Uptimia
Deutsch
  • English
  • Deutsch
  • Español
  • Français
  • Italiano
  • Lietuvių
  • Nederlands
  • Português

Legal Data Processing Agreement

Auftragsverarbeitungsvereinbarung (Data Processing Agreement, DPA)

Updated 27 May 2026

Diese AVV ist Bestandteil der zwischen der JJ Online GmbH und Ihnen (dem Kunden) bestehenden Allgemeinen Geschäftsbedingungen und wird über § 17.2 der AGB einbezogen. Soweit diese AVV und die AGB im Hinblick auf die Verarbeitung personenbezogener Daten im Auftrag des Kunden voneinander abweichen, gilt diese AVV vorrangig.

Stand: 26. Mai 2026 — Version 1.0

Diese Fassung ist eine Übersetzung. Verbindlich ist die englische Fassung (dpa.en.md). Diese deutsche Fassung wird auf den deutschsprachigen Oberflächen der Website ausgespielt, um dem Erfordernis effektiver deutschsprachiger Zugänglichkeit nach § 5 DDG zu genügen. Bei Widersprüchen zwischen den Sprachfassungen ist die englische Fassung maßgeblich — außer bei Angelegenheiten, die ausschließlich dem deutschen Telemedienrecht unterliegen; dort ist die deutsche Formulierung die maßgebliche.

Personenbezeichnungen gelten geschlechtsneutral, sofern nicht anders angegeben.

Präambel

Parteien

Der Auftragsverarbeiter:

JJ Online GmbH Schönhauser Allee 163, 10435 Berlin, Deutschland HRB 235074 B (Amtsgericht Charlottenburg) USt-IdNr. DE351060880 Vertreten durch: Andrius Gecius, Geschäftsführer E-Mail: admin@uptimia.com (nachfolgend „JJ Online", „wir", „uns" oder „der Auftragsverarbeiter")

Der Verantwortliche:

Sie — die natürliche oder juristische Person, die als Kontoinhaber des Uptimia-Abonnements identifiziert ist und über den von JJ Online betriebenen Uptimia-Dienst personenbezogene Daten verarbeitet. (nachfolgend „Sie", „der Kunde" oder „der Verantwortliche")

JJ Online und der Verantwortliche werden gemeinsam als „die Parteien" und einzeln als „Partei" bezeichnet.

Erwägungsgründe

(A) JJ Online betreibt Uptimia, eine Software-as-a-Service-Beobachtbarkeitsplattform, die Verfügbarkeitsüberwachung von Websites, Seitengeschwindigkeitsüberwachung, Real User Monitoring (RUM), Transaktionsüberwachung, Domain- und SSL-Ablaufüberwachung sowie Alarmdienste bereitstellt (der „Dienst", wie in den AGB unter https://uptimia.com/terms näher definiert).

(B) Im Rahmen der Nutzung des Dienstes veranlasst der Verantwortliche JJ Online dazu, bestimmte personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 (die „DSGVO") und, soweit anwendbar, der UK General Data Protection Regulation in ihrer für England und Wales, Schottland und Nordirland geltenden Fassung (die „UK GDPR") sowie des schweizerischen Bundesgesetzes über den Datenschutz (das „DSG") zu verarbeiten.

(C) Die Parteien beabsichtigen, ihre jeweiligen Rechte und Pflichten nach Art. 28 DSGVO (und den entsprechenden Bestimmungen der UK GDPR und des DSG) im Hinblick auf diese Verarbeitung zu regeln.

(D) Diese AVV wird durch Verweis in die AGB einbezogen und gilt automatisch mit Annahme der AGB durch den Verantwortlichen. Eine gesonderte Unterzeichnung ist nicht erforderlich; sofern der Verantwortliche eine gegengezeichnete Fassung benötigt, kann er diese unter admin@uptimia.com anfordern.

Definitionen

Soweit in dieser AVV nicht anders definiert, haben die hier verwendeten Begriffe die ihnen in der DSGVO zugewiesene Bedeutung. Darüber hinaus:

  • Datenschutzgesetze" bezeichnet die DSGVO, die UK GDPR, das DSG, das deutsche Bundesdatenschutzgesetz (BDSG), das deutsche Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie jedes andere anwendbare Datenschutz- oder Privatsphärengesetz in seiner jeweils geltenden Fassung. (Das deutsche Digitale-Dienste-Gesetz (DDG), mit dem der EU-Digital-Services-Act umgesetzt wird, ist Plattformregulierungsrecht und nicht Teil dieser Definition der Datenschutzgesetze; soweit in dieser AVV eine DDG-Pflicht referenziert wird, wird sie an der jeweiligen Stelle ausdrücklich benannt.)
  • Personenbezogene Kundendaten" bezeichnet personenbezogene Daten, die JJ Online im Zusammenhang mit dem Dienst im Auftrag des Verantwortlichen verarbeitet.
  • Unter-Auftragsverarbeiter" bezeichnet einen Dritten, den JJ Online mit der Verarbeitung Personenbezogener Kundendaten im Auftrag des Verantwortlichen im Sinne von Art. 28 Abs. 4 DSGVO beauftragt. Die aktuelle Liste der Unter-Auftragsverarbeiter ist in Anlage C dieser AVV enthalten; die Anlage ist die maßgebliche Quelle.
  • Standardvertragsklauseln" oder „SCC" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, die von der Europäischen Kommission im Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 angenommen wurden.
  • EU-US Data Privacy Framework" oder „DPF" bezeichnet das Datenschutzrahmenwerk, das nach Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023 zertifiziert ist.
  • UK-Addendum" bezeichnet das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, das vom UK Information Commissioner's Office herausgegeben und dem Parlament am 2. Februar 2022 vorgelegt wurde.
  • IDTA" bezeichnet das International Data Transfer Agreement, das vom UK Information Commissioner's Office herausgegeben und dem Parlament am 2. Februar 2022 vorgelegt wurde, in seiner eigenständigen Form (d. h. nicht als Addendum zu den SCC der Kommission).

1. Gegenstand und Geltungsbereich

1.1. Diese AVV regelt die Verarbeitung Personenbezogener Kundendaten durch JJ Online im Auftrag des Verantwortlichen im Zusammenhang mit dem Dienst. Der ausführliche Gegenstand, die Art, der Zweck, die Dauer, die Arten Personenbezogener Kundendaten und die Kategorien betroffener Personen sind in Anlage A geregelt.

1.2. Der Verantwortliche ist Verantwortlicher und JJ Online ist Auftragsverarbeiter Personenbezogener Kundendaten im Sinne von Art. 4 DSGVO. Für personenbezogene Daten, die JJ Online zu eigenen Zwecken verarbeitet (Kontoverwaltung, Abrechnung, Sicherheit, Produktanalyse), bleibt JJ Online eigenständig Verantwortlicher — diese Verarbeitung unterliegt der Uptimia-Datenschutzerklärung, nicht dieser AVV.

1.3. Diese AVV findet keine Anwendung auf:

(a) die Verarbeitung der eigenen Kontoinhaberdaten des Verantwortlichen durch JJ Online (Name, E-Mail, Rechnungsdaten), für die JJ Online der Verantwortliche ist;

(b) personenbezogene Daten, die der Verantwortliche über den Dienst an Drittdienste übermittelt (zum Beispiel Alarm-Payloads, die an vom Kunden konfigurierte Kanäle wie Slack, Discord, Twilio SMS, Meta WhatsApp Cloud, PagerDuty, Microsoft Teams, Atlassian Statuspage, X/Twitter, Telegram oder generische Webhooks geroutet werden) — für diese weiterführenden Übermittlungen handelt JJ Online auf dokumentierte Weisung des Verantwortlichen, und der Verantwortliche ist für die Rechtmäßigkeit der weiterführenden Übermittlung nach Art. 6 und Art. 44 bis 49 DSGVO verantwortlich.

Wahlfreiheit des Kunden — Alarmkanäle. Es steht dem Verantwortlichen frei, jeden in Anlage C.5 aufgeführten Alarmkanal zu wählen. Die Konfiguration eines Kanals im Konto des Verantwortlichen stellt die dokumentierte Weisung des Verantwortlichen nach Art. 28 Abs. 3 lit. a DSGVO für das Routing der Alarm-Payloads an diesen Kanal dar. Der Verantwortliche trägt die Rechtmäßigkeitsanalyse nach Art. 6 und Art. 44 bis 49 DSGVO für die daraus resultierende Übermittlung (einschließlich, soweit das Kanalziel außerhalb des EWR liegt, der Analyse des Übermittlungsmechanismus nach Art. 46 / Art. 49, wie in Anlage C.5 für den jeweiligen Kanal offengelegt). Die Rolle von JJ Online beschränkt sich auf (i) das Anbieten des Kanals als Option im Dienst, (ii) die Ausführung des konfigurierten Routings auf Weisung des Verantwortlichen und (iii) die Offenlegung in Anlage C.5, auf welchen Übermittlungsmechanismus sich JJ Online stützt oder auf welchen sich der Verantwortliche nach § 10.5 zu stützen hat. JJ Online prüft die konkrete Grundlage des Verantwortlichen — sei es berechtigtes Interesse, Einwilligung oder Vertragsnotwendigkeit — für die Nutzung eines bestimmten Kanals nicht vorab.

Beschränkte Kanäle — bestätigte Aktivierung. Eine Teilmenge der Kanäle in Anlage C.5 ist als Beschränkte Kanäle ausgewiesen (derzeit: Telegram und X Corp — siehe Anlage C.5 für die aktuelle Liste und die kanalbezogene Begründung der Ausweisung). Beschränkte Kanäle sind nicht Teil des Standard-Alarmkanalmenüs. Die Aktivierung eines Beschränkten Kanals setzt voraus, dass der Verantwortliche (handelnd durch einen autorisierten Benutzer des Kontos des Verantwortlichen) eine produktinterne Kenntnisnahme der kanalbezogenen, in Anlage C.5 offengelegten Übermittlungslage bestätigt. JJ Online bewahrt eine mit Zeitstempel versehene Aufzeichnung jeder Kenntnisnahme auf (Konto-ID, Benutzerkennung, Kanal, Offenlegungsversion der Anlage C.5, Zeitstempel der Kenntnisnahme) als Bestandteil der Weisungsdokumentation nach Art. 28 Abs. 3 lit. a DSGVO gemäß § 14.1 (e) und stellt sie auf Verlangen der Aufsichtsbehörde oder des Verantwortlichen zur Verfügung. Die Kenntnisnahme ist einmal je Kanal je Konto erforderlich; eine Deaktivierung und erneute Aktivierung eines Beschränkten Kanals erfordert eine erneute Kenntnisnahme gegen die dann geltende Offenlegungsversion der Anlage C.5.

Zwei-Stufen-Kenntnisnahmestandard. Beschränkte Kanäle tragen eine von zwei Kenntnisnahmestufen, je nach rechtlicher Lage des Kanals, wie in Anlage C.5.2 dargelegt:

Stufe 1 — Standard-Kenntnisnahme für Beschränkte Kanäle (verwendet, wenn der Kanal über einen operativen Übermittlungsmechanismus nach Art. 46 DSGVO mit erhöhter Abhängigkeit von einem SCC-plus-ergänzenden-Maßnahmen-Auffangmechanismus aufgrund der Volatilität eines ergänzenden Mechanismus verfügt — z. B. X Corp). Der produktinterne Kenntnisnahmetext verlangt vom Verantwortlichen die Bestätigung, dass er Kenntnis hat von (i) dem operativen Übermittlungsmechanismus, (ii) etwaiger Volatilität ergänzender Mechanismen und (iii) seiner eigenen Analyse nach Art. 44 bis 49 DSGVO für die daraus resultierende Übermittlung.

Stufe 2 — Kenntnisnahme für Beschränkte Kanäle mit erhöhtem Risiko (verwendet, wenn für den Kanal kein verfügbarer Übermittlungsmechanismus nach Art. 46 DSGVO für die betreffende Bereitstellung besteht und die einzige in Betracht kommende Übermittlungsgrundlage eine Ausnahme nach Art. 49 DSGVO ist, die nicht zwanglos zum tatsächlichen Nutzungsmuster des Kanals passt — z. B. Telegram-Bot-Alarmierung nach § 10.5 und Anlage C.5.2). Der produktinterne Kenntnisnahmetext verlangt vom Verantwortlichen die ausdrückliche Bestätigung jedes der nachstehenden Punkte bei der Aktivierung, in einer Sprache, die nicht weniger deutlich ist als:

„Mir ist bewusst, dass die Telegram-Bot-Alarmierung [oder der entsprechende benannte Kanal] über keinen verfügbaren Übermittlungsmechanismus nach Art. 46 DSGVO verfügt (kein Angemessenheitsbeschluss für das Empfängerland; keine Standardvertragsklauseln der Kommission vom Kanalbetreiber für Bot-Betreiber).

Mir ist bewusst, dass JJ Online selbst keine Ausnahme nach Art. 49 DSGVO für die Übermittlung geltend macht und dass die EDSA-Leitlinien 2/2018 zu den Ausnahmen nach Art. 49 der Verordnung 2016/679 die Ausnahmen des Art. 49 eng auslegen, insbesondere dass:

— Art. 49 Abs. 1 lit. a die ausdrückliche Einwilligung jeder betroffenen Person erfordert, die über die besonderen Risiken (einschließlich Fehlen eines Mechanismus nach Art. 46 und Fehlen eines Angemessenheitsbeschlusses) informiert ist — die bei routinemäßiger Ausfallalarmierung an mein Operations-Team unwahrscheinlich verfügbar sein wird;

— Art. 49 Abs. 1 lit. b und c erfordern, dass die Übermittlung gelegentlich und nicht wiederholend ist und dass die Übermittlung für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Maßnahmen auf Antrag der betroffenen Person erforderlich ist — was eine routinemäßig wiederkehrende Ausfallalarmierung strukturell kaum erfüllen kann;

— Art. 49 Abs. 1 lit. d bis g (wichtige Gründe des öffentlichen Interesses, Rechtsansprüche, lebenswichtige Interessen, öffentliches Register) auf den Anwendungsfall nicht zwanglos passen.

Ich habe die Rechtmäßigkeit der daraus resultierenden Übermittlung nach Art. 44 bis 49 DSGVO unabhängig für die besonderen Umstände meiner Organisation bewertet, einschließlich etwaiger Erwägungen zur Kumulation betroffener Personen und zur Frequenz. Ich akzeptiere, dass meine Bewertung — und nicht das Angebot des Kanals durch JJ Online — die Grundlage darstellt, auf der die Übermittlung erfolgt.

Ich akzeptiere das aufsichtsbehördliche Risiko, dass eine zuständige Aufsichtsbehörde diese Übermittlung als unrechtmäßig einstufen könnte, und ich akzeptiere jede Folge einer solchen Feststellung, einschließlich der Verpflichtung, den Kanal einzustellen und gegebenenfalls betroffene Personen zu benachrichtigen.

Mir ist bekannt, dass Anlage C.5.1 alternative Alarmkanäle mit operativen Übermittlungsmechanismen nach Art. 46 DSGVO enthält (DPF oder SCC mit ergänzenden Maßnahmen, je nach Anwendbarkeit) und dass diese Kanäle mir als Ersatz zur Verfügung stehen."

Der Kenntnisnahmetext nach Stufe 2 ist bei der Aktivierung vollständig anzuzeigen und darf nicht eingeklappt oder vorausgewählt sein. Der autorisierte Benutzer des Verantwortlichen muss jeden der oben in Klammern gesetzten Elemente positiv anklicken (oder eine Interaktion gleichwertiger Substanz vornehmen). Wird ein Beschränkter Kanal in Anlage C.5.2 von Stufe 1 auf Stufe 2 verschoben — etwa weil ein zuvor verfügbarer Mechanismus nach Art. 46 entfällt —, gilt diese Verschiebung als vermutete wesentliche Änderung nach § 20.4 (ii) (Mechanismus für die rechtmäßige Übermittlung), und aktive Kenntnisnahmen, die gegen den vorherigen Stufe-1-Text eingeholt wurden, gelten als abgelaufen; für die weitere Nutzung des Kanals ist eine erneute Kenntnisnahme nach Stufe 2 erforderlich.

2. Laufzeit

Diese AVV tritt mit dem Tag, an dem der Verantwortliche die AGB annimmt, in Kraft und gilt für die Dauer des Abonnements des Verantwortlichen für den Dienst zuzüglich, soweit anwendbar, der in § 15 (Behandlung der Daten nach Vertragsende) geregelten Nachlauffristen für die Aufbewahrung.

3. Art und Zweck der Verarbeitung

JJ Online verarbeitet Personenbezogene Kundendaten im Auftrag des Verantwortlichen ausschließlich zu dem Zweck, den Dienst und die damit verbundenen Betriebsfunktionen (Alarmierung, Dashboards, Berichte, Exporte, Support) bereitzustellen. Die ausführliche Liste der Verarbeitungstätigkeiten ist in Anlage A enthalten.

4. Art der personenbezogenen Daten und Kategorien betroffener Personen

Die Arten Personenbezogener Kundendaten und die Kategorien betroffener Personen sind in Anlage A dargelegt. Der Verantwortliche erkennt an, dass JJ Online die Kategorien von Daten, die in den Antworten überwachter Ressourcen auftreten können (z. B. Antwort-Bodies authentifizierter HTTP-Checks, Transaktions-Monitoring-Screenshots), nicht eigenständig überprüfen kann — der Verantwortliche ist für die Rechtmäßigkeit der Daten verantwortlich, deren Erfassung und Verarbeitung durch den Dienst er veranlasst.

5. Rollen und Verantwortlichkeiten

5.1. Pflichten des Verantwortlichen. Der Verantwortliche:

(a) ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO und, soweit eine Einwilligung erforderlich ist, für die Einholung wirksamer Einwilligungen nach Art. 7 DSGVO — einschließlich der Einwilligungen von Endnutzern, deren Daten durch das RUM-Skript, ein clientseitiges SDK oder ein gleichwertiges, im Browser ablaufendes Element erfasst werden, das der Verantwortliche auf den eigenen Websites oder Anwendungen des Verantwortlichen einsetzt. Der Verantwortliche sichert weiter zu, dass er, soweit das RUM-Skript, ein clientseitiges SDK oder ein gleichwertiges, im Browser ablaufendes Element Informationen auf der Endeinrichtung eines Endnutzers speichert oder auf dort bereits gespeicherte Informationen zugreift (z. B. Cookies, localStorage oder vergleichbare Identifikatoren im Browser des Endnutzers liest oder schreibt), die Einwilligung eingeholt hat, die nach § 25 Abs. 1 TDDDG (Deutschland), Art. 5 Abs. 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) in der jeweiligen mitgliedstaatlichen Umsetzung sowie jeder gleichwertigen nationalen Regelung für den jeweiligen Endnutzer (etwa die britische PECR für britische Endnutzer) erforderlich ist, zusätzlich zu der nach Art. 6 DSGVO für die zugrunde liegende Verarbeitung erforderlichen Rechtsgrundlage. JJ Online ist hinsichtlich dieser Einwilligungen nach § 25 TDDDG / ePrivacy / PECR nicht Verantwortlicher und hat keine operative Einsicht in das Einwilligungsmanagement-System des Verantwortlichen; die Zuordnung der Parteien nach Art. 28 DSGVO in dieser AVV erfolgt auf Grundlage dieser Zusicherung;

(b) ist allein verantwortlich für die Erteilung transparenter Informationen an betroffene Personen nach Art. 13 und Art. 14 DSGVO im Hinblick auf die durch den Dienst ausgeführte Verarbeitung;

(c) ist dafür verantwortlich, dass der Dienst im Einklang mit allen anwendbaren Datenschutzgesetzen genutzt wird und dass jede weiterführende Übermittlung personenbezogener Daten über den Dienst (etwa durch Konfiguration einer in den USA ansässigen Benachrichtigungsroute) ihrerseits rechtmäßig ist;

(d) sichert zu, dass er rechtlich berechtigt ist, JJ Online die Personenbezogenen Kundendaten zur Verfügung zu stellen und JJ Online anzuweisen, sie wie in dieser AVV beschrieben zu verarbeiten.

5.2. Pflichten des Auftragsverarbeiters. JJ Online:

(a) verarbeitet Personenbezogene Kundendaten nur auf dokumentierte Weisungen des Verantwortlichen nach Maßgabe von § 6;

(b) implementiert die in Anlage B dargestellten technischen und organisatorischen Maßnahmen;

(c) bindet Unter-Auftragsverarbeiter nur nach Maßgabe von § 10 ein;

(d) unterstützt den Verantwortlichen nach Maßgabe von § 8, § 9, § 11 und § 12;

(e) gibt Personenbezogene Kundendaten nach Maßgabe von § 15 zurück oder löscht sie.

