AUFTRAGSVERARBEITUNGSVERTRAG

Zuletzt aktualisiert am 28. Mai 2026

Dieser Auftragsverarbeitungsvertrag („DPA“) ist Bestandteil der Nutzungsbedingungen und jeder anderen schriftlichen oder elektronischen Vereinbarung zwischen OneCal SHPK („OneCal“, „wir“, „uns“) und dem im Konto identifizierten Kunden („Kunde“, „Sie“), auf deren Grundlage wir den Dienst bereitstellen (zusammen der „Vertrag“), und wird durch Verweis in diese aufgenommen.

Dieser DPA regelt die Verarbeitung personenbezogener Daten durch OneCal als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlicher im Zusammenhang mit der Nutzung des Dienstes durch den Kunden. Er spiegelt die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten wider und findet Anwendung, soweit die EU-, britischen oder schweizerischen Datenschutzgesetze oder andere anwendbare Datenschutzgesetze für diese Verarbeitung gelten.

Dieser DPA tritt in Kraft, sobald Sie die Nutzungsbedingungen akzeptieren. Mit der Nutzung des Dienstes akzeptieren Sie diesen DPA in eigenem Namen und gegebenenfalls im Namen des Kundenunternehmens, das Sie vertreten. Eine Gegenzeichnung ist nicht erforderlich; Kunden, die eine gegengezeichnete Kopie benötigen, können diese unter contact@onecal.io anfordern.

Im Falle von Widersprüchen zwischen diesem DPA und dem Vertrag hinsichtlich der Verarbeitung personenbezogener Daten hat dieser DPA Vorrang. Die Anhänge bilden einen integralen Bestandteil dieses DPA.

1. Definitionen

Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die ihnen im Vertrag zugewiesene Bedeutung. Für die Zwecke dieses DPA gilt:

  • „Personenbezogene Daten des Kunden“ bezeichnet personenbezogene Daten, die OneCal im Auftrag des Kunden im Rahmen der Bereitstellung des Dienstes verarbeitet, wie in Anhang 1 näher beschrieben.
  • „Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar sind, einschließlich (i) der Verordnung (EU) 2016/679 („DSGVO“), (ii) des UK Data Protection Act 2018 und der UK GDPR („UK GDPR“), (iii) des Schweizer Bundesgesetzes über den Datenschutz („FADP“), (iv) des California Consumer Privacy Act in der durch den CPRA geänderten Fassung („CCPA“) sowie (v) aller sonstigen anwendbaren gleichwertigen oder Nachfolgegesetze.
  • Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „besondere Kategorien personenbezogener Daten“ haben die ihnen in der DSGVO zugewiesene Bedeutung.
  • „Unterauftragsverarbeiter“ bezeichnet jeden von OneCal beauftragten Dritten, der im Auftrag von OneCal personenbezogene Daten des Kunden im Zusammenhang mit dem Dienst verarbeitet.
  • „Sicherheitsverletzung“ bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten des Kunden führt, die von OneCal oder seinen Unterauftragsverarbeitern verarbeitet werden. Eine Sicherheitsverletzung umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten des Kunden nicht beeinträchtigen, wie etwa erfolglose Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
  • „Standardvertragsklauseln“ oder „SCC“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß DSGVO, wie sie im Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 festgelegt sind.
  • „UK Addendum“ bezeichnet das vom britischen Information Commissioner herausgegebene International Data Transfer Addendum zu den EU-Standardvertragsklauseln der Kommission, Version B1.0, in Kraft seit dem 21. März 2022.
  • „Endnutzer“ hat die in den Nutzungsbedingungen festgelegte Bedeutung: jede Person, die mit Inhalten interagiert, die der Kunde über den Dienst veröffentlicht, einschließlich Eingeladener der Booking Pages des Kunden und Betrachter der öffentlichen Kalender-Feeds des Kunden.

