Datenverarbeitungsvereinbarung
Zuletzt aktualisiert: 15 April 2026
Diese Vereinbarung zur Auftragsverarbeitung (“DPA”) ist Bestandteil der Vereinbarung zwischen der im Accsible-Konto identifizierten Einheit (“Kunde”, “Verantwortlicher”) und Denizcom Ltd, handelnd als Accsible, eingetragen unter 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Auftragsverarbeiter”), und ergänzt die Nutzungsbedingungen und die Datenschutzerklärung (zusammen die “Hauptvereinbarung”).
Diese DPA gilt, soweit und sofern Accsible im Rahmen der Bereitstellung des Dienstes personenbezogene Daten im Auftrag des Kunden verarbeitet. Sie soll die Einhaltung von Artikel 28 der UK GDPR, der EU GDPR (Verordnung 2016/679) und anderer anwendbarer Datenschutzgesetze sicherstellen.
1. Definitionen
In dieser DPA gilt, sofern der Kontext nichts anderes erfordert:
- “Datenschutzgesetze” — die UK GDPR, die EU GDPR, der Data Protection Act 2018, die Privacy and Electronic Communications Regulations 2003 und alle anderen anwendbaren Datenschutzgesetze.
- “Personenbezogene Daten” — alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die von Accsible im Auftrag des Kunden im Rahmen der Hauptvereinbarung verarbeitet werden.
- “Verarbeitung” — jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Erfassung, Speicherung, Abruf, Verwendung, Offenlegung, Löschung oder Vernichtung.
- “Unterauftragsverarbeiter” — jeder von Accsible beauftragte Dritte, der personenbezogene Daten im Auftrag des Kunden verarbeitet.
- “betroffene Person” — die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
- “Endnutzer” — ein Besucher der Website des Kunden, der mit dem Accsible Widget interagiert.
- “Sicherheitsvorfall” — eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
- “SCCs” — die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Beschluss 2021/914) oder die UK International Data Transfer Agreement (IDTA), je nach Anwendbarkeit.
2. Umfang und Einzelheiten der Verarbeitung
2.1 Gegenstand
Accsible stellt ein Barrierefreiheits-Widget und eine SaaS-Plattform bereit. Wenn der Kunde das Widget auf seiner/ihrer Website(s) integriert, verarbeitet Accsible bestimmte personenbezogene Daten von Endnutzern im Auftrag des Kunden.
2.2 Dauer
Die Verarbeitung beginnt, wenn der Kunde das Widget aktiviert, und dauert für die Laufzeit der Hauptvereinbarung an. Nach Beendigung gilt Abschnitt 11 dieser DPA.
2.3 Art und Zweck der Verarbeitung
| Aspekt | Einzelheit |
|---|---|
| Zweck | Bereitstellung und Betrieb des Barrierefreiheits-Widgets; Bereitstellung von Nutzungsanalysen und Barrierefreiheitswerten für den Kunden über das Dashboard; Verarbeitung von von Endnutzern übermitteltem Feedback. |
| Art der Verarbeitung | Erhebung, Speicherung, Aggregation, Analyse und Löschung personenbezogener Daten, soweit dies zur Bereitstellung des Dienstes erforderlich ist. |
2.4 Arten personenbezogener Daten
- IP-Adressen (für Analysen anonymisiert; vollständige IP in Sicherheitsprotokollen für bis zu 90 Tage)
- Browsertyp, Version und User-Agent-String
- Gerätetyp und Betriebssystem
- Besuchte Seiten und Zeitstempel auf der Website des Kunden
- Von Endnutzern ausgewählte Barrierefreiheitspräferenzen (lokal auf dem Gerät des Endnutzers gespeichert; nicht übertragen, sofern kein Feedback übermittelt wird)
- Feedback-Einreichungen (Name und/oder E-Mail, sofern vom Endnutzer freiwillig angegeben)
- Aggregierte Seitenaufrufmetriken
2.5 Kategorien betroffener Personen
- Endnutzer — Besucher der Website(s) des Kunden, die mit dem Accsible Widget interagieren
- Personal des Kunden — Personen, die im Auftrag des Kunden auf das Accsible Dashboard zugreifen
3. Pflichten des Kunden (Verantwortlicher)
Der Kunde muss:
- sicherstellen, dass er eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten und für die Anweisung an Accsible, diese zu verarbeiten, hat.
- alle erforderlichen Hinweise erteilen und alle notwendigen Einwilligungen von betroffenen Personen einholen, wie es die Datenschutzgesetze verlangen, einschließlich der Information der Endnutzer über die Verwendung des Accsible Widgets in der eigenen Datenschutzerklärung des Kunden.
- sicherstellen, dass seine Anweisungen an Accsible den Datenschutzgesetzen entsprechen.
- Accsible unverzüglich über Änderungen der anwendbaren Datenschutzgesetze informieren, die die Verarbeitungspflichten von Accsible beeinflussen können.
4. Pflichten von Accsible (Auftragsverarbeiter)
Accsible muss:
- personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten (einschließlich der in dieser DPA und der Hauptvereinbarung festgelegten Weisungen), es sei denn, dies ist nach anwendbarem Recht erforderlich — in diesem Fall informiert Accsible den Kunden vor der Verarbeitung, sofern ihm dies rechtlich nicht untersagt ist.
- sicherstellen, dass zur Verarbeitung personenbezogener Daten befugte Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.
- die in Abschnitt 5 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umsetzen und aufrechterhalten.
- die in Abschnitt 6 festgelegten Bedingungen für den Einsatz von Unterauftragsverarbeitern einhalten.
- den Kunden durch geeignete technische und organisatorische Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anfragen betroffener Personen nachzukommen (Abschnitt 7).
- den Kunden dabei unterstützen, die Einhaltung seiner Pflichten nach den Artikeln 32–36 der GDPR (Sicherheit, Meldung von Verletzungen, Folgenabschätzungen und vorherige Konsultation) sicherzustellen, wobei Art der Verarbeitung und die Accsible zur Verfügung stehenden Informationen berücksichtigt werden.
- nach Wahl des Kunden alle personenbezogenen Daten bei Beendigung der Hauptvereinbarung löschen oder zurückgeben (Abschnitt 11).
- dem Kunden alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in Artikel 28 der GDPR festgelegten Pflichten nachzuweisen, und Audits und Inspektionen ermöglichen und dazu beitragen (Abschnitt 10).
- den Kunden unverzüglich informieren, wenn nach Auffassung von Accsible eine Weisung des Kunden gegen Datenschutzgesetze verstößt.
5. Sicherheitsmaßnahmen
Accsible implementiert und unterhält die folgenden technischen und organisatorischen Maßnahmen, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Vernichtung oder Beschädigung zu schützen:
5.1 Technische Maßnahmen
- Verschlüsselung bei der Übertragung mittels TLS/HTTPS für alle Verbindungen, einschließlich CDN-Bereitstellung, API-Kommunikation und Dashboard-Zugriff.
- Passwort-Hashing unter Verwendung gesalzener, einweg- kryptografischer Algorithmen.
- Content Security Policy (CSP)-Header zur Minderung von Cross-Site-Scripting- und Injektionsangriffen.
- DDoS-Schutz über Cloudflare.
- Fehlerüberwachung (Sentry), konfiguriert, um sämtlichen Text zu maskieren und alle Medien in Sitzungswiedergaben zu blockieren.
- Anonymisierung von IP-Adressen in der Analyseverarbeitung.
- Barrierefreiheitspräferenzen von Endnutzern, die im lokalen Speicher des Browsers gespeichert werden (nur auf dem Gerät; nicht an Server übertragen, sofern kein Feedback übermittelt wird).
5.2 Organisatorische Maßnahmen
- Rollenbasierte Zugriffskontrollen; Zugriff auf personenbezogene Daten nur für Personal, das diese zur Erfüllung seiner Aufgaben benötigt.
- Vertraulichkeitspflichten für alle Mitarbeiter und Auftragnehmer mit Zugriff auf personenbezogene Daten.
- Regelmäßige Sicherheitsbewertungen und Überwachung der Infrastruktur.
- Vorfallreaktionsverfahren wie in Abschnitt 8 beschrieben.
- Aufbewahrungsrichtlinien, die sicherstellen, dass personenbezogene Daten nicht länger als notwendig gespeichert werden (siehe Abschnitt 9).
6. Unterauftragsverarbeiter
6.1 Allgemeine Genehmigung
Der Kunde erteilt Accsible eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden zu beauftragen. Accsible wird jedem Unterauftragsverarbeiter durch einen schriftlichen Vertrag Datenschutzpflichten auferlegen, die mindestens ebenso schützend sind wie die in dieser DPA.
6.2 Aktuelle Unterauftragsverarbeiter
Die folgenden Unterauftragsverarbeiter sind zum Datum dieser DPA beauftragt:
| Unterauftragsverarbeiter | Zweck | Ort |
|---|---|---|
| Cloudflare, Inc. | CDN, DDoS-Schutz, Content-Bereitstellung für Widget und API | Global (Hauptsitz in den USA); Datenverarbeitung in der EU/im Vereinigten Königreich unter SCCs |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung und Leistungsdiagnostik | USA; Verarbeitung unter SCCs |
| Google LLC (Google Analytics) | Aggregierte Website-Traffic-Analysen (nur auf Einwilligungsbasis) | USA; Verarbeitung unter SCCs und dem EU-US Data Privacy Framework |
| Stripe, Inc. | Zahlungsabwicklung und Abonnementverwaltung | USA; PCI DSS Level 1 zertifiziert; Verarbeitung unter SCCs |
6.3 Änderungen bei Unterauftragsverarbeitern
Accsible informiert den Kunden per E-Mail mindestens 30 days vor der Hinzufügung oder dem Austausch eines Unterauftragsverarbeiters. Die Mitteilung enthält den Namen des Unterauftragsverarbeiters, die von ihm durchzuführende Verarbeitung und seinen Standort.
Hat der Kunde aus datenschutzrechtlichen Gründen einen berechtigten Einwand gegen einen neuen Unterauftragsverarbeiter, muss der Kunde Accsible innerhalb von 14 Tagen nach Erhalt der Mitteilung schriftlich informieren. Die Parteien erörtern den Einwand nach Treu und Glauben. Können die Parteien den Einwand nicht innerhalb von 30 Tagen lösen, kann der Kunde den betroffenen Dienst durch schriftliche Mitteilung kündigen, und Accsible erstattet alle im Voraus gezahlten Gebühren für den ungenutzten Teil der Laufzeit des Abonnements.
7. Rechte betroffener Personen
Accsible unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen dabei, seinen Pflichten zur Beantwortung von Anfragen betroffener Personen nachzukommen, die ihre Rechte nach den Datenschutzgesetzen ausüben, einschließlich:
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung (“Recht auf Vergessenwerden”)
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Erhält Accsible eine Anfrage direkt von einer betroffenen Person in Bezug auf die Daten des Kunden, leitet Accsible die betroffene Person unverzüglich an den Kunden weiter und informiert den Kunden über die Anfrage, sofern ihm dies rechtlich nicht untersagt ist. Accsible beantwortet solche Anfragen nicht direkt, es sei denn, der Kunde weist dies an oder das Gesetz verlangt es.
8. Benachrichtigung über Sicherheitsvorfälle
8.1 Benachrichtigung
Accsible benachrichtigt den Kunden über jeden bestätigten Sicherheitsvorfall ohne unangemessene Verzögerung und in jedem Fall innerhalb von 48 hours, nachdem er davon Kenntnis erlangt hat. Die Benachrichtigung wird an die mit dem Konto des Kunden verknüpfte E-Mail-Adresse gesendet (oder an eine vom Kunden zu diesem Zweck benannte alternative Adresse).
8.2 Inhalt der Benachrichtigung
Die Benachrichtigung enthält, soweit zum Zeitpunkt verfügbar:
- eine Beschreibung der Art des Sicherheitsvorfalls, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze.
- den Namen und die Kontaktdaten der Ansprechperson bei Accsible.
- eine Beschreibung der wahrscheinlichen Folgen des Vorfalls.
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung des Vorfalls, einschließlich Maßnahmen zur Minderung seiner Auswirkungen.
8.3 Laufende Pflichten
Accsible stellt weitere Informationen bereit, sobald diese verfügbar sind, und arbeitet mit angemessenen Anfragen des Kunden zusammen, um die Auswirkungen des Sicherheitsvorfalls zu untersuchen, zu beheben und zu mindern. Accsible unterstützt den Kunden außerdem bei der Erfüllung seiner eigenen Meldepflichten bei Datenschutzverletzungen gegenüber Aufsichtsbehörden und betroffenen Personen nach den Artikeln 33 und 34 der GDPR.
8.4 Aufzeichnungen
Accsible führt Aufzeichnungen über alle Sicherheitsvorfälle, einschließlich der dem Vorfall zugrunde liegenden Tatsachen, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen.
9. Datenspeicherung
Accsible speichert die im Rahmen dieser DPA verarbeiteten personenbezogenen Daten wie folgt:
- Sicherheitsprotokolle (vollständige IP-Adressen): Bis zu 90 Tage, danach dauerhaft gelöscht.
- Aggregierte Analysedaten: Monatlich anonymisiert; einzelne Sitzungsdaten werden nicht aufbewahrt.
- Feedback-Einreichungen von Endnutzern: Für die Dauer der Hauptvereinbarung aufbewahrt; innerhalb von 30 Tagen nach Beendigung gelöscht.
- Fehlerüberwachungsdaten (Sentry): Bis zu 90 Tage.
- Widget-Nutzungsmetriken: Aggregiert und anonymisiert; keine Daten auf individueller Ebene über die Verarbeitung hinaus aufbewahrt.
Accsible bewahrt personenbezogene Daten nicht länger auf, als es für die Bereitstellung des Dienstes erforderlich ist oder wie es das anwendbare Recht verlangt.
10. Audits & Compliance
10.1 Informationen
Accsible stellt dem Kunden auf angemessene Anfrage alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung seiner Pflichten aus dieser DPA und Artikel 28 der GDPR nachzuweisen.
10.2 Auditrechte
Der Kunde (oder ein vom Kunden beauftragter unabhängiger Drittauditor) kann die Verarbeitungstätigkeiten und Sicherheitsmaßnahmen von Accsible prüfen, vorbehaltlich der folgenden Bedingungen:
- Der Kunde muss eine Audit-Anfrage mindestens 30 days’ im Voraus schriftlich ankündigen.
- Audits finden während der normalen Geschäftszeiten (Montag–Freitag, 09:00–18:00 GMT) statt und dürfen den Betrieb von Accsible nicht unangemessen beeinträchtigen.
- Der Kunde darf nicht mehr als one audit per 12-month period durchführen, es sei denn, dies ist von einer Aufsichtsbehörde verlangt oder erfolgt nach einem bestätigten Sicherheitsvorfall.
- Der Auditor ist an Vertraulichkeitspflichten gebunden, die mindestens ebenso schützend sind wie die in der Hauptvereinbarung.
- Accsible kann eine Audit-Anfrage durch Vorlage eines aktuellen SOC 2 Type II-Berichts, eines ISO 27001-Zertifikats oder einer gleichwertigen unabhängigen Zertifizierung erfüllen, sofern verfügbar.
10.3 Zusammenarbeit
Accsible arbeitet mit dem Kunden und jeder Aufsichtsbehörde zusammen, die im Zusammenhang mit dieser DPA Zugang zu den Einrichtungen oder Aufzeichnungen von Accsible benötigt.
11. Rückgabe und Löschung von Daten
Nach Beendigung oder Ablauf der Hauptvereinbarung kann der Kunde innerhalb von 30 days verlangen, dass Accsible:
- alle personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zurückgibt; oder
- alle personenbezogenen Daten löscht und die Löschung schriftlich bestätigt.
Stellt der Kunde innerhalb von 30 Tagen nach Beendigung keinen Antrag, löscht Accsible alle personenbezogenen Daten dauerhaft, soweit deren Aufbewahrung nicht nach anwendbarem Recht erforderlich ist (z. B. Rechnungsunterlagen zur Einhaltung steuerlicher Vorschriften). Ist eine Aufbewahrung gesetzlich vorgeschrieben, isoliert und schützt Accsible die Daten und beschränkt die Verarbeitung auf den gesetzlich vorgeschriebenen Zweck.
12. Internationale Übermittlungen
Accsible ist im Vereinigten Königreich ansässig. Werden personenbezogene Daten an Unterauftragsverarbeiter außerhalb des Vereinigten Königreichs oder des EWR übermittelt, stellt Accsible sicher, dass geeignete Garantien vorhanden sind, einschließlich:
- UK International Data Transfer Agreement (IDTA) oder UK Addendum zu SCCs
- EU Standard Contractual Clauses (SCCs) — Kommissionsbeschluss 2021/914
- Angemessenheitsbeschlüsse des UK Secretary of State oder der Europäischen Kommission
- Falls anwendbar, zusätzliche ergänzende Maßnahmen, wie vom ICO oder EDPB empfohlen
Eine Kopie des relevanten Übermittlungsmechanismus wird dem Kunden auf schriftliche Anfrage zur Verfügung gestellt.
13. Haftung
Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den im Hauptvertrag (Nutzungsbedingungen) festgelegten Haftungsbeschränkungen und -ausschlüssen, mit der Ausnahme, dass keine der Parteien die Haftung für Verstöße gegen Datenschutzgesetze ausschließt oder beschränkt, soweit ein solcher Ausschluss oder eine solche Beschränkung nach anwendbarem Recht nicht zulässig ist.
14. Laufzeit und Vorrang
14.1 Laufzeit
Diese DPA tritt an dem Tag in Kraft, an dem der Kunde das Accsible Widget erstmals integriert, und bleibt für die Dauer der Hauptvereinbarung in Kraft und danach, bis alle personenbezogenen Daten gemäß Abschnitt 11 gelöscht oder zurückgegeben wurden.
14.2 Vorrang
Im Falle eines Widerspruchs zwischen dieser DPA und der Hauptvereinbarung hat diese DPA in Bezug auf die Verarbeitung und den Schutz personenbezogener Daten Vorrang.
14.3 Änderungen
Accsible kann diese DPA aktualisieren, um Änderungen der Datenschutzgesetze oder der Verarbeitungstätigkeiten Rechnung zu tragen. Wesentliche Änderungen werden dem Kunden mindestens 30 days im Voraus per E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum der Änderungen gilt als Zustimmung.
15. Kontakt
Bei Fragen oder Anfragen zu dieser DPA kontaktieren Sie uns unter:
- Datenschutzkontakt: [email protected]
- Sicherheitsvorfälle: [email protected]
- Registrierte Anschrift: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
- ICO-Registrierung: ZC114350