5.3. Gemeinsame-Verantwortlichkeits-Auffangregel für die Erhebungsphase (C-40/17 Fashion ID). Die Parteien legen die Zuordnung nach Art. 28 DSGVO in dieser AVV auf Grundlage der Einschätzung fest, dass im Hinblick auf das RUM-Skript und jedes gleichwertige, im Browser ablaufende Element, das der Verantwortliche auf den eigenen Websites oder Anwendungen des Verantwortlichen einsetzt, (i) der Verantwortliche allein die Zwecke der Erhebung bestimmt (die Überwachung der eigenen Besucher des Verantwortlichen durch den Verantwortlichen) und (ii) die Rolle von JJ Online auf die nicht-wesentlichen (technischen) Mittel der Erhebung im Sinne von EDSA-Leitlinien 07/2020 Rn. 38 und nach Maßgabe von § 6.2 beschränkt ist, wobei der Verantwortliche die Hoheit über die wesentlichen Mittel behält (die URLs, auf denen das Skript eingesetzt wird, die anvisierten Besucher, die Aufbewahrungsdauer über die gewählte Tarifstufe des Dienstes sowie die Rechtsgrundlage / § 25 TDDDG / ePrivacy / PECR-Einwilligung nach § 5.1 (a)).

Die Parteien erkennen das Risiko an, dass eine Aufsichtsbehörde oder ein Gericht die Parteien gleichwohl im Sinne von Art. 26 DSGVO als gemeinsam Verantwortliche nur für die Erhebungsphase im Hinblick auf das RUM-Skript oder ein gleichwertiges, im Browser ablaufendes Element einstufen könnte, gestützt auf die C-40/17 Fashion ID-Rechtsprechungslinie, mit der Begründung, dass die Verbreitung des RUM-Skripts durch JJ Online die Mittel der Erhebung wesentlich mitbestimmt. Erlässt eine zuständige Aufsichtsbehörde eine bindende Entscheidung oder ein Gericht zuständiger Gerichtsbarkeit ein bindendes Urteil, das die Parteien für die Erhebungsphase im Hinblick auf das RUM-Skript oder ein gleichwertiges, im Browser ablaufendes Element als gemeinsam Verantwortliche behandelt (eine „Feststellung einer gemeinsamen Verantwortlichkeit"), gilt Folgendes:

(a) Die Parteien schließen innerhalb von dreißig (30) Kalendertagen, nachdem die Feststellung einer gemeinsamen Verantwortlichkeit gegenüber mindestens einer von ihnen bindend geworden ist, eine Vereinbarung nach Art. 26 Abs. 1 DSGVO, die die inhaltliche Zuordnung der § 5.1 (a) und § 6.2 dieser AVV spiegelt — d. h. der Verantwortliche trägt die Verantwortung für die Rechtsgrundlage, die Information der Endnutzer nach Art. 13 / Art. 14 DSGVO und die Einwilligung nach § 25 TDDDG / ePrivacy / PECR gemäß § 5.1 (a); JJ Online trägt die Verantwortung für die technische Konfiguration des Skripts (Ereignistaxonomie, Umfang der Browserinformationen, Kürzung auf /24 IPv4 und /48 IPv6 vor der Speicherung, Aggregationslogik, EU-lokalisiertes Speicher-Routing) gemäß § 6.2 und Anlage B;

(b) JJ Online veröffentlicht eine „Essence"-Mitteilung nach Art. 26 Abs. 2 DSGVO unter https://uptimia.com/legal/joint-controllership, in der diese Zuordnung beschrieben wird, und hält sie aktuell; der Verantwortliche kann, ist aber nicht verpflichtet, diese Essence in seinem eigenen endnutzerbezogenen Datenschutzhinweis zu übernehmen oder zu verlinken;

(c) betroffene Personen behalten das Recht nach Art. 26 Abs. 3 DSGVO, ihre Rechte aus der DSGVO im Verhältnis zu jeder der Parteien und gegen jede der Parteien geltend zu machen — die Parteien wirken zusammen, um eine bei einer der Parteien eingegangene Anfrage einer betroffenen Person an die jeweils andere weiterzuleiten, sofern die Anfrage in deren zugeordneten Verantwortungsbereich nach (a) fällt;

(d) die Feststellung einer gemeinsamen Verantwortlichkeit betrifft ausschließlich die Erhebungsphase im Hinblick auf das Skript; die Speicherung, Verarbeitung, Aufbewahrung und Offenlegung der erhobenen RUM-Ereignis-Payloads bleiben Auftragsverarbeitung durch JJ Online auf Weisung des Verantwortlichen nach dieser AVV. Die Weisungsarchitektur des § 6.1, die Steuerung der Unter-Auftragsverarbeiter nach § 10, die Unterstützung bei Betroffenenanfragen nach § 11, die Verletzungsanzeige nach § 12, das Auditrecht nach § 14 und die Löschung bei Vertragsende nach § 15 gelten für die Nacherhebungsphase fort.

Dieser § 5.3 ist eine Auffangzuordnung, die nur durch eine Feststellung einer gemeinsamen Verantwortlichkeit wie oben definiert ausgelöst wird. Bis zu einer solchen Feststellung gelten die Zuordnungen in § 5.1 (a) und § 6.2 ohne Umqualifizierung fort, und die Parteien geben durch den Abschluss dieser AVV nicht zu, dass eine gemeinsame Verantwortlichkeit für die Erhebungsphase oder für eine andere Phase vorliegt.

6. Verarbeitung auf dokumentierte Weisung

6.1. JJ Online verarbeitet Personenbezogene Kundendaten nur auf dokumentierte Weisungen des Verantwortlichen. Die Weisungen des Verantwortlichen sind enthalten in:

(a) dieser AVV einschließlich ihrer Anlagen;

(b) den AGB;

(c) den Konfigurationseinstellungen, die der Verantwortliche im Dienst auswählt — einschließlich, aber nicht beschränkt auf das Einsetzen des RUM-Skripts auf den vom Verantwortlichen ausgewählten URLs, die Konfiguration von Monitoren und authentifizierten Checks, die Konfiguration von Transaktionsüberwachungs-Journeys, den Betrieb einer öffentlichen Statusseite, die Besucher-Abonnements akzeptiert, die Konfiguration von Alarmkanälen und Empfängern sowie die vom Verantwortlichen gewählte Tarifstufe des Dienstes (die innerhalb der dort genannten kategoriespezifischen Obergrenzen die nach Anlage A.9 dieser AVV anwendbare Aufbewahrungsdauer bestimmt);

(d) jede nachträgliche schriftliche Weisung, die der Verantwortliche an admin@uptimia.com richtet und die JJ Online ausdrücklich schriftlich annimmt; und

(e) der Zusammenfassung der Verarbeitungsweisungen, die der Verantwortliche jederzeit unter privacy@uptimia.com anfordern kann. Die Zusammenfassung wird von JJ Online aus dem Kontostand des Verantwortlichen zum Zeitpunkt der Anforderung erzeugt und enthält für das konkrete Konto des Verantwortlichen: die aktiven Monitortypen, die vom Verantwortlichen gewählten überwachten Ressourcen, die gewählte Tarifstufe des Dienstes (sowie die danach für den Verantwortlichen nach Anlage A.9 dieser AVV anwendbaren Aufbewahrungsdauern), die vom Verantwortlichen aktivierten Alarmkanäle (und damit die nach Anlage C.5 für das Konto des Verantwortlichen aktiven Unter-Auftragsverarbeiter), die für die Daten des Verantwortlichen geltende EU-Speicherregion sowie jede unter (d) angenommene nachträgliche schriftliche Weisung. JJ Online liefert die Zusammenfassung innerhalb von fünf (5) Werktagen nach Eingang. Die Zusammenfassung bildet zusammen mit dieser AVV die dokumentierten Weisungen des Verantwortlichen nach Art. 28 Abs. 3 lit. a DSGVO für die Zwecke des Nachweises der Einhaltung nach Art. 5 Abs. 2. Die Struktur der Zusammenfassung ist in Anlage A.8 dargelegt.

Eine gegengezeichnete Ausfertigung dieser AVV mit der als Anlage A.8 beigefügten Zusammenfassung ist für jeden Verantwortlichen, dessen Beschaffungs-, Audit- oder Regulierungsprozess dies erfordert, kostenfrei auf Anfrage erhältlich. Die Ausfertigung kann unter privacy@uptimia.com angefordert werden.

6.2. Aufteilung in wesentliche / nicht-wesentliche Mittel (EDSA-Leitlinien 07/2020 Rn. 38). Der Verantwortliche bestimmt die wesentlichen Mittel der Verarbeitung — die Datenkategorien, die Kategorien betroffener Personen, die Aufbewahrungsdauer und die Datenempfänger — über die in § 6.1 (a) bis (d) genannten Weisungen. JJ Online bestimmt in seiner Eigenschaft als Auftragsverarbeiter die nicht-wesentlichen (technischen) Mittel — einschließlich des Algorithmus zur Kürzung der Besucher-IP-Adressen (/24 IPv4 und /48 IPv6) vor der Speicherung, der Aggregationslogik, die RUM-Ereignisse außerhalb der pro-Beacon-Speicherung hält, der Wahl der EU-lokalisierten Speicherinfrastruktur, des spaltenweisen Verschlüsselungsschemas für vom Verantwortlichen bereitgestellte Zugangsdaten, der automatischen Empfänger-Region-Routinglogik für transaktionale E-Mails zwischen den AWS-SES-Endpunkten eu-central-1 (Frankfurt) und us-east-1 (Virginia) (offengelegt in § 10.2 (b) und Anlage B.1) sowie der Eigenschaft der ephemeren Verarbeitung der Probe-Schicht. Die von JJ Online bestimmten nicht-wesentlichen Mittel stellen technische und organisatorische Maßnahmen nach Art. 32 DSGVO dar und verdrängen die Hoheit des Verantwortlichen über die wesentlichen Mittel nicht.

6.3. JJ Online informiert den Verantwortlichen unverzüglich, wenn JJ Online der Auffassung ist, dass eine Weisung gegen Datenschutzgesetze verstößt.

6.4. Keine Verwendung Personenbezogener Kundendaten zu eigenen Zwecken von JJ Online oder zu kommerziellen Zwecken Dritter. JJ Online verarbeitet Personenbezogene Kundendaten nicht zu anderen Zwecken als zur Erbringung des Dienstes für den Verantwortlichen. Ohne Einschränkung des Vorstehenden gilt:

(a) JJ Online verwendet Personenbezogene Kundendaten — weder in identifizierter, pseudonymisierter, gehashter noch in aggregierter Form — nicht, um künstliche-Intelligenz-, Machine-Learning- oder Large-Language-Modelle zu trainieren, feinzutunen, zu evaluieren, zu benchmarken oder anderweitig zu entwickeln, einschließlich des Aufbaus von Modellgewichten, Embeddings, Retrieval-Augmented-Generation-Indizes, Evaluationsdatensätzen oder sonstigen abgeleiteten Datensätzen;

(b) JJ Online verwendet Personenbezogene Kundendaten nicht für Werbung, Profilbildung, Look-alike-Audience-Bildung, Anzeigenausspielung oder Audience-Segment-Anreicherung;

(c) JJ Online verkauft, unterlizenziert, syndiziert oder stellt Personenbezogene Kundendaten Datenmaklern, Analyse-Netzwerken, Werbenetzwerken oder einem sonstigen Dritten für dessen eigene Zwecke nicht anderweitig zur Verfügung;

(d) JJ Online verwendet Personenbezogene Kundendaten nicht für einen anderen sekundären Zweck wieder, der nicht zwingend erforderlich ist, um den Dienst für den Verantwortlichen bereitzustellen.

Die Unter-Auftragsverarbeiter von JJ Online sind nach ihren jeweiligen Verträgen nach Art. 28 Abs. 4 DSGVO an gleichwertige Verbote gebunden (siehe § 9 und Anlage C); die Verbote dieses § 6.4 sind Teil dieser weiterzureichenden Pflichten.

6.5. JJ Online darf Personenbezogene Kundendaten außerhalb des Geltungsbereichs des § 6.4 nur dann verarbeiten, wenn dies nach Unionsrecht oder dem Recht eines Mitgliedstaats, dem JJ Online unterliegt, erforderlich ist. In diesem Fall informiert JJ Online den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das einschlägige Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.

6.6. KI-gestützte Funktionen — vorausschauende Zusage im Hinblick auf die EU-KI-Verordnung. Der Dienst enthält derzeit keine KI-gestützten Funktionen im Sinne der Verordnung (EU) 2024/1689 (die „EU-KI-Verordnung"); das Verbot des § 6.4 (a) zum Trainieren, Feintunen, Evaluieren, Benchmarken oder anderweitigen Entwickeln von Modellen künstlicher Intelligenz oder maschinellen Lernens mit Personenbezogenen Kundendaten gilt fort. Soweit JJ Online in der Zukunft eine KI-gestützte Funktion in den Dienst aufnimmt (beispielsweise Anomalieerkennung, Ursachenvorschläge, Alarmzusammenfassung oder Triage-Unterstützung bei Vorfällen), gilt zusätzlich zur Fortgeltung des Verbots aus § 6.4 (a):

(a) Klassifikation der Funktion im Rahmen des Risikoklassifikationsmodells der EU-KI-Verordnung (verbotene Praxis / Hochrisiko / begrenztes Risiko / minimales Risiko) und Offenlegung der Klassifikation gegenüber dem Verantwortlichen als Teil der Aktualisierung nach § 20.4;

(b) Bereitstellung der Transparenzinformationen nach Art. 50 EU-KI-Verordnung für Systeme mit begrenztem Risiko (sowie einem entsprechend höheren Risikoregime, soweit anwendbar), in einer Form, in der der Verantwortliche sie gegebenenfalls an seine eigenen betroffenen Personen weitergeben kann;

(c) Offenlegung jeder Aufteilung Anbieter/Betreiber zwischen JJ Online und dem Verantwortlichen für die Funktion, unter Berücksichtigung dessen, dass JJ Online Betreiber jedes im Dienst eingebetteten Modells ist, während der Verantwortliche Betreiber jeder von ihm aktivierten Funktion im Hinblick auf seine eigenen betroffenen Personen ist; und

(d) Aktualisierung dieser AVV nach § 20.4, um KI-Verordnungs-bedingte Änderungen der Verarbeitung abzubilden, einschließlich (soweit anwendbar) Aktualisierungen der Anlage A, Anlage B, Anlage C und der Aufzählung der Vermutungstatbestände in § 20.4 (i) bis (xi).

Dieser § 6.6 ist vorausschauend und ermächtigt JJ Online nicht, KI-gestützte Funktionen ohne das Aktualisierungsverfahren nach § 20.4 einzuführen; er regelt die Substanz dieser Aktualisierung, damit der Verantwortliche die folgenden Offenlegungen vorausschauen kann.

7. Vertraulichkeit

7.1. JJ Online stellt sicher, dass zur Verarbeitung Personenbezogener Kundendaten befugte Personen einer Vertraulichkeitspflicht unterliegen, sei es vertraglich oder durch andere geeignete Mittel. Die Bindung beruht auf den vertraglichen Verpflichtungen aus ihrem Arbeits- oder Auftragsverhältnis, ergänzt durch Schulungen.

7.2. JJ Online beschränkt den Zugriff auf Personenbezogene Kundendaten auf Personen, die diesen Zugriff zur Erfüllung ihrer Aufgaben unter dem Dienst benötigen.

7.3. Bindung der unterstellten Personen an Weisungen (Art. 32 Abs. 4 DSGVO). JJ Online unternimmt Schritte, um sicherzustellen, dass jede unter der Aufsicht von JJ Online tätige natürliche Person, die Zugang zu Personenbezogenen Kundendaten hat, diese Daten nur auf dokumentierte Weisungen des Verantwortlichen (gemäß § 6.1) verarbeitet, es sei denn, sie ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zu einer anderweitigen Verarbeitung verpflichtet. Soweit Unionsrecht oder mitgliedstaatliches Recht eine anderweitige Verarbeitung als auf Weisungen des Verantwortlichen anordnet, unterrichtet JJ Online die betreffende Person über diese Pflicht und unterrichtet unter denselben Umständen den Verantwortlichen wie in § 6.5 dargestellt, es sei denn, das einschlägige Recht verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses. Zu den Schritten, die JJ Online zur Umsetzung dieses § 7.3 unternimmt, gehören ohne Einschränkung (a) die Vertraulichkeitsbindung nach § 7.1, (b) die Beschränkung auf das Erforderliche nach § 7.2 und Anlage B.1, (c) die Personalmaßnahmen nach Anlage B.7 (Vertraulichkeitspflichten und Hintergrundüberprüfung) und (d) laufende Datenschutzschulungen. Dieser § 7.3 wird gesondert von § 7.1 und § 7.2 dargestellt, um Art. 32 Abs. 4 DSGVO neben der Vertraulichkeitspflicht aus Art. 28 Abs. 3 lit. b DSGVO nach § 7.1 ausdrücklich Geltung zu verschaffen.

8. Sicherheit der Verarbeitung (Art. 32 DSGVO)

8.1. JJ Online implementiert angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Anlage B dargelegt. Diese Maßnahmen umfassen insbesondere:

(a) die Pseudonymisierung und Verschlüsselung Personenbezogener Kundendaten, soweit angemessen;

(b) Maßnahmen zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste;

(c) die Fähigkeit, die Verfügbarkeit Personenbezogener Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

(d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen.

8.2. JJ Online bewertet das angemessene Schutzniveau unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken — insbesondere durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu Personenbezogenen Kundendaten.

8.3. JJ Online kann Anlage B von Zeit zu Zeit aktualisieren, um Änderungen des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung oder neuer identifizierter Risiken Rechnung zu tragen. JJ Online benachrichtigt den Verantwortlichen über jede wesentliche Verringerung der in Anlage B dargestellten Maßnahmen, bevor die Änderung wirksam wird.

9. Beauftragung von Unter-Auftragsverarbeitern (Art. 28 Abs. 2 DSGVO)

9.1. Allgemeine Genehmigung. Der Verantwortliche erteilt JJ Online die allgemeine schriftliche Genehmigung, Unter-Auftragsverarbeiter zur Verarbeitung Personenbezogener Kundendaten zu beauftragen, vorbehaltlich der in diesem § 9 dargestellten Bedingungen.

9.2. Aktuelle Unter-Auftragsverarbeiter. Die aktuelle Liste der von JJ Online beauftragten Unter-Auftragsverarbeiter ist in Anlage C dargestellt, die als maßgebliche Liste im Rahmen dieser AVV geführt wird. Aktualisierungen der Anlage C werden als Bestandteil einer aktualisierten Fassung dieser AVV erneut veröffentlicht und dem Verantwortlichen wie in § 9.3 dargestellt mitgeteilt.

9.3. Bekanntmachung von Änderungen. JJ Online benachrichtigt den Verantwortlichen mindestens 30 Kalendertage im Voraus über jede beabsichtigte Hinzufügung oder Ersetzung eines Unter-Auftragsverarbeiters. Die Benachrichtigung erfolgt über zwei parallele Kanäle:

(a) Primärkanal — E-Mail an die für das Uptimia-Konto des Verantwortlichen hinterlegte Adresse; und

(b) Sekundärkanal — produktinterne Benachrichtigung im Uptimia-Dashboard des Verantwortlichen (z. B. ein dauerhaftes Banner, ein Eintrag im Benachrichtigungscenter oder eine gleichwertige produktinterne Fläche), die für administrative Benutzer des Kontos des Verantwortlichen bis zur Bestätigung sichtbar bleibt.

Beide Kanäle tragen denselben Benachrichtigungsinhalt und denselben Wirksamkeitszeitpunkt. Die 30 Kalendertage umfassende Widerspruchsfrist nach § 9.4 beginnt mit dem späteren der beiden folgenden Zeitpunkte: (i) dem Datum, an dem die E-Mail nach (a) versendet wurde, und (ii) dem Datum, an dem die produktinterne Benachrichtigung für einen administrativen Benutzer des Kontos des Verantwortlichen erstmals sichtbar wurde; scheitert die E-Mail-Zustellung an die hinterlegte Adresse (z. B. Hardbounce, Mailbox-voll-Reject) und kann JJ Online den Verantwortlichen nicht über einen bekannten Alternativkontakt erreichen, ist die produktinterne Fläche maßgeblich. Die Anlage C der dann geltenden Fassung dieser AVV wird zur Spiegelung der Änderung parallel aktualisiert.

