbeitung (über Autumn)

Auswahlkriterien für Unterauftragsverarbeiter

  • DSGVO-Compliance: Nachgewiesene Einhaltung der DSGVO-Anforderungen
  • Zertifizierungen: ISO 27001, SOC 2 Type II oder vergleichbare Standards
  • Datenschutz-Zertifikate: Privacy Shield Nachfolger oder EU-Angemessenheitsbeschluss
  • Technische Sicherheit: State-of-the-Art Sicherheitsmaßnahmen
  • Finanzielle Stabilität: Ausreichende Bonität und Versicherungsschutz
  • Transparenz: Bereitschaft zur Auditierung und Compliance-Nachweisen

Vertragsgestaltung mit Unterauftragsverarbeitern

  • DSGVO-konforme AVV: Auftragsverarbeitungsvereinbarungen nach Art. 28 DSGVO
  • Weisungsbindung: Verpflichtung zur Verarbeitung nur nach dokumentierten Weisungen
  • Vertraulichkeit: Umfassende Vertraulichkeitsverpflichtungen
  • Sicherheitsmaßnahmen: Mindestanforderungen an technische und organisatorische Maßnahmen
  • Audit-Rechte: Recht zur Überprüfung der Einhaltung der Vereinbarungen
  • Haftung: Klare Haftungsregelungen und Versicherungsnachweis
  • Löschung: Verpflichtung zur sicheren Löschung nach Vertragsende

Hinzufügung neuer Unterauftragsverarbeiter

Bei der Hinzufügung neuer Unterauftragsverarbeiter informiert Leadbase den Auftraggeber mindestens 30 Tage im Voraus schriftlich über geplante Änderungen. Der Auftraggeber hat das Recht, binnen 14 Tagen schriftlich Widerspruch einzulegen. Bei begründetem Widerspruch wird Leadbase alternative Lösungen suchen oder dem Auftraggeber ein außerordentliches Kündigungsrecht einräumen.

Monitoring und Compliance-Überwachung

  • Regelmäßige Audits: Jährliche Überprüfung aller Unterauftragsverarbeiter
  • Compliance-Monitoring: Kontinuierliche Überwachung der Vertragseinhaltung
  • Incident-Reporting: Sofortige Meldung von Sicherheitsvorfällen
  • Performance-Reviews: Regelmäßige Bewertung der Service-Qualität

6. Internationale Datenübertragungen und Schutzmaßnahmen

Grundsätze für internationale Datenübertragungen

Leadbase übermittelt personenbezogene Daten nur in Drittländer, für die ein angemessenes Datenschutzniveau festgestellt wurde oder für die geeignete Garantien gemäß Art. 44-49 DSGVO bestehen.

Übertragungen in Länder mit Angemessenheitsbeschluss

  • Vereinigtes Königreich: Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021
  • Schweiz: Angemessenheitsbeschluss der EU-Kommission
  • Weitere EU-Angemessenheitsländer: Nach aktuellem Stand der EU-Kommission

Übertragungen in die USA

Für Datenübertragungen in die USA gelten folgende Schutzmaßnahmen:

  • EU-US Data Privacy Framework: Für DPF-zertifizierte Unternehmen
  • EU-Standardvertragsklauseln (SCC): Als primäre Rechtsgrundlage
  • Zusätzliche Schutzmaßnahmen: Verschlüsselung, Pseudonymisierung, Dateminimierung
  • Transfer Impact Assessment (TIA): Regelmäßige Bewertung des Schutzniveaus

EU-Standardvertragsklauseln (SCC)

Bei Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss verwendet Leadbase die aktuellen EU-Standardvertragsklauseln der EU-Kommission vom 04.06.2021:

  • Modul 2: Verantwortlicher zu Auftragsverarbeiter (Controller to Processor)
  • Modul 3: Auftragsverarbeiter zu Auftragsverarbeiter (Processor to Processor)
  • Zusätzliche Garantien: Technische und organisatorische Schutzmaßnahmen
  • Ausstiegsklauseln: Suspendierung bei unzureichendem Schutz

Zusätzliche technische Schutzmaßnahmen

  • End-to-End-Verschlüsselung: Schutz vor unbefugtem Zugriff durch Behörden
  • Pseudonymisierung: Ersetzung direkter Identifikatoren durch Pseudonyme
  • Datminimierung: Übertragung nur der absolut notwendigen Daten
  • Segregation: Physische und logische Trennung von EU- und Drittlandsdaten
  • Key Management: EU-basierte Schlüsselverwaltung mit EU-Kontrolle