2. Anwendungsbereich und Rollen der Parteien

Der Kunde ist Verantwortlicher und OneCal ist Auftragsverarbeiter für die personenbezogenen Daten, die der Kunde an den Dienst übermittelt oder über diesen generiert, einschließlich personenbezogener Daten der Endnutzer des Kunden, die der Kunde über Booking Pages, Kalendersynchronisation und andere Funktionen erhebt, die er diesen Endnutzern zur Verfügung stellt („Personenbezogene Daten des Kunden“). Soweit der Kunde selbst Auftragsverarbeiter ist und im Auftrag eines dritten Verantwortlichen handelt (beispielsweise wenn der Kunde eine Organisation ist, die den Dienst nutzt, um personenbezogene Daten im Auftrag ihrer eigenen Kunden zu verarbeiten), handelt OneCal als Unterauftragsverarbeiter, und der Kunde sichert zu, dass er von dem zugrunde liegenden Verantwortlichen die Befugnis besitzt, diesen DPA abzuschließen.

OneCal verarbeitet personenbezogene Daten des Kunden ausschließlich auf der Grundlage dokumentierter Weisungen des Kunden, einschließlich in Bezug auf internationale Datenübermittlungen, sofern dies nicht durch geltendes Recht vorgeschrieben ist. Der Vertrag (einschließlich dieses DPA, der Dokumentation des Dienstes, der Konfiguration des Dienstes durch den Kunden und aller Weisungen, die über die administrativen Steuerungen des Dienstes erteilt werden) stellt die vollständigen und endgültigen dokumentierten Weisungen des Kunden an OneCal für die Verarbeitung der personenbezogenen Daten des Kunden dar. Zusätzliche oder abweichende Weisungen bedürfen einer schriftlichen Vereinbarung.

OneCal wird den Kunden informieren, wenn nach Ansicht von OneCal eine Weisung gegen anwendbare Datenschutzgesetze verstößt, ohne verpflichtet zu sein, die Einhaltung dieser Gesetze durch den Kunden zu überwachen.

Dieser DPA gilt ausschließlich für die Verarbeitung personenbezogener Daten des Kunden durch OneCal im Auftrag des Kunden als Auftragsverarbeiter. OneCal verarbeitet darüber hinaus personenbezogene Daten als unabhängiger Verantwortlicher, einschließlich der Konto-, Abrechnungs- und Kontaktinformationen des Kunden; Metadaten zur Authentifizierung, Sicherheit und Betrugsprävention, die zum Betrieb und zur Sicherung des Dienstes verwendet werden; Produktanalysen, die OneCal zum Betrieb und zur Verbesserung des Dienstes verwendet; sowie OneCals eigene Marketingkommunikation, die mit gesonderter Einwilligung des Empfängers versendet wird. Diese gesonderte Verarbeitung ist in OneCals Datenschutzerklärung beschrieben und wird durch diese geregelt, nicht durch diesen DPA.

OneCal wird personenbezogene Daten des Kunden nicht zum Training oder zur Feinabstimmung von Modellen für künstliche Intelligenz oder maschinelles Lernen verwenden, ohne die ausdrückliche vorherige Genehmigung des Kunden.

3. Pflichten des Kunden

Der Kunde ist für die Rechtmäßigkeit der personenbezogenen Daten des Kunden und die Art und Weise, wie er sie erlangt hat, verantwortlich. Der Kunde sichert zu, dass er über alle erforderlichen Rechte, Rechtsgrundlagen, Einwilligungen und Berechtigungen verfügt, um personenbezogene Daten des Kunden zu verarbeiten und OneCal anzuweisen, personenbezogene Daten des Kunden in seinem Auftrag zu verarbeiten, wie im Vertrag und in diesem DPA beschrieben, auch im Zusammenhang mit Kalenderereignissen, die von Drittanbietern für Kalender synchronisiert werden, und personenbezogenen Daten von Endnutzern wie etwa Einladenden bei Buchungen.

