Funktionen Preise API-Referenz

Auftragsverarbeitungsvertrag (DPA)

v1.0 -- Gültig ab März 2026

Morlivo verpflichtet sich, personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (EU) 2016/679 („GDPR"), der UK GDPR und allen anderen geltenden Datenschutzgesetzen zu verarbeiten. Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Morlivo („Auftragsverarbeiter") im Auftrag unserer Kunden („Verantwortlicher").

1. Definitionen

Für die Zwecke dieses Auftragsverarbeitungsvertrags:

  • „Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 Absatz 1 der GDPR definiert
  • „Verarbeitung" bezeichnet jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Speicherung, Nutzung, Offenlegung oder Löschung, wie in Artikel 4 Absatz 2 der GDPR definiert
  • „Verantwortlicher" bezeichnet den Kunden, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt
  • „Auftragsverarbeiter" bezeichnet Morlivo, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
  • „Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird
  • „Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden

2. Verarbeitungsdetails

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland, es sei denn, er ist nach Unions- oder Mitgliedstaatsrecht dazu verpflichtet.

Die Einzelheiten der Verarbeitung sind wie folgt:

  • Gegenstand: Bereitstellung von Übersetzungs-, Transkriptions- und Sprachverarbeitungsdiensten
  • Dauer: Für die Laufzeit des zugrunde liegenden Dienstleistungsvertrags
  • Art und Zweck: Verarbeitung von Kundeninhalten zur Bereitstellung von Übersetzungen, Transkriptionen und verwandten Sprachdienstleistungen
  • Kategorien betroffener Personen: Endnutzer und Personen, deren Daten in Kundeninhalten enthalten sind
  • Arten personenbezogener Daten: Namen, Kontaktinformationen und alle anderen personenbezogenen Daten, die in zur Verarbeitung eingereichten Materialien enthalten sind

3. Sicherheitsmaßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 der GDPR. Diese Maßnahmen umfassen:

  • Verschlüsselung personenbezogener Daten im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+)
  • Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen
  • Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
  • Pseudonymisierung personenbezogener Daten, sofern technisch machbar und angemessen
  • Strenge Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung
  • Umfassende Audit-Protokollierung und Überwachung des Datenzugriffs

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter führt eine aktuelle Liste der Unterauftragsverarbeiter und stellt diese dem Verantwortlichen auf Anfrage zur Verfügung. Die aktuelle Liste der Unterauftragsverarbeiter ist auf unserer Datenschutzseite veröffentlicht.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen eine angemessene Möglichkeit, Einspruch gegen solche Änderungen zu erheben. Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, legt er diesem vertraglich die gleichen Datenschutzpflichten auf, wie sie in diesem DPA festgelegt sind.

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen uneingeschränkt für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Rahmen dieses DPA.

5. Rechte der betroffenen Personen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflicht, auf Anfragen betroffener Personen zu antworten, die ihre Rechte gemäß Kapitel III der GDPR ausüben, einschließlich:

  • Recht auf Auskunft (Artikel 15)
  • Recht auf Berichtigung (Artikel 16)
  • Recht auf Löschung (Artikel 17)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18)
  • Recht auf Datenübertragbarkeit (Artikel 20)
  • Widerspruchsrecht (Artikel 21)

Wenn der Auftragsverarbeiter eine Anfrage direkt von einer betroffenen Person erhält, leitet er die Anfrage unverzüglich an den Verantwortlichen weiter und antwortet der betroffenen Person nicht direkt, es sei denn, der Verantwortliche hat dies genehmigt.

6. Internationale Übermittlungen

Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht an ein Drittland oder eine internationale Organisation, es sei denn, es sind angemessene Garantien gemäß Kapitel V der GDPR vorhanden. Genehmigte Übermittlungsmechanismen umfassen:

  • Von der Europäischen Kommission angenommene Standardvertragsklauseln (SCCs) (Durchführungsbeschluss (EU) 2021/914 der Kommission)
  • Angemessenheitsbeschlüsse gemäß Artikel 45 der GDPR
  • Von einer zuständigen Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)

Enterprise-Kunden können Einstellungen zur Datenresidenz konfigurieren, um die Verarbeitung und Speicherung personenbezogener Daten auf bestimmte geografische Regionen (EU, USA oder APAC) zu beschränken und so die Notwendigkeit grenzüberschreitender Übermittlungen zu minimieren.

7. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, in jedem Fall jedoch spätestens achtundvierzig (48) Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, wie in Artikel 4 Absatz 12 der GDPR definiert.

Die Benachrichtigung muss Folgendes enthalten:

  • Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze
  • Name und Kontaktdaten des Datenschutzansprechpartners des Auftragsverarbeiters
  • Eine Beschreibung der wahrscheinlichen Folgen der Verletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen

8. Audits und Prüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Artikel 28 der GDPR festgelegten Pflichten erforderlich sind. Der Auftragsverarbeiter ermöglicht und unterstützt Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorbehaltlich angemessener Vorankündigung und Vertraulichkeitspflichten.

9. Laufzeit und Datenlöschung

Dieser DPA bleibt für die Dauer des zugrunde liegenden Dienstleistungsvertrags in Kraft. Bei Beendigung des Dienstleistungsvertrags löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück und löscht vorhandene Kopien, es sei denn, das Unions- oder Mitgliedstaatsrecht schreibt die Speicherung der personenbezogenen Daten vor. Der Auftragsverarbeiter bestätigt auf Verlangen des Verantwortlichen schriftlich, dass er dieser Verpflichtung nachgekommen ist.

DPA anfordern

Um einen Auftragsverarbeitungsvertrag anzufordern, kontaktieren Sie unser Compliance-Team. Wir arbeiten mit Ihnen zusammen, um einen DPA abzuschließen, der den Datenschutzanforderungen Ihrer Organisation entspricht.

Compliance-Team kontaktieren DPA-Vorlage herunterladen