Anmelden

Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: 15. April 2026

Diese Datenverarbeitungsvereinbarung (“DPA”) ist Bestandteil der Vereinbarung zwischen der im Accsible-Konto benannten juristischen Person (“Kunde”, “Verantwortlicher”) und Denizcom Ltd, handelnd unter der Bezeichnung Accsible, mit Sitz in 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Vereinigtes Königreich (“Accsible”, “Auftragsverarbeiter”), und ergänzt die Nutzungsbedingungen und die Datenschutzerklärung (zusammen die “Hauptvereinbarung”).

Diese DPA gilt, soweit und sofern Accsible im Rahmen der Bereitstellung des Dienstes personenbezogene Daten im Auftrag des Kunden verarbeitet. Sie dient der Sicherstellung der Einhaltung von Artikel 28 der UK GDPR, der EU GDPR (Verordnung 2016/679) sowie sonstiger anwendbarer Datenschutzgesetze.

1. Begriffsbestimmungen

In dieser DPA, sofern sich aus dem Kontext nichts anderes ergibt:

  • “Datenschutzgesetze” — die UK GDPR, die EU GDPR, der Data Protection Act 2018, die Privacy and Electronic Communications Regulations 2003 sowie alle sonstigen anwendbaren Datenschutzgesetze.
  • “Personenbezogene Daten” — alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die von Accsible im Auftrag des Kunden im Rahmen der Hauptvereinbarung verarbeitet werden.
  • “Verarbeitung” — jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Aufzeichnung, Speicherung, Abruf, Nutzung, Offenlegung, Löschung oder Vernichtung.
  • “Unterauftragsverarbeiter” — jeder Dritte, der von Accsible beauftragt wird, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
  • “Betroffene Person” — die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
  • “Endnutzer” — ein Besucher der Website des Kunden, der mit dem Accsible-Widget interagiert.
  • “Sicherheitsvorfall” — eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
  • “SCCs” — die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Beschluss 2021/914) oder das UK International Data Transfer Agreement (IDTA), je nach Anwendbarkeit.

2. Umfang & Einzelheiten der Verarbeitung

2.1 Gegenstand

Accsible stellt ein Barrierefreiheits-Widget und eine SaaS-Plattform bereit. Wenn der Kunde das Widget in seine Website(s) integriert, verarbeitet Accsible bestimmte personenbezogene Daten von Endnutzern im Auftrag des Kunden.

2.2 Dauer

Die Verarbeitung beginnt, wenn der Kunde das Widget aktiviert, und dauert für die Laufzeit der Hauptvereinbarung an. Nach Beendigung gilt Abschnitt 11 dieser DPA.

2.3 Art und Zweck der Verarbeitung

Aspekt Detail
Zweck Bereitstellung und Betrieb des Barrierefreiheits-Widgets; Bereitstellung von Nutzungsanalysen und Barrierefreiheitsbewertungen für den Kunden über das Dashboard; Verarbeitung von Feedback, das von Endnutzern übermittelt wird.
Art der Verarbeitung Erhebung, Speicherung, Aggregation, Analyse und Löschung personenbezogener Daten, soweit zur Bereitstellung des Dienstes erforderlich.

2.4 Arten personenbezogener Daten

  • IP-Adressen (für Analysen anonymisiert; vollständige IP in Sicherheitsprotokollen für bis zu 90 Tage)
  • Browsertyp, -version und User-Agent-String
  • Gerätetyp und Betriebssystem
  • Besuchte Seiten und Zeitstempel auf der Website des Kunden
  • Von Endnutzern gewählte Barrierefreiheitspräferenzen (lokal auf dem Gerät des Endnutzers gespeichert; nicht übertragen, es sei denn, es wird Feedback übermittelt)
  • Feedback-Einsendungen (Name und/oder E-Mail, sofern vom Endnutzer freiwillig angegeben)
  • Aggregierte Seitenaufrufmetriken

2.5 Kategorien betroffener Personen

  • Endnutzer — Besucher der Website(s) des Kunden, die mit dem Accsible-Widget interagieren
  • Mitarbeitende des Kunden — Personen, die im Auftrag des Kunden auf das Accsible-Dashboard zugreifen

3. Pflichten des Kunden (Verantwortlicher)

Der Kunde verpflichtet sich:

  • Sicherzustellen, dass er über eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten und für die Weisung an Accsible zur Verarbeitung verfügt.
  • Alle erforderlichen Hinweise zu erteilen und alle notwendigen Einwilligungen der betroffenen Personen gemäß den Datenschutzgesetzen einzuholen, einschließlich der Information der Endnutzer über die Nutzung des Accsible-Widgets in der eigenen Datenschutzerklärung des Kunden.
  • Sicherzustellen, dass seine Weisungen an Accsible mit den Datenschutzgesetzen im Einklang stehen.
  • Accsible unverzüglich über Änderungen der anwendbaren Datenschutzgesetze zu informieren, die die Verarbeitungspflichten von Accsible betreffen können.

