Bespokely

Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: 20. Mai 2026
Version: 1.0
Dauerhaften Link zu dieser Version: bespokely.io/legal/dpa/v1.0

Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil der Vereinbarung zwischen Bespokely Inc. ("Bespokely", "Auftragsverarbeiter") und dem im entsprechenden Bestellbestätigung identifizierten Kunden ("Kunde", "Verantwortlicher") zur Bereitstellung der Produkte von Bespokely (die "Dienstleistungen").

Durch die Annahme der Nutzungsbedingungen von Bespokely akzeptiert der Kunde auch diese DPA. Die DPA gilt immer, wenn Bespokely personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den Dienstleistungen verarbeitet.

Hinweis für den Kunden: Diese DPA wird als Standardformular von Bespokely angeboten. Ein Kunde, der eine gegengezeichnete Kopie für seine Unterlagen benötigt, kann diese anfordern, indem er eine E-Mail an privacy@bespokely.io mit dem Betreff "DPA-Gegengezeichnung Anfrage — [Kundenname]" sendet. Gegengezeichnete Kopien ändern nicht die wesentlichen Bedingungen dieser DPA.

§1 Definitionen

Die in dieser DPA verwendeten Begriffe mit Großbuchstaben haben die in der DSGVO (Verordnung (EU) 2016/679), den von der Kommission verabschiedeten EU-Standardvertragsklauseln (EU) 2021/914 ("SCCs") oder — wo hier definiert — in dieser DPA angegebenen Bedeutungen.

  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die Bespokely im Auftrag des Kunden bei der Bereitstellung der Dienstleistungen verarbeitet.
  • Betroffene Person ist eine natürliche Person, auf die sich personenbezogene Daten beziehen.
  • Unterauftragsverarbeiter ist ein Dritter, der von Bespokely beauftragt wird, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
  • Liste der Unterauftragsverarbeiter ist die Liste der Unterauftragsverarbeiter, die unter bespokely.io/legal/sub-processors geführt wird und von Zeit zu Zeit aktualisiert wird.
  • TOMs sind die technischen und organisatorischen Maßnahmen, die unter bespokely.io/legal/security veröffentlicht sind und von Zeit zu Zeit aktualisiert werden.
  • Anwendbares Datenschutzrecht sind die DSGVO, die UK-DSGVO, das Schweizer Bundesgesetz über den Datenschutz, das kalifornische Datenschutzgesetz / das kalifornische Datenschutzrechtegesetz und alle anderen Datenschutzgesetze, die für die Nutzung der Dienstleistungen durch den Kunden gelten.

§2 Gegenstand, Art und Dauer der Verarbeitung

§2.1 Gegenstand

Bespokely verarbeitet personenbezogene Daten im Auftrag des Kunden ausschließlich zur Bereitstellung der in der Bestellbestätigung beschriebenen Dienstleistungen.

§2.2 Art und Zweck

Die Art und der Zweck der Verarbeitung sind in Anhang 1 dieser DPA beschrieben. Beispiele sind: Hosting der Website des Kunden, Betrieb des Kundenportals, Betrieb eines KI-Assistenten im Auftrag des Kunden, Versand von Transaktions-E-Mails im Auftrag des Kunden.

§2.3 Kategorien von Betroffenen und personenbezogenen Daten

Kategorien von Betroffenen und Arten von personenbezogenen Daten sind in Anhang 1 beschrieben.

§2.4 Dauer

Die Verarbeitung erfolgt für die Dauer der Dienstleistungen, zuzüglich eines Zeitraums, der für die Rückgabe oder Löschung personenbezogener Daten gemäß §13 erforderlich ist.

§3 Rollen der Parteien

  • Der Kunde ist der Verantwortliche (oder Auftragsverarbeiter im Auftrag seiner eigenen Verantwortlichen im Falle von B2B-Downstream-Beziehungen) der personenbezogenen Daten.
  • Bespokely fungiert als Auftragsverarbeiter.
  • Wenn der Kunde selbst ein Auftragsverarbeiter für einen upstream-Verantwortlichen ist, sichert der Kunde zu, dass er die Befugnis hat, Bespokely als Unterauftragsverarbeiter zu beauftragen.