Überwachung und Compliance

  • Transfer Logs: Vollständige Protokollierung aller Drittlandstransfers
  • Regelmäßige Reviews: Halbjährliche Überprüfung der Transfer-Mechanismen
  • Legal Updates: Sofortige Anpassung bei Änderungen der Rechtslage
  • Incident Response: Notfallpläne bei Aussetzung von Transfer-Mechanismen

Transparenz gegenüber Auftraggebern

Leadbase informiert Auftraggeber proaktiv über:

  • Alle geplanten Drittlandstransfers mit Rechtsgrundlage
  • Änderungen bei Unterauftragsverarbeitern in Drittländern
  • Behördliche Zugriffe oder entsprechende Anfragen
  • Änderungen der rechtlichen oder faktischen Umstände

7. Betroffenenrechte und Unterstützungspflichten

Grundsätzliche Unterstützungspflicht

Leadbase unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO.

Spezifische Unterstützung bei Betroffenenrechten

Recht auf Auskunft (Art. 15 DSGVO)

  • Datenbereitstellung: Export aller zu einer Person gespeicherten Daten binnen 5 Werktagen
  • Strukturierte Aufbereitung: Maschinenlesbare Formate (JSON, CSV, XML)
  • Verarbeitungsnachweis: Dokumentation aller Verarbeitungsaktivitäten
  • Quellenangaben: Information über Herkunft der angereicherten Daten
  • Empfängerlisten: Auflistung aller Datenempfänger

Recht auf Berichtigung (Art. 16 DSGVO)

  • Sofortige Korrektur: Umgehende Berichtigung unrichtiger Daten
  • Synchronisation: Weiterleitung von Korrekturen an alle Datenempfänger
  • Vervollständigung: Ergänzung unvollständiger Daten auf Anfrage
  • Dokumentation: Nachweis der durchgeführten Berichtigungen

Recht auf Löschung (Art. 17 DSGVO)

  • Vollständige Löschung: Entfernung aus allen Systemen und Backups
  • Technische Implementierung: Kryptographische Löschung durch Schlüsselvernichtung
  • Cascade-Löschung: Automatische Löschung in verbundenen Systemen
  • Löschungsbestätigung: Nachweis der vollständigen Datenentfernung
  • Empfänger-Information: Benachrichtigung aller Datenempfänger

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Technische Sperrung: Markierung und Isolierung der betroffenen Daten
  • Zugriffskontrolle: Einschränkung der Verarbeitungsberechtigung
  • Benachrichtigungssystem: Warnung vor jeder Verarbeitung gesperrter Daten
  • Revisionssichere Dokumentation: Nachweis der Einschränkungsmaßnahmen

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

  • Strukturierte Exportformate: JSON, CSV, XML nach Industriestandards
  • API-basierte Übertragung: Direkte Übertragung an andere Verantwortliche
  • Automatisierte Portabilität: Self-Service-Portal für Datenexport
  • Datenvalidierung: Prüfung der Exportintegrität vor Übertragung

Widerspruchsrecht (Art. 21 DSGVO)

  • Sofortige Verarbeitungseinstellung: Binnen 24 Stunden nach Widerspruch
  • Interessenabwägung: Prüfung überwiegender schutzwürdiger Interessen
  • Dokumentierte Begründung: Schriftliche Darlegung der Entscheidung
  • Profilbildung-Stopp: Einstellung automatisierter Profilbildung

Verfahrensablauf und Service Level Agreements

  • Eingangsbestätigung: Binnen 24 Stunden nach Anfrage
  • Identitätsprüfung: Sichere Verifikation der anfragenden Person
  • Bearbeitungszeit: Maximal 5 Werktage für vollständige Umsetzung
  • Kostenfrei: Keine Bearbeitungsgebühren für berechtigte Anfragen
  • Transparente Kommunikation: Regelmäßige Updates zum Bearbeitungsstatus

Technische Umsetzung

  • Automatisierte Workflows: Systeme zur effizienten Anfragenbearbeitung
  • Data Discovery: Automatische Identifikation aller relevanten Datensätze
  • Audit Trail: Vollständige Protokollierung aller Maßnahmen
  • Quality Assurance: Mehrfach-Validierung vor Umsetzung

8. Datenschutzverletzungen und Incident Response

Definition und Kategorisierung von Datenschutzverletzungen

Eine Datenschutzverletzung liegt vor bei einer Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt.