Die Benachrichtigungspflicht erstreckt sich auf Änderungen in der Unter-Unter-Auftragsverarbeitungskette eines Unter-Auftragsverarbeiters, die einen neuen Verarbeitungsort (z. B. ein neues Drittland) oder eine neue Kategorie von Empfängern (z. B. einen neuen Konzernverbund außerhalb des Konzernverbunds des bestehenden Unter-Auftragsverarbeiters) einführen; sie erstreckt sich nicht auf rein konzerninterne Verlagerungen der Verarbeitung innerhalb des Konzernverbunds eines Unter-Auftragsverarbeiters, die weder einen neuen Verarbeitungsort noch eine neue Kategorie von Empfängern einführen und den angewandten Mechanismus der rechtmäßigen Übermittlung nicht wesentlich verändern.

9.4. Widerspruchsrecht. Der Verantwortliche hat das Recht, der beabsichtigten Änderung aus berechtigten, dem Schutz Personenbezogener Kundendaten dienenden Gründen innerhalb von 14 Tagen nach Erhalt der Benachrichtigung nach § 9.3 zu widersprechen (wobei der Lauf der 14-Tage-Frist nach § 9.3 verankert ist). Erhebt der Verantwortliche einen begründeten Widerspruch, wirken die Parteien nach Treu und Glauben zusammen, um eine Lösung zu finden. Der Verantwortliche kann nach seiner Wahl jedes der folgenden Mittel ergreifen:

(a) Kündigung mit anteiliger Rückerstattung. Der Verantwortliche kann den betroffenen Teil des Dienstes nach § 23 der AGB vor Wirksamwerden der Änderung kündigen, mit anteiliger Rückerstattung etwaiger vorausgezahlter Gebühren, die auf den ungenutzten Teil der betroffenen Periode entfallen;

(b) Alternativer Unter-Auftragsverarbeiter. Der Verantwortliche kann von JJ Online verlangen, einen anderen Unter-Auftragsverarbeiter anstelle des vorgeschlagenen Unter-Auftragsverarbeiters zu beauftragen. JJ Online wird ein solches Verlangen nicht ablehnen, soweit innerhalb derselben funktionalen Kategorie des Dienstes (Kategorie der Anlage C) eine Alternative zu Mehrkosten von höchstens 25 % gegenüber dem vorgeschlagenen Unter-Auftragsverarbeiter für JJ Online und der Wechsel innerhalb von 90 Kalendertagen nach dem Verlangen abgeschlossen werden kann — unter Berücksichtigung des angemessenen Engineering- und Migrationsaufwands auf Seite von JJ Online. Eine Ablehnung ist nur zulässig, wenn (i) innerhalb derselben funktionalen Kategorie keine Alternative verfügbar ist, die die 25 %-Mehrkostenobergrenze einhält, (ii) der Wechsel nicht innerhalb von 90 Kalendertagen (oder einer von den Parteien schriftlich vereinbarten längeren Frist) abgeschlossen werden kann oder (iii) die Alternative selbst eine gesonderte, mit der Grundlage des Widerspruchs vergleichbare datenschutzbezogene Bedenken aufwerfen würde. Soweit JJ Online ablehnt, übermittelt JJ Online dem Verantwortlichen eine schriftlich begründete Stellungnahme, in der ausgeführt wird, welche der Varianten (i), (ii) oder (iii) einschlägig ist, und auf welche konkreten Tatsachen sich JJ Online stützt (z. B. die von JJ Online geprüften Alternativen sowie die Kosten- oder Abschlusszeitpunkt-Daten, die zum Ausschluss der jeweiligen Alternative geführt haben); der Verantwortliche kann sodann das Mittel nach (a) oder (c) wählen. Eine Meinungsverschiedenheit darüber, ob die 25 %- oder 90-Tage-Schwellen erreicht sind, wird im Zweifel zugunsten des Verantwortlichen gelöst; oder

(c) Annahme der Änderung. Der Verantwortliche kann den Widerspruch zurückziehen und die Änderung annehmen.

Wählt der Verantwortliche innerhalb von 30 Kalendertagen, nachdem die Parteien schriftlich bestätigt haben, dass eine gutgläubige Lösung im Sinne des zweiten Satzes dieses § 9.4 nicht erreicht wurde, kein Mittel nach (a), (b) oder (c), gilt das Mittel nach (c) als gewählt. Die Wahl der Mittel in diesem § 9.4 lässt etwaige Rechte betroffener Personen nach Art. 26 Abs. 3, Art. 77 oder Art. 79 DSGVO sowie etwaige Maßnahmen einer Aufsichtsbehörde nach Art. 58 DSGVO unberührt.

9.5. Pflichten der Unter-Auftragsverarbeiter. JJ Online erlegt jedem Unter-Auftragsverarbeiter im Wege eines schriftlichen Vertrags Datenschutzpflichten auf, die nicht weniger schützend sind als die JJ Online unter dieser AVV auferlegten Pflichten. JJ Online haftet dem Verantwortlichen gegenüber weiterhin in vollem Umfang für jedes Versagen eines Unter-Auftragsverarbeiters bei der Erfüllung seiner Datenschutzpflichten, soweit das Versagen des Unter-Auftragsverarbeiters nicht auf den Weisungen des Verantwortlichen oder auf einer eigenen Pflichtverletzung des Verantwortlichen beruht.

10. Internationale Datenübermittlungen (Art. 44 bis 49 DSGVO)

10.1. Primärer Verarbeitungsort. Personenbezogene Kundendaten werden vorrangig innerhalb des Europäischen Wirtschaftsraums verarbeitet:

(a) Die Haupt-Anwendungsinfrastruktur (Dashboard, API, primäre Datenbank, persistenter Speicher für das Anwendungsschema) wird auf der Infrastruktur von OVH SAS in Frankreich gehostet.

(b) Zeitreihen-Überwachungsmetriken werden in einer von JJ Online selbst betriebenen Zeitreihen-Datenbank auf EU-lokalisierter Infrastruktur gespeichert (kein Drittanbieter-Cloud-Datenbankdienst für diesen Speicher).

(c) Transaktions-Monitoring-Screenshots und exportierte PDFs werden als Blobs auf AWS S3 in der Region eu-central-1 (Frankfurt) gespeichert (Amazon Web Services EMEA SARL, Luxemburg, als vertragsschließende Stelle). Die S3-Speicherregion liegt im selben EU-Footprint wie die Hauptanwendung; auf der Seite von JJ Online verlässt kein Transaktions-Monitoring-Screenshot die EU. (Sofern der Verantwortliche einen Screenshot zu einem nicht-EU-Ziel eigener Wahl herunterlädt oder weiterleitet, fällt diese weiterführende Übermittlung nach § 1.3 (b) in die Verantwortung des Verantwortlichen.)

(d) Die Probe-Netzwerkinfrastruktur ist geografisch über neun Anbieter verteilt (OVH Frankreich, GCore Luxemburg / weitere Regionen, EDIS Österreich, Scaleway Frankreich (Paris / Amsterdam / Warschau — sämtlich EU) und Contabo GmbH (München) als in der EU ansässige Probe-Unter-Auftragsverarbeiter; sowie DigitalOcean, Akamai/Linode, AWS und Vultr für weitere Regionen, einige davon außerhalb der EU). Wichtig ist, dass das Probe-Netzwerk ausschließlich ephemere Verarbeitung durchführt: Probes führen den Check durch, leiten das Ergebnis an die Haupt-EU-Infrastruktur weiter und löschen die lokale Kopie unmittelbar. Auf der Probe-Schicht werden keine Personenbezogenen Kundendaten dauerhaft gespeichert. Diese Eigenschaft der ephemeren Verarbeitung ist die zentrale ergänzende Maßnahme, auf die sich JJ Online für nicht-EWR-Probe-Standorte und für Probe-Unter-Auftragsverarbeiter ohne DPF-Zertifizierung (insbesondere Vultr) stützt. Die technischen Einzelheiten der Eigenschaft der ephemeren Verarbeitung sind in Anlage B.6 dargelegt.

Wahlfreiheit des Kunden — Auswahl des Probe-Standorts. Soweit der Verantwortliche für einen bestimmten Monitor eine bestimmte Probe-Region oder eine Gruppe von Probe-Regionen auswählt, ist die Auswahl durch das JJ-Online-Probe-Inventar in Anlage C.2 begrenzt und durch die für jeden Probe-Unter-Auftragsverarbeiter geltenden Mechanismen der rechtmäßigen Übermittlung abgedeckt (DPF, soweit der Unter-Auftragsverarbeiter DPF-zertifiziert ist; SCC mit ergänzenden Maßnahmen, soweit nicht). Die in Anlage B.6 beschriebene Eigenschaft der ephemeren Verarbeitung stellt sicher, dass keine Probe-Standortwahl den Ort verändert, an dem Personenbezogene Kundendaten dauerhaft gespeichert werden — dieser Ort bleibt unabhängig davon, welche Probe den Check ausgeführt hat, der EU-Footprint von JJ Online (OVH Frankreich für die Anwendungsdatenbank; Zeitreihen-Datenbank im selben EU-Footprint; AWS S3 eu-central-1 Frankfurt für Screenshot-Blobs). Es steht dem Verantwortlichen daher frei, jede Probe-Region aus dem JJ-Online-Inventar zu wählen, ohne dass sich die Analyse der grenzüberschreitenden Übermittlung für die dauerhafte Speicherung ändert.

10.2. Erforderliche Übermittlungen außerhalb des EWR. Ungeachtet § 10.1 übermittelt JJ Online Personenbezogene Kundendaten außerhalb des EWR an die folgenden Kategorien von Unter-Auftragsverarbeitern:

(a) Unter-Auftragsverarbeiter, die selbst außerhalb des EWR niedergelassen sind (zum Beispiel die in Anlage C aufgeführten in den USA ansässigen Unter-Auftragsverarbeiter);

(b) regionale Infrastruktur eines Unter-Auftragsverarbeiters außerhalb des EWR (zum Beispiel AWS SES us-east-1 Virginia, betrieben von Amazon Web Services, Inc., für die Zustellung transaktionaler E-Mails an Empfänger außerhalb der EU). Die rechtliche Grundlage für diese Übermittlung ist der in § 10.3 und Anlage C.2 dargestellte Übermittlungsmechanismus — d. h. das EU-US Data Privacy Framework, soweit Amazon Web Services, Inc. zum Zeitpunkt der Übermittlung DPF-zertifiziert ist, mit SCC plus ergänzenden Maßnahmen als operativem Auffangmechanismus. Operative Erwägungen wie Zustellungslatenz oder Zustellbarkeitseigenschaften können in die Routingentscheidung einfließen, stellen aber selbst nicht die rechtliche Grundlage der Übermittlung dar und werden nicht als Ausnahme nach Art. 49 DSGVO herangezogen.

Routinglogik — transaktionale E-Mails zwischen den AWS-SES-Endpunkten EU und USA. Das Routing einer bestimmten transaktionalen E-Mail zwischen den AWS-SES-Endpunkten eu-central-1 (Frankfurt) und us-east-1 (Virginia) wird automatisch durch die Mail-Dispatch-Schicht von JJ Online auf Grundlage einer deterministischen Klassifikation der Empfänger-E-Mail-Adresse vorgenommen; die Routinglogik ist ein von JJ Online nach § 6.2 und EDSA-Leitlinien 07/2020 Rn. 38 bestimmtes nicht-wesentliches (technisches) Mittel. Die Klassifikationsmethodik ist intern dokumentiert und steht dem Verantwortlichen auf Audit-Informationsanfrage nach § 14.1 (d) zur Verfügung. Der Verantwortliche kann das Routing über die derzeitige Oberfläche des Dienstes nicht je E-Mail oder je Konto konfigurieren oder überschreiben; soweit der Verantwortliche wünscht, das Routing für eine Kategorie von Mails auf den EU-Endpunkt zu beschränken, kann er diese Einschränkung schriftlich unter privacy@uptimia.com beantragen, und JJ Online wird das Verlangen vorbehaltlich der operativen und zustellbarkeitsbezogenen Folgen der Einschränkung nach Treu und Glauben prüfen. Ein zukünftiger Konfigurationsschalter für ein vom Verantwortlichen wählbares EU-only-Routing steht auf der Produkt-Roadmap; bis zur Auslieferung gilt das automatische Routing als Voreinstellung;

(c) vom Kunden konfigurierte Alarmkanäle, die Alarm-Payloads an Ziele außerhalb des EWR weiterleiten (zum Beispiel an den PagerDuty- oder Microsoft-Teams-Workspace des Kunden) — diese weiterführenden Übermittlungen erfolgen auf Weisung des Verantwortlichen nach § 1.3 (b), und der Verantwortliche ist für die Rechtmäßigkeit der weiterführenden Übermittlung verantwortlich.

10.3. Übermittlungsmechanismus. Für jede Übermittlung außerhalb des EWR stützt sich JJ Online auf einen der folgenden Mechanismen, in der von EDSA-Empfehlungen 01/2020 vorgesehenen Schichtung:

(a) EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 der Kommission) für Unter-Auftragsverarbeiter, die unter dem DPF selbstzertifiziert sind;

(b) Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission), Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter), für jede Übermittlung, für die das DPF nicht gilt, ergänzt um technische und organisatorische Maßnahmen, die dem Empfängerland angemessen sind;

(c) für Übermittlungen unter der UK GDPR das UK-Addendum zu den SCC als Standardmechanismus, oder — nach Wahl des Verantwortlichen — das International Data Transfer Agreement (IDTA) des UK Information Commissioner's Office, das dem Parlament am 2. Februar 2022 vorgelegt wurde, in seiner eigenständigen Form. Die Standardwahl ist das UK-Addendum (das die SCC der Kommission als zugrunde liegendes Instrument erhält und die Vertragsfragmentierung über die EWR- und UK-Übermittlungsketten verringert); ein Verantwortlicher, der das eigenständige IDTA bevorzugt, kann dies JJ Online schriftlich unter privacy@uptimia.com mitteilen, woraufhin die Parteien das IDTA für Übermittlungen unter der UK GDPR an die Stelle des UK-Addendums setzen;

(d) für Übermittlungen unter dem schweizerischen DSG die SCC, gelesen mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten schweizspezifischen Anpassungen.

10.4. Liste der Unter-Auftragsverarbeiter — maßgebliche Quelle. Die maßgebliche Liste der Unter-Auftragsverarbeiter ist Anlage C der dann geltenden Fassung dieser AVV. Änderungen der Liste werden dem Verantwortlichen per E-Mail nach § 9.3 mitgeteilt und in einer aktualisierten, auf uptimia.com veröffentlichten Fassung dieser AVV abgebildet.

10.5. Weiterführende Übermittlungen durch vom Kunden angewiesene Kanäle. Soweit der Verantwortliche einen Alarmkanal konfiguriert, der seinerseits Daten außerhalb des EWR übermittelt (zum Beispiel Slack, Discord, X Corp in den Vereinigten Staaten oder Telegram FZ-LLC in den VAE — für die JJ Online selbst keinen Übermittlungsmechanismus nach Art. 46 oder Art. 49 DSGVO geltend macht, wie in Anlage C.5 vermerkt), handelt JJ Online auf Weisung des Verantwortlichen nach § 1.3 (b). Der Verantwortliche ist allein dafür verantwortlich, sicherzustellen, dass der gewählte Alarmkanal für den jeweiligen Anwendungsfall des Verantwortlichen nach Art. 44 bis 49 DSGVO rechtmäßig ist. JJ Online weist in Anlage C aus, welche der verfügbaren Alarmkanäle Ziele außerhalb des EWR sind und auf welchem Übermittlungsmechanismus sie beruhen, um die Bewertung des Verantwortlichen zu unterstützen.

Beschränkte Kanäle. Anlage C.5 weist eine Teilmenge von Kanälen als Beschränkte Kanäle aus (derzeit: Telegram und X Corp). Beschränkte Kanäle werden nicht im Standard-Alarmkanalmenü angeboten und erfordern die in § 1.3 (b) beschriebene, kanalbezogene produktinterne Kenntnisnahme, bevor sie auf dem Konto eines Verantwortlichen aktiviert werden können. Die Ausweisung als Beschränkter Kanal spiegelt entweder (i) das Fehlen eines von der Kommission anerkannten Übermittlungsmechanismus nach Art. 46 DSGVO für den Kanal in der konkreten Bereitstellung (Telegram FZ-LLC-Bot-Alarmierung) oder (ii) die historische Volatilität des DPF-Zertifizierungsstatus des Kanalbetreibers und die daraus folgende erhöhte Abhängigkeit von einem SCC-plus-ergänzenden-Maßnahmen-Auffangmechanismus (X Corp) wider. JJ Online kann je nach Veränderung der zugrunde liegenden rechtlichen Lage zusätzliche Kanäle in die Liste der Beschränkten Kanäle aufnehmen oder aus ihr entfernen; solche Änderungen werden aktiven Verantwortlichen unter dem Aktualisierungsmechanismus für Anlage C nach § 9.3 mitgeteilt.

11. Unterstützung bei Betroffenenanfragen (Art. 12 bis 22 DSGVO)

11.1. JJ Online unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, in angemessener Weise bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte nach der DSGVO, einschließlich der Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Datenübertragbarkeit und Widerspruch.

11.2. Direkter Kontakt durch betroffene Personen. Kontaktiert eine betroffene Person JJ Online unmittelbar mit einem Antrag bezüglich Personenbezogener Kundendaten, leitet JJ Online den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn der betroffenen Person gegenüber im Übrigen nicht, abgesehen von der Empfangsbestätigung und dem Hinweis, dass der Antrag an den Verantwortlichen weitergeleitet wurde.

11.3. Self-Service im Produkt. Soweit der Dienst eingebaute Werkzeuge zur direkten Erfüllung von Anträgen betroffener Personen durch den Verantwortlichen bereitstellt (etwa Datenexport, Kontolöschung, IP-Kürzung / Pseudonymisierung für RUM-Ereignisse — in Übereinstimmung mit der Einordnung der /24-IPv4- und /48-IPv6-Kürzung als Pseudonymisierung und nicht als Anonymisierung in Anlage B, im Einklang mit der Stellungnahme 05/2014 der Art.-29-Gruppe zu Anonymisierungstechniken), wird vom Verantwortlichen erwartet, diese Werkzeuge als erste Reaktion zu nutzen. Die manuelle Unterstützung durch JJ Online steht zur Verfügung, soweit die produktinternen Werkzeuge nicht ausreichen.

11.4. Kosten. Manuelle Unterstützung, die über das hinausgeht, was nach den dokumentierten Funktionen des Dienstes in angemessener Weise verfügbar ist, kann zu angemessenen Kosten von JJ Online in Rechnung gestellt werden, außer dort, wo die dokumentierten Funktionen des Dienstes für den Antrag hätten ausreichen müssen.

12. Verletzungen des Schutzes personenbezogener Daten (Art. 33 und 34 DSGVO)

12.1. JJ Online benachrichtigt den Verantwortlichen unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem JJ Online Kenntnis von einer Verletzung des Schutzes Personenbezogener Kundendaten erlangt hat. Dieses auftragsverarbeiterseitige Zeitfenster ist bewusst innerhalb der 72-stündigen Anzeigefrist des Verantwortlichen nach Art. 33 Abs. 1 DSGVO gesetzt, damit dem Verantwortlichen genügend Zeit verbleibt, die zuständige Aufsichtsbehörde nach eigener Frist zu bewerten und zu benachrichtigen. JJ Online behandelt diese 24-Stunden-Obergrenze als feste operative Zusage, nicht als Zielwert.

12.2. Die Benachrichtigung enthält mindestens:

(a) eine Beschreibung der Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze;

(b) Name und Kontaktdaten der Anlaufstelle bei JJ Online für die Verletzung (standardmäßig die E-Mail admin@uptimia.com; bei schwerwiegenden Vorfällen kann JJ Online den Verantwortlichen an einen spezifischen Incident-Kontakt verweisen);

(c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung;

(d) eine Beschreibung der von JJ Online ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

12.3. Soweit die Informationen nicht gleichzeitig bereitgestellt werden können, können sie ohne unangemessene weitere Verzögerung schrittweise bereitgestellt werden.

12.4. JJ Online benachrichtigt Aufsichtsbehörden oder betroffene Personen nicht im Namen des Verantwortlichen — diese Pflicht nach Art. 33 Abs. 1 und Art. 34 DSGVO obliegt dem Verantwortlichen. JJ Online stellt dem Verantwortlichen die für diese Benachrichtigungen erforderlichen Informationen zur Verfügung.

13. Datenschutz-Folgenabschätzung und vorherige Konsultation (Art. 35 und 36 DSGVO)

JJ Online erhebt für die Unterstützung nach Art. 28 Abs. 3 lit. f DSGVO keine Gebühr. JJ Online unterstützt den Verantwortlichen in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit dies nach Art. 35 und Art. 36 DSGVO erforderlich ist. Die Pflicht aus Art. 28 Abs. 3 lit. f DSGVO, eine solche Unterstützung — unter Berücksichtigung der Art der Verarbeitung und der JJ Online zur Verfügung stehenden Informationen — bereitzustellen, wird als verpflichtende und uneingeschränkte Auftragsverarbeiterpflicht behandelt und gegenüber dem Verantwortlichen kostenlos erbracht. Diese Kostenfreiheitsregel gilt für den vollen Umfang der Unterstützung nach Art. 28 Abs. 3 lit. f, unabhängig davon, wie das Verlangen des Verantwortlichen formuliert ist und wie viele Klarstellungsiterationen es erfordert.