§4 Anweisungen des Kunden

§4.1 Allgemeine Anweisung

Der Kunde weist Bespokely an, personenbezogene Daten nur in dem Umfang zu verarbeiten, der zur Bereitstellung der Dienstleistungen erforderlich ist, und nur wie in der Bestellbestätigung, dieser DPA, der Konfiguration des Kunden innerhalb der Produkte von Bespokely und in etwaigen zusätzlichen schriftlichen Anweisungen, die der Kunde bereitstellt, dokumentiert.

§4.2 Einhaltung des Rechts

Bespokely wird den Kunden benachrichtigen, wenn es eine Anweisung für rechtswidrig hält. Bespokely ist nicht verpflichtet, einer Anweisung zu folgen, von der es vernünftigerweise glaubt, dass sie zu einem Verstoß gegen das anwendbare Datenschutzrecht führen würde.

§4.3 Rechtliche Offenlegung

Wenn Bespokely gesetzlich verpflichtet ist, personenbezogene Daten außerhalb der Anweisungen des Kunden zu verarbeiten, wird Bespokely den Kunden vor der Verarbeitung informieren, es sei denn, das betreffende Gesetz verbietet eine solche Mitteilung.

§5 Vertraulichkeit

Bespokely stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten autorisiert sind, durch angemessene Vertraulichkeitsverpflichtungen gebunden sind. Die Vertraulichkeitsverpflichtungen bestehen auch nach Beendigung des Arbeitsverhältnisses oder der Beauftragung fort.

§6 Sicherheit der Verarbeitung

§6.1 TOMs

Bespokely implementiert angemessene technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. Die aktuellen TOMs sind unter bespokely.io/legal/security veröffentlicht und werden durch Verweis in diese DPA aufgenommen (Anhang 3).

§6.2 Aktualisierungen der TOMs

Bespokely kann seine TOMs von Zeit zu Zeit aktualisieren, sofern die Aktualisierungen das Sicherheitsniveau nicht wesentlich verringern. Wesentliche Verringerungen erfordern die vorherige schriftliche Zustimmung des Kunden.

§6.3 Pseudonymisierung und Verschlüsselung

Die TOMs umfassen — ohne Einschränkung — die Verschlüsselung personenbezogener Daten im Ruhezustand (AES-256) und während der Übertragung (TLS 1.2+), Pseudonymisierung, wo möglich, und Zugangskontrollen basierend auf dem Prinzip der minimalen Berechtigung.

§7 Unterauftragsverarbeiter

§7.1 Allgemeine Genehmigung

Der Kunde erteilt Bespokely eine allgemeine Genehmigung zur Beauftragung der zum Zeitpunkt des Abschlusses dieser DPA in der Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter. Die Liste der Unterauftragsverarbeiter ist durch Verweis in diese DPA aufgenommen (Anhang 2).

§7.2 Änderungen

Bespokely wird mindestens 30 Tage im Voraus benachrichtigen, bevor ein neuer Unterauftragsverarbeiter beauftragt oder ein bestehender ersetzt wird, per E-Mail an den Benachrichtigungskontakt des Kunden und durch Aktualisierung der Liste der Unterauftragsverarbeiter.

§7.3 Widerspruchsrecht

Der Kunde kann innerhalb von 30 Tagen nach der Benachrichtigung Widerspruch gegen einen neuen Unterauftragsverarbeiter einlegen, indem er eine E-Mail an privacy@bespokely.io mit dem Betreff "Widerspruch gegen Unterauftragsverarbeiter" sendet. Wenn Bespokely den Widerspruch nicht auf angemessene Weise berücksichtigen kann (z. B. wenn der neue Unterauftragsverarbeiter eine Funktionalität bietet, für die es keine Alternative gibt), kann der Kunde die betroffenen Dienstleistungen ohne Vorfälligkeitsstrafe kündigen, und Bespokely wird im Voraus gezahlte Gebühren für ungenutzte Monate anteilig erstatten.