Schweregrad-Kategorisierung

  • Kategorie 1 - Kritisch: Hohe Wahrscheinlichkeit für erhebliche Risiken (Benachrichtigung binnen 2 Stunden)
  • Kategorie 2 - Hoch: Mögliche Risiken für Rechte und Freiheiten (Benachrichtigung binnen 12 Stunden)
  • Kategorie 3 - Mittel: Begrenzte Auswirkungen (Benachrichtigung binnen 24 Stunden)
  • Kategorie 4 - Niedrig: Minimale oder keine Auswirkungen (Benachrichtigung binnen 72 Stunden)

Incident Response Prozess

Sofortmaßnahmen (0-1 Stunde)

  • Incident Detection: Automatisierte Erkennung durch SIEM-Systeme
  • Erstbewertung: Schnelle Einschätzung des Schweregrads
  • Containment: Sofortige Eindämmung zur Schadensbegrenzung
  • Team-Alarmierung: Benachrichtigung des Incident Response Teams
  • Kommunikationskanal: Einrichtung dedizierter Kommunikationskanäle

Mittelfristige Maßnahmen (1-24 Stunden)

  • Detailanalyse: Umfassende forensische Untersuchung
  • Schadensbeurteilung: Bewertung der Auswirkungen auf betroffene Personen
  • Ursachenforschung: Identifikation der Ursachen und Schwachstellen
  • Kundenbenachrichtigung: Information des Auftraggebers gemäß vereinbarten Fristen
  • Dokumentation: Vollständige Protokollierung aller Maßnahmen

Langfristige Maßnahmen (24-72 Stunden)

  • Remediation: Vollständige Behebung der Sicherheitslücken
  • System-Hardening: Verstärkung der Sicherheitsmaßnahmen
  • Lesson Learned: Analyse und Integration von Verbesserungen
  • Compliance-Reporting: Vollständige Dokumentation für Aufsichtsbehörden
  • Kommunikationsmanagement: Koordinierte interne und externe Kommunikation

Benachrichtigungspflichten und -verfahren

Benachrichtigung des Auftraggebers

  • Unverzügliche Meldung: Innerhalb der vereinbarten Fristen je nach Schweregrad
  • Strukturierte Information: Standardisiertes Meldeformular mit allen relevanten Details
  • Kontinuierliche Updates: Regelmäßige Statusberichte bis zur vollständigen Behebung
  • Finale Dokumentation: Umfassender Abschlussbericht mit allen Erkenntnissen

Meldeinhalte

  • Art der Verletzung: Detaillierte Beschreibung des Vorfalls
  • Betroffene Datenkategorien: Spezifikation der kompromittierten Daten
  • Anzahl betroffener Personen: Geschätzte oder bekannte Anzahl
  • Wahrscheinliche Folgen: Bewertung der Risiken für betroffene Personen
  • Ergriffene Maßnahmen: Sofortmaßnahmen und geplante Abhilfe
  • Kontaktinformationen: Ansprechpartner für weitere Informationen

Unterstützung bei behördlichen Meldungen

Leadbase unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO durch:

  • Vollständige Dokumentation: Bereitstellung aller relevanten Informationen
  • Technische Expertise: Fachliche Unterstützung bei der Ursachenanalyse
  • Compliance-Beratung: Beratung zu rechtlichen Meldepflichten
  • Direkte Kooperation: Zusammenarbeit mit Aufsichtsbehörden nach Weisung

Präventive Maßnahmen und kontinuierliche Verbesserung

  • Vulnerability Management: Regelmäßige Schwachstellen-Scans und -Behebung
  • Penetration Testing: Jährliche externe Sicherheitstests
  • Incident Response Drills: Regelmäßige Übungen und Simulation von Notfällen
  • Security Awareness: Kontinuierliche Mitarbeiterschulungen
  • Technology Updates: Regelmäßige Updates und Patches aller Systeme

9. Umfassende Audit-Rechte und Compliance-Nachweise

Grundsätzliche Audit-Rechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieser Vereinbarung und der datenschutzrechtlichen Anforderungen durch Leadbase zu überprüfen. Dies umfasst sowohl eigene Überprüfungen als auch Beauftragung externer Auditoren.

Arten von Audits und Überprüfungen

Dokumentenbasierte Audits

  • Compliance-Dokumentation: Nachweis der Einhaltung aller vereinbarten Maßnahmen
  • Zertifikate und Bescheinigungen: ISO 27001, SOC 2 Type II, GDPR-Compliance
  • Policy-Reviews: Überprüfung aller Sicherheits- und Datenschutzrichtlinien
  • Incident-Reports: Vollständige Dokumentation aller Sicherheitsvorfälle
  • Training-Nachweise: Belege für Mitarbeiter-Schulungen und -Zertifizierungen

Remote-Audits

  • Virtuelle Systemprüfungen: Remote-Zugang zu Audit-relevanten Systemen
  • Online-Interviews: Gespräche mit Schlüsselpersonal via Videokonferenz
  • Digitale Evidenz-Sammlung: Elektronische Bereitstellung von Nachweisen
  • Real-time Monitoring: Live-Einblick in Monitoring-Systeme und Dashboards