Der Kunde ist dafür verantwortlich, allen betroffenen Personen (einschließlich Endnutzern) alle erforderlichen Hinweise zu geben und alle erforderlichen Einwilligungen einzuholen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten durch den Kunden über den Dienst.

Der Kunde wird keine besonderen Kategorien personenbezogener Daten oder Daten, die besonderen Rechtsregimen unterliegen, für die der Dienst nicht ausgelegt ist, übermitteln und angemessene Anstrengungen unternehmen, um zu verhindern, dass seine Endnutzer solche Daten übermitteln, wie in den Nutzungsbedingungen beschrieben (einschließlich, aber nicht beschränkt auf Daten, die HIPAA oder GLBA unterliegen). OneCal haftet nicht für die Verarbeitung solcher Daten, die unter Verstoß gegen diese Beschränkung an den Dienst übermittelt werden.

Der Kunde nimmt zur Kenntnis, dass der Dienst von Drittanbietern für Kalender abhängt und dass die Autorisierung dieser Anbieter durch den Kunden, die von ihnen bereitgestellten Daten und deren fortgesetzte Verfügbarkeit außerhalb des Einflussbereichs von OneCal liegen.

4. Unterauftragsverarbeiter

Der Kunde erteilt OneCal eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit der Bereitstellung des Dienstes zu beauftragen.

OneCal führt auf der Unterauftragsverarbeiter-Seite eine aktuelle Liste seiner Unterauftragsverarbeiter, einschließlich Name, Rolle und Hauptstandort jedes Unterauftragsverarbeiters. Der Kunde kann diese Liste jederzeit einsehen. Unterauftragsverarbeiter-Seite ansehen.

OneCal wird den Kunden vorab über die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters informieren, indem die Unterauftragsverarbeiter-Seite mindestens 30 Tage vor Wirksamwerden der Änderung aktualisiert wird.

Der Kunde kann der Beauftragung eines neuen Unterauftragsverarbeiters durch OneCal aus berechtigten datenschutzrechtlichen Gründen widersprechen, indem er OneCal innerhalb von 14 Tagen nach der Mitteilung schriftlich unter contact@onecal.io benachrichtigt. Im Falle eines Widerspruchs werden die Parteien nach Treu und Glauben zusammenarbeiten, um den Einwand auszuräumen. Kann innerhalb einer angemessenen Frist keine Lösung erzielt werden, kann der Kunde als sein einziges Rechtsmittel das betroffene Abonnement kündigen und eine anteilige Erstattung etwaiger im Voraus für den Zeitraum nach der Kündigung gezahlter Abonnementgebühren erhalten.

OneCal wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die Datenschutzpflichten auferlegt, die für die personenbezogenen Daten des Kunden nicht weniger schützend sind als die OneCal nach diesem DPA auferlegten Pflichten. OneCal bleibt dem Kunden gegenüber für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters aus einer solchen Vereinbarung in dem im Vertrag vorgesehenen Umfang haftbar.

5. Internationale Datenübermittlungen

OneCals primäre Verarbeitungsinfrastruktur für personenbezogene Daten des Kunden befindet sich in den Vereinigten Staaten. OneCal kann personenbezogene Daten des Kunden auch an jedem anderen Ort der Welt verarbeiten, an dem OneCal oder seine Unterauftragsverarbeiter Tätigkeiten ausüben. Unterauftragsverarbeiter-Seite ansehen.