§7.4 Weitergabe

Bespokely verpflichtet jeden Unterauftragsverarbeiter zu Datenschutzverpflichtungen, die nicht weniger schützend sind als die in dieser DPA, durch einen schriftlichen Vertrag, der SCCs enthält, wo anwendbar.

§7.5 Haftung

Bespokely bleibt gegenüber dem Kunden für die Leistung seiner Unterauftragsverarbeiter in Bezug auf deren Datenschutzverpflichtungen verantwortlich.

§8 Unterstützung bei Rechten der betroffenen Personen

§8.1 Anfragen von betroffenen Personen, die von Bespokely erhalten werden

Wenn eine betroffene Person Bespokely direkt mit einer Anfrage kontaktiert, um Rechte gemäß den Artikeln 15–22 DSGVO (oder dem Äquivalent) auszuüben, wird Bespokely die Anfrage ohne unangemessene Verzögerung an den Kunden weiterleiten und nicht auf die betroffene Person antworten, es sei denn, um den Eingang zu bestätigen und sie an den Kunden zu verweisen.

§8.2 Unterstützung des Kunden

Bespokely wird dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen bieten, einschließlich der Bereitstellung von Werkzeugen innerhalb der Dienstleistungen, damit der Kunde personenbezogene Daten abrufen, exportieren, korrigieren und löschen kann. Wenn Bespokely Unterstützung über das hinaus bietet, was im Rahmen der Dienstleistungen angemessen verfügbar ist, kann Bespokely eine angemessene Gebühr zu seinem Standardstundensatz erheben.

§8.3 SLA

Bespokely wird auf eine Anfrage des Kunden innerhalb von 14 Tagen nach Erhalt einer dokumentierten Anfrage einer betroffenen Person reagieren.

§9 Unterstützung bei den Verpflichtungen des Verantwortlichen

Bespokely wird dem Kunden angemessene Unterstützung bei den Verpflichtungen des Kunden gemäß den Artikeln 32–36 DSGVO (Sicherheit der Verarbeitung, Benachrichtigung über Verstöße, Datenschutz-Folgenabschätzung, vorherige Konsultation) bieten, wobei die Art der Verarbeitung und die Informationen, die Bespokely zur Verfügung stehen, berücksichtigt werden.

§10 Verletzungen personenbezogener Daten

§10.1 Benachrichtigungszeitraum

Bespokely wird den Kunden über jede bestätigte Verletzung personenbezogener Daten, die die personenbezogenen Daten des Kunden betrifft, ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme der Verletzung informieren.

§10.2 Inhalt der Benachrichtigung

Die Benachrichtigung wird, soweit dann bekannt, Folgendes umfassen: (a) die Art der Verletzung, (b) Kategorien und ungefähre Anzahl der betroffenen Personen und betroffenen Datensätze, (c) wahrscheinliche Folgen, (d) ergriffene oder vorgeschlagene Maßnahmen.

§10.3 Keine Anerkennung

Die Benachrichtigung gemäß diesem §10 stellt kein Eingeständnis von Schuld oder Haftung durch Bespokely dar.

§11 Internationale Übertragungen

§11.1 Übertragungsmechanismus

Wenn Bespokely personenbezogene Daten außerhalb des EWR/UK/Schweiz im Auftrag des Kunden verarbeitet, wird die Übertragung durch Folgendes gesichert:
(a) die Angemessenheitsentscheidung des EU-US-Datenschutzrahmens, wenn der Empfänger (Bespokely oder ein Unterauftragsverarbeiter) DPF-zertifiziert ist und die Zertifizierung die betreffenden Daten abdeckt; oder
(b) die SCCs (Modul 2 — Verantwortlicher zu Auftragsverarbeiter oder Modul 3 — Auftragsverarbeiter zu Auftragsverarbeiter, je nach Anwendbarkeit), die durch Verweis in diese DPA aufgenommen sind (Anhang 4); oder
(c) einen anderen Übertragungsmechanismus, der gemäß Kapitel V der DSGVO zulässig ist.