Vor-Ort-Audits

  • Physische Inspektion: Überprüfung der Büro- und Rechenzentrumsicherheit
  • Mitarbeiter-Interviews: Persönliche Gespräche mit Sicherheits- und Datenschutzverantwortlichen
  • Technische Überprüfungen: Inspektion der IT-Infrastruktur und Sicherheitssysteme
  • Prozess-Beobachtung: Überwachung kritischer Geschäftsprozesse

Verfügbare Compliance-Nachweise

Internationale Zertifizierungen

  • ISO 27001:2013: Information Security Management System
  • SOC 2 Type II: Service Organization Control für Security, Availability, Confidentiality
  • ISO 27017: Cloud Security Controls
  • ISO 27018: Privacy in Public Cloud Computing
  • ISO 22301: Business Continuity Management

Datenschutz-spezifische Nachweise

  • DSGVO-Compliance Zertifikat: Externes Audit der GDPR-Konformität
  • Privacy Impact Assessments: Datenschutz-Folgenabschätzungen für alle Services
  • Data Protection Officer Certification: Qualifikationsnachweise des DSB
  • Privacy by Design Assessment: Bewertung der datenschutzfreundlichen Systemgestaltung

Technische Sicherheitsnachweise

  • Penetration Test Reports: Jährliche externe Sicherheitstests
  • Vulnerability Assessment: Regelmäßige Schwachstellen-Analysen
  • Encryption Standards Compliance: Nachweis der Verschlüsselungsstandards
  • Business Continuity Testing: Berichte über Notfall- und Wiederherstellungstests

Audit-Verfahren und -Planung

Audit-Ankündigung und -Planung

  • Vorlaufzeit: Mindestens 30 Tage Voranmeldung für Vor-Ort-Audits
  • Scope-Definition: Klare Abgrenzung der zu prüfenden Bereiche
  • Auditor-Qualifikation: Nachweis der fachlichen Eignung der Prüfer
  • Vertraulichkeitsvereinbarungen: NDA-Unterzeichnung durch alle Auditoren
  • Terminkoordination: Abstimmung mit allen relevanten Stakeholdern

Audit-Durchführung

  • Dedicated Support: Bereitstellung eines Audit-Koordinators
  • Dokumentenzugang: Vollständiger Zugang zu allen relevanten Unterlagen
  • System-Demonstrationen: Vorführung kritischer Sicherheitssysteme
  • Interview-Sessions: Gespräche mit Schlüsselpersonal
  • Evidence Collection: Sammlung und Bereitstellung von Nachweisen

Audit-Nachbereitung

  • Draft Report Review: Möglichkeit zur Stellungnahme vor Finalisierung
  • Finding Response: Zeitnahe Reaktion auf identifizierte Schwachstellen
  • Remediation Plan: Detaillierter Plan zur Behebung von Mängeln
  • Follow-up Audits: Nachprüfung der Umsetzung von Verbesserungsmaßnahmen
  • Continuous Improvement: Integration der Erkenntnisse in laufende Prozesse

Kosten und Häufigkeit

  • Reguläre Audits: Ein dokumentenbasiertes Audit pro Jahr kostenfrei
  • Zusätzliche Audits: Bei begründetem Verdacht oder nach Incidents kostenfrei
  • Vor-Ort-Audits: Reise- und Übernachtungskosten trägt der Auftraggeber
  • Externe Auditoren: Honorare für externe Prüfer trägt der Auftraggeber
  • Compliance-Berichte: Standard-Compliance-Reports kostenfrei bereitgestellt

Einschränkungen und Schutzmaßnahmen

  • Geschäftsgeheimnisse: Schutz vertraulicher Geschäftsinformationen von Leadbase
  • Andere Kunden: Keine Gefährdung der Sicherheit anderer Kundendaten
  • Betriebsstörungen: Minimierung von Unterbrechungen des laufenden Betriebs
  • Zeitliche Begrenzung: Angemessene Dauer der Audit-Aktivitäten

10. Haftung, Versicherung und Schadenersatz

Grundsätze der Haftungsverteilung

Die Haftung zwischen Auftraggeber und Leadbase richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82, sowie den Regelungen des Hauptvertrags. Beide Parteien haften für Schäden, die sie durch Verletzung ihrer datenschutzrechtlichen Pflichten verursachen.