Standard-Dokumentenunterstützung (kostenfrei). JJ Online stellt als Standard auf Verlangen des Verantwortlichen bereit: (a) diese AVV, (b) Anlage B (TOM), (c) Anlage C (Unter-Auftragsverarbeiter-Liste), (d) die Uptimia-Datenschutzerklärung und Cookie-Richtlinie, (e) die kontobezogene Zusammenfassung der Verarbeitungsweisungen nach § 6.1 (e) und Anlage A.8 sowie (f) die in § 10 referenzierten Transfer-Impact-Assessment-Zusammenfassungen je Empfänger. Diese Dokumente zusammen sollen die typischen Elemente einer DSFA nach Art. 35 Abs. 7 DSGVO abdecken (Beschreibung der Verarbeitung, Eingangsdaten für die Notwendigkeits- und Verhältnismäßigkeitsbewertung, Eingangsdaten für die Risikobewertung, Schutzmaßnahmen).

Angemessene zusätzliche Unterstützung (kostenfrei). Soweit die DSFA des Verantwortlichen oder seine vorherige Konsultation nach Art. 36 in angemessener Weise spezifisch auf die Bereitstellung des Dienstes für den Verantwortlichen bezogene Unterstützung erfordern, die über die Standarddokumentation hinausgeht — zum Beispiel schriftliche Antworten auf eine begrenzte Zahl von Klarstellungsfragen, eine Erläuterung einer bestimmten TOM oder die schriftliche Bestätigung einer bestimmten Konfigurationstatsache —, stellt JJ Online diese Unterstützung als Teil seiner Pflicht aus Art. 28 Abs. 3 lit. f DSGVO kostenfrei bereit.

Aufträge außerhalb des Geltungsbereichs von Art. 28 Abs. 3 lit. f. Gebühren dürfen nur für Aufträge berechnet werden, die keine Unterstützung nach Art. 28 Abs. 3 lit. f DSGVO darstellen — d. h. für Arbeiten, die der Verantwortliche bei JJ Online über die gesetzliche DSFA-Unterstützungspflicht des Auftragsverarbeiters hinaus beauftragt.

Die Pflicht aus Art. 28 Abs. 3 lit. f knüpft an die zugrunde liegende sachliche Offenlegung an, nicht an das Ausgaberahmenwerk. Die sachliche Offenlegung, welche Personenbezogenen Kundendaten JJ Online wo, unter welchen TOM, über welche Unter-Auftragsverarbeiter und mit welchen Übermittlungsmechanismen verarbeitet, ist dieselbe Offenlegung, gleich ob der Verantwortliche die Ausgabe für eine DSGVO-DSFA, eine UK-GDPR-DSFA, eine Folgenabschätzung nach dem schweizerischen DSG, eine Kontrollnarrative nach ISO 27001, einen SOC-2-/HITRUST-Bestätigungsbericht oder ein nicht-DSGVO-Regime wie HIPAA, CCPA, LGPD oder PIPL erstellt. JJ Online berechnet für diese zugrunde liegende sachliche Offenlegung keine Gebühr, unabhängig davon, in welchem regulatorischen Rahmen der Verantwortliche sie verwenden will — soweit der Inhalt der Unterstützung das Audit-Informationspaket nach § 14.1 (a) bis (e), der Inhalt der Anlagen A / B / C dieser AVV, die Übermittlungsanalyse nach § 10, die Zusammenfassung der Verarbeitungsweisungen nach § 6.1 (e) oder jede angemessene Klarstellung dieser Inhalte ist, handelt es sich um Unterstützung nach Art. 28 Abs. 3 lit. f und sie wird kostenlos erbracht.

Gebühren dürfen nur für den inkrementellen Mehrwert berechnet werden, der wirklich außerhalb der sachlichen Offenlegungsfläche des § 14.1 (a) bis (e) liegt — namentlich:

(a) maßgeschneiderte Sicherheitsaudits, die der Verantwortliche über die nach § 14.2 bereits kostenfrei bereitgestellte Audit-Kooperation hinaus beauftragt;

(b) individuelle schriftliche Bestätigungs-/Kontrollnarrativ-Arbeit, die JJ Online für die Rahmenvorlage des Verantwortlichen erstellt (zum Beispiel das Ghostwriting eines SOC-2-Sub-processor-Kontrollnarrativs oder einer ISO-27001-Anlage-A.15-Kontrollerklärung), im Gegensatz zur zugrunde liegenden sachlichen Offenlegung;

(c) Rechtsregimezuordnungsarbeit, die über die Darstellung der sachlichen Position hinausgeht — z. B. ein schriftliches Rechtsgutachten, dass die JJ-Online-TOM eine bestimmte verwaltungsrechtliche Schutzmaßnahme der HIPAA Security Rule, eine CCPA-Service-Provider-Zusicherung, eine LGPD-Operator-Zusicherung oder eine PIPL-Entrusted-Processing-Zusicherung erfüllen, statt lediglich der Offenlegung der zugrunde liegenden TOM-Tatsachen. (Die rechtliche Schlussfolgerung ziehen die Berater des Verantwortlichen; die kostenpflichtige Tätigkeit von JJ Online besteht in der Erstellung des Gutachtens, nicht in der sachlichen Offenlegung.)

Ob ein konkretes Verlangen innerhalb oder außerhalb des Geltungsbereichs von Art. 28 Abs. 3 lit. f liegt, wird im Zweifel zugunsten des Verantwortlichen entschieden — insbesondere ist die Unterstützung eines Verantwortlichen, der selbst einem regulatorischen Regime außerhalb des Geltungsbereichs der DSGVO / UK GDPR / DSG unterliegt, dann Unterstützung nach Art. 28 Abs. 3 lit. f und wird kostenfrei erbracht, wenn das Verlangen durch die obige sachliche Offenlegungsfläche erfüllt werden kann, unabhängig vom Rahmenwerk, in dem der Verantwortliche die Ausgabe erstellt. Jeder gebührenpflichtige Auftrag außerhalb des Geltungsbereichs wird vor Arbeitsbeginn schriftlich angeboten, zu angemessenen Kosten von JJ Online berechnet, und der Verantwortliche hat die Möglichkeit zur Ablehnung. Die Ablehnung eines gebührenpflichtigen Auftrags außerhalb des Geltungsbereichs verzichtet auf die Pflicht aus Art. 28 Abs. 3 lit. f hinsichtlich der zugrunde liegenden DSFA, vorherigen Konsultation oder sachlichen Offenlegung nicht und schränkt sie nicht ein.

14. Auditrechte (Art. 28 Abs. 3 lit. h DSGVO)

14.1. Audit-Informationen. JJ Online stellt dem Verantwortlichen auf schriftliches Verlangen die Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO und in dieser AVV niedergelegten Pflichten erforderlich sind. Die Standardform der Audit-Informationen ist:

(a) diese AVV einschließlich ihrer aktuellen Anlagen;

(b) die Uptimia-Datenschutzerklärung und Cookie-Richtlinie;

(c) die aktuelle Unter-Auftragsverarbeiter-Liste (Anlage C);

(d) Zusammenfassungen aller unabhängigen Drittparteien-Auditberichte, die JJ Online im Hinblick auf die Infrastruktur des Dienstes vorliegen (soweit verfügbar — der Dienst ist derzeit nicht SOC-2- / ISO-27001-zertifiziert; JJ Online stellt gleichwertige Selbstbewertungszusammenfassungen auf Anfrage zur Verfügung);

(e) Weisungsdokumentation nach Art. 28 Abs. 3 lit. a — für das Konto des Verantwortlichen die mit Zeitstempel versehene Aufzeichnung (i) der zuvor nach § 6.1 (e) und Anlage A.8 erstellten Versionen der Zusammenfassung der Verarbeitungsweisungen sowie (ii) der nach § 1.3 (b), § 10.5 und Anlage C.5.2 eingeholten Kenntnisnahmen für Beschränkte Kanäle. JJ Online erstellt diese Aufzeichnung auf Verlangen des Verantwortlichen oder einer Aufsichtsbehörde als Nachweis nach Art. 5 Abs. 2 für die dokumentierten Weisungen des Verantwortlichen.

14.2. Audit vor Ort. Soweit die in § 14.1 dargestellten Standard-Audit-Informationen zum Nachweis der Einhaltung nicht ausreichen, kann der Verantwortliche (oder ein von ihm beauftragter unabhängiger Prüfer, der nach billigem Ermessen für JJ Online akzeptabel ist) Audits einschließlich Inspektionen in den Räumlichkeiten von JJ Online durchführen, vorbehaltlich folgender Bedingungen:

(a) Audits finden standardmäßig höchstens einmal in einem rollierenden Zwölfmonatszeitraum statt (diese Standardregelung schränkt das Recht des Verantwortlichen aus Art. 28 Abs. 3 lit. h DSGVO nicht ein und unterliegt den nachfolgenden (i) bis (iii)). Weitere Audits innerhalb desselben rollierenden Zwölfmonatszeitraums können durchgeführt werden, soweit der Verantwortliche einen begründeten Bedarf in Bezug auf den Schutz Personenbezogener Kundendaten nachweist — ohne Einschränkung dort, wo (i) eine wesentliche Verletzung des Schutzes Personenbezogener Kundendaten eingetreten ist, (ii) eine zuständige Aufsichtsbehörde dem Verantwortlichen oder JJ Online eine Weisung, ein Verlangen oder eine Anordnung erteilt hat, die in angemessener Weise ein weiteres Audit erfordert, oder (iii) der Verantwortliche eine konkrete Feststellung identifiziert hat (sei es aus einem früheren Audit, aus den Standard-Audit-Informationen nach § 14.1, aus einer Offenlegung eines Unter-Auftragsverarbeiters, aus einer aufsichtsbehördlichen Maßnahme gegen JJ Online oder einen anderen Kunden oder aus einer externen Quelle), deren Verifizierung in angemessener Weise ein wiederkehrendes Audit erfordert. JJ Online lehnt ein durch einen solchen begründeten Bedarf gestütztes Verlangen nach einem wiederkehrenden Audit nicht ab, und Meinungsverschiedenheiten darüber, ob die Schwelle erreicht ist, werden im Zweifel zugunsten des Verantwortlichen gelöst;

(b) der Verantwortliche kündigt das Audit mit einer Frist von mindestens 30 Kalendertagen schriftlich an;

(c) Audits werden während der normalen Geschäftszeiten von JJ Online und in einer Weise durchgeführt, die den Geschäftsbetrieb von JJ Online nicht unangemessen beeinträchtigt;

(d) der Prüfer ist durch angemessene Vertraulichkeitsverpflichtungen gebunden, die den Auditprozess und die Feststellungen abdecken;

(e) der Verantwortliche trägt seine eigenen Auditkosten; JJ Online trägt seine eigenen internen Kosten für die Kooperation im Audit;

(f) das Audit erstreckt sich nicht auf Informationen über andere Kunden von JJ Online, Infrastruktur oder kommerzielle Informationen, die für den erklärten Zweck des Audits nicht relevant sind, oder auf Daten, die sich nicht auf den Verantwortlichen beziehen. Soweit JJ Online beabsichtigt, eine bestimmte Information auf Grundlage dieses Absatzes zurückzuhalten, bezeichnet JJ Online den zurückgehaltenen Gegenstand mit hinreichender Genauigkeit, damit der Verantwortliche die Zurückhaltung bewerten kann; Meinungsverschiedenheiten darüber, ob der Gegenstand für den erklärten Zweck des Audits relevant ist, werden im Zweifel zugunsten des Verantwortlichen gelöst.

14.3. Audits bei Unter-Auftragsverarbeitern. Soweit das Auditrecht des Verantwortlichen in angemessener Weise auf einen Unter-Auftragsverarbeiter ausgedehnt werden kann, stellt JJ Online entweder (a) die relevanten Audit-Informationen des Unter-Auftragsverarbeiters aus seinen eigenen Aufzeichnungen bereit oder (b) unterstützt den Verantwortlichen auf zumutbares Verlangen bei der Ausübung der Auditrechte, die der eigene AVV von JJ Online mit dem Unter-Auftragsverarbeiter dem Verantwortlichen einräumt.

14.4. Zusammenarbeit mit Aufsichtsbehörden — einschließlich der federführenden Behörde des Verantwortlichen nach Art. 56 DSGVO. JJ Online wirkt auf Anfrage mit jeder zuständigen Aufsichtsbehörde in Bezug auf die Verarbeitung Personenbezogener Kundendaten durch JJ Online unter dieser AVV zusammen. Die zuständige Aufsichtsbehörde ist nicht auf die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) als federführende Behörde von JJ Online nach Art. 56 Abs. 1 DSGVO beschränkt (sowie als für Anlage I zu den SCC nach Anlage D.2 benannte Behörde). Insbesondere, soweit der Verantwortliche eine grenzüberschreitende Verarbeitung im Sinne von Art. 4 Nr. 23 DSGVO durchführt und eine eigene federführende Aufsichtsbehörde nach Art. 56 Abs. 1 DSGVO benannt hat, gilt:

(a) JJ Online wirkt mit dieser federführenden Behörde des Verantwortlichen sowie mit jeder betroffenen Aufsichtsbehörde im Sinne von Art. 4 Nr. 22 DSGVO über den One-Stop-Shop-Mechanismus des Art. 60 DSGVO bei Verlangen in angemessener Weise im Zusammenhang mit der Verarbeitung Personenbezogener Kundendaten dieses Verantwortlichen zusammen — ohne dass das Verlangen zunächst über die BlnBDI geleitet werden müsste;

(b) JJ Online stellt dieser Behörde auf zumutbares Verlangen und vorbehaltlich anwendbarer Vertraulichkeitspflichten dieselben Kategorien von Audit-Informationen nach § 14.1 (a) bis (e) sowie dieselbe Vor-Ort-Audit-Kooperation nach § 14.2 zur Verfügung, die dem Verantwortlichen selbst zur Verfügung stünden; und

(c) JJ Online benachrichtigt den Verantwortlichen unverzüglich schriftlich über jeden direkten Kontakt, jedes Verlangen, jede Weisung oder jede Anordnung, die JJ Online von einer Aufsichtsbehörde im Zusammenhang mit der Verarbeitung Personenbezogener Kundendaten dieses Verantwortlichen erhält, es sei denn, die Weisung der Behörde oder das anwendbare Recht verbietet eine solche Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses. Soweit JJ Online einem solchen Verbot unterliegt, ficht JJ Online das Verbot auf den rechtlich verfügbaren Wegen an und benachrichtigt den Verantwortlichen, sobald das Verbot aufgehoben ist.

Dieser § 14.4 verdrängt die Rolle der BlnBDI als federführender Aufsichtsbehörde von JJ Online für Zwecke der Anlage I zu den SCC nach Anlage D.2 nicht und verdrängt die eigene Pflicht des Verantwortlichen, sich unmittelbar mit seiner federführenden Behörde abzustimmen, nicht. Er ist ein paralleler Kooperationskanal, der dem One-Stop-Shop-Mechanismus der Art. 56 und 60 DSGVO im Hinblick auf die auftragsverarbeiterseitige Kooperationspflicht von JJ Online nach Art. 28 DSGVO Geltung verschafft.

15. Behandlung der Daten nach Vertragsende (Art. 28 Abs. 3 lit. g DSGVO)

15.1. Nach Beendigung des Abonnements des Verantwortlichen wird JJ Online nach Wahl des Verantwortlichen, die innerhalb von 30 Kalendertagen nach Beendigung auszuüben ist:

(a) Personenbezogene Kundendaten zurückgeben an den Verantwortlichen in einem strukturierten, gängigen und maschinenlesbaren Format über die Exportwerkzeuge des Dienstes. Der Verantwortliche übt die Rückgabeoption aus, indem er den Export innerhalb des 30-Kalendertage-Zeitfensters über die Exportwerkzeuge des Dienstes anstößt und abschließt. Nach Ablauf des 30-Kalendertage-Zeitfensters erlischt die Rückgabeoption, und JJ Online geht zur Löschung nach (b) über; oder

(b) Personenbezogene Kundendaten in den Produktionssystemen löschen.

Verlängerung auf begründetes Verlangen. Hat der Verantwortliche JJ Online innerhalb des 30-Kalendertage-Zeitfensters schriftlich mitgeteilt, dass er die Rückgabeoption gewählt hat, aber für den Abschluss des Exports in angemessener Weise zusätzliche Zeit benötigt (etwa wegen der Datensatzgröße oder einer Integrationsbeschränkung auf Seiten des Verantwortlichen), vereinbaren JJ Online und der Verantwortliche nach Treu und Glauben eine angemessene Verlängerung, die — außer in Ausnahmefällen — weitere 30 Kalendertage nicht überschreitet. Bis zum Ablauf der Verlängerung erlischt die Rückgabeoption nicht, und die Löschung nach (b) wird ausgesetzt.

15.2. Standardverhalten. Übt der Verantwortliche die Rückgabeoption innerhalb des 30-Kalendertage-Zeitfensters nach § 15.1 (oder innerhalb einer nach § 15.1 vereinbarten Verlängerung) nicht aus, geht JJ Online ohne weitere Benachrichtigung oder Weisung des Verantwortlichen zur Löschung nach § 15.1 (b) über.

15.3. Backups. Personenbezogene Kundendaten können in den verschlüsselten Backups von JJ Online für das rollierende 14-Tage-Backup-Rotationsfenster verbleiben, bevor sie durch den Rotationszyklus überschrieben werden. Während dieses Restzeitraums werden die Daten nicht aktiv verarbeitet und bestehen nur als eingefrorener Disaster-Recovery-Snapshot. Die Kombination aus kurzem rollierenden Fenster, fehlender aktiver Verarbeitung während dieses Fensters und dem unten beschriebenen Schritt der erneuten Löschung beim Restore ist mit der gefestigten aufsichtsbehördlichen Praxis zu Backups nach Art. 17 Abs. 1 und Abs. 3 DSGVO vereinbar. JJ Online führt ein internes Backup-Register, das die in den Geltungsbereich fallenden Systeme (Anwendungsdatenbank auf OVH Frankreich, Zeitreihen-Datenbank auf OVH Frankreich, AWS-S3-Frankfurt-Blobs), die Rotationspolitik, den Speicherort, die Zugriffskontrollen und den unten beschriebenen Re-Löschungs-Runbook dokumentiert. Wenn JJ Online aus einem Backup wiederherstellt, das vor einem vom Verantwortlichen oder einer betroffenen Person erhaltenen Löschverlangen liegt, wird die ursprüngliche Löschung innerhalb von 72 Stunden nach Abschluss des Restores erneut angewandt — und, soweit der Restore das System für die aktive Verarbeitung wieder online bringt, bevor das wiederhergestellte System für Benutzer- oder Verantwortlichen-Verkehr geöffnet wird — sodass gelöschte Personenbezogene Kundendaten nicht erneut in die aktive Verarbeitung gelangen. Die 72-Stunden-Obergrenze ist die äußere Audit-Zusage; im Normalbetrieb läuft das Replay der erneuten Löschung als erster skriptierter Schritt nach dem Restore und ist in Minuten, nicht in Stunden abgeschlossen. Das Backup-Register hält für jeden Produktions-Restore fest: (i) den Zeitpunkt, zu dem der Restore abgeschlossen war, (ii) den Zeitpunkt, zu dem das Replay des Löschprotokolls abgeschlossen war, und (iii) die Bestätigung, dass zwischen (i) und (ii) kein Benutzer- oder Verantwortlichen-Verkehr in das wiederhergestellte System zugelassen wurde. Der Re-Löschungs-Runbook selbst, das Backup-Register und die Restore-bezogenen Aufzeichnungen (i) bis (iii) unterliegen dem Auditrecht nach § 14 — JJ Online erstellt sie auf Verlangen des Verantwortlichen oder einer Aufsichtsbehörde als Teil des Standard-Audit-Informationspakets nach § 14.1 und sie fallen in den Geltungsbereich des Vor-Ort-Audits nach § 14.2, soweit das Standardpaket zum Nachweis der Einhaltung nicht ausreicht.