Soweit OneCal personenbezogene Daten des Kunden, die der DSGVO unterliegen, in einem Land verarbeitet, das nicht Gegenstand eines Angemessenheitsbeschlusses der Europäischen Kommission ist, nehmen die Parteien die Standardvertragsklauseln (Modul Zwei: Verantwortlicher an Auftragsverarbeiter) durch Verweis in diesen DPA auf, wobei die Angaben zu den Parteien, die Beschreibung der Übermittlung sowie die technischen und organisatorischen Maßnahmen wie in Anhang 3 dargelegt vervollständigt werden, mit folgenden Auswahlen: (i) die optionale Beitrittsklausel (Klausel 7) findet Anwendung; (ii) für Änderungen von Unterauftragsverarbeitern gilt Option 2 (allgemeine schriftliche Genehmigung) mit der in Abschnitt 4 festgelegten Mitteilungsfrist; (iii) Klausel 17 (anwendbares Recht) unterliegt dem Recht Irlands; (iv) Gerichtsstand und Zuständigkeit nach Klausel 18 sind die Gerichte Irlands; und (v) Anhang I.C benennt die Irish Data Protection Commission als zuständige Aufsichtsbehörde.

Soweit personenbezogene Daten des Kunden der UK GDPR unterliegen, nehmen die Parteien das UK Addendum in diesen DPA auf, wobei die vorstehenden SCC als die im UK Addendum referenzierten „Approved EU SCCs“ gelten und die Tabellen 1 bis 3 durch Verweis auf Anhang 3 vervollständigt werden. Jede Partei kann das UK Addendum gemäß Abschnitt 19 des UK Addendums beenden.

Soweit personenbezogene Daten des Kunden dem FADP unterliegen, gelten die SCC mit folgenden Änderungen: (a) Verweise auf die DSGVO sind als Verweise auf das FADP zu lesen, soweit das FADP Anwendung findet; (b) der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist die zuständige Aufsichtsbehörde für Übermittlungen, die ausschließlich dem FADP unterliegen; und (c) der Begriff „Mitgliedstaat“ ist so auszulegen, dass er betroffene Personen in der Schweiz nicht von der Wahrnehmung ihrer Rechte an ihrem gewöhnlichen Aufenthaltsort ausschließt.

Sollte eine zuständige Aufsichtsbehörde oder ein Gericht die SCC, das UK Addendum oder einen anderen unter diesem DPA herangezogenen Übermittlungsmechanismus für ungültig erklären oder einschränken, werden OneCal und der Kunde nach Treu und Glauben zusammenarbeiten, um einen Ersatzmechanismus zu wählen, der den anwendbaren Datenschutzgesetzen entspricht.

6. Sicherheit

OneCal wird geeignete technische und organisatorische Maßnahmen einrichten und aufrechterhalten, die darauf ausgelegt sind, personenbezogene Daten des Kunden vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu schützen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos für die betroffenen Personen. Eine aktuelle Zusammenfassung dieser Maßnahmen ist in Anhang 2 dargelegt.

OneCal stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten des Kunden befugt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen und Schulungen zu ihren datenschutzrechtlichen Verantwortlichkeiten erhalten haben, und beschränkt den Zugriff auf personenbezogene Daten des Kunden auf Personen, die diesen Zugriff zur Ausübung ihrer Rolle benötigen.

OneCal kann seine technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren, sofern die aktualisierten Maßnahmen das Schutzniveau personenbezogener Daten des Kunden nicht wesentlich verringern.

7. Mitteilung von Sicherheitsverletzungen

OneCal wird den Kunden ohne unangemessene Verzögerung und, soweit möglich, spätestens innerhalb von zweiundsiebzig (72) Stunden benachrichtigen, nachdem OneCal Kenntnis von einer Sicherheitsverletzung erhalten hat, die personenbezogene Daten des Kunden betrifft.

Jede Mitteilung enthält, soweit OneCal zu diesem Zeitpunkt bekannt: (a) eine Beschreibung der Art der Sicherheitsverletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze; (b) die wahrscheinlichen Folgen der Sicherheitsverletzung; (c) die Maßnahmen, die zur Behebung der Sicherheitsverletzung und zur Minderung ihrer möglichen negativen Auswirkungen ergriffen oder vorgeschlagen wurden; und (d) eine Kontaktstelle bei OneCal, bei der weitere Informationen eingeholt werden können. Soweit Informationen nicht gleichzeitig bereitgestellt werden können, wird OneCal sie ohne weitere unangemessene Verzögerung schrittweise zur Verfügung stellen.