Haftung von Leadbase

Verschuldensabhängige Haftung

  • Vorsatz und grobe Fahrlässigkeit: Unbeschränkte Haftung für alle Schäden
  • Verletzung von Kardinalspflichten: Haftung bis zur Höhe des vorhersehbaren, typischen Schadens
  • Leichte Fahrlässigkeit: Haftung nur bei Verletzung wesentlicher Vertragspflichten
  • Erfüllungsgehilfen: Haftung für Verschulden von Mitarbeitern und Unterauftragsverarbeitern

Spezifische Datenschutz-Haftung

  • Datenschutzverletzungen: Haftung für Schäden durch mangelhafte technische Schutzmaßnahmen
  • Unrechtmäßige Verarbeitung: Haftung bei Verarbeitung ohne oder über Weisungen hinaus
  • Unterauftragsverarbeiter: Vollumfängliche Haftung für Datenschutzverletzungen von Subunternehmern
  • Internationale Transfers: Haftung für Schäden durch unzulässige Drittlandstransfers

Haftungsausschlüsse und -begrenzungen

  • Höhere Gewalt: Keine Haftung für unvorhersehbare, unvermeidbare Ereignisse
  • Auftraggeber-Verschulden: Keine Haftung bei Schäden durch fehlerhafte Weisungen
  • Mitverursachung: Reduzierte Haftung bei Mitverschulden des Auftraggebers
  • Verjährung: Schadenansprüche verjähren nach 3 Jahren ab Kenntnis

Haftung des Auftraggebers

  • Rechtswidrigkeit der Verarbeitung: Haftung bei rechtswidrigen Verarbeitungsweisungen
  • Falsche Rechtsgrundlagen: Haftung bei fehlender oder unzutreffender Rechtsgrundlage
  • Unzutreffende Informationen: Haftung für Schäden durch falsche Datenangaben
  • Fehlende Betroffenenrechte: Haftung bei unzureichender Information der betroffenen Personen

Schadenarten und -umfang

Materielle Schäden

  • Direkte Schäden: Unmittelbare Kosten für Datenschutzverletzungen
  • Wiederherstellungskosten: Kosten für Datenwiederherstellung und Systemreparatur
  • Compliance-Kosten: Kosten für Meldungen an Aufsichtsbehörden und Betroffenenbenachrichtigung
  • Rechtsverfolgungskosten: Angemessene Rechtsanwalts- und Gerichtskosten

Immaterielle Schäden

  • Persönlichkeitsrechtsverletzungen: Schmerzensgeld bei Verletzung des Persönlichkeitsrechts
  • Reputationsschäden: Verlust von Geschäftsmöglichkeiten durch Vertrauensverlust
  • Opportunity Costs: Entgangene Gewinne durch Geschäftsunterbrechung

Regulatorische Sanktionen

  • DSGVO-Bußgelder: Behördliche Sanktionen gemäß Art. 83 DSGVO
  • Aufsichtsbehördliche Anordnungen: Kosten für die Umsetzung behördlicher Auflagen
  • Internationale Sanktionen: Bußgelder und Strafen in anderen Jurisdiktionen

Versicherungsschutz

Cyber-Versicherung von Leadbase

  • Deckungssumme: Mindestens 10 Millionen EUR für Cyber-Risiken
  • Leistungsumfang: Datenschutzverletzungen, Cyber-Angriffe, Betriebsunterbrechung
  • Geografische Deckung: Weltweite Geltung einschließlich USA und Kanada
  • Regulatory Defense: Deckung für Verteidigung gegen behördliche Verfahren
  • Crisis Management: PR-Unterstützung und Krisenmanagement

Allgemeine Haftpflichtversicherung

  • Deckungssumme: Mindestens 5 Millionen EUR für allgemeine Haftpflicht
  • Berufshaftpflicht: Spezielle Deckung für IT-Dienstleistungen
  • Vermögensschäden: Deckung für reine Vermögensschäden
  • Nachweispflicht: Jährliche Vorlage aktueller Versicherungsbestätigungen

Schadensabwicklung und -minimierung

  • Sofortmaßnahmen: Unverzügliche Schadensbegrenzung und -vermeidung
  • Kooperation: Enge Zusammenarbeit bei der Schadensregulierung
  • Dokumentation: Vollständige Dokumentation aller Schäden und Maßnahmen
  • Externe Expertise: Einbindung von Rechtsanwälten und Sachverständigen
  • Präventive Maßnahmen: Umsetzung von Maßnahmen zur Schadensvermeidung

11. Vertragslaufzeit, Kündigung und Datenrückgabe

Vertragslaufzeit und Verlängerung

Diese Datenverarbeitungsvereinbarung tritt mit Abschluss des Hauptvertrags in Kraft und gilt für die gesamte Laufzeit des Vertragsverhältnisses. Bei Verlängerung des Hauptvertrags verlängert sich diese Vereinbarung automatisch um die entsprechende Laufzeit.