15.4. Gesetzliche Aufbewahrungspflichten. Ungeachtet § 15.1 bis 15.3 kann JJ Online Personenbezogene Kundendaten aufbewahren, soweit eine Aufbewahrung nach Unionsrecht oder dem Recht eines Mitgliedstaats erforderlich ist, insbesondere nach deutschem Steuer- und Handelsrecht (§ 147 AO und § 257 HGB in ihrer jeweils geltenden Fassung sowie die entsprechenden Vorschriften zur Aufbewahrung umsatzsteuerlicher Rechnungen nach § 14b UStG). Die nach diesen Vorschriften zum Versionsdatum dieser AVV anwendbaren Aufbewahrungsfristen betragen acht Jahre für Rechnungen und Buchungsbelege sowie zehn Jahre für Bücher, Jahresabschlüsse und konsolidierte Abschlüsse (jeweils mit Verankerung am Ende des Kalenderjahres). Solche aufbewahrten Daten werden nicht über das zum Zweck der gesetzlichen Aufbewahrung Erforderliche hinaus aktiv verarbeitet.

16. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)

JJ Online führt ein schriftliches Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden, und stellt dieses Verzeichnis dem Verantwortlichen und Aufsichtsbehörden auf Verlangen zur Verfügung, wie nach Art. 30 Abs. 2 DSGVO vorgeschrieben. Das Verzeichnis enthält die Elemente nach Art. 30 Abs. 2 lit. a bis d wie folgt:

(a) Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, für den der Auftragsverarbeiter tätig ist, sowie gegebenenfalls eines Vertreters des Auftragsverarbeiters und eines Datenschutzbeauftragten — Identität und Kontaktdaten von JJ Online stehen in der Präambel und in Anlage E; der Verantwortliche ist durch den im Auftrag des Verantwortlichen geführten Kontodatensatz identifiziert; JJ Online hat keinen Vertreter nach Art. 27 DSGVO (Verantwortlicher und Auftragsverarbeiter sind beide im EWR niedergelassen); JJ Online hat keinen Datenschutzbeauftragten nach § 38 Abs. 1 BDSG benannt (siehe Anlage E). (b) Kategorien der im Auftrag des jeweiligen Verantwortlichen durchgeführten Verarbeitungen — dargestellt in Anlage A (insbesondere Anlage A.3 Art/Zweck und Anlage A.4 Datenkategorien). (c) Soweit anwendbar, Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie, im Fall der in Art. 49 Abs. 1 Unterabsatz 2 genannten Übermittlungen, die Dokumentierung geeigneter Garantien — dargestellt in § 10 und Anlage C (Standort des Unter-Auftragsverarbeiters und Übermittlungsmechanismus je Unter-Auftragsverarbeiter) sowie Anlage D (SCC-Einbeziehung und ergänzende Maßnahmen). (d) Soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Art. 32 Abs. 1 — dargestellt in Anlage B.

Die Anlagen A, B, C und D bilden daher den konstitutiven Inhalt des Verzeichnisses nach Art. 30 Abs. 2 für den Dienst.

17. Haftung

17.1. Die Haftung jeder Partei aus dieser AVV unterliegt den Haftungsbestimmungen der § 19 bis 20 der AGB.

17.2. Zwingende, nicht ausschließbare Haftung. Diese AVV beschränkt oder schließt keine Haftung aus, die nach anwendbarem Recht nicht beschränkt oder ausgeschlossen werden kann. Dies umfasst ohne Einschränkung:

(a) Art. 82 DSGVO (Recht auf Schadenersatz der betroffenen Person) — die Begrenzung und jede Einschränkung in diesem § 17 gilt nicht für die Haftung von JJ Online nach Art. 82 DSGVO für Schäden, die betroffenen Personen durch eine eigene, gegen die DSGVO verstoßende Verarbeitung von JJ Online entstanden sind, soweit die Begrenzung die praktische Wirksamkeit (effet utile) von Art. 82 beeinträchtigen würde;

(b) § 309 Nr. 7 BGB und die Kardinalpflichten-Rechtsprechung — nach den Maßstäben von § 309 Nr. 7 Buchst. a und b BGB in Verbindung mit § 307 Abs. 1 und Abs. 2 Nr. 1 und Nr. 2 BGB (die der BGH über die Indizwirkung der §§ 308 / 309 BGB auch auf B2B-AGB anwendet) gilt die Begrenzung und jede Einschränkung in diesem § 17 nicht für (i) Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit (Körper- und Gesundheitsschäden), (ii) Schäden, die auf Vorsatz oder grober Fahrlässigkeit von JJ Online oder ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen, oder (iii) die Verletzung einer Kardinalpflicht (Kardinalpflicht / vertragswesentliche Pflicht — eine Pflicht, deren Erfüllung die ordnungsgemäße Durchführung dieser AVV überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertrauen darf); in der Kardinalpflicht-Konstellation bei einfacher Fahrlässigkeit ist die Haftung von JJ Online nicht unbegrenzt, sondern auf den vorhersehbaren, vertragstypischen Schaden nach der ständigen Formulierung des BGH begrenzt;

(c) Produkthaftungsgesetz (ProdHaftG) — zwingende produkthaftungsrechtliche Ansprüche; und

(d) jede andere Haftung, die nach zwingendem Unionsrecht oder mitgliedstaatlichem Recht, das auf die Parteien oder die Verarbeitung anwendbar ist, nicht beschränkt oder ausgeschlossen werden kann.

17.3. Haftungsbegrenzung (vorbehaltlich § 17.2). Soweit nach anwendbarem Recht zulässig und vorbehaltlich der Ausnahmen in § 17.2 ist die aggregierte Haftung von JJ Online aus dieser AVV in jedem rollierenden Zwölfmonatszeitraum auf die Gebühren begrenzt, die der Verantwortliche in diesem rollierenden Zwölfmonatszeitraum tatsächlich an JJ Online für den Dienst gezahlt hat. Diese Begrenzung ist in dieser AVV eigenständig festgelegt und hängt nicht von Bestehen, Inhalt oder Fortgeltung einer Bestimmung der AGB ab. Soweit § 19 der AGB eine parallele Haftungsbegrenzung enthält, gilt die Begrenzung dieses § 17.3 unabhängig für Ansprüche aus dieser AVV; im unwahrscheinlichen Fall einer Abweichung zwischen den beiden gilt für Ansprüche aus dieser AVV die Begrenzung dieses § 17.3 (d. h. die im betreffenden rollierenden Zwölfmonatszeitraum tatsächlich gezahlten Gebühren).

Bezugszeitraum, wenn noch keine vollen zwölf Monate an Gebühren angefallen sind. Bestand das Abonnement des Verantwortlichen zum Zeitpunkt des Anspruchs weniger als zwölf Monate, ist der Bezugszeitraum der Zeitraum zwischen Beginn des Abonnements und dem Datum des Anspruchs, und die Begrenzung entspricht den vom Verantwortlichen in diesem kürzeren Zeitraum tatsächlich gezahlten Gebühren. Wurden keine Gebühren gezahlt (z. B. während einer kostenlosen Testphase), wird die Begrenzung auf die Gebühren festgesetzt, die unter dem dann geltenden Tarif des Verantwortlichen über einen Zwölfmonatszeitraum zum am Datum des Anspruchs anwendbaren Listenpreis angefallen wären, damit die Begrenzung unter der engen Prüfung nach § 17.2 ein bestimmter Betrag bleibt und nicht auf null fällt.

Fortgeltung der Begrenzung. Dieser § 17.3 überdauert jede Beendigung, Änderung oder Unwirksamkeit der AGB, soweit § 18.2 dieser AVV die Geltung von § 17 erhält.

Neufassung der Ausnahmen. Soweit die Begrenzung in einer konkreten Anspruchssituation, wie oben angewandt, nach § 17.2 (a) (effet utile des Art. 82 DSGVO) oder § 17.2 (b) (Körper-/Gesundheitsschäden / Vorsatz / grobe Fahrlässigkeit / Kardinalpflichten) unwirksam wäre, gilt die Begrenzung für diesen Anspruch nicht, und die Haftung von JJ Online für diesen Anspruch bestimmt sich nach dem anwendbaren gesetzlichen Regime (Art. 82 DSGVO, §§ 280, 241, 249 ff. BGB, ProdHaftG oder einer sonstigen anwendbaren zwingenden Vorschrift), vorbehaltlich — in der Kardinalpflicht-/einfache-Fahrlässigkeit-Konstellation nach § 17.2 (b)(iii) — der dort genannten Obergrenze des vorhersehbaren, vertragstypischen Schadens.

18. Laufzeit und Beendigung

18.1. Diese AVV tritt mit dem Tag in Kraft, an dem der Verantwortliche die AGB annimmt, und gilt für die Dauer des Uptimia-Abonnements des Verantwortlichen zuzüglich der in § 15 dargestellten Nachlauffristen.

18.2. §§ 14 (Auditrechte), 15 (Behandlung der Daten nach Vertragsende), 16 (Verzeichnis der Verarbeitungstätigkeiten) und 17 (Haftung) gelten nach Beendigung so lange fort, wie es zur Wirksamkeit der dort enthaltenen Pflichten erforderlich ist.

19. Rangfolge

Im Fall eines Konflikts zwischen dieser AVV, den AGB und einem aus einer dieser Quellen referenzierten weiteren Dokument gilt die folgende Rangfolge (von oben nach unten):

  1. jede datenschutzspezifische Bestimmung, die durch Anordnung einer Aufsichtsbehörde oder durch Datenschutzgesetze vorgeschrieben ist;
  2. die Standardvertragsklauseln, soweit sie nach § 10.3 und Anlage D durch Verweis einbezogen sind, in Bezug auf jede von ihnen erfasste Übermittlung;
  3. diese AVV einschließlich ihrer Anlagen;
  4. die AGB;
  5. die Uptimia-Datenschutzerklärung.

Zur Klarstellung: die obige Rangfolge spiegelt Klausel 5 der Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) wider, wonach die SCC zwischen den Parteien jener SCC-Übermittlung Vorrang vor abweichenden Bestimmungen verwandter Vereinbarungen haben. Soweit eine Bestimmung dieser AVV mit den SCC im Hinblick auf eine SCC-geregelte Übermittlung in Konflikt steht, haben die SCC Vorrang.

20. Schlussbestimmungen

20.1. Anwendbares Recht und Gerichtsstand. Diese AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Streitigkeiten unterliegen den Gerichtsstandsbestimmungen des § 25 der AGB mit der Maßgabe, dass für Angelegenheiten, die unter die DSGVO / UK GDPR / das DSG fallen, der zwingende gesetzliche Gerichtsstand der betroffenen Person nach Art. 79 DSGVO erhalten bleibt.

20.2. Maßgebliche Sprache. Diese AVV wird auf Englisch als maßgeblicher Sprache veröffentlicht. Übersetzungen sind informatorischer Natur; im Konfliktfall gilt die englische Fassung.

20.3. Salvatorische Klausel. Soweit eine Bestimmung dieser AVV unwirksam, rechtswidrig oder undurchsetzbar ist, bleiben die übrigen Bestimmungen vollumfänglich in Kraft, und die Parteien ersetzen die unwirksame Bestimmung durch eine solche, die den verfolgten Zweck nach Möglichkeit erreicht.

20.4. Aktualisierungen. JJ Online kann diese AVV aktualisieren, um (a) Änderungen der Datenschutzgesetze, (b) Änderungen der Infrastruktur des Dienstes oder der Unter-Auftragsverarbeiter-Liste, (c) Leitlinien der Aufsichtsbehörden oder (d) operative Anforderungen abzubilden, die das dem Verantwortlichen gewährte Schutzniveau nicht wesentlich verringern. Wesentliche Änderungen werden dem Verantwortlichen mindestens 30 Kalendertage im Voraus mitgeteilt.

Vermutet wesentliche Änderungen. Die folgenden Kategorien von Änderungen sind vermutet wesentlich im Sinne dieses § 20.4 — d. h. JJ Online behält keine Einschätzungsbefugnis darüber, diese als nicht wesentlich einzustufen, und die 30-Tage-Mitteilungspflicht, die 14-Tage-Widerspruchsfrist sowie das nachfolgende Widerspruchs- und Kündigungsrecht gelten automatisch:

(i) Änderung des Standorts eines Unter-Auftragsverarbeiters — jede Änderung des Landes oder der Region, von dem aus ein Unter-Auftragsverarbeiter (Anlage C) Personenbezogene Kundendaten verarbeitet, einschließlich einer Änderung der Unter-Unter-Auftragsverarbeitungskette, die ein neues Drittland oder eine neue Verarbeitungsregion im Sinne von § 9.3 einführt;

(ii) Änderung des angewandten Mechanismus für die rechtmäßige Übermittlung für jede Übermittlung Personenbezogener Kundendaten außerhalb des EWR (z. B. Wechsel vom EU-US DPF zu SCC plus ergänzenden Maßnahmen, Hinzunahme einer Ausnahme nach Art. 49 DSGVO als operativem Mechanismus für eine Kategorie von Übermittlungen, Umstrukturierung einer SCC-Modulzuordnung nach Anlage D);

(iii) Änderung der Kategorien beauftragter Unter-Auftragsverarbeiter (z. B. Einführung einer neuen funktionalen Kategorie in Anlage C oder Hinzunahme eines Unter-Auftragsverarbeiters in einem Land oder unter einem Konzernverbund, das/der zuvor nicht in Anlage C vertreten war);

(iv) Hinzufügung oder Ersetzung eines Unter-Auftragsverarbeiters, wie bereits in § 9.3 geregelt (dieser § 20.4 (iv) dient der Klarstellung — es gilt der dedizierte Mechanismus des § 9.3 mit der Drei-Mittel-Auswahl nach § 9.4);

(v) Verringerung der technischen und organisatorischen Maßnahmen nach Anlage B — einschließlich einer Herabsetzung einer Verschlüsselungs-im-Ruhezustand- oder In-Transit-Position, einer Reduzierung des Zugriffskontrollregimes, einer Lockerung der EU-Primär-Verarbeitungsstandort-Eigenschaft nach § 10.1, einer Reduzierung der Eigenschaft der ephemeren Verarbeitung der Probe-Schicht nach B.6 oder einer Lockerung einer sonstigen TOM, auf die sich die Beschreibung der Anlage B stützt;

(vi) Änderung der Aufbewahrungsdauer für eine Kategorie Personenbezogener Kundendaten nach Anlage A.9, die die Dauer verlängert, die zur Aufbewahrung herangezogenen Kategorien erweitert oder den Speicherort ändert (parallel zu § 20.5);

(vii) Änderung des Benachrichtigungszeitfensters bei Datenschutzverletzungen nach § 12 gegenüber der 24-Stunden-Zusage oder eine gleichwertige Lockerung des Unterstützungsregimes nach § 12;

(viii) Änderung der Kategorien verarbeiteter Personenbezogener Kundendaten über das in Anlage A.4 Dargestellte hinaus oder Änderung der Kategorien betroffener Personen über das in Anlage A.5 Dargestellte hinaus;

(ix) Einschränkung eines Rechts des Verantwortlichen aus dieser AVV — einschließlich einer Einengung des Auditrechts nach § 14, des DSFA-Unterstützungsregimes nach § 13, des Unterstützungsregimes für Betroffenenrechte nach § 11, des Löschungs-bei-Beendigung-Regimes nach § 15 oder der SCC- / Art.-26-Auffangregime nach § 5.3 und Anlage D;

(x) Änderung des Verantwortlichen von JJ Online im Sinne von Art. 4 Nr. 7 DSGVO (z. B. eine konzerninterne Umstrukturierung innerhalb der JJ-Online-Gruppe, die die vertragsschließende Stelle für Personenbezogene Kundendaten ändert); und

(xi) jede andere Kategorie von Änderung, die eine zuständige Aufsichtsbehörde für die Zwecke des Art. 28 DSGVO als wesentlich behandeln soll.

Diese Aufzählung ist vermutet wesentlich, aber nicht abschließend — andere Änderungen können nach dem unten dargestellten allgemeinen Maßstab ebenfalls wesentlich sein.

Widerspruchs- und Kündigungsrecht des Verantwortlichen bei wesentlichen Änderungen. Soweit eine mitgeteilte Änderung nach (i) bis (xi) als vermutet wesentlich gilt oder andernfalls wesentlich ist — d. h. soweit sie den Schutz Personenbezogener Kundendaten, die Rechte betroffener Personen, den Verarbeitungsort, die Kategorien von Unter-Auftragsverarbeitern, den angewandten Mechanismus der rechtmäßigen Übermittlung oder die zugrunde gelegten technischen oder organisatorischen Maßnahmen in angemessener Weise berührt —, kann der Verantwortliche aus berechtigten, dem Schutz Personenbezogener Kundendaten dienenden Gründen innerhalb von 14 Kalendertagen nach Erhalt der Mitteilung widersprechen. Erhebt der Verantwortliche einen begründeten Widerspruch, wirken die Parteien nach Treu und Glauben zusammen, um eine Lösung zu finden. Lässt sich keine für beide Parteien akzeptable Lösung erreichen, kann der Verantwortliche den betroffenen Teil des Dienstes nach § 23 der AGB mit anteiliger Rückerstattung etwaiger vorausgezahlter Gebühren, die auf den ungenutzten Teil der betroffenen Periode entfallen, vor Wirksamwerden der Änderung kündigen. Nicht wesentliche Aktualisierungen — zum Beispiel redaktionelle Korrekturen, Neufassungen bestehender Rechtslage oder Änderungen, die die Schutzwirkung ausschließlich verbessern — begründen kein Kündigungsrecht.

Zweifelsfallregel zur Wesentlichkeit. Soweit ein angemessener Zweifel besteht, ob eine konkrete Änderung wesentlich ist, gilt die Änderung als wesentlich, und die Mitteilung, Widerspruchs- und Kündigungsregelung nach § 20.4 findet Anwendung. Der Verantwortliche kann jederzeit nach Mitteilung einer von JJ Online als nicht wesentlich eingestuften Änderung verlangen, dass JJ Online die Einstufung unter Angabe von Gründen erneut prüft; JJ Online antwortet auf ein solches Verlangen schriftlich innerhalb von zehn (10) Werktagen, und Meinungsverschiedenheiten über die Wesentlichkeit werden im Zweifel zugunsten des Verantwortlichen gelöst.

20.5. Aufbewahrungsplan — Durchwirken von Änderungen der Datenschutzerklärung. Eine Änderung des § 11 der Uptimia-Datenschutzerklärung (privacy.en.md), die für eine Kategorie Personenbezogener Kundendaten im Sinne dieser AVV die Aufbewahrungsdauer verlängert, die der Aufbewahrung unterliegenden Kategorien erweitert oder den Speicherort ändert, gilt als wesentliche Änderung dieser AVV nach § 20.4 und wird aktiven Verantwortlichen nach dem Zeitplan des § 20.4 mit der Widerspruchs- und Kündigungsregelung des § 20.4 mitgeteilt. JJ Online veröffentlicht in derselben Mitteilung die entsprechende Anpassung der Anlage A.9. Änderungen der Datenschutzerklärung, die die Aufbewahrungsdauer ausschließlich verkürzen oder die Schutzwirkung für die in Anlage A.9 aufgeführten Kategorien ausschließlich verbessern, sind nach § 20.4 nicht wesentlich und können mit Veröffentlichung wirksam werden; sie werden gleichwohl zur Transparenz in der nächsten Revision dieser AVV und der Anlage A.9 abgebildet.

Anlage A — Gegenstand, Art, Zweck, Datenkategorien, betroffene Personen

A.1 Gegenstand der Verarbeitung

Die Verarbeitung personenbezogener Daten durch JJ Online im Auftrag des Verantwortlichen im Rahmen der Erbringung des Uptimia-Beobachtbarkeitsdienstes.

A.2 Dauer der Verarbeitung

Die Dauer des Abonnements des Verantwortlichen für den Dienst zuzüglich der in § 15 dargestellten Nachlauffristen.

A.3 Art und Zweck der Verarbeitung

Verarbeitungstätigkeit Zweck
Verfügbarkeitsüberwachung (HTTP/HTTPS-, ICMP-, TCP-Checks) Erkennung von Verfügbarkeitsvorfällen auf vom Verantwortlichen überwachten Ressourcen
Seitengeschwindigkeitsüberwachung (Real Chrome auf URLs des Verantwortlichen) Leistungsmessung und Trendanalyse
Real User Monitoring (RUM) über vom Verantwortlichen eingesetztes Skript Seitenladekennzahlen und JavaScript-Fehlersichtbarkeit aus dem Besucherverkehr des Verantwortlichen
Transaktionsüberwachung (synthetische mehrstufige Browser-Flows) Funktionale Health-Checks für Workflows des Verantwortlichen
Domain- und SSL-Ablaufüberwachung Lifecycle-Alarme
Mixed-Content- und Content-Change-Überwachung Erkennung von Konfigurationsabweichungen
Alarmzustellung an vom Verantwortlichen konfigurierte Kanäle Operative Benachrichtigung bei Vorfällen
Veröffentlichung von Statusseiten Öffentliche Kommunikation von Vorfällen
API-Zugriff Programmatischer Abruf der Überwachungsdaten des Verantwortlichen

A.4 Arten Personenbezogener Kundendaten

Je nach Nutzung des Dienstes durch den Verantwortlichen können die folgenden Kategorien Personenbezogener Kundendaten verarbeitet werden:

(a) Antwort-Payloads authentifizierter HTTP-Checks. Soweit der Verantwortliche einen Monitor mit Authentifizierungs-Zugangsdaten gegen einen Endpunkt konfiguriert, der im Antwort-Body personenbezogene Daten zurückgibt, wird diese Antwort für die zur Verfügbarkeitsbewertung erforderliche Dauer erfasst und sodann für die dauerhafte Aufzeichnung gekürzt oder gehasht.