4. Pflichten von Accsible (Auftragsverarbeiter)

Accsible verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten (einschließlich der in dieser DPA und der Hauptvereinbarung festgelegten Weisungen), es sei denn, eine Verarbeitung ist aufgrund anwendbaren Rechts erforderlich — in diesem Fall informiert Accsible den Kunden vor der Verarbeitung, sofern dies rechtlich zulässig ist.
  • Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Die in Abschnitt 5 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten.
  • Die in Abschnitt 6 festgelegten Bedingungen für die Beauftragung von Unterauftragsverarbeitern einzuhalten.
  • Den Kunden mittels geeigneter technischer und organisatorischer Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen betroffener Personen zu unterstützen (Abschnitt 7).
  • Den Kunden bei der Einhaltung seiner Pflichten gemäß den Artikeln 32–36 der GDPR (Sicherheit, Meldung von Verletzungen, Folgenabschätzungen und vorherige Konsultation) zu unterstützen, wobei die Art der Verarbeitung und die Accsible zur Verfügung stehenden Informationen berücksichtigt werden.
  • Nach Wahl des Kunden bei Beendigung der Hauptvereinbarung alle personenbezogenen Daten zu löschen oder zurückzugeben (Abschnitt 11).
  • Dem Kunden alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in Artikel 28 der GDPR festgelegten Pflichten nachzuweisen, sowie Audits und Inspektionen zu ermöglichen und daran mitzuwirken (Abschnitt 10).
  • Den Kunden unverzüglich zu informieren, wenn nach Ansicht von Accsible eine Weisung des Kunden gegen Datenschutzgesetze verstößt.

5. Sicherheitsmaßnahmen

Accsible implementiert und unterhält die folgenden technischen und organisatorischen Maßnahmen, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen:

5.1 Technische Maßnahmen

  • Verschlüsselung bei der Übertragung mittels TLS/HTTPS für alle Verbindungen, einschließlich CDN-Auslieferung, API-Kommunikation und Dashboard-Zugriff.
  • Passworthashing unter Verwendung gesalzener, unidirektionaler kryptografischer Algorithmen.
  • Content Security Policy (CSP)-Header zur Eindämmung von Cross-Site-Scripting- und Injection-Angriffen.
  • DDoS-Schutz über Cloudflare.
  • Fehlerüberwachung (Sentry), konfiguriert zur Maskierung aller Texte und zur Blockierung aller Medien in Sitzungsaufzeichnungen.
  • Anonymisierung von IP-Adressen bei der Analyseverarbeitung.
  • Speicherung der Barrierefreiheitspräferenzen von Endnutzern im lokalen Browserspeicher (nur auf dem Gerät; keine Übertragung an Server, es sei denn, es wird Feedback übermittelt).

5.2 Organisatorische Maßnahmen

  • Rollenbasierte Zugriffskontrollen; Zugriff auf personenbezogene Daten ist auf Mitarbeitende beschränkt, die diesen zur Erfüllung ihrer Aufgaben benötigen.
  • Vertraulichkeitsverpflichtungen für alle Mitarbeitenden und Auftragnehmer mit Zugang zu personenbezogenen Daten.
  • Regelmäßige Sicherheitsbewertungen und Überwachung der Infrastruktur.
  • Verfahren zum Umgang mit Sicherheitsvorfällen gemäß Abschnitt 8.
  • Aufbewahrungsrichtlinien, die sicherstellen, dass personenbezogene Daten nicht länger als notwendig gespeichert werden (siehe Abschnitt 9).

6. Unterauftragsverarbeiter

6.1 Allgemeine Genehmigung

Der Kunde erteilt Accsible eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter zu beauftragen, die bestimmte Verarbeitungstätigkeiten im Auftrag des Kunden durchführen. Accsible verpflichtet jeden Unterauftragsverarbeiter durch einen schriftlichen Vertrag zu Datenschutzpflichten, die nicht weniger schutzwürdig sind als die in dieser DPA festgelegten.

6.2 Aktuelle Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter sind zum Datum dieser DPA beauftragt:

Unterauftragsverarbeiter Zweck Standort
Cloudflare, Inc. CDN, DDoS-Schutz, Inhaltsauslieferung für Widget und API Global (Hauptsitz in den USA); EU/UK-Datenverarbeitung unter SCCs
Functional Software, Inc. (Sentry) Fehlerüberwachung und Leistungsdiagnostik USA; Verarbeitung unter SCCs
Google LLC (Google Analytics) Aggregierte Website-Traffic-Analysen (nur auf Einwilligungsbasis) USA; Verarbeitung unter SCCs und EU-US Data Privacy Framework
Stripe, Inc. Zahlungsabwicklung und Abonnementverwaltung USA; PCI DSS Level 1 zertifiziert; Verarbeitung unter SCCs

6.3 Änderungen bei Unterauftragsverarbeitern

Accsible informiert den Kunden per E-Mail mindestens 30 Tage vor der Hinzunahme oder dem Austausch eines Unterauftragsverarbeiters. Die Mitteilung enthält den Namen des Unterauftragsverarbeiters, die von ihm durchzuführende Verarbeitung und seinen Standort.