§11.2 Einbeziehung der SCCs

Wo die SCCs gelten, gelten die SCCs als zwischen den Parteien unter den folgenden Bedingungen abgeschlossen:

  • Modul: Modul 2 (Verantwortlicher zu Auftragsverarbeiter) standardmäßig; Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter), wenn der Kunde selbst ein Auftragsverarbeiter ist.
  • Docking-Klausel (Klausel 7): optiert.
  • Unterauftragsverarbeiter-Klausel (Klausel 9): Option 2 (allgemeine schriftliche Genehmigung) gemäß §7.1 oben mit 30 Tagen Vorankündigung.
  • Rechtsbehelf (Klausel 11): unabhängiger Streitbeilegungsmechanismus nicht ausgewählt.
  • Haftung (Klausel 12): wie im zugrunde liegenden Rahmenvertrag vereinbart.
  • Aufsichtsbehörde (Klausel 13): [TBD gemäß der Niederlassung des Kunden — typischerweise die Aufsichtsbehörde des Mitgliedstaates, in dem der Kunde ansässig ist].
  • Anwendbares Recht (Klausel 17): Recht des Mitgliedstaates, in dem der Kunde ansässig ist.
  • Gerichtsstand (Klausel 18): Gerichte des Mitgliedstaates, in dem der Kunde ansässig ist.
  • Anhang I.A (Parteien) = Anhang 1.A dieser DPA.
  • Anhang I.B (Beschreibung der Übertragung) = Anhang 1.B dieser DPA.
  • Anhang II (TOMs) = bespokely.io/legal/security.
  • Anhang III (Unterauftragsverarbeiter) = bespokely.io/legal/sub-processors.

§11.3 Übertragungsfolgenabschätzung

Bespokely führt eine Übertragungsfolgenabschätzung (TIA) für jeden Unterauftragsverarbeiter, bei dem die Übertragung nicht durch DPF abgedeckt ist. Die TIA wird auf Anfrage dem Kunden zur Verfügung gestellt.

§12 Prüfung und Inspektion

§12.1 Prüfung durch Zertifizierung

Das Prüfungsrecht des Kunden gemäß Art. 28(3)(h) DSGVO wird hauptsächlich durch die Drittanbieterzertifizierungen und Berichte von Bespokely (z. B. SOC 2 Typ II-Berichte von Bespokely oder seinen Unterauftragsverarbeitern) erfüllt. Bespokely wird solche Berichte auf angemessene Anfrage des Kunden unter NDA bereitstellen.

§12.2 Kundenprüfung

Wenn die Zertifizierungen in §12.1 eine spezifische Kontrolle, die der Kunde vernünftigerweise geprüft haben möchte, nicht abdecken, kann der Kunde eine Prüfung durch einen schriftlichen Fragebogen durchführen. Vor-Ort-Prüfungen sind nur (i) zulässig, wenn der Fragebogen und die Zertifizierungen unzureichend sind, (ii) nach 30 Tagen schriftlicher Vorankündigung, (iii) während der Geschäftszeiten, (iv) ohne den Betrieb von Bespokely zu stören, (v) nicht mehr als einmal alle 12 Monate, es sei denn, dies ist durch eine Anordnung der Aufsichtsbehörde oder nach einer bestätigten Verletzung personenbezogener Daten erforderlich, und (vi) auf Kosten des Kunden.

§12.3 Zusammenarbeit mit Aufsichtsbehörden

Bespokely wird mit den Aufsichtsbehörden gemäß den gesetzlichen Anforderungen zusammenarbeiten.

§13 Rückgabe oder Löschung personenbezogener Daten

§13.1 Ende der Dienstleistungen

Nach Wahl des Kunden, die innerhalb von 30 Tagen nach Beendigung der Dienstleistungen schriftlich mitgeteilt wird, wird Bespokely entweder: (a) die personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON, CSV oder vergleichbar) zurückgeben oder (b) die personenbezogenen Daten löschen.