Ordentliche Kündigung

  • Kündigung mit Hauptvertrag: Diese Vereinbarung endet automatisch mit dem Hauptvertrag
  • Separatkündigung: Kündigung nur dieser Vereinbarung bei fortbestehendem Hauptvertrag möglich
  • Kündigungsfrist: 3 Monate zum Ende eines Kalenderquartals
  • Schriftform: Kündigung bedarf der Schriftform (E-Mail genügt)

Außerordentliche Kündigung

Kündigungsrecht des Auftraggebers

  • Schwerwiegende Datenschutzverletzung: Bei erheblichen Verstößen gegen datenschutzrechtliche Pflichten
  • Behördliche Anordnung: Bei Untersagung der Verarbeitung durch Aufsichtsbehörden
  • Unterauftragsverarbeiter: Bei Weigerung, unzulässige Unterauftragsverarbeiter zu ersetzen
  • Audit-Verweigerung: Bei Verweigerung der Mitwirkung an berechtigten Audits
  • Insolvenz: Bei Eröffnung des Insolvenzverfahrens über das Vermögen von Leadbase

Kündigungsrecht von Leadbase

  • Rechtswidrige Weisungen: Bei dauerhafter Erteilung rechtswidriger Verarbeitungsanweisungen
  • Zahlungsverzug: Bei Zahlungsrückstand von mehr als 2 Monatsraten
  • Kooperationsverweigerung: Bei mangelnder Mitwirkung des Auftraggebers
  • Rechtliche Unmöglichkeit: Bei Änderung der Rechtslage, die die Verarbeitung unmöglich macht

Comprehensive Data Return and Deletion Process

Datenrückgabe-Optionen

  • Vollständiger Export: Export aller personenbezogenen Daten in strukturierten Formaten
  • Selektiver Export: Export nur bestimmter Datenkategorien nach Auftraggeberwunsch
  • System-zu-System Transfer: Direkte Übertragung an neue Auftragsverarbeiter
  • API-basierte Übertragung: Kontinuierliche Datenübertragung über standardisierte Schnittstellen

Exportformate und -standards

  • Strukturierte Formate: JSON, XML, CSV nach Industriestandards
  • Datenbank-Dumps: Native Datenbank-Exporte bei technischer Kompatibilität
  • API-konforme Formate: REST/GraphQL-kompatible Datenstrukturen
  • Human-readable Reports: PDF-Reports für Compliance-Zwecke

Datenintegrität und -validierung

  • Checksums: Kryptographische Prüfsummen für alle exportierten Daten
  • Vollständigkeitsprüfung: Verifikation der Export-Vollständigkeit
  • Datenqualitätsprüfung: Validierung der Datenintegrität vor Export
  • Dokumentation: Detaillierte Dokumentation aller exportierten Datenfelder

Sichere Datenlöschung

Löschungsumfang

  • Vollständige Löschung: Entfernung aller personenbezogenen Daten aus allen Systemen
  • Backup-Löschung: Sichere Löschung aus allen Backup- und Archivierungssystemen
  • Log-Bereinigung: Anonymisierung oder Löschung von Log-Einträgen mit Personenbezug
  • Cache-Clearing: Löschung aus allen temporären Speicher- und Cache-Systemen

Löschungsmethoden

  • Kryptographische Löschung: Vernichtung der Verschlüsselungsschlüssel
  • Secure Deletion: Mehrfach-Überschreibung nach NIST-Standards
  • Physical Destruction: Physische Vernichtung von Datenträgern bei Hardware-Austausch
  • Database Shredding: Vollständige Entfernung auf Datenbankebene

Löschungsbestätigung

  • Löschungszertifikat: Schriftliche Bestätigung der vollständigen Datenlöschung
  • Audit Trail: Dokumentation aller Löschungsaktivitäten
  • Technical Verification: Technischer Nachweis der erfolgreichen Löschung
  • Compliance Statement: Bestätigung der Einhaltung aller regulatorischen Anforderungen

Ausnahmen von der Löschungspflicht

  • Gesetzliche Aufbewahrungspflichten: Steuer- und handelsrechtliche Archivierungspflichten (max. 10 Jahre)
  • Rechtliche Verfahren: Aufbewahrung für laufende oder drohende Gerichtsverfahren
  • Compliance-Dokumentation: Anonymisierte Aufbewahrung für Audit- und Compliance-Zwecke
  • Sicherheitsanalysen: Anonymisierte Security Logs für Incident Response (max. 2 Jahre)

Zeitplan und Service Level Agreements

  • Datenexport: Bereitstellung binnen 30 Tagen nach Vertragsende
  • Übergangsfrist: 90 Tage zur Sicherstellung der Datenmigration
  • Löschung: Vollständige Löschung binnen 120 Tagen nach Vertragsende
  • Support: Technische Unterstützung während der gesamten Übergangsphase

