Auftragsverarbeitungsvertrag

1. Begriffsbestimmungen

„Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“ und „Verarbeitung“ haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) zukommt. „Kunde“ bezeichnet die juristische oder natürliche Person, die die Nutzungsbedingungen mit promptShield eingegangen ist. „Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, die promptShield im Auftrag des Kunden gemäß diesen Bedingungen verarbeitet.

2. Rollen der Parteien

In Bezug auf Konto- und Lizenzdaten ist der Kunde der Verantwortliche und promptShield der Auftragsverarbeiter. In Bezug auf die innerhalb der Anwendung verarbeiteten Dokumentinhalte findet keine Verarbeitung durch promptShield statt: Jede Erkennung und Schwärzung läuft lokal auf dem Gerät des Kunden, und der Kunde bleibt der alleinige Verantwortliche und Verarbeiter dieser Inhalte. promptShield empfängt, speichert die Dokumentinhalte nicht und verfügt über keinerlei technische Möglichkeit, auf sie zuzugreifen.

3. Umfang und Gegenstand der Verarbeitung

Die einzigen personenbezogenen Daten, die promptShield im Auftrag des Kunden verarbeitet, sind:

• Identitäts- und Kontaktdaten – die für das Konto verwendete E-Mail-Adresse.
• Abrechnungsdaten – über Stripe verarbeitete Zahlungsdaten; Kartennummern werden von promptShield niemals gespeichert.
• Lizenzdaten – ein SHA-256-Maschinen-Fingerabdruck und der Abonnementstatus zur Durchsetzung von Gerätegrenzen und Berechtigungen.

Dokumentinhalte, erkannte Entitäten und geschwärzte Ausgaben sind ausdrücklich vom Umfang ausgenommen: Sie werden ausschließlich auf dem Gerät des Kunden verarbeitet und niemals an promptShield übertragen.

4. Dauer

Die Verarbeitung dauert für die Laufzeit des Abonnements an. Bei Beendigung werden Kontodaten auf Anfrage gelöscht, und Maschinen-Fingerabdrücke, die mit abgelaufenen Lizenzen verknüpft sind, werden nach 90 Tagen automatisch gelöscht, wie in der Datenschutzerklärung beschrieben.

5. Unterauftragsverarbeiter

Der Kunde ermächtigt promptShield, die in unserer Datenschutzerklärung aufgeführten Unterauftragsverarbeiter zu beauftragen (derzeit Firebase Authentication, Stripe, Google Cloud, Sentry und Resend), wobei jeder nur die für seine Funktion notwendigen Daten erhält. Ergänzungen oder Ersetzungen spiegeln wir im Datum der letzten Aktualisierung der Datenschutzerklärung wider und räumen eine angemessene Gelegenheit zum Widerspruch ein.

6. Sicherheitsmaßnahmen

promptShield setzt geeignete technische und organisatorische Maßnahmen um, darunter TLS-Verschlüsselung während der Übertragung, mit bcrypt gehashte Anmeldedaten, Ed25519-signierte Lizenzüberprüfung, signierte Binärdateien und die Bereinigung von Absturzberichten um personenbezogene Daten. Da Dokumentinhalte niemals übertragen werden, birgt die sensibelste Datenkategorie konstruktionsbedingt kein Übertragungs- oder Server-Speicherrisiko. Einzelheiten finden Sie auf unserer Sicherheitsseite.

7. Internationale Übermittlungen

Konto- und Lizenzdaten werden auf Cloud-Infrastruktur in den Vereinigten Staaten verarbeitet. Soweit erforderlich, werden Übermittlungen durch geeignete Garantien wie die Standardvertragsklauseln der EU (Standard Contractual Clauses) geregelt, die auf Anfrage verfügbar sind.

8. Anfragen betroffener Personen

promptShield unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch. Da Dokumentinhalte niemals empfangen werden, betreffen solche Anfragen ausschließlich Konto- und Lizenzdaten.

9. Verletzung des Schutzes personenbezogener Daten

promptShield benachrichtigt den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten des Kunden bekannt geworden ist, und stellt die Informationen bereit, die der Kunde nach vernünftigem Ermessen benötigt, um seinen eigenen Meldepflichten nachzukommen.

10. Überprüfungen

promptShield stellt auf angemessene Anfrage und vorbehaltlich der Vertraulichkeit die Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses DPA erforderlich sind. Angesichts des ausschließlich lokalen Verarbeitungsmodells befinden sich die zur Anonymisierung vorgesehenen Dokumente nicht in den Systemen von promptShield und fallen daher nicht in den Umfang einer solchen Überprüfung.

11. Rückgabe und Löschung

Bei Beendigung und auf Anfrage des Kunden löscht promptShield die Konto- und Lizenzdaten des Kunden, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist. Dokumentinhalte erfordern keine Rückgabe oder Löschung, da sie sich niemals im Besitz von promptShield befanden.

12. Kontakt

Um eine gegengezeichnete Kopie dieses DPA, die Standardvertragsklauseln (Standard Contractual Clauses) anzufordern oder eine datenschutzrechtliche Frage zu stellen, kontaktieren Sie uns unter legal@promptshield.ca.