(b) Transaktions-Monitoring-Screenshots. Jeder Schritt einer vom Verantwortlichen konfigurierten Transaktion wird als Screenshot erfasst. Screenshots können auf dem Bildschirm sichtbare personenbezogene Daten enthalten (z. B. Benutzernamen, E-Mail-Adressen, in der Anwendungs-UI sichtbare Kontodetails).

(c) RUM-Ereignis-Payloads. Seitenladekennzahlen, Browser-/Geräteinformationen, geografische Herkunft, JavaScript-Fehlerkontext und Besucher-IP-Adressen (auf /24 IPv4 und /48 IPv6 vor der Speicherung gekürzt). Der Besucher, dessen Daten erfasst werden, ist der Website-Besucher des Verantwortlichen, nicht ein Uptimia-Abonnent.

(d) E-Mail-Adressen für Statusseiten-Vorfallabonnements. Soweit die Statusseite des Verantwortlichen Besuchern den Abonnementbezug von Vorfallbenachrichtigungen ermöglicht, wird die E-Mail-Adresse des Abonnenten für die Dauer des Abonnements verarbeitet.

(e) Alarm-Payload-Metadaten. Monitorname, Zeitstempel des Checks, Antwortstatus und (soweit vom Verantwortlichen aktiviert) Auszüge aus dem Antwort-Body, die an die vom Verantwortlichen konfigurierten Alarmkanäle übermittelt werden.

Der Verantwortliche erkennt an, dass JJ Online nicht eigenständig feststellen kann, ob eine überwachte Antwort oder ein Transaktions-Screenshot personenbezogene Daten, besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten von Kindern (Art. 8 DSGVO) enthält. Der Verantwortliche ist für die Rechtmäßigkeit dessen verantwortlich, was er erfassen lässt.

A.5 Kategorien betroffener Personen

(a) Die Website-Besucher des Verantwortlichen — soweit RUM vom Verantwortlichen auf seinen eigenen Websites eingesetzt wird.

(b) Die authentifizierten Endnutzer des Verantwortlichen — soweit authentifizierte HTTP-Checks Daten über Nutzer der Anwendung des Verantwortlichen erfassen.

(c) Die Kunden / Nutzer des Verantwortlichen, die in Transaktions-Screenshots sichtbar sind — soweit Transaktions-Monitoring-Skripte authentifizierte Bereiche der Anwendung des Verantwortlichen durchlaufen.

(d) Die Statusseiten-Abonnenten des Verantwortlichen — soweit der Verantwortliche eine öffentliche Statusseite mit Vorfallabonnement-Funktion betreibt.

(e) Eigene Mitarbeiter und Operatoren des Verantwortlichen — soweit die Alarmzustellungskanäle Mitarbeitende des Verantwortlichen erreichen und der Alarm-Payload operative Daten über die Umgebung dieser Mitarbeitenden enthält.

A.6 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

JJ Online verlangt oder ersucht keine besonderen Kategorien personenbezogener Daten. Der Verantwortliche ist dafür verantwortlich, den Dienst nicht so zu konfigurieren, dass besondere Kategorien personenbezogener Daten erfasst werden (z. B. keine Überwachung eines authentifizierten Gesundheits-Endpunkts ohne angemessene Rechtsgrundlage nach Art. 9 Abs. 2).

A.7 Daten von Kindern (Art. 8 DSGVO / nationale Schwellenwerte)

JJ Online verarbeitet wissentlich keine Daten von Kindern unterhalb des nach Art. 8 Abs. 1 DSGVO oder seinen Entsprechungen in der UK GDPR / dem DSG geltenden nationalen Schwellenwerts. Der einschlägige Schwellenwert variiert nach Rechtsordnung: 16 nach Art. 8 Abs. 1 DSGVO in Deutschland (Deutschland hat von der Öffnungsklausel in Art. 8 Abs. 1 Satz 2 DSGVO zur Absenkung unter 16 Jahre keinen Gebrauch gemacht, sodass die DSGVO-Voreinstellung unmittelbar gilt; dies ist die Untergrenze, die JJ Online standardmäßig auf seine eigene verantwortlichenseitige Verarbeitung anwendet); andere EU-Mitgliedstaaten haben von der Öffnungsklausel in Art. 8 Abs. 1 Satz 2 DSGVO Gebrauch gemacht, um ihren Schwellenwert im Bereich 13 bis 16 festzulegen (z. B. 13 in einigen, 14 in anderen, 16 in den Niederlanden wie der DSGVO-Voreinstellung Deutschlands); 13 nach Section 9 des UK Data Protection Act 2018; entsprechende Regelungen nach dem schweizerischen DSG. Der Verantwortliche ist dafür verantwortlich, den für die eigenen betroffenen Personen des Verantwortlichen (insbesondere die durch RUM anvisierten eigenen Website-Besucher, die authentifizierten Endnutzer und die Statusseiten-Abonnenten) einschlägigen Schwellenwert zu identifizieren und Art. 8 Abs. 1 und 2 DSGVO (oder die entsprechende britische/schweizerische Regelung) für sie zu erfüllen. Die Nutzung von RUM durch den Verantwortlichen auf Websites, die sich an Kinder unterhalb des einschlägigen Schwellenwerts richten, liegt in der Verantwortung des Verantwortlichen und ist von dieser AVV nicht erfasst.

A.8 Kontobezogene Zusammenfassung der Verarbeitungsweisungen

Diese Anlage legt die Struktur der Zusammenfassung der Verarbeitungsweisungen fest, auf die in § 6.1 (e) Bezug genommen wird. Die Zusammenfassung ist das kontobezogene Dokumentationsartefakt der Weisungen im Sinne von EDSA-Leitlinien 07/2020 zu den Begriffen Verantwortlicher und Auftragsverarbeiter Rn. 39 und wird auf Verlangen des Verantwortlichen erstellt, um seine Pflichten zur Rechenschaft nach Art. 5 Abs. 2 und zur Führung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 zu unterstützen.

Die Zusammenfassung wird von JJ Online aus dem Kontostand des Verantwortlichen zum Zeitpunkt der Anforderung erzeugt und enthält mindestens:

(a) Kontoidentifikation. Die Kennung des Kontos des Verantwortlichen, die hinterlegte E-Mail-Adresse und das Datum der Erstellung der Zusammenfassung.

(b) Inventar aktiver Monitore. Die Anzahl und die Art der vom Verantwortlichen unter dem Konto konfigurierten Monitore (HTTP/HTTPS, ICMP, TCP, Seitengeschwindigkeit, RUM, Transaktionsüberwachung, Domain-/SSL-Ablauf, Mixed-Content / Content-Change) mit der entsprechenden Verarbeitungstätigkeit aus Anlage A.3.

(c) Überwachte Ressourcen. Die vom Verantwortlichen zur Überwachung gewählten Hostnamen und URL-Muster, einschließlich der URLs, auf denen der Verantwortliche das RUM-Skript eingesetzt hat.

(d) Tarifstufe und Aufbewahrung. Die zum Zeitpunkt der Anforderung gewählte Tarifstufe des Verantwortlichen mit der entsprechenden Aufbewahrungsdauer je Datenkategorie nach Anlage A.9 dieser AVV und § 15.3 dieser AVV.

(e) Aktivierte Alarmkanäle (Unter-Auftragsverarbeiter-Fläche). Die vom Verantwortlichen konfigurierten Alarmkanäle, die zum Zeitpunkt auf dem Konto aktiv sind, gestützt auf die Liste in Anlage C.5. In Anlage C.5 aufgeführte, vom Verantwortlichen nicht aktivierte Unter-Auftragsverarbeiter werden als inaktiv ausgewiesen.

(f) Speicherregion. Die EU-Speicherregion oder -Regionen, die für die Daten des Verantwortlichen gelten (derzeit OVH Frankreich für die Anwendungsdatenbank; AWS Frankfurt eu-central-1 für Screenshot-Blobs in S3; Zeitreihen-Datenbank im selben EU-Footprint).

(g) Nachträgliche schriftliche Weisungen. Jede nach § 6.1 (d) von JJ Online schriftlich angenommene schriftliche Weisung des Verantwortlichen seit der letzten Zusammenfassung, identifiziert nach Datum und Referenz.

(h) Unter-Auftragsverarbeiter-Liste. Eine Kopie der oder ein Verweis auf die aktuelle Anlage C zum Erstellungszeitpunkt.

(i) Bestätigung des Begriffs. Ein Hinweis darauf, dass die Zusammenfassung dokumentarischer Natur ist, diese AVV nicht ändert und im Lichte der AVV gelesen wird.

Ein Verantwortlicher kann die Zusammenfassung so oft anfordern, wie es in angemessener Weise erforderlich ist; JJ Online lehnt wiederholte Verlangen nicht ohne triftigen Grund ab. JJ Online stellt derzeit keine Selbsterstellung der Zusammenfassung im Dashboard des Verantwortlichen bereit — diese Funktion steht auf der Produkt-Roadmap. Bis zur Verfügbarkeit der Selbstbedienung wird die Zusammenfassung innerhalb des in § 6.1 (e) genannten Zeitfensters von fünf Werktagen manuell erstellt und übermittelt.

A.9 Aufbewahrungsplan (Personenbezogene Kundendaten — AVV-Geltungsbereich)

Diese Anlage legt den Aufbewahrungsplan dar, der für Personenbezogene Kundendaten im Sinne dieser AVV gilt — d. h. für personenbezogene Daten, die JJ Online als Auftragsverarbeiter im Auftrag des Verantwortlichen nach Art. 28 DSGVO verarbeitet. Sie ist der operative Aufbewahrungsverweis für die Zwecke des § 6.1 (c), § 6.1 (e), § 15.3 und der Anlage A.8 (d). Der entsprechende, in § 11 der Uptimia-Datenschutzerklärung (privacy.en.md) veröffentlichte Plan deckt einen weiter gefassten Satz von Datenkategorien ab (einschließlich personenbezogener Daten, für die JJ Online der Verantwortliche ist, z. B. Konto-, Abrechnungs- und Sicherheits-Auditdaten) und bleibt die nutzerseitig maßgebliche Quelle für diese weiter gefassten Kategorien; dieser Auszug A.9 ist auf die AVV-spezifische Teilmenge beschränkt und geht im Konfliktfall für die unten aufgeführten Kategorien dem weiter gefassten Plan in der Datenschutzerklärung vor.

Kategorie (Personenbezogene Kundendaten, AVV-Geltungsbereich) Aufbewahrungsdauer Rechtsgrundlage / Quelle
Monitor-Ergebnisdaten — Verfügbarkeit, SSL, Domain/WHOIS, Geschwindigkeit, Transaktion, RUM-Aggregate, Virus/Malware, Server-Agent-Metriken Bis zu 13 Monaten, tarifstufenabhängig (die aktive Tarifstufenobergrenze ist der bindende Wert; die aktuelle Tarifstufenmatrix ist auf uptimia.com veröffentlicht) Art. 6 Abs. 1 lit. b DSGVO (Erbringung des Dienstes); Obergrenze des Kundennutzens nach Art. 5 Abs. 1 lit. e DSGVO
HTTP-Antwort-Bodies aus Verfügbarkeitsprüfungen 7 Kalendertage, automatischer Ablauf Art. 6 Abs. 1 lit. b DSGVO; rein operativ
Transaktions-Monitoring-Screenshots und exportierte PDFs (gespeichert auf AWS S3 eu-central-1 Frankfurt nach § 10.1 (c)) 30 Kalendertage Art. 6 Abs. 1 lit. f DSGVO; Datenminimierung nach Art. 5 Abs. 1 lit. c (personenbezogene Daten können auf authentifizierten Bildschirmen sichtbar sein)
E-Mail-Adressen für Statusseiten-Vorfallabonnements Dauer des Abonnements, sofortige Löschung bei Abmeldung Art. 6 Abs. 1 lit. b DSGVO
Backups der vorstehenden Daten (Anwendungsdatenbank, Zeitreihen-Datenbank, AWS S3 Frankfurt) Rollierendes 14-Tage-Fenster; erneute Löschung beim Restore nach § 15.3 Art. 6 Abs. 1 lit. f DSGVO (Disaster Recovery)

Die Aufbewahrungsdauern für Personenbezogene Kundendaten sind begrenzt durch (i) die vom Verantwortlichen nach § 6.1 (c) gewählte Tarifstufe des Dienstes (die innerhalb des Bereichs „bis zu 13 Monate" die aktive Obergrenze für Monitor-Ergebnisdaten bestimmt) und (ii) den Löschungs-bei-Beendigung-Ablauf nach § 15. Der Verantwortliche kann jederzeit nach Art. 17 DSGVO eine vorzeitige Löschung Personenbezogener Kundendaten verlangen (vorbehaltlich § 11 und § 15.4); eine durch Tarif-Herunterstufung bedingte Verkürzung der Aufbewahrungsdauer wird für nach der Herunterstufung erhobene Daten vorausschauend angewendet und nicht rückwirkend auf zuvor erhobene Daten, es sei denn, der Verantwortliche verlangt dies.

Änderungen dieses A.9-Aufbewahrungsplans, die eine Aufbewahrungsdauer verlängern, die der Aufbewahrung unterliegenden Kategorien Personenbezogener Kundendaten erweitern oder den Speicherort für eine Kategorie ändern, sind wesentliche Änderungen im Sinne des § 20.4 und werden aktiven Verantwortlichen nach dem Zeitplan des § 20.4 mitgeteilt. Änderungen, die die Aufbewahrungsdauer ausschließlich verkürzen oder die Schutzwirkung ausschließlich verbessern, sind nach § 20.4 nicht wesentlich, werden jedoch in der nächsten Revision der AVV zur Transparenz mitgeteilt.

Anlage B — Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

Die in dieser Anlage aufgeführten technischen und organisatorischen Maßnahmen sind die aktuellen Maßnahmen von JJ Online. Sie können nach § 8.3 aktualisiert werden.

B.1 Vertraulichkeit

Maßnahme Umsetzung
Zugriffskontrolle für Systeme Mehrfaktor-Authentifizierung verpflichtend für alle operativen Mitarbeiter von JJ Online, die auf Produktionsinfrastruktur zugreifen; Beschränkung auf das Erforderliche; Zugriff vierteljährlich überprüft
Zugriffskontrolle für Daten Kundenbezogene logische Trennung in der Anwendungsschicht; Verschlüsselung auf Datenbankebene im Ruhezustand; auf das Erforderliche beschränkter Abfragezugriff für Support-Mitarbeiter
Pseudonymisierung RUM-Besucher-IPs werden vor der Speicherung auf /24 IPv4 und /48 IPv6 gekürzt (Begründung in B.1.1 unten); in der Datenbank vorhandene PII in Transaktions-Screenshots werden von JJ Online nicht zusätzlich pseudonymisiert (der Verantwortliche ist dafür verantwortlich, was sein Transaktionsskript durchläuft)
Verschlüsselung in der Übertragung TLS 1.2+ für alle kundenseitigen Schnittstellen und für die gesamte Kommunikation mit Unter-Auftragsverarbeitern durchgesetzt; Zertifikatsverwaltung automatisiert mit Erneuerungsalarmen
Verschlüsselung im Ruhezustand Anwendungsdatenbank und Zeitreihendatenbank nutzen disk-level-Verschlüsselung auf EU-Infrastruktur; Backups unter einem separat verwalteten Schlüssel verschlüsselt
Spaltenweise Verschlüsselung kundenseitig anvertrauter Zugangsdaten Zugangsdaten und Geheimnisse, die der Verantwortliche dem Dienst zur Authentifizierung gegen die eigenen Ressourcen des Verantwortlichen zur Verfügung stellt (HTTP-Authentifizierungsdaten, individuelle Request-Header, Integrations-Zugangsdaten für Alarmkanäle, literale Werte in Transaktionsschritten), werden unter spaltenweiser Envelope-Verschlüsselung oberhalb der disk-level-Verschlüsselung gehalten; Schlüssel werden getrennt von der Datenbank verwaltet, sodass operative Mitarbeiter mit Datenbankzugriff den Klartext nicht lesen können; die Entschlüsselung erfolgt ausschließlich zum Zeitpunkt der Probe-Ausführung, wobei der Klartext nur für die Dauer eines einzelnen Checks im Speicher gehalten wird. Persönliche API-Schlüssel für den programmatischen Zugriff auf den Dienst werden als Einwegehash gespeichert (kein rückgewinnbarer Klartext)
Regionales Routing transaktionaler E-Mails (nicht-wesentliche Mittel nach § 6.2) Das Routing transaktionaler E-Mails zwischen den AWS-SES-Endpunkten eu-central-1 (Frankfurt) und us-east-1 (Virginia) wird automatisch durch die Mail-Dispatch-Schicht von JJ Online auf Grundlage einer deterministischen Klassifikation der Empfänger-E-Mail-Adresse vorgenommen. Die Klassifikation ist so ausgelegt, dass E-Mails an EU-Empfänger zum EU-Endpunkt und E-Mails an Nicht-EU-Empfänger zum US-Endpunkt geroutet werden, vorbehaltlich von Zustellbarkeits-Fallbacks. Die Methodik ist intern dokumentiert und auf Audit-Informationsanfrage nach § 14.1 (d) offenlegbar. Derzeit ist kein Konfigurationsschalter für den Verantwortlichen exponiert; ein vom Verantwortlichen wählbares EU-only-Override ist auf schriftliches Verlangen unter privacy@uptimia.com verfügbar, bis der in § 10.2 (b) genannte Roadmap-Punkt umgesetzt ist

B.1.1 Begründung der Schwellenwerte /24 IPv4 und /48 IPv6 für die Kürzung

Die auf RUM-Besucher-IP-Adressen angewandten Kürzungsschwellen sind die TOM-Wahl von JJ Online für die nicht-wesentlichen Verarbeitungsmittel nach § 6.2 und EDSA-Leitlinien 07/2020 Rn. 38 und werden hier in konkreten Begriffen dokumentiert, damit die Sufficiency-Analyse nach Art. 32 DSGVO auf einer überprüfbaren technischen Aussage statt auf einer aspirationalen Formulierung beruht.

(a) /24-IPv4-Kürzung. Die abschließenden acht Bits (der Hostanteil innerhalb einer typischen Privat- oder Geschäftskunden-/24-Zuweisung) werden entfernt; der verbleibende /24-Präfix wird persistiert. Dies ist die seit langem etablierte aufsichtsbehördliche Baseline für die IP-Anonymisierung in Web-Analytics — der EDSA und mehrere mitgliedstaatliche Behörden (z. B. CNIL, DSK in der deutschen Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien-Linie) haben die /24-IPv4-Kürzung im Analytics-Kontext als hinreichende Pseudonymisierung behandelt, mit der Begründung, dass der /24-Präfix Land- und Regionsauflösung behält, aber das Singling-out eines einzelnen Haushaltsendgeräts innerhalb dieses /24 nicht mehr ermöglicht.

(b) /48-IPv6-Kürzung. Die abschließenden 80 Bits — das Subnetz (16 Bits) und der Interface-Identifier (64 Bits) — werden entfernt; der verbleibende /48-Routing-Präfix wird persistiert. /48 ist die Präfixlänge, die in der gängigen RIR-/ISP-IPv6-Zuweisungspraxis (RIPE-690 / RIPE BCP für ISP-Privatkunden; ARIN / APNIC entsprechend) einem aggregierten Routingblock oberhalb der Endkundenzuweisung entspricht. Die Kürzung auf /48 behält Land- und Regionsauflösung vergleichbar mit dem /24-IPv4-Fall, entfernt jedoch (i) die kundenseitige Subnetzzuweisung (das /56 oder /64, das ein Privat-ISP typischerweise je Abonnent delegiert) und (ii) den Interface-Identifier innerhalb dieses Subnetzes (die hostseitige Kennung).

(c) Warum nicht /64 IPv6. Die /64-Kürzung entfernt nur den Interface-Identifier und behält den Subnetz-Identifier. In Privatkunden-IPv6-Bereitstellungen entspricht das /64 typischerweise einem einzelnen LAN-Segment innerhalb des Heimnetzwerks eines einzelnen Abonnenten und bleibt in Kombination mit der Browser-Fingerprint-Fläche, die JJ Online für RUM-Zwecke verarbeitet (Browser-/Geräteinformationen, geografische Herkunft, Fehlerkontext), nach dem Drei-Test-Rahmen der Stellungnahme 05/2014 der Art.-29-Arbeitsgruppe zu Anonymisierungstechniken zum Singling-out eines einzelnen Haushaltsendgeräts geeignet. /48 wurde aus dieser Analyse heraus gegenüber /64 gewählt.