Kosten der Datenrückgabe

  • Standard-Export: Kostenfreie Bereitstellung in Standardformaten
  • Custom Exports: Angemessene Kostenbeteiligung bei besonderen Exportanforderungen
  • Expressdienste: Aufpreis für beschleunigte Datenrückgabe (< 14 Tage)
  • Technical Support: Kostenfreie Grundunterstützung, kostenpflichtige Sonderleistungen

12. Schlussbestimmungen und rechtliche Rahmenbedingungen

Verhältnis zum Hauptvertrag

Diese Datenverarbeitungsvereinbarung ist integraler Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags. Bei Widersprüchen zwischen den Bestimmungen haben die Regelungen dieser DPA-Vereinbarung Vorrang, soweit sie datenschutzrechtliche Aspekte betreffen.

Änderungen und Ergänzungen

  • Schriftformerfordernis: Änderungen bedürfen der Schriftform (E-Mail genügt)
  • Rechtliche Updates: Automatische Anpassung bei Änderungen der DSGVO oder relevanter Gesetze
  • Technische Updates: Anpassung der technischen Maßnahmen nach dem Stand der Technik
  • Benachrichtigungspflicht: Information über wesentliche Änderungen 30 Tage im Voraus
  • Widerspruchsrecht: Recht zur Kündigung bei unzumutbaren Änderungen

Anwendbares Recht und Gerichtsstand

  • Deutsches Recht: Anwendung deutschen Rechts unter Ausschluss des UN-Kaufrechts
  • DSGVO-Vorrang: Unmittelbare Anwendung der EU-Datenschutz-Grundverordnung
  • Gerichtsstand: München für alle Streitigkeiten aus diesem Vertrag
  • Internationale Zuständigkeit: Deutsche Gerichte für alle datenschutzrechtlichen Verfahren

Streitbeilegung und Mediation

  • Außergerichtliche Streitbeilegung: Verpflichtung zu Mediationsverfahren vor Klageerhebung
  • Mediationsstelle: Anerkannte Mediationsinstitution in München
  • Expedited Procedures: Beschleunigte Verfahren bei datenschutzrechtlichen Eilfällen
  • Expert Determination: Sachverständigenverfahren bei technischen Streitpunkten

Mehrsprachigkeit und Interpretation

  • Deutsche Fassung: Deutsche Fassung ist maßgeblich bei Auslegungsfragen
  • Übersetzungen: Englische Übersetzungen verfügbar, aber nicht rechtsverbindlich
  • Fachbegriffe: DSGVO-Terminologie nach deutscher Rechtsprechung

Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, unwirksame Bestimmungen durch wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommen.

Übertragung und Abtretung

  • Zustimmungserfordernis: Übertragung von Rechten und Pflichten nur mit Zustimmung
  • Konzernübertragung: Freie Übertragung innerhalb der Unternehmensgruppe
  • Asset Deal: Automatische Übertragung bei Geschäftsverkauf
  • Benachrichtigungspflicht: Information über alle Übertragungen

Kontakt und Kommunikation

Für datenschutzrechtliche Anfragen: E-Mail: privacy@leadbase.io Post: Datenschutzbeauftragter, Franz-Joseph-Str. 11, 80801 München, Deutschland Für vertragliche Angelegenheiten: E-Mail: legal@leadbase.io Post: Rechtsabteilung, Franz-Joseph-Str. 11, 80801 München, Deutschland Für technische Fragen: E-Mail: support@leadbase.io Telefon: +49 (0) 89 123456789 (Mo-Fr 9-17 Uhr)

Inkrafttreten und Gültigkeit

Diese Datenverarbeitungsvereinbarung tritt mit der Unterzeichnung des Hauptvertrags in Kraft und ersetzt alle vorherigen Vereinbarungen zum gleichen Gegenstand. Die Vereinbarung bleibt auch bei teilweiser Unwirksamkeit einzelner Bestimmungen in vollem Umfang wirksam.

Zuletzt aktualisiert am

Wie hilfreich ist dieser Guide?