§13.2 Standard

Wenn der Kunde innerhalb des 30-tägigen Zeitraums keine Wahl trifft, wird Bespokely die personenbezogenen Daten innerhalb von weiteren 30 Tagen löschen.

§13.3 Aufbewahrung gesetzlich

Dieser §13 findet keine Anwendung, wenn Bespokely gesetzlich verpflichtet ist, personenbezogene Daten gemäß dem Recht der Union oder des Mitgliedstaates aufzubewahren.

§13.4 Backups

Personenbezogene Daten können bis zu 30 Tage nach der Löschung in verschlüsselten Backups bestehen bleiben; solche Backups werden nicht wiederhergestellt, es sei denn, es handelt sich um eine Katastrophenwiederherstellung, in diesem Fall wird die erneute Löschung umgehend wieder angewendet.

§14 Haftung

Die Haftung gemäß dieser DPA unterliegt den Einschränkungen und Ausschlüssen im zugrunde liegenden Rahmenvertrag und den Nutzungsbedingungen von Bespokely, es sei denn, das anwendbare Datenschutzrecht (insbesondere die Artikel 82–83 DSGVO) verlangt etwas anderes. Nichts in dieser DPA schränkt die Rechte einer betroffenen Person gemäß dem anwendbaren Datenschutzrecht ein.

§15 Laufzeit und Kündigung

Diese DPA tritt am Wirksamkeitsdatum des Rahmenvertrags in Kraft und bleibt in Kraft, solange Bespokely personenbezogene Daten im Auftrag des Kunden verarbeitet. Die Bestimmungen von §13 (Rückgabe oder Löschung), §10 (Verstöße im Zusammenhang mit Ereignissen während der Laufzeit), §12 (Prüfung im Zusammenhang mit Ereignissen während der Laufzeit) und §14 (Haftung) überdauern die Kündigung.

§16 Rangfolge

Im Falle von Konflikten:

  1. Die SCCs (wo anwendbar) haben Vorrang vor dieser DPA.
  2. Diese DPA hat Vorrang vor dem Rahmenvertrag und den Nutzungsbedingungen in Bezug auf die Verarbeitung personenbezogener Daten.
  3. Der Rahmenvertrag und die Nutzungsbedingungen regeln alle anderen Angelegenheiten.

§17 Anwendbares Recht

Diese DPA unterliegt dem Recht des Bundesstaates Delaware, USA, es sei denn, zwingende Bestimmungen des anwendbaren Datenschutzrechts in der Gerichtsbarkeit des Kunden haben Vorrang. Wo die SCCs gelten, ist das anwendbare Recht für die SCCs wie in §11.2 angegeben.

§18 Aktualisierungen dieser DPA

Bespokely kann diese DPA von Zeit zu Zeit aktualisieren. Wesentliche Aktualisierungen werden aktiven Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Aktualisierungen, die die Verpflichtungen von Bespokely verschärfen oder den Schutz des Kunden stärken, treten sofort in Kraft und werden innerhalb von 30 Tagen nach Veröffentlichung mitgeteilt.

Anhang 1 — Verarbeitungsdetails

A. Parteien

Verantwortlicher (Datenexporteur): der in der Bestellbestätigung identifizierte Kunde.

Auftragsverarbeiter (Datenimporteur): Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA. Kontakt: privacy@bespokely.io · +1 (512) 348-6588.

B. Beschreibung der Übertragung

Kategorien von Betroffenen

Die Kategorien von Betroffenen, deren personenbezogene Daten verarbeitet werden, hängen von der Nutzung der Dienstleistungen durch den Kunden ab und können Folgendes umfassen:

  • Besucher der Website des Kunden,
  • registrierte Benutzer des Kundenportals,
  • die Kunden, Interessenten, Kontakte und Mitarbeiter des Kunden,
  • Empfänger von Transaktionskommunikationen, die vom Kunden gesendet werden.