(d) Warum nicht /56 IPv6. /56 ist die Standard-ISP-Zuweisung an einen einzelnen Privatkunden nach RIPE-690 — d. h. die Kürzung auf /56 behält die Endkundenzuweisung. /56 wurde aus demselben Singling-out-Grund wie /64 nicht gewählt.

(e) Warum nicht vollständige IP-Verwerfung. Ein geringer, aber von Null verschiedener Anteil eines netzseitigen Identifikators wird beibehalten, weil (i) die RUM-Nützlichkeit für den Verantwortlichen Land- und Regionsauflösung von Besucher-Sessions erfordert, die der gekürzte Präfix unterstützt; und (ii) der gekürzte Präfix grundlegende Missbrauchsschutzsignale auf der Analytics-Schicht (Erkennung von Bot-Verkehr durch fehlerhafte Skripte) ermöglicht, ohne die Identifikation auf Host-Ebene wieder einzuführen.

(f) BfDI-Orientierungspapiere — Abweichung vermerkt. JJ Online ist bewusst, dass die BfDI-Orientierung zu verschiedenen Zeiten /64 IPv6 (in einigen Kontexten) und vollständige Anonymisierung (in anderen) als Zielwert genannt hat und dass kein einheitlich bindender Wert für alle Anwendungsfälle besteht. Die /48-Wahl ist die TOM-Entscheidung von JJ Online auf Grundlage der obigen Analyse, mit dem Verständnis, dass eine zuständige Aufsichtsbehörde im konkreten Anwendungsfall einen anderen Schwellenwert verlangen kann; in diesem Fall wird der Schwellenwert als Aktualisierung nach § 20.4 angepasst.

Die Kürzung wird global an der RUM-Ingestion-Schicht erzwungen — d. h. sie wird auf jeden RUM-Beacon am EU-lokalisierten Ingestion-Endpunkt vor jeder nachfolgenden Persistierung angewandt — und ist nicht je Monitor oder je Verantwortlichem konfigurierbar. Ein Verantwortlicher kann nicht wählen, die vollständigen Besucher-IPs aufzubewahren.

B.2 Integrität

Maßnahme Umsetzung
Eingabevalidierung Eingabevalidierung auf Anwendungsebene und parametrisierte Datenbankabfragen
Anti-Malware Serverseitiges Antivirus auf der Anwendungsinfrastruktur; vom Kunden überwachte URLs werden gegen die Google Web Risk API geprüft (Sicherheitsdienst, kein Datenexport an Google zu Werbezwecken)
Logging und Audit-Trails Anwendungs- und Zugriffsprotokolle mindestens 90 Tage aufbewahrt; sicherheitsrelevante Logereignisse überwacht

B.3 Verfügbarkeit

Maßnahme Umsetzung
Backup und Wiederherstellung Tägliche verschlüsselte Backups der Anwendungsdatenbank und der Zeitreihendatenbank; Wiederherstellungszeit (RTO) und Wiederherstellungspunkt (RPO) intern dokumentiert; Backups regelmäßig getestet
Geografische Redundanz Primäre Anwendungsinfrastruktur bei OVH Frankreich; Backup-Replikation in eine separate Ausfalldomäne
Belastbarkeit des Probe-Netzwerks Mehrregionale Probe-Bereitstellung bei neun Anbietern (OVH, GCore, DigitalOcean, Akamai/Linode, EDIS, Scaleway, AWS, Contabo, Vultr) über EU- und Nicht-EU-Regionen hinweg; transiente (nicht im Ruhezustand gespeicherte) Datenhaltung auf der Probe-Schicht verhindert Datenakkumulation auf der Probe-Infrastruktur
DDoS-Schutz Anbieterseitiger DDoS-Schutz bei OVH Frankreich

B.4 Belastbarkeit und Wiederherstellung

Maßnahme Umsetzung
Vorfallsreaktion Definiertes Vorfallsreaktionsverfahren mit benannten Rollen; Post-Incident-Review bei wesentlichen Vorfällen
Disaster Recovery Dokumentierter Disaster-Recovery-Plan; Backup-Wiederherstellung mindestens jährlich getestet

B.5 Regelmäßige Überprüfung, Bewertung und Evaluierung

Maßnahme Umsetzung
Schwachstellenscans Regelmäßige automatisierte Scans kundenseitiger Oberflächen
Dependency-Monitoring Automatisierte Überwachung von Schwachstellen in Drittparteibibliotheken (composer + npm); kritische Updates werden innerhalb von 14 Tagen angewendet
Code-Review Alle Produktionsänderungen vor dem Merge geprüft
Penetrationstests Unabhängige Drittparteien-Penetrationstests mindestens jährlich. Der Geltungsbereich umfasst die kundenseitigen Anwendungsoberflächen — das Uptimia-Dashboard, die öffentliche API und die kundenseitigen Statusseiten. Der Test wird bei einem qualifizierten externen Anbieter beauftragt; eine Zusammenfassung des Testumfangs, des Testdatums und des Status der Behebung etwaiger wesentlicher Feststellungen ist dem Verantwortlichen auf Audit-Informationsanfrage nach § 14.1 (d) verfügbar. Eine wesentliche Feststellung wird vor dem nächsten Testzyklus behoben, abgemildert oder förmlich akzeptiert (mit dokumentiertem Risikorationale), und jede Behebungslücke, die die nächste Zyklusgrenze überschreitet, wird selbst in der Zusammenfassung offengelegt. Soweit die vertraglichen Pflichten eines Verantwortlichen einen weiter gefassten Geltungsbereich als die kundenseitigen Oberflächen erfordern — zum Beispiel einen Geltungsbereich, der ausdrücklich Admin-/privilegierte Oberflächen oder das Probe-Netzwerk umfasst —, kann der Verantwortliche diesen zusätzlichen Geltungsbereich nach § 14.2 auf eigene Audit-Kosten beauftragen.

B.6 Spezifische Maßnahme — ephemere Probe-Verarbeitung

Eine spezifische Designeigenschaft des Uptimia-Probe-Netzwerks ist, dass keine Personenbezogenen Kundendaten in nichtflüchtigem Speicher auf der Probe-Infrastruktur persistiert werden. Die technische Eigenschaft wird unten in konkreten Begriffen beschrieben, damit die Analyse der ergänzenden Maßnahmen für nicht-EU-Probe-Unter-Auftragsverarbeiter (insbesondere Vultr, der nicht DPF-zertifiziert ist) auf einer überprüfbaren technischen Aussage statt auf einer aspirationalen Formulierung beruht.

(a) Nur im Speicher auf dem Probe-Host. Das Probe-Binary hält die Check-Eingaben (URL, Request-Header, -Body, zum Zeitpunkt der Check-Ausführung entschlüsselte Authentifizierungsdaten) und die Check-Ausgaben (Antwortstatus, Antwort-Header, Antwort-Body oder dessen gekürzte/gehashte Form, Transaktions-Screenshots im Durchlauf) ausschließlich im Prozessspeicher. Es erfolgt im Normalbetrieb kein Schreibvorgang von Check-Eingaben oder -Ausgaben auf eine Datei der lokalen Festplatte des Probe-Hosts.

(b) Ergebnis an EU-Infrastruktur weitergeleitet, dann verworfen. Nach Abschluss des Checks leitet die Probe das Ergebnis über einen authentifizierten TLS-Kanal an die von JJ Online betriebene EU-Infrastruktur weiter (OVH Frankreich für die Anwendungsdatenbank, selbst gehostete Zeitreihen-Datenbank für Zeitreihenmetriken, AWS S3 eu-central-1 Frankfurt für Screenshot-Blobs). Die probeseitige In-Memory-Kopie wird sodann verworfen, sobald der Probe-Prozess endet oder in seinen Leerlauf zurückkehrt.

(c) Prozessneustart zwischen Checks. Der Probe-Prozess wird zwischen Checks in einem kurzen Zyklus neu gestartet, sodass kein In-Memory-Zustand über Checks hinweg fortbesteht.

(d) Keine probeseitige Aufbewahrung von Antwort-Payloads in Logs. Probeseitige Logs (soweit sie für betriebliche Diagnose vorhanden sind) zeichnen ausschließlich Check-ID, Zeitstempel, Ziel-Hostname und einen Ergebniscode auf. Sie bewahren keine Antwort-Bodies, keine Antwort-Header außer nicht-personenbezogenen Metadaten, keine Inhalte von Transaktions-Screenshots und keine entschlüsselten Zugangsdaten auf.

(e) Keine Nutzung des persistenten Speichers des Probe-Hosts für Personenbezogene Kundendaten. Soweit der Probe-Host persistente Disk-Volumes bereitstellt, werden sie nur für das Probe-Binary selbst, das Betriebssystem und betriebliche Telemetrie verwendet, die keine Personenbezogenen Kundendaten enthält.

(f) Regelmäßige Überprüfung der Eigenschaft der ephemeren Verarbeitung. JJ Online überprüft die technischen Aussagen in (a) bis (e) mindestens jährlich sowie zusätzlich nach jeder Änderung am Probe-Binary, am Betriebssystem-Image des Probe-Hosts oder am Probe-Deployment-Runbook, die diese Aussagen wesentlich berühren könnte. Die Überprüfung erfolgt anhand einer repräsentativen Stichprobe von Probe-Hosts aus den in Anlage C.2 aufgeführten Probe-Unter-Auftragsverarbeitern (einschließlich mindestens eines Nicht-EWR-Vultr-Probe-Hosts und mindestens eines Hosts aus jedem anderen aktiv genutzten Probe-Unter-Auftragsverarbeiter) und umfasst ausdrücklich Kernel-Ebenen-Konfigurationsprüfungen, die darauf abzielen, die Persistenz jedweden flüchtiger-Zustand-zu-Festplatte-Artefakts (einschließlich, aber nicht beschränkt auf Crash-Dumps, Core-Dumps, Kernel-Panics, Memory-Snapshots, Hibernation-Images, Swap-File-Schreibvorgänge sowie Hypervisor-/Cloud-Anbieter-Snapshot-Funktionen) zu verhindern, das die Eigenschaft der ephemeren Verarbeitung aushebeln würde. Die konkreten in jedem Zyklus überprüften Kernel-Ebenen-Konfigurationen sind im internen Verifikationsrunbook festgehalten und können dem Verantwortlichen auf Audit-Informationsanfrage nach § 14.1 (d) unter angemessenen Vertraulichkeitsregelungen offengelegt werden.

Eine Zusammenfassung der jüngsten Überprüfung — Datum, geprüfte Stichprobe an Probe-Hosts, Ergebnis der Kernel-Ebenen-Konfigurationsprüfungen und Status der Behebung etwaiger festgestellter Mängel — ist dem Verantwortlichen auf Audit-Informationsanfrage nach § 14.1 (d) verfügbar. Ein wesentlicher, durch die Überprüfung festgestellter Mangel wird vor dem nächsten Überprüfungszyklus behoben, abgemildert oder förmlich akzeptiert (mit dokumentiertem Risikorationale), und jeder Mangel, der die nächste Zyklusgrenze überschreitet, wird selbst in der nächsten Zusammenfassung offengelegt. Soweit die Behebung eine Änderung der Analyse der ergänzenden Maßnahmen für einen Nicht-EWR-Probe-Unter-Auftragsverarbeiter (insbesondere Vultr) erfordert, wird die Änderung aktiven Verantwortlichen als vermutet wesentliche TOM-Reduzierung nach § 20.4 (v) mitgeteilt.

Dies ist die zentrale ergänzende Maßnahme, auf die sich JJ Online für nicht-EWR-Probe-Unter-Auftragsverarbeiter, insbesondere Vultr Holdings, LLC, stützt. Die Maßnahme ist auf der Deployment-Schicht von JJ Online umgesetzt und gesteuert — sie ist eine TOM von JJ Online und keine vertragliche Eigenschaft des zugrunde liegenden IaaS-Unter-Auftragsverarbeiters — und im internen Runbook dokumentiert, der das Probe-Deployment regelt. Eine Beschreibung des Runbook-Schritts steht dem Verantwortlichen auf Audit-Anfrage nach § 14 zur Verfügung.

B.7 Personal

Maßnahme Umsetzung
Vertraulichkeitspflichten Sämtliches operatives Personal an schriftliche Vertraulichkeitspflichten gebunden; laufende Schulungen zu Datenschutzanforderungen
Hintergrundüberprüfung Standard für Personal mit Produktionszugriff

B.8 Due Diligence bei Unter-Auftragsverarbeitern

Maßnahme Umsetzung
Auswahl von Unter-Auftragsverarbeitern Unter-Auftragsverarbeiter werden unter Berücksichtigung ihrer Datenschutzpraxis, ihres DPF-Zertifizierungsstatus (soweit relevant) und der Verfügbarkeit ihres AVV/DPA ausgewählt
Überwachung von Unter-Auftragsverarbeitern Unter-Auftragsverarbeiter-Liste mindestens jährlich überprüft; wesentliche Änderungen nach § 9.3 mitgeteilt

Anlage C — Genehmigte Unter-Auftragsverarbeiter

Die aktuelle Liste der von JJ Online für die Verarbeitung Personenbezogener Kundendaten im Auftrag des Verantwortlichen im Zusammenhang mit dem Uptimia-Dienst beauftragten Unter-Auftragsverarbeiter ist unten dargestellt. Anlage C ist selbst die maßgebliche Unter-Auftragsverarbeiter-Liste — Aktualisierungen werden dem Verantwortlichen per E-Mail nach § 9.3 mitgeteilt und in einer aktualisierten Fassung dieser AVV abgebildet.

Hinweis an den Verantwortlichen: Als „vom Verantwortlichen konfiguriert" („Controller-configured") in der Funktionsspalte gekennzeichnete Unter-Auftragsverarbeiter verarbeiten Personenbezogene Kundendaten nur dort, wo der Verantwortliche den betreffenden Kanal oder die betreffende Funktion aktiviert. Als „Standard" („Default") oder „erforderlich" („Required") gekennzeichnete Unter-Auftragsverarbeiter verarbeiten Personenbezogene Kundendaten für jeden Verantwortlichen, der den Dienst nutzt.

C.1 Zahlung und Abrechnung

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Stripe Stripe Payments Europe Ltd. Irland (+ US-Unterauftragsverarbeitung) Erforderlich — Abonnementabrechnung, Betrugserkennung DPF + SCC-Auffangmechanismus
PayPal PayPal (Europe) S.à r.l. et Cie, S.C.A. Luxemburg (+ US-Unterauftragsverarbeitung) Standard — alternative Checkout-Option DPF + SCC-Auffangmechanismus
easybill easybill GmbH Deutschland Erforderlich — Rechnungserstellung, gesetzliche Archivierung k. A. (nur EU)

C.2 Hosting und Infrastruktur

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
OVH OVH SAS Frankreich Erforderlich — Haupt-Anwendungshosting (Dashboard, API, Datenbank) + Probe-Netzwerk EU-Region k. A. (EU)
AWS EU Amazon Web Services EMEA SARL Luxemburg (eu-central-1 Frankfurt + S3) Erforderlich — transaktionale E-Mail über SES an EU-Empfänger + Transaktions-Monitoring-Screenshot-Blob-Speicher auf S3 + Rechnungs-PDF-/Export-Speicher auf S3 + Probe-Netzwerk (EU-Regionen) k. A. (Frankfurt EU-Region)
AWS US Amazon Web Services, Inc. USA (us-east-1 Virginia) Standard — transaktionale E-Mail über SES an Nicht-EU-Empfänger gemäß der in § 10.2 (b) und Anlage B.1 offengelegten automatischen Empfänger-Region-Routinglogik (Routing ist ein nicht-wesentliches Mittel nach § 6.2; derzeit kein Konfigurationsschalter für den Verantwortlichen exponiert) + Probe-Netzwerk (Nicht-EU-Regionen) DPF + SCC-Auffangmechanismus
GCore G-Core Labs S.A. Luxemburg + globale Regionen Standard — Probe-Netzwerk k. A. EU-Regionen; SCC für Nicht-EU-Regionen, soweit genutzt
DigitalOcean DigitalOcean, LLC USA + Regionen Standard — Probe-Netzwerk DPF + SCC-Auffangmechanismus
Linode / Akamai Akamai Technologies, Inc. USA + Regionen Standard — Probe-Netzwerk DPF + SCC-Auffangmechanismus
EDIS EDIS Telekommunikation GmbH (firmiert als EDIS.at) Klagenfurt, Österreich Standard — Probe-Netzwerk EU-Region k. A. (EU)
Scaleway Scaleway SAS (Iliad-Gruppe) Frankreich (Hauptsitz Paris) — Probe-Regionen in Frankreich (Paris), den Niederlanden (Amsterdam) und Polen (Warschau); sämtlich EU Standard — Probe-Netzwerk EU-Regionen k. A. (EU)
Contabo Contabo GmbH Deutschland (Hauptsitz München) — Probe-Regionen in der EU (Deutschland — Nürnberg / Düsseldorf, Österreich, Spanien, Portugal) und außerhalb der EU (USA — St. Louis, Vereinigtes Königreich, Singapur, Australien — Sydney, Japan — Tokio, Indien — Chennai) Standard — Probe-Netzwerk EU-Regionen: k. A. (Contabo GmbH ist die EU-Vertragspartei). Nicht-EU-Regionen: SCC (Durchführungsbeschluss (EU) 2021/914, Modul 3) für die physische Verarbeitung in Nicht-EU-Contabo-Infrastruktur, ergänzt durch die in Anlage B.6 beschriebene Eigenschaft der ephemeren Verarbeitung (mindestens jährlich nach B.6 (f) überprüft, einschließlich der ausdrücklichen Überprüfung auf Persistierung durch Crash-Dump, Core-Dump, Memory-Snapshot und Swap-Schreibvorgänge) als zentrale ergänzende Maßnahme, auf die sich JJ Online stützt — die Probe-Schicht hält unabhängig von der Region keine Personenbezogenen Kundendaten im Ruhezustand. Die EU-Ansässigkeit der Contabo GmbH ist eine schutzfreundlichere Stellung als ein US-kontrollierender-Stelle-Äquivalent (vgl. Vultr unten), da die Vertragspartei für Zwecke der Aufsichtsbehörden-Kooperation und der Rechte der betroffenen Personen in der EU sitzt.
Vultr Vultr Holdings, LLC (The Constant Company, LLC) USA (Delaware) — 13 Probe-Standorte über USA, Niederlande (Amsterdam), Deutschland (Frankfurt), Vereinigtes Königreich (London), Australien (Sydney), Japan (Tokio) Standard — Probe-Netzwerk Keine DPF-Zertifizierung — SCC + ergänzende Maßnahmen; die in Anlage B.6 beschriebene Eigenschaft der ephemeren Verarbeitung (mindestens jährlich nach B.6 (f) überprüft, einschließlich einer ausdrücklichen Überprüfung auf Persistierung durch Crash-Dump, Core-Dump, Memory-Snapshot und Swap-Schreibvorgänge) ist die zentrale ergänzende Maßnahme, auf die sich JJ Online stützt, da die Probe-Schicht keine Personenbezogenen Kundendaten im Ruhezustand hält. EU-lokalisierte Vultr-Regionen lösen die grenzüberschreitende Frage allein nicht, da die kontrollierende Stelle von Vultr in den USA sitzt.

C.3 Authentifizierung

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Auth0 Auth0 EMEA Limited (Okta-Gruppe) Irland (+ US-Unterauftragsverarbeitung) Erforderlich — Identitätsmanagement, Login-Flow, Orchestrierung sozialer Verbindungen DPF + SCC-Auffangmechanismus

Unter-Unter-Auftragsverarbeiter für soziale Verbindungen bei Auth0. Wenn der Endnutzer des Verantwortlichen über eine soziale Verbindung auf der von Auth0 gehosteten Login-Seite einloggt, übergibt Auth0 den OAuth-Flow an den gewählten Identitätsanbieter. Es besteht keine direkte OAuth-Integration zwischen Uptimia und diesen Anbietern — sie werden ausschließlich über Auth0 erreicht, und Auth0 hält den zugrunde liegenden AVV/DPA. Aus Transparenzgründen nach Art. 28 Abs. 2 DSGVO hier aufgeführt.

