Datenverarbeitungsvertrag

1. Definitionen und Umfang

• —"DSGVO" bedeutet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.
• —"Personenbezogene Daten" haben die Bedeutung gemäß Artikel 4(1) DSGVO.
• —"Betroffene Person" bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden — in diesem Kontext die Endkunden, die Nachrichten an die verbundenen Meta-Plattformkonten des Verantwortlichen senden.
• —"Meta-Messaging-Daten" bezeichnet personenbezogene Daten, die in Nachrichten enthalten sind, die von SocialHook für die Webhook-Zustellung verarbeitet werden.
• —"Standardvertragsklauseln" oder "SCC" bezeichnet die von der Europäischen Kommission in Beschluss 2021/914 verabschiedeten Standardvertragsklauseln.
• —"Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von SocialHook zur Verarbeitung personenbezogener Daten gemäß diesem DVV eingesetzt wird.

2. Gegenstand und Dauer

SocialHook verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich zum Zweck der Bereitstellung des SocialHook-Dienstes — Empfang von Nachrichten aus Metas APIs an den verbundenen Plattformkonten des Kunden und Zustellung an den vom Kunden angegebenen Webhook-Endpunkt.

Dieser DVV beginnt an dem Tag, an dem der Kunde die Nutzungsbedingungen akzeptiert, und gilt bis zur Beendigung des SocialHook-Abonnements des Kunden.

3. Art und Zweck der Verarbeitung

SocialHook fungiert als automatisiertes Relay — empfängt strukturierte Nachrichtendaten aus Metas APIs, normalisiert sie in ein konsistentes JSON-Payload, signiert es mit HMAC-SHA256 und liefert es an den Webhook-Endpunkt des Kunden. SocialHook führt keine unabhängige Analyse, Profilerstellung oder weitere Verarbeitung personenbezogener Daten über das für die Zustellung Notwendige hinaus durch.

4. Pflichten des Auftragsverarbeiters (SocialHook)

1. 1.Verarbeitung nur nach dokumentierten Anweisungen — SocialHook verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Kunden, wie durch die Webhook- und Ereigniskonfigurationseinstellungen des Kunden dargestellt.
2. 2.Vertraulichkeit — SocialHook stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen angemessenen Vertraulichkeitsverpflichtungen unterliegen.
3. 3.Sicherheit — SocialHook implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
4. 4.Beschränkungen für Unterauftragsverarbeiter — SocialHook setzt keine Unterauftragsverarbeiter ohne vorherige allgemeine oder spezifische schriftliche Genehmigung des Kunden ein.
5. 5.Unterstützung bei Betroffenenrechten — SocialHook unterstützt den Kunden bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen, soweit technisch möglich.
6. 6.Löschung bei Beendigung — Bei Beendigung löscht oder gibt SocialHook alle personenbezogenen Daten an den Kunden zurück.
7. 7.Keine unabhängigen Zwecke — SocialHook verwendet personenbezogene Daten nicht für andere Zwecke als die Bereitstellung des SocialHook-Dienstes. SocialHook verkauft, vermietet oder nutzt personenbezogene Daten nicht kommerziell.

5. Pflichten des Verantwortlichen (Kunde)

1. 1.Sicherstellen, dass eine gültige Rechtsgrundlage gemäß DSGVO Artikel 6 für die Verarbeitung personenbezogener Daten über SocialHook besteht
2. 2.Bereitstellung angemessener Datenschutzhinweise für Endkunden bezüglich der Verarbeitung ihrer Nachrichtendaten
3. 3.Sicherstellen, dass alle an SocialHook gegebenen Anweisungen dem anwendbaren Datenschutzrecht entsprechen
4. 4.Aufrechterhaltung der Sicherheit des Webhook-Endpunkts und des geheimen Schlüssels
5. 5.Bearbeitung von Anfragen betroffener Personen von Endkunden

6. Unterauftragsverarbeiter

Der Kunde erteilt SocialHook hiermit die allgemeine Genehmigung, folgende Unterauftragsverarbeiter einzusetzen:

SocialHook benachrichtigt den Kunden über beabsichtigte Änderungen an Unterauftragsverarbeitern mit mindestens 14 Tagen schriftlicher Vorankündigung.