OneCal wird dem Kunden angemessene Unterstützung leisten, damit der Kunde seinen eigenen Meldepflichten nach anwendbaren Datenschutzgesetzen nachkommen kann (einschließlich Meldungen an Aufsichtsbehörden und an betroffene Personen).

Die Benachrichtigung über oder Reaktion auf eine Sicherheitsverletzung durch OneCal nach diesem Abschnitt stellt kein Anerkenntnis eines Verschuldens oder einer Haftung von OneCal in Bezug auf die Sicherheitsverletzung dar.

8. Anfragen betroffener Personen und Zusammenarbeit

Unter Berücksichtigung der Art der Verarbeitung wird OneCal dem Kunden durch geeignete technische und organisatorische Maßnahmen und soweit möglich angemessene Unterstützung leisten, damit der Kunde seiner Verpflichtung nachkommen kann, auf Anfragen betroffener Personen zur Ausübung ihrer Rechte nach anwendbaren Datenschutzgesetzen (einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) zu reagieren.

Wendet sich eine betroffene Person mit einer Anfrage in Bezug auf personenbezogene Daten des Kunden direkt an OneCal, wird OneCal die betroffene Person ohne unangemessene Verzögerung darüber informieren, dass die Anfrage an den Kunden zu richten ist, oder, sofern die Identifikationsdaten der betroffenen Person dies OneCal ermöglichen, die Anfrage an den Kunden weiterleiten. OneCal wird auf eine solche Anfrage nicht im Namen des Kunden antworten, es sei denn auf der Grundlage dokumentierter Weisungen des Kunden.

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen wird OneCal dem Kunden angemessene Unterstützung bei den Pflichten nach Artikel 32 bis 36 der DSGVO (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation der Aufsichtsbehörden) leisten, wobei der Kunde alle OneCal entstehenden tatsächlichen Kosten zu tragen hat, die über das hinausgehen, was im Dienst angemessenerweise enthalten ist.

9. Aufzeichnungen und Audits

OneCal wird Aufzeichnungen über die im Auftrag des Kunden durchgeführten Verarbeitungstätigkeiten gemäß Artikel 30(2) der DSGVO führen.

OneCal wird dem Kunden alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung dieses DPA und der Pflichten eines Auftragsverarbeiters nach Artikel 28 der DSGVO vernünftigerweise erforderlich sind. In erster Instanz wird das Auditrecht des Kunden dadurch erfüllt, dass OneCal Folgendes bereitstellt: (a) diesen DPA und die Beschreibung der technischen und organisatorischen Maßnahmen, wie sie in Anhang 2 und auf der OneCal-Datensicherheitsseite dargelegt sind; (b) Kopien der dann aktuellen Zertifizierungen, Bescheinigungen, Penetrationstest-Zusammenfassungen oder Auditberichte Dritter von OneCal, soweit verfügbar; und (c) angemessene schriftliche Antworten auf einen Standard-Sicherheitsfragebogen, der die in Anhang 2 dargelegten Punkte abdeckt, in jedem Fall vorbehaltlich angemessener Vertraulichkeitspflichten.

Reichen die im vorstehenden Absatz bereitgestellten Informationen nach der angemessenen Einschätzung des Kunden nicht aus, um die Einhaltung einer bestimmten Pflicht nach diesem DPA nachzuweisen, kann der Kunde eine schriftliche Anfrage an contact@onecal.io richten, in der der zu klärende Sachverhalt und die zusätzlich erforderlichen Informationen angegeben werden. OneCal wird innerhalb einer angemessenen Frist und in jedem Fall innerhalb von dreißig (30) Tagen