← Tilbage til forsiden

Databehandleraftale (DPA)

Vejledende oversættelse. Denne danske version stilles udelukkende til rådighed til orientering. Den juridisk bindende tekst er den tyske original; ved uoverensstemmelser gælder den tyske version.

Aftale om behandling af personoplysninger på vegne af den dataansvarlige i henhold til artikel 28 i GDPR

Præambel

Denne aftale konkretiserer parternes databeskyttelsesretlige pligter i forbindelse med kundens (herefter „den dataansvarlige") bestående brug af tjenesterne fra 121 Apps GmbH (herefter „databehandleren"). Den gælder for alle aktiviteter, hvor databehandleren behandler personoplysninger på vegne af den dataansvarlige.

§ 1 Genstand, art, omfang, formål & varighed

(1) Behandlingens genstand og formål fremgår af den underliggende hovedaftale (brug af den pågældende tjeneste). Databehandleren behandler udelukkende dataene med henblik på levering af de aftalte ydelser og efter dokumenteret instruks fra den dataansvarlige.

(2) Behandlingen omfatter afhængigt af den anvendte tjeneste navnlig indsamling, registrering, systematisering, opbevaring, tilpasning, udlæsning, søgning, brug, videregivelse, begrænsning og sletning af personoplysninger.

(3) Behandlingens varighed svarer til hovedaftalens løbetid.

§ 2 Oplysningernes art & kategorier af registrerede

(1) Personoplysningernes art: afhængigt af den anvendte tjeneste f.eks. stamdata (navn, e-mail, adresse), kontaktdata, brugs- og logdata samt indholdsdata, som den dataansvarlige lægger ind (f.eks. undersøgelsesbesvarelser, ordre- og leverandørdata).

(2) Særlige kategorier af personoplysninger (artikel 9 i GDPR) er ikke genstand for opdraget, medmindre den dataansvarlige selv lægger sådanne data ind i indholdsdataene; i så fald gælder de skærpede beskyttelseskrav tilsvarende.

(3) Kategorier af registrerede: f.eks. den dataansvarliges medarbejdere, kunder, potentielle kunder, undersøgelsesdeltagere og leverandører.

§ 3 Databehandlerens pligter

(1) Databehandleren behandler kun data efter dokumenteret instruks fra den dataansvarlige, medmindre databehandleren er retligt forpligtet til behandlingen. Instrukser gives i tekst- eller skriftform; mundtligt afgivne instrukser skal straks bekræftes i tekst- eller skriftform. Parterne kan hver især udpege instruktionsberettigede personer.

(2) Databehandleren sikrer, at de personer, der er bemyndiget til behandlingen, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

(3) Databehandleren træffer alle tekniske og organisatoriske foranstaltninger, der kræves efter artikel 32 i GDPR (§ 4 sammenholdt med bilag 1).

(4) Databehandleren bistår så vidt muligt den dataansvarlige med opfyldelse af de registreredes rettigheder (artikel 12–23 i GDPR) samt med pligterne efter artikel 32–36 i GDPR (datasikkerhed, anmeldelse af brud, konsekvensanalyse vedrørende databeskyttelse).

(5) Databehandleren underretter straks den dataansvarlige, hvis en instruks efter databehandlerens opfattelse strider mod databeskyttelsesretlige bestemmelser.

§ 4 Tekniske og organisatoriske foranstaltninger (artikel 32)

Databehandleren opretholder passende tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i GDPR, navnlig til sikring af systemernes fortrolighed, integritet, tilgængelighed og robusthed samt til regelmæssig kontrol af deres effektivitet. De konkrete foranstaltninger er beskrevet i bilag 1 og udgør en del af denne aftale. Væsentlige ændringer må ikke medføre et lavere beskyttelsesniveau end det aftalte.

§ 5 Underdatabehandlere

(1) Den dataansvarlige giver en generel godkendelse til brug af underdatabehandlere. Databehandleren underretter rettidigt den dataansvarlige i tekstform om påtænkte ændringer (tilføjelse eller udskiftning). Den dataansvarlige kan gøre indsigelse mod en ændring af vægtig databeskyttelsesretlig grund inden for fire uger efter underretningen; gøres der ikke indsigelse, anses ændringen for godkendt.

(2) Databehandleren forpligter underdatabehandlere til et tilsvarende databeskyttelsesniveau (artikel 28, stk. 4, i GDPR). De aktuelt anvendte underdatabehandlere er anført i bilag 2.

§ 6 Brud på persondatasikkerheden

Databehandleren anmelder brud på persondatasikkerheden til den dataansvarlige uden unødig forsinkelse, dog senest inden for 24 timer efter at være blevet bekendt hermed, og bistår den dataansvarlige med anmeldelses- og underretningspligterne (artikel 33 og 34 i GDPR), så den dataansvarlige kan overholde sin egen 72-timers-frist.

§ 7 Sletning & tilbagelevering

Efter afslutning af behandlingen sletter databehandleren efter den dataansvarliges valg dataene eller tilbageleverer dem og sletter eksisterende kopier, medmindre der består en lovbestemt opbevaringspligt. Den dataansvarlige har indtil aftalens ophør mulighed for at eksportere sine data.