Hat der Kunde aus datenschutzrechtlichen Gründen einen berechtigten Einwand gegen einen neuen Unterauftragsverarbeiter, teilt der Kunde Accsible diesen Einwand innerhalb von 14 Tagen nach Erhalt der Mitteilung schriftlich mit. Die Parteien erörtern den Einwand nach Treu und Glauben. Können die Parteien den Einwand innerhalb von 30 Tagen nicht ausräumen, kann der Kunde den betroffenen Dienst durch schriftliche Mitteilung kündigen, und Accsible erstattet alle im Voraus gezahlten Gebühren für den ungenutzten Teil der Abonnementlaufzeit.

7. Rechte betroffener Personen

Accsible unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung mittels geeigneter technischer und organisatorischer Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach den Datenschutzgesetzen, einschließlich:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung (“Recht auf Vergessenwerden”)
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Erhält Accsible eine Anfrage direkt von einer betroffenen Person in Bezug auf Daten des Kunden, leitet Accsible die betroffene Person unverzüglich an den Kunden weiter und benachrichtigt den Kunden über die Anfrage, sofern dies rechtlich zulässig ist. Accsible beantwortet derartige Anfragen nicht direkt, es sei denn, der Kunde weist Accsible hierzu an oder das Gesetz verlangt dies.

8. Meldung von Sicherheitsvorfällen

8.1 Meldung

Accsible benachrichtigt den Kunden über jeden bestätigten Sicherheitsvorfall unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Kenntniserlangung. Die Benachrichtigung erfolgt an die mit dem Konto des Kunden verknüpfte E-Mail-Adresse (oder eine vom Kunden zu diesem Zweck benannte alternative Adresse).

8.2 Inhalt der Meldung

Die Benachrichtigung enthält, soweit zum Zeitpunkt verfügbar:

  • Eine Beschreibung der Art des Sicherheitsvorfalls, einschließlich der Kategorien und der ungefähren Anzahl betroffener Personen und betroffener Datensätze.
  • Den Namen und die Kontaktdaten der Kontaktperson bei Accsible.
  • Eine Beschreibung der wahrscheinlichen Folgen des Vorfalls.
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls, einschließlich Maßnahmen zur Minderung seiner Auswirkungen.

8.3 Laufende Pflichten

Accsible stellt weitere Informationen zur Verfügung, sobald diese verfügbar werden, und arbeitet mit den angemessenen Anfragen des Kunden zur Untersuchung, Behebung und Minderung der Auswirkungen des Sicherheitsvorfalls zusammen. Accsible unterstützt den Kunden außerdem bei der Erfüllung seiner eigenen Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen gemäß den Artikeln 33 und 34 der GDPR.

8.4 Aufzeichnungen

Accsible führt Aufzeichnungen über alle Sicherheitsvorfälle, einschließlich der Umstände des Vorfalls, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen.

9. Datenaufbewahrung

Accsible bewahrt personenbezogene Daten, die im Rahmen dieser DPA verarbeitet werden, wie folgt auf:

  • Sicherheitsprotokolle (vollständige IP-Adressen): Bis zu 90 Tage, danach endgültige Löschung.
  • Aggregierte Analysedaten: Monatliche Anonymisierung; individuelle Sitzungsdaten werden nicht aufbewahrt.
  • Feedback-Einsendungen von Endnutzern: Aufbewahrung für die Dauer der Hauptvereinbarung; Löschung innerhalb von 30 Tagen nach Beendigung.
  • Fehlerüberwachungsdaten (Sentry): Bis zu 90 Tage.
  • Widget-Nutzungsmetriken: Aggregiert und anonymisiert; keine Aufbewahrung von Daten auf individueller Ebene über die Verarbeitung hinaus.

Accsible bewahrt personenbezogene Daten nicht länger auf, als es für die Zwecke der Bereitstellung des Dienstes oder aufgrund anwendbaren Rechts erforderlich ist.

10. Audits & Compliance

10.1 Informationen

Accsible stellt dem Kunden auf angemessene Anfrage alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung seiner Pflichten aus dieser DPA und Artikel 28 der GDPR nachzuweisen.