7. Sicherheitsmaßnahmen

• —Verschlüsselung während der Übertragung — TLS 1.2 oder höher für alle Daten während der Übertragung
• —Verschlüsselung im Ruhezustand — AES-256-Verschlüsselung für gespeicherte Daten einschließlich vorübergehend gepufferter Payloads
• —Zugriffskontrollen — Rollenbasierte Zugangskontrolle mit Multi-Faktor-Authentifizierung für alle internen Systemzugänge
• —Payload-Puffer TTL — Fehlgeschlagene Zustellungs-Payload-Puffer nach maximal 24 Stunden automatisch gelöscht
• —Kein Nachrichteninhalt in Protokollen — Anwendungsprotokolle so konfiguriert, dass Nachrichteninhalte ausgeschlossen werden
• —Payload-Signierung — HMAC-SHA256-Signatur bei jeder Zustellung
• —Infrastruktursicherheit — AWS-Infrastruktur mit ISO 27001, SOC 2 Zertifizierung

8. Datenpannenmeldung

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt SocialHook den Kunden innerhalb von 48 Stunden nach Kenntnisnahme (um dem Kunden ausreichend Zeit für die Einhaltung seiner eigenen 72-Stunden-DSGVO-Artikel-33-Meldepflicht zu geben). SocialHook informiert über die Art der Verletzung, die betroffenen Kategorien von Datensubjekten und die zur Behebung ergriffenen Maßnahmen.

9. Betroffenenrechte

Der Kunde als Verantwortlicher ist in erster Linie für die Bearbeitung von Anfragen betroffener Personen zuständig. SocialHook benachrichtigt den Kunden unverzüglich über direkt erhaltene Anfragen und unterstützt den Kunden bei der Beantwortung, soweit technisch möglich.

Da SocialHook Nachrichteninhalte nicht dauerhaft speichert, beschränkt sich der Umfang der Unterstützung von SocialHook auf: (a) Löschung von Payload-Daten im 24-Stunden-Wiederholungspuffer und (b) Löschung von Zustellungsmetadaten-Protokollen bezüglich der relevanten betroffenen Person.

10. Aufbewahrung und Löschung

Bei Beendigung des Dienstes löscht SocialHook alle Kundenkontodaten und zugehörigen personenbezogenen Daten innerhalb von 30 Tagen nach Beendigung, sofern nicht gesetzliche Aufbewahrungspflichten eine längere Aufbewahrung erfordern. SocialHook stellt auf Anfrage eine schriftliche Löschbestätigung aus.

11. Internationale Übertragungen

SocialHook hat seinen Sitz in den Vereinigten Staaten. Soweit SocialHook personenbezogene Daten aus der EU/EWR verarbeitet, erfolgen solche Übertragungen auf der Grundlage von Standardvertragsklauseln (SCC) gemäß Beschluss 2021/914 der Europäischen Kommission. Die SCC sind durch Verweis in diesen DVV aufgenommen und auf Anfrage vollständig verfügbar.

12. Audits und Inspektionen

SocialHook stellt alle vernünftigerweise erforderlichen Informationen zur Verfügung, um die Einhaltung der Pflichten gemäß Artikel 28 DSGVO nachzuweisen. Audits können vom Kunden oder einem vom Kunden benannten Drittprüfer durchgeführt werden, vorbehaltlich mindestens 30 Tagen schriftlicher Vorankündigung, während normaler Geschäftszeiten und nicht mehr als einmal pro Jahr, sofern kein spezifischer Anlass vorliegt.

13. Beendigung

Dieser DVV endet automatisch bei Beendigung des SocialHook-Abonnements des Kunden. Jede Partei kann diesen DVV sofort kündigen, wenn die andere Partei wesentliche Datenschutzverpflichtungen verletzt und die Verletzung nicht innerhalb von 30 Tagen nach schriftlicher Benachrichtigung behebt.

14. Geltendes Recht und Streitigkeiten

Dieser DVV unterliegt den Gesetzen des Bundesstaates Arizona, USA, unbeschadet etwaiger zwingender Bestimmungen des EU-Datenschutzrechts, die für den Kunden als in der EU/EWR ansässigen Verantwortlichen gelten können.

15. Anhang — Einzelheiten der Verarbeitung

Kategorien betroffener Personen

Endkunden und Kontakte, die Nachrichten an die verbundenen Facebook-Seiten, Instagram-Business-Konten oder WhatsApp-Business-Nummern des Verantwortlichen senden.

Kategorien personenbezogener Daten

• —Identifikatoren: Telefonnummern (WhatsApp), Facebook-seitenbezogene IDs (Facebook), Instagram-Benutzer-IDs und Benutzernamen (Instagram)
• —Nachrichteninhalt: Text, Medientypindikatoren und Medien-URLs
• —Metadaten: Zeitstempel, Konversations-IDs, Plattformkonto-IDs

Art und Zweck der Verarbeitung

Automatisierte Normalisierung, Signierung und Zustellung eingehender Meta-Plattformnachrichten an den Webhook-Endpunkt des Verantwortlichen. Keine manuelle Überprüfung, Profilerstellung oder unabhängige Nutzung personenbezogener Daten.

Dauer der Verarbeitung

Für die Dauer des SocialHook-Abonnements des Kunden. Nachrichteninhalte werden transient verarbeitet — maximale Aufbewahrung von 24 Stunden für fehlgeschlagene Zustellungen. Zustellungsmetadaten werden 30 Tage aufbewahrt.