§ 8 Dokumentation & kontroller

(1) Databehandleren stiller de oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påvise overholdelse af pligterne efter artikel 28 i GDPR. Dokumentationen kan også ske gennem aktuelle certifikater, attester eller rapporter fra egnede uafhængige tredjeparter.

(2) Yderligere kontroller (herunder kontroller på stedet) gennemføres med rimeligt forudgående varsel på i reglen to uger, højst én gang årligt samt anledningsbestemt ved konkret mistanke, inden for sædvanlig forretningstid og uden uforholdsmæssig forstyrrelse af driften. Omkostningerne ved en kontrol på stedet, som den dataansvarlige har foranlediget, bæres af den dataansvarlige, medmindre kontrollen afdækker en væsentlig overtrædelse hos databehandleren.

§ 9 Tredjelandsoverførsel

Behandlingen finder som udgangspunkt udelukkende sted inden for EU hhv. EØS. En overførsel til et tredjeland sker kun under overholdelse af betingelserne i artikel 44 ff. i GDPR. Den eneste nuværende undtagelse er betalingsafviklingen via Stripe, hvor en overførsel til USA ikke helt kan udelukkes, og som er baseret på EU-standardkontraktbestemmelser (artikel 46 i GDPR). Derudover finder der ingen tredjelandsoverførsel sted.

§ 10 Ansvar & afsluttende bestemmelser

(1) For ansvaret gælder artikel 82 i GDPR. I forholdet mellem parterne gælder desuden hovedaftalens ansvarsbestemmelser.

(2) Ved uoverensstemmelser mellem denne databehandleraftale og hovedaftalen har bestemmelserne i denne databehandleraftale forrang i databeskyttelsesretlige spørgsmål.

(3) Tysk ret finder anvendelse. Eksklusivt værneting er, i det omfang loven tillader det, München.

(4) Ændringer af og tillæg til denne aftale kræver tekstform. Skulle en bestemmelse være ugyldig, forbliver aftalen i øvrigt gyldig.

(5) Denne databehandleraftale bliver sammen med hovedaftalen en del af aftaleforholdet. Den indgås elektronisk, ved at den dataansvarlige accepterer den ved tegning af et betalingspligtigt abonnement — som led i bestillings- og betalingsprocessen via Stripe hhv. ved bekræftelse i sin kundekonto. En egenhændig underskrift er i henhold til artikel 28, stk. 9, i GDPR ikke nødvendig; elektronisk form er tilstrækkelig.

Bilag 1 — Tekniske og organisatoriske foranstaltninger (artikel 32 i GDPR)

Databehandleren anvender følgende foranstaltninger. Oversigten skal inden brug afstemmes med den faktisk implementerede praksis.

1. Fortrolighed

  • Fysisk adgangskontrol: drift i datacentre hos Alfahosting GmbH (Halle/Saale) og Hetzner Online GmbH (Gunzenhausen) med sikret fysisk adgangskontrol (bl.a. adgangssikring, videoovervågning).
  • Systemadgangskontrol: individuelle brugerkonti, sikre adgangskoder, multifaktor-autentificering for administrative adgange, automatiske sessionslåse.
  • Dataadgangskontrol: rollebaseret rettighedskoncept efter princippet om færrest mulige rettigheder, logning af administrative adgange.
  • Adskillelseskontrol: logisk adskillelse af data fra forskellige dataansvarlige (mandantadskillelse); adskillelse af produktions-, test- og udviklingsmiljøer.
  • Kryptering: TLS-kryptering af dataoverførslen; kryptering af følsomme data i hvile samt krypteret opbevaring af adgangs- og tokendata.

2. Integritet

  • Inputkontrol: logning af oprettelse, ændring og sletning; sporbarhed via audit-logs.
  • Videregivelseskontrol: overførsel udelukkende via krypterede forbindelser.

3. Tilgængelighed og robusthed

  • regelmæssige, krypterede backups og en procedure til genoprettelse af tilgængeligheden efter en hændelse;
  • systemovervågning, beskyttelse mod overbelastning og angreb (bl.a. firewalls, DDoS-beskyttelse), rettidige sikkerhedsopdateringer.

4. Procedurer for regelmæssig kontrol, vurdering og evaluering

  • regelmæssig kontrol af foranstaltningernes effektivitet; databeskyttelses- og sikkerhedsreviews; kontrol med underdatabehandlere;
  • databeskyttelse gennem design og databeskyttelsesvenlige standardindstillinger (artikel 25 i GDPR).

Bilag 2 — Underdatabehandlere

Pr. datoen for denne aftale anvendes følgende underdatabehandlere:

  • Alfahosting GmbH, Halle (Saale), Tyskland — hosting/datacenter (EU).
  • Hetzner Online GmbH, Gunzenhausen, Tyskland — hosting/datacenter (EU).
  • Stripe Payments Europe Ltd., Dublin, Irland — betalingsafvikling; en overførsel til USA kan ikke udelukkes og er baseret på EU-standardkontraktbestemmelser.
  • Sendinblue GmbH (Brevo), Köln, Tyskland — udsendelse af e-mails og notifikationer (EU).

Senest opdateret: 6. juli 2026