10.2 Audit-Rechte

Der Kunde (oder ein vom Kunden beauftragter unabhängiger Drittauditor) kann ein Audit der Verarbeitungstätigkeiten und Sicherheitsmaßnahmen von Accsible durchführen, vorbehaltlich der folgenden Bedingungen:

  • Der Kunde kündigt ein Audit mindestens 30 Tage im Voraus schriftlich an.
  • Audits werden während der üblichen Geschäftszeiten (Montag–Freitag, 09:00–18:00 GMT) durchgeführt und dürfen den Geschäftsbetrieb von Accsible nicht unangemessen beeinträchtigen.
  • Der Kunde darf nicht mehr als ein Audit pro 12-Monats-Zeitraum durchführen, es sei denn, eine Aufsichtsbehörde verlangt dies oder es liegt ein bestätigter Sicherheitsvorfall vor.
  • Der Auditor unterliegt Vertraulichkeitsverpflichtungen, die nicht weniger schutzwürdig sind als diejenigen der Hauptvereinbarung.
  • Accsible kann einem Auditverlangen nachkommen, indem ein aktueller SOC 2 Type II-Bericht, ein ISO 27001-Zertifikat oder eine gleichwertige unabhängige Zertifizierung bereitgestellt wird, sofern verfügbar.

10.3 Zusammenarbeit

Accsible arbeitet mit dem Kunden und jeder Aufsichtsbehörde zusammen, die im Zusammenhang mit dieser DPA Zugang zu den Einrichtungen oder Aufzeichnungen von Accsible verlangt.

11. Rückgabe & Löschung von Daten

Nach Beendigung oder Ablauf der Hauptvereinbarung kann der Kunde innerhalb von 30 Tagen verlangen, dass Accsible:

  • Alle personenbezogenen Daten zurückgibt in einem strukturierten, gängigen und maschinenlesbaren Format; oder
  • Alle personenbezogenen Daten löscht und die Löschung schriftlich bestätigt.

Macht der Kunde innerhalb von 30 Tagen nach Beendigung keinen Antrag, löscht Accsible alle personenbezogenen Daten dauerhaft, außer soweit eine Aufbewahrung aufgrund anwendbaren Rechts erforderlich ist (z. B. Abrechnungsunterlagen für steuerliche Zwecke). Soweit eine Aufbewahrung gesetzlich vorgeschrieben ist, isoliert und schützt Accsible die Daten und beschränkt die Verarbeitung auf den gesetzlich vorgeschriebenen Zweck.

12. Internationale Datenübermittlungen

Accsible hat seinen Sitz im Vereinigten Königreich. Werden personenbezogene Daten an Unterauftragsverarbeiter außerhalb des Vereinigten Königreichs oder des EWR übermittelt, stellt Accsible sicher, dass geeignete Garantien bestehen, einschließlich:

  • UK International Data Transfer Agreement (IDTA) oder UK-Addendum zu den SCCs
  • EU-Standardvertragsklauseln (SCCs) — Kommissionsbeschluss 2021/914
  • Angemessenheitsbeschlüsse des britischen Secretary of State oder der Europäischen Kommission
  • Gegebenenfalls zusätzliche ergänzende Maßnahmen gemäß den Empfehlungen des ICO oder des EDPB

Eine Kopie des jeweiligen Übermittlungsmechanismus wird dem Kunden auf schriftliche Anfrage zur Verfügung gestellt.

13. Haftung

Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den in der Hauptvereinbarung (Nutzungsbedingungen) festgelegten Haftungsbeschränkungen und -ausschlüssen, mit der Ausnahme, dass keine Partei ihre Haftung für Verstöße gegen Datenschutzgesetze ausschließt oder beschränkt, soweit ein solcher Ausschluss oder eine solche Beschränkung nach anwendbarem Recht unzulässig ist.

14. Laufzeit & Vorrang

14.1 Laufzeit

Diese DPA tritt an dem Tag in Kraft, an dem der Kunde das Accsible-Widget erstmals integriert, und bleibt für die Dauer der Hauptvereinbarung in Kraft und darüber hinaus, bis alle personenbezogenen Daten gemäß Abschnitt 11 gelöscht oder zurückgegeben wurden.

14.2 Vorrang

Im Falle eines Widerspruchs zwischen dieser DPA und der Hauptvereinbarung hat diese DPA in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten Vorrang.

14.3 Änderungen

Accsible kann diese DPA aktualisieren, um Änderungen der Datenschutzgesetze oder der Verarbeitungstätigkeiten Rechnung zu tragen. Wesentliche Änderungen werden dem Kunden mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach dem Wirksamwerden der Änderungen gilt als Zustimmung.

15. Kontakt

Für Fragen oder Anfragen im Zusammenhang mit dieser DPA kontaktieren Sie uns unter:

  • Datenschutzkontakt: [email protected]
  • Sicherheitsvorfälle: [email protected]
  • Registrierter Sitz: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, Vereinigtes Königreich
  • ICO-Registrierung: ZC114350