Nutzungsbedingungen

Allgemeine Geschäftsbedingungen für die Nutzung von Leadbase

Endbenutzer-Lizenzvereinbarung

Lizenzbedingungen für die Nutzung der Leadbase-Software

Inhalt

1. Gegenstand, Anwendungsbereich und rechtliche GrundlagenGegenstand der VereinbarungAnwendungsbereichRechtliche GrundlagenBegriffsbestimmungen2. Art, Zweck und Dauer der DatenverarbeitungVerarbeitungszwecke im DetailPrimäre VerarbeitungszweckeSekundäre VerarbeitungszweckeVerarbeitungsarten und -methodenVerarbeitungsdauer3. Umfassende Kategorien personenbezogener Daten und betroffenerKategorien betroffener PersonenPrimäre ZielgruppenErweiterte ZielgruppenKategorien personenbezogener DatenIdentifikationsdatenBerufliche InformationenUnternehmensbezogene DatenVerhaltensdaten und PräferenzenBesondere Kategorien und Ausschlüsse4. Detaillierte technische und organisatorische Maßnahmen (TOMs)Technische SicherheitsmaßnahmenVerschlüsselung und KryptographieZugriffskontrolle und AuthentifizierungNetzwerk- und InfrastruktursicherheitMonitoring und LoggingOrganisatorische SicherheitsmaßnahmenPersonal und SchulungenProzesse und RichtlinienPhysische SicherheitDatenschutz durch Technikgestaltung (Privacy by Design)5. Umfassendes Management von UnterauftragsverarbeiternGrundsätze der UnterauftragsverarbeitungAktuelle UnterauftragsverarbeiterCloud-Infrastruktur und HostingKommunikation und SupportAnalytics und MonitoringZahlungsabwicklungAuswahlkriterien für UnterauftragsverarbeiterVertragsgestaltung mit UnterauftragsverarbeiternHinzufügung neuer UnterauftragsverarbeiterMonitoring und Compliance-Überwachung6. Internationale Datenübertragungen und SchutzmaßnahmenGrundsätze für internationale DatenübertragungenÜbertragungen in Länder mit AngemessenheitsbeschlussÜbertragungen in die USAEU-Standardvertragsklauseln (SCC)Zusätzliche technische SchutzmaßnahmenÜberwachung und ComplianceTransparenz gegenüber Auftraggebern7. Betroffenenrechte und UnterstützungspflichtenGrundsätzliche UnterstützungspflichtSpezifische Unterstützung bei BetroffenenrechtenRecht auf Auskunft (Art. 15 DSGVO)Recht auf Berichtigung (Art. 16 DSGVO)Recht auf Löschung (Art. 17 DSGVO)Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)Recht auf Datenübertragbarkeit (Art. 20 DSGVO)Widerspruchsrecht (Art. 21 DSGVO)Verfahrensablauf und Service Level AgreementsTechnische Umsetzung8. Datenschutzverletzungen und Incident ResponseDefinition und Kategorisierung von DatenschutzverletzungenSchweregrad-KategorisierungIncident Response ProzessSofortmaßnahmen (0-1 Stunde)Mittelfristige Maßnahmen (1-24 Stunden)Langfristige Maßnahmen (24-72 Stunden)Benachrichtigungspflichten und -verfahrenBenachrichtigung des AuftraggebersMeldeinhalteUnterstützung bei behördlichen MeldungenPräventive Maßnahmen und kontinuierliche Verbesserung9. Umfassende Audit-Rechte und Compliance-NachweiseGrundsätzliche Audit-Rechte des AuftraggebersArten von Audits und ÜberprüfungenDokumentenbasierte AuditsRemote-AuditsVor-Ort-AuditsVerfügbare Compliance-NachweiseInternationale ZertifizierungenDatenschutz-spezifische NachweiseTechnische SicherheitsnachweiseAudit-Verfahren und -PlanungAudit-Ankündigung und -PlanungAudit-DurchführungAudit-NachbereitungKosten und HäufigkeitEinschränkungen und Schutzmaßnahmen10. Haftung, Versicherung und SchadenersatzGrundsätze der HaftungsverteilungHaftung von LeadbaseVerschuldensabhängige HaftungSpezifische Datenschutz-HaftungHaftungsausschlüsse und -begrenzungenHaftung des AuftraggebersSchadenarten und -umfangMaterielle SchädenImmaterielle SchädenRegulatorische SanktionenVersicherungsschutzCyber-Versicherung von LeadbaseAllgemeine HaftpflichtversicherungSchadensabwicklung und -minimierung11. Vertragslaufzeit, Kündigung und DatenrückgabeVertragslaufzeit und VerlängerungOrdentliche KündigungAußerordentliche KündigungKündigungsrecht des AuftraggebersKündigungsrecht von LeadbaseComprehensive Data Return and Deletion ProcessDatenrückgabe-OptionenExportformate und -standardsDatenintegrität und -validierungSichere DatenlöschungLöschungsumfangLöschungsmethodenLöschungsbestätigungAusnahmen von der LöschungspflichtZeitplan und Service Level AgreementsKosten der Datenrückgabe12. Schlussbestimmungen und rechtliche RahmenbedingungenVerhältnis zum HauptvertragÄnderungen und ErgänzungenAnwendbares Recht und GerichtsstandStreitbeilegung und MediationMehrsprachigkeit und InterpretationSalvatorische KlauselÜbertragung und AbtretungKontakt und KommunikationInkrafttreten und Gültigkeit