Kategorien von personenbezogenen Daten

  • Identifikatoren (Name, E-Mail, Telefon, Kontoinformationen),
  • Profilattribute, die der Kunde zu sammeln wählt (Berufsbezeichnung, Unternehmen, Gerichtsbarkeit, Sprache),
  • Inhaltsdaten, die über Formulare, Portale oder KI-Assistenten eingereicht werden (Nachrichten, Dokumente, Dateien),
  • Nutzungsdaten (Anmeldezeitstempel, Seitenaufrufe, Interaktionsprotokolle),
  • technische Daten (IP-Adresse, Benutzeragent, Sitzungsmetadaten).

Besondere Kategorien von Daten

Die Dienstleistungen von Bespokely sind nicht darauf ausgelegt, besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO zu verarbeiten. Wenn die Nutzung der Dienstleistungen durch den Kunden zur Verarbeitung solcher Kategorien führen würde, ist der Kunde für die Rechtmäßigkeit dieser Verarbeitung verantwortlich und muss Bespokely informieren, damit zusätzliche Schutzmaßnahmen vereinbart werden können.

Häufigkeit

Kontinuierlich, für die Dauer der Dienstleistungen.

Art der Verarbeitung

Hosting, Speicherung, strukturierte und unstrukturierte Datenverarbeitung, Übertragung, Anzeige, Suche und Abruf, KI-Inferenz (wenn die Dienstleistungen einen KI-Assistenten umfassen), Backup, Löschung.

Zweck

Bereitstellung der Dienstleistungen, wie in der Bestellbestätigung beschrieben.

Aufbewahrungsfrist

Für die Dauer der Dienstleistungen. Nach Beendigung siehe §13 dieser DPA.

Unterauftragsverarbeiter

Wie in der Liste der Unterauftragsverarbeiter unter bespokely.io/legal/sub-processors aufgeführt.

C. Zuständige Aufsichtsbehörde

Die Aufsichtsbehörde des Mitgliedstaates (oder Landes), in dem der Kunde ansässig ist, es sei denn, eine andere Aufsichtsbehörde hat gemäß Art. 56 DSGVO die primäre Zuständigkeit.

Anhang 2 — Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter ist veröffentlicht und wird gepflegt unter:

bespokely.io/legal/sub-processors

Dieser Anhang wird dynamisch in die DPA aufgenommen. Jede Version der Liste der Unterauftragsverarbeiter hat eine dauerhafte versionierte URL (z. B. /v1.0), die für Beweiszwecke aufbewahrt wird.

Anhang 3 — Technische und organisatorische Maßnahmen

Die aktuellen TOMs sind veröffentlicht und werden gepflegt unter:

bespokely.io/legal/security

Dieser Anhang wird dynamisch in die DPA aufgenommen. Jede Version hat eine dauerhafte versionierte URL (z. B. /v1.0).

Anhang 4 — Standardvertragsklauseln

Wo anwendbar gemäß §11 dieser DPA, sind die von der Kommission verabschiedeten SCCs (EU) 2021/914 vom 4. Juni 2021 durch Verweis einbezogen. Der aktuelle maßgebliche Text ist veröffentlicht unter:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

Modul 2 (Verantwortlicher zu Auftragsverarbeiter) gilt standardmäßig. Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) gilt, wenn der Kunde selbst ein Auftragsverarbeiter ist.

Die Anhänge I, II und III der SCCs werden durch Verweis auf Anhang 1, Anhang 3 und Anhang 2 dieser DPA ausgefüllt, wie in §11.2 dargelegt.

Kontakt für DPA-Anfragen:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA · privacy@bespokely.io · +1 (512) 348-6588

Diese DPA ist eine Vorlage. Sie ersetzt keine unabhängige rechtliche Beratung. Bespokely empfiehlt, dass Kunden ihren eigenen Rechtsbeistand konsultieren, bevor sie sich auf die Bedingungen dieser DPA verlassen, um spezifische regulatorische Anforderungen zu erfüllen, die für ihr Geschäft gelten.