Unter-Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Google (Auth0-Sozialverbindung) Google Ireland Limited Irland (+ US-Unterauftragsverarbeitung über Google LLC) „Sign in with Google" — wird nur ausgelöst, wenn der Endnutzer Google auf der Auth0-Login-Seite wählt DPF + SCC-Auffangmechanismus (gehalten von Auth0)
GitHub (Auth0-Sozialverbindung) GitHub, Inc. (Microsoft-Gruppe) USA (EU-Tochter: Microsoft Ireland Operations Limited) „Sign in with GitHub" — wird nur ausgelöst, wenn der Endnutzer GitHub auf der Auth0-Login-Seite wählt DPF + SCC-Auffangmechanismus (gehalten von Auth0)

C.4 Sicherheit und Threat Intelligence

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Google Web Risk API Google Ireland Limited Irland (+ US-Unterauftragsverarbeitung) Standard — Malware-/Phishing-Screening überwachter URLs DPF + SCC-Auffangmechanismus
Google PageSpeed Insights Google Ireland Limited Irland (+ US-Unterauftragsverarbeitung) Erforderlich — Seitengeschwindigkeitsüberwachung DPF + SCC-Auffangmechanismus

C.5 Alarmzustellungskanäle (vom Verantwortlichen konfiguriert)

C.5 ist in zwei Stufen gegliedert. Standardmäßig verfügbare Kanäle (C.5.1) sind im Standard-Alarmkanalmenü des Dienstes verfügbar und erfordern keine zusätzliche Kenntnisnahme über die allgemeine Weisung nach Art. 28 Abs. 3 lit. a DSGVO hinaus, die durch den Konfigurationsakt selbst festgehalten ist (§ 1.3 (b)). Beschränkte Kanäle (C.5.2) sind nicht im Standardmenü und erfordern eine kanalbezogene produktinterne Kenntnisnahme der offengelegten Übermittlungslage vor der Aktivierung (§ 1.3 (b), § 10.5); JJ Online bewahrt die Kenntnisnahme als Teil der Weisungsdokumentation nach § 14.1 (e) auf.

C.5.1 Standardmäßig verfügbare Kanäle

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Twilio Twilio Ireland Limited Irland (+ US-Unterauftragsverarbeitung) Vom Verantwortlichen konfiguriert — SMS-Alarme DPF + SCC-Auffangmechanismus
Meta WhatsApp Cloud Meta Platforms Ireland Limited Irland (+ US-Unterauftragsverarbeitung) Vom Verantwortlichen konfiguriert — WhatsApp-Alarme über die WhatsApp Business Cloud API DPF + SCC-Auffangmechanismus
Slack Slack Technologies Limited (Salesforce-Gruppe) Irland (+ US-Unterauftragsverarbeitung) Vom Verantwortlichen konfiguriert — Slack-Workspace-Alarme DPF + SCC-Auffangmechanismus
Microsoft Teams Microsoft Ireland Operations Limited Irland (+ US-Unterauftragsverarbeitung) Vom Verantwortlichen konfiguriert — Teams-Workspace-Alarme DPF + SCC-Auffangmechanismus
Discord Discord Netherlands BV Niederlande (+ US-Unterauftragsverarbeitung) Vom Verantwortlichen konfiguriert — Discord-Server-Alarme DPF + SCC-Auffangmechanismus
Mattermost Mattermost, Inc. USA Vom Verantwortlichen konfiguriert — Mattermost-Workspace-Alarme DPF + SCC-Auffangmechanismus
PagerDuty PagerDuty, Inc. USA Vom Verantwortlichen konfiguriert — Vorfallerstellung DPF + SCC-Auffangmechanismus
Atlassian Statuspage Atlassian B.V. Niederlande (+ US-Unterauftragsverarbeitung durch Atlassian, Inc.) Vom Verantwortlichen konfiguriert — Vorfallerstellung auf der Statuspage des Kunden DPF + SCC-Auffangmechanismus. Vertragsschließende EU-Stelle zum Versionsdatum dieser AVV aus der dann geltenden Atlassian-Cloud-Subscription-Agreement / Order Form für das Statuspage-Abonnement von JJ Online verifiziert. Die vertragsschließende Stelle von Atlassian für EU-Cloud-Abonnements hat historisch je nach Produkt, Region und Bestelldatum zwischen Atlassian Pty Ltd (Australien) und Atlassian B.V. (Niederlande) variiert; die hier verzeichnete Stelle ist diejenige, die in dem zum Stichtag geltenden Atlassian-seitigen Statuspage-Vertrag von JJ Online ausgewiesen ist. Migriert Atlassian das Statuspage-Abonnement von JJ Online zu einer anderen vertragsschließenden Stelle (oder erscheint bei einer Vertragsverlängerung eine andere Stelle auf der Order Form), wird diese Zeile nach § 20.4 (i) (Standort-/vertragsschließende-Stelle-Änderung eines Unter-Auftragsverarbeiters) als vermutet wesentliche Änderung aktualisiert. Atlassian, Inc. als US-Unter-Auftragsverarbeiter ist zum Versionsdatum dieser AVV DPF-zertifiziert.
Generische Webhooks (variabel — vom Verantwortlichen gewähltes Ziel) (variabel) Vom Verantwortlichen konfiguriert — individuelle Alarmzustellung Verantwortung des Verantwortlichen

C.5.2 Beschränkte Kanäle (Aktivierung erfordert produktinterne Kenntnisnahme)

Beschränkte Kanäle sind nicht Teil des Standard-Alarmkanalmenüs. Zur Aktivierung eines Beschränkten Kanals muss der Verantwortliche über einen autorisierten Benutzer des Kontos des Verantwortlichen eine produktinterne Kenntnisnahme der unten dargelegten kanalbezogenen Übermittlungslage bestätigen. JJ Online bewahrt eine mit Zeitstempel versehene Aufzeichnung jeder Kenntnisnahme auf (Konto-ID, Benutzerkennung, Kanal, Offenlegungsversion dieser Anlage, Zeitstempel der Kenntnisnahme) und stellt sie auf Verlangen der Aufsichtsbehörde oder des Verantwortlichen zur Verfügung. Eine erneute Kenntnisnahme ist erforderlich, wenn der Kanal deaktiviert und später erneut aktiviert wird oder wenn die Offenlegungsversion dieser Anlage für den Kanal sich ändert.

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
Telegram Telegram FZ-LLC VAE Vom Verantwortlichen konfiguriert — Telegram-Bot-Alarme Kenntnisnahmestufe: Stufe 2 — Beschränkter Kanal mit erhöhtem Risiko (Zwei-Stufen-Kenntnisnahmestandard nach § 1.3 (b)). Kein Angemessenheitsbeschluss für die VAE. Telegram FZ-LLC bietet Bot-Betreibern keine Standardvertragsklauseln der Kommission (Modul 3) an, sodass für diesen Kanal kein Mechanismus nach Art. 46 DSGVO verfügbar ist. JJ Online macht selbst keine Ausnahme nach Art. 49 DSGVO für die Übermittlung geltend: routinemäßige Ausfallalarmierung ist im Sinne der EDSA-Leitlinien 2/2018 nicht gelegentlich oder nicht-wiederholend, und Art. 49 Abs. 1 lit. c — „Vertrag im Interesse der betroffenen Person" — passt auf einen an das Operations-Team des Verantwortlichen geleiteten Alarm nicht zwanglos. Der Verantwortliche bestätigt durch Vollziehen der Stufe-2-Kenntnisnahme mit erhöhtem Risiko in § 1.3 (b) und durch die Konfiguration von Telegram als gewähltem Alarmkanal nach § 10.5 die enge Auslegungsanalyse der EDSA-Leitlinien 2/2018, bestätigt eine eigenständige Analyse nach Art. 44 bis 49 DSGVO für seine eigenen Umstände und akzeptiert das aufsichtsbehördliche Risiko, dass eine zuständige Aufsichtsbehörde die Übermittlung als unrechtmäßig einstufen könnte. Verantwortliche, die dieses Risiko nicht tragen können oder wollen, sollten stattdessen einen Kanal aus C.5.1 wählen.
X (vormals Twitter) X Corp. USA Vom Verantwortlichen konfiguriert — Posten von Status-Updates Kenntnisnahmestufe: Stufe 1 — Standard-Beschränkter Kanal (Zwei-Stufen-Kenntnisnahmestandard nach § 1.3 (b)). Der DPF-Zertifizierungsstatus von X Corp ist historisch volatil; die Bestimmung des „aktuellen DPF-Status" in dieser Anlage erfolgt zum Versionsdatum dieser AVV und kann sich zwischen Anlagenupdates ändern. Die Übermittlungsposition von JJ Online ist daher SCC plus ergänzende Maßnahmen als operativer Mechanismus, wobei das DPF als opportunistische zusätzliche Absicherung behandelt wird, soweit die aktuelle Zertifizierung Bestand hat. Durch Vollziehen der Stufe-1-Standard-Kenntnisnahme bestätigt der Verantwortliche die Kenntnis von (i) der Grundlage „SCC plus ergänzende Maßnahmen", (ii) der DPF-Volatilität und (iii) seiner eigenen Analyse nach Art. 44 bis 49 DSGVO für die daraus resultierende Übermittlung. Stellt JJ Online bei einer künftigen Anlagenrevision fest, dass auch die Grundlage „SCC plus ergänzende Maßnahmen" für X Corp strukturell nicht mehr verfügbar ist (z. B. wesentliche nachteilige Maßnahme einer Aufsichtsbehörde gegen das SCC-Stützen für die Plattform), wechselt diese Zeile auf Stufe 2 und vorhergehende Stufe-1-Kenntnisnahmen gelten als abgelaufen (§ 1.3 (b)).

C.6 Marketing-Seiten-Integrationen (nur Besucherdaten, keine Personenbezogenen Kundendaten)

Unter-Auftragsverarbeiter Rechtsträger Standort Funktion Übermittlungsmechanismus
FirstPromoter Igil Webs SRL (30 Talmacelului St., Talmaciu, Kreis Sibiu, Rumänien; alleinige Identifikationsnummer 30864432) Rumänien Affiliate-Zuordnung auf den uptimia.com-Marketingseiten — wird nur ausgelöst, wenn die URL ?via=<code> trägt k. A. (EU)

Datenschutzerklärung: https://firstpromoter.com/privacy.

Hinweis: FirstPromoter verarbeitet Daten von Besuchern der uptimia.com-Marketingseiten, nicht Personenbezogene Kundendaten der Nutzer des Verantwortlichen. Aus Transparenzgründen aufgeführt, jedoch nicht streng Teil der Art.-28-Unter-Auftragsverarbeiter-Kette für den Dienst selbst.

C.7 Keine Unter-Auftragsverarbeiter (erstpartei / intern)

Die folgenden Stellen werden von JJ Online selbst betrieben und sind KEINE Unter-Auftragsverarbeiter unter dieser AVV:

  • Selbst gehostete Zeitreihen-Datenbank (von JJ Online auf eigener EU-Infrastruktur betrieben) — Zeitreihenspeicher für Überwachungsmetriken. KEIN Unter-Auftragsverarbeiter.
  • Altcha (Proof-of-Work-Captcha-Bibliothek, lokal auf der Uptimia-Infrastruktur ausgeführt — kein Drittparteien-Datenfluss). KEIN Unter-Auftragsverarbeiter.
  • Datriva CMP (Schwesterprodukt von JJ Online) — Cookie-Einwilligungsbanner auf den uptimia.com-Marketingseiten. Gleicher Verantwortlicher (JJ Online GmbH); kein Unter-Auftragsverarbeiter nach Art. 28.
  • HelpCanvas (Schwesterprodukt von JJ Online) — Live-Chat-Widget auf den uptimia.com-Marketingseiten. Gleicher Verantwortlicher; kein Unter-Auftragsverarbeiter nach Art. 28.
  • Uptimia RUM (eigenes Produkt — erstpartei, selbst getestet) — erstpartei-RUM auf den uptimia.com-Marketingseiten.
  • ErrorHawk (Schwesterprodukt von JJ Online) — außerhalb des Produktions-Geltungsbereichs. Der ErrorHawk-DSN ist nur in unserer internen Entwicklungsumgebung konfiguriert, die keine echten Nutzerdaten trägt. Die Produktion uptimia.com leitet keine Ausnahmen an ErrorHawk weiter. Keine Personenbezogenen Kundendaten von Uptimia-Kunden werden über ErrorHawk geroutet. Sollte ErrorHawk jemals in der Produktion verkabelt werden, ist es aus diesem Abschnitt in die Anlage C zu überführen und eine Unter-Auftragsverarbeiter-Änderungsmitteilung nach § 9.3 herauszugeben.

Für alle Einträge in diesem Abschnitt werden keine Personenbezogenen Kundendaten der Uptimia-Kunden an einen Dritten geroutet. Datriva, HelpCanvas und Uptimia RUM verarbeiten Besucherdaten auf den uptimia.com-Marketingseiten unter der eigenen Verantwortlichkeit der JJ Online GmbH (d. h. als Verantwortlicher der Marketing-Site, nicht als Auftragsverarbeiter nach dieser AVV).

Anlage D — Internationale Datenübermittlungen (Modul 2 / Modul 3 SCC)

D.1 Einbeziehung des Moduls

Für die Zwecke des Art. 46 Abs. 2 lit. c DSGVO. Die Hauptniederlassung von JJ Online ist in Berlin (EWR); JJ Online ist daher Datenexporteur, wenn Personenbezogene Kundendaten an einen Nicht-EWR-Unter-Auftragsverarbeiter übermittelt werden. Modul 3 ist das operative Modul für diese weiterführenden Übermittlungen; Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter) ist das operative Modul nur in dem engeren Fall, in dem der Verantwortliche selbst außerhalb des EWR niedergelassen ist und die Übermittlung an JJ Online in Berlin selbst die SCC-geregelte Übermittlung darstellt.

(a) Modul 3 — JJ Online → Nicht-EWR-Unter-Auftragsverarbeiter (Hauptfall). Soweit die weiterführende Übermittlung von JJ Online an einen Unter-Auftragsverarbeiter zu einem Ziel außerhalb des EWR erfolgt, beziehen die Parteien durch Verweis Modul 3 (Auftragsverarbeiter-zu-Auftragsverarbeiter) der Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) ein, wobei JJ Online als Datenexporteur und der Unter-Auftragsverarbeiter als Datenimporteur handelt.

(b) Modul 2 — nicht-EWR-Verantwortlicher → JJ Online (Resterubrik). Soweit der Verantwortliche selbst außerhalb des EWR niedergelassen ist und den Dienst so nutzt, dass die eigene Übermittlung Personenbezogener Kundendaten durch den Verantwortlichen an JJ Online in Berlin die SCC-geregelte Übermittlung darstellt, beziehen die Parteien durch Verweis Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter) ein, wobei der Verantwortliche als Datenexporteur und JJ Online als Datenimporteur handelt. Die Parteien erkennen an, dass die Anwendung der SCC auf eine Übermittlung, deren Importeur im EWR niedergelassen ist, selbst diskutiert wird; dieser Absatz (b) wird als vorsorgliche Einbeziehung für Verantwortliche aufgenommen, deren Heimrechtsordnung den Übermittlungsschritt zum EWR-Importeur als SCC-fähige Übermittlung behandelt.

(c) Jedes Modul wird gelesen mit den unten dargestellten Anlagen, die den entsprechenden Inhalt der Anlagen A, B und C dieser AVV durch Verweis einbeziehen.

D.2 Anlage I der SCC

Liste der Parteien. Wie in der Präambel dieser AVV dargestellt.

Beschreibung der Übermittlung. Wie in Anlage A dargestellt.

Zuständige Aufsichtsbehörde. Die zuständige Aufsichtsbehörde für die Zwecke der Anlage I der Standardvertragsklauseln ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Alt-Moabit 59-61, 10555 Berlin, Deutschland — als federführende Aufsichtsbehörde für die Hauptniederlassung von JJ Online in Berlin nach Art. 56 Abs. 1 DSGVO. Diese Benennung ist auf die Anlage I der SCC bezogen und lässt die eigene federführende Aufsichtsbehörde des Verantwortlichen nach Art. 56 Abs. 1 DSGVO, jede betroffene Aufsichtsbehörde nach Art. 4 Nr. 22 DSGVO sowie die allgemeine Kooperationspflicht von JJ Online nach § 14.4 dieser AVV im Hinblick auf den One-Stop-Shop-Mechanismus des Art. 60 DSGVO unberührt.

D.3 Anlage II der SCC — Technische und organisatorische Maßnahmen

Wie in Anlage B dieser AVV dargestellt.

D.4 Anlage III der SCC — Liste der Unter-Auftragsverarbeiter

Wie in Anlage C dieser AVV dargestellt.

D.5 UK-Übermittlungsmechanismus — Addendum (Standard) oder IDTA (Alternative)

Für Übermittlungen, die der UK GDPR unterliegen, beziehen die Parteien nach Wahl des Verantwortlichen gemäß § 10.3 (c) eines der beiden vom ICO herausgegebenen Instrumente ein:

(a) Standardwahl — UK-Addendum. Die Parteien beziehen durch Verweis das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses ein, das vom UK Information Commissioner's Office herausgegeben und dem Parlament am 2. Februar 2022 vorgelegt wurde. Die in Tabelle 1 des Addendums erforderlichen Angaben sind in der Präambel dieser AVV dargestellt; Tabelle 2 wählt das einschlägige SCC-Modul nach §D.1 aus; Tabellen 3 und 4 sind nicht einschlägig. Das UK-Addendum ist die Standardwahl, weil es die SCC der Kommission als zugrunde liegendes Instrument erhält und die Vertragsfragmentierung über parallele EWR- und UK-Übermittlungsketten verringert.

(b) Alternative — eigenständiges IDTA. Soweit der Verantwortliche JJ Online nach § 10.3 (c) schriftlich mitteilt, dass er das eigenständige International Data Transfer Agreement (IDTA) des ICO bevorzugt, das dem Parlament am 2. Februar 2022 vorgelegt wurde, beziehen die Parteien das IDTA für Übermittlungen unter der UK GDPR an die Stelle des UK-Addendums ein. Das IDTA ist ein eigenständiges Instrument und hängt nicht von den SCC der Kommission ab; die Parteien füllen Teil 1 (Parteien), Teil 2 (Übermittlungsdetails) und Teil 3 (zwingende Klauseln) des IDTA mit den in der Präambel dieser AVV und in Anlage A dargestellten Angaben aus.

Beide Instrumente sind vom ICO als wirksame Übermittlungsmechanismen nach Art. 46 UK GDPR anerkannt. Die Wahl trifft der Verantwortliche; ohne schriftliche Wahl gilt die Standardwahl nach (a).

D.6 Schweizerisches DSG

Für Übermittlungen, die dem schweizerischen DSG unterliegen, werden die SCC mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten schweizspezifischen Anpassungen gelesen: Verweise auf „Mitgliedstaat" umfassen „Schweiz", Verweise auf die DSGVO umfassen die entsprechenden DSG-Bestimmungen, die zuständige Aufsichtsbehörde ist der schweizerische EDÖB, und der Begriff „personenbezogene Daten" umfasst Daten juristischer Personen, bis dieser Schutz aus dem DSG entfernt wird.

D.7 Ergänzende Maßnahmen

Im Einklang mit EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen prüft JJ Online für jede Nicht-EWR-Übermittlung:

(a) ob das Empfängerland im Wesentlichen gleichwertigen Schutz bietet;

(b) soweit es dies nicht tut, ob die technischen Maßnahmen (insbesondere Verschlüsselung in der Übertragung und im Ruhezustand) und die vertraglichen Maßnahmen (insbesondere die Verpflichtung des Unter-Auftragsverarbeiters, JJ Online über etwaige behördliche Zugriffsverlangen zu unterrichten) ausreichen;

(c) ob Transparenz über behördliche Zugriffsverlangen operativ bereitgestellt wird (JJ Online veröffentlicht einen jährlichen Transparenzbericht, soweit solche Verlangen eingegangen sind; zum Stand-Datum sind keine derartigen Verlangen eingegangen).

Anlage E — Kontaktinformationen

Für AVV-bezogene Mitteilungen, Mitteilungen über Unter-Auftragsverarbeiter-Änderungen, Weiterleitung von Betroffenenanfragen und Datenschutzverletzungsanzeigen:

JJ Online GmbH z. H. Datenschutz Schönhauser Allee 163, 10435 Berlin, Deutschland E-Mail: admin@uptimia.com

Datenschutzbeauftragter: Nicht benannt. JJ Online liegt unterhalb der Schwelle zur verpflichtenden Benennung eines Datenschutzbeauftragten nach § 38 Abs. 1 BDSG (weniger als 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind, keine Kerntätigkeit, die eine DSFA nach Art. 35 auslöst, keine Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit). Der Verantwortliche kann Datenschutzanfragen an den oben genannten Kontakt richten; Andrius Gecius (Geschäftsführer) ist die zuständige Anlaufstelle.

Federführende Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Alt-Moabit 59-61, 10555 Berlin, Deutschland — zuständig für die Hauptniederlassung von JJ Online.