Auftragsverarbeitungsvereinbarung

Diese Auftragsverarbeitungsvereinbarung gilt, soweit Listara personenbezogene Daten im Auftrag eines Kunden als Auftragsverarbeiter im Zusammenhang mit einer bezahlten Leistung, einem SKU Readiness Pilot, einem Evidence-Review oder einem zugehörigen Workflow verarbeitet.

Sie ist Bestandteil der Vereinbarung zwischen dem Kunden und Listara, sofern keine separat unterzeichnete Auftragsverarbeitungsvereinbarung gilt.

Der Kunde ist Verantwortlicher für personenbezogene Daten, die zur Verarbeitung an Listara übermittelt werden.

Listara handelt als Auftragsverarbeiter, soweit Listara personenbezogene Daten im Auftrag des Kunden und nach dessen dokumentierten Weisungen verarbeitet.

Für Website-Besucherdaten, Lead-Einreichungen und eigene Geschäftszwecke von Listara kann Listara als Verantwortlicher handeln, wie in der Datenschutzerklärung beschrieben.

Gegenstand der Verarbeitung ist die Bereitstellung von Product-Evidence-Readiness-Leistungen, einschließlich Prüfung, Strukturierung, Klassifikation, Zuordnung, Reporting, Kommunikation und Support.

Die Verarbeitung dauert für die Dauer der jeweiligen Leistungsbeziehung und anwendbarer Aufbewahrungsfristen, sofern keine frühere Löschung oder Rückgabe vereinbart wird.

Die Verarbeitung kann das Erheben, Empfangen, Speichern, Organisieren, Strukturieren, Prüfen, Extrahieren, Klassifizieren, Vergleichen, Kommentieren, Übermitteln, Löschen oder Zurückgeben kundenbereitgestellter Daten umfassen.

Zweck ist die Erbringung von Free-Evidence-Check-Follow-up, SKU Readiness Pilots, bezahlten Reviews, Produktnachweis-Workflows, Reportgenerierung, Kundenkommunikation, Sicherheit, Support und zugehörigen operativen Leistungen.

Verarbeitete Daten können umfassen:

• geschäftliche Kontaktdaten • Kundennutzerdaten • Produkt-URLs und ASINs • Shop-URLs • Lieferantenkontaktdaten, soweit in Dokumenten enthalten • Produkt- und Katalogmetadaten • Produkt-Compliance-Dokumente • Lieferantendokumente • Screenshots • Labels • Zertifikate • Prüfberichte • Sicherheitsdatenblätter • Konformitätserklärungen • Handbücher • Workflow-Metadaten • E-Mail- und Zustellmetadaten

Besondere Kategorien personenbezogener Daten sollen nicht verarbeitet werden.

Betroffene Personen können sein:

• Mitarbeitende und Auftragnehmer des Kunden • Lieferantenkontakte • Agenturkontakte • Marketplace- oder Händlerkontakte, soweit in übermittelten Materialien enthalten • Listara-Nutzer und Geschäftskontakte

Listara verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, einschließlich Weisungen in der Vereinbarung, Bestellung, Leistungsbeschreibung oder schriftlicher Kommunikation, sofern keine gesetzliche Pflicht zur Verarbeitung besteht.

Wenn Listara der Ansicht ist, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt, kann Listara den Kunden informieren.

Listara stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen Vertraulichkeitspflichten oder entsprechenden gesetzlichen Verschwiegenheitspflichten unterliegen.

Listara setzt geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen.

Dazu können gehören:

• verschlüsselte Übertragung • Zugriffskontrollen • Need-to-know- und Least-Privilege-Prinzip • rollenbasierte Berechtigungen • sichere Hosting- und Datenbankanbieter • Logging und Monitoring • Trennung von Umgebungen, soweit angemessen • Backup- und Wiederherstellungskontrollen, soweit anwendbar • Lösch- und Aufbewahrungskontrollen • interne Zugriffsbeschränkungen • Prüfung von Anbieter-Sicherheitsmaßnahmen, soweit möglich

Der Kunde ermächtigt Listara, Subunternehmer zur Erbringung der Leistung einzusetzen.

Listara führt eine Liste der Subunternehmer auf der Subunternehmer-Seite.

Listara verpflichtet Subunternehmer zu Datenschutzpflichten, die ihren Verarbeitungstätigkeiten angemessen sind.

Soweit gesetzlich oder vertraglich erforderlich, informiert Listara über wesentliche Änderungen bei Subunternehmern.

Soweit die Verarbeitung Übermittlungen außerhalb des Europäischen Wirtschaftsraums oder anderer geschützter Rechtsräume umfasst, setzt Listara, soweit erforderlich, geeignete Garantien ein, zum Beispiel Angemessenheitsbeschlüsse, Standardvertragsklauseln oder gleichwertige vertragliche und organisatorische Schutzmaßnahmen.

Unter Berücksichtigung der Art der Verarbeitung und der Listara verfügbaren Informationen unterstützt Listara den Kunden angemessen bei:

• der Beantwortung von Betroffenenanfragen • Sicherheitsverpflichtungen • Meldungen von Verletzungen des Schutzes personenbezogener Daten • Datenschutz-Folgenabschätzungen, soweit anwendbar • Lösch- oder Rückgabeanfragen

Listara informiert den Kunden unverzüglich, nachdem Listara Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die kundenbezogene personenbezogene Daten betrifft, die Listara als Auftragsverarbeiter verarbeitet.

Die Mitteilung enthält Informationen, die Listara angemessenerweise zur Verfügung stehen, um den Kunden bei der Erfüllung seiner Pflichten zu unterstützen.

Nach Ende der Leistungsbeziehung löscht oder gibt Listara personenbezogene Kundendaten gemäß der Vereinbarung zurück, sofern keine gesetzliche Aufbewahrung erforderlich ist.

Hochgeladene Dateien für bezahlte Reviews werden innerhalb von 30 Tagen nach Projektabschluss gelöscht, sofern nicht anders vereinbart.

Listara stellt Informationen zur Verfügung, die angemessenerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen, vorbehaltlich Vertraulichkeit, Sicherheit und angemessener operativer Beschränkungen.

Audits müssen so durchgeführt werden, dass Sicherheit, Vertraulichkeit, Daten anderer Kunden und Systemintegrität nicht beeinträchtigt werden.

Gegenstand: Product-Evidence-Readiness-Review und zugehörige Workflows.

Zweck: SKU-level Evidence Mapping, Readiness Review, Reportgenerierung, Kommunikation und Support.

Dauer: Für die Laufzeit der Leistung und anwendbare Aufbewahrungsfristen.

Datenkategorien: Geschäftliche Kontaktdaten, Produktnachweisdaten, Katalogdaten, Dokumentmetadaten, Lieferantendaten soweit enthalten, Workflow-Metadaten.

Betroffene Personen: Kundenpersonal, Lieferantenkontakte, Agenturkontakte, Geschäftskontakte in übermittelten Materialien.

Maßnahmen von Listara können umfassen:

• kontrollierter Zugriff auf Produktionssysteme • Nutzung etablierter Hosting-, Datenbank-, E-Mail- und Workflow-Anbieter • verschlüsselte Übertragung von Web-Traffic • beschränkter Personalzugriff nach Bedarf • Prüfung hochgeladener Dateien nur zur Leistungserbringung • Löschprozesse für hochgeladene Dateien • Überwachung von Einreichungs- und Workflow-Status • Trennung von Kundendaten, soweit durch die Systemarchitektur unterstützt

Bei Fragen zur AVV kontaktieren Sie legal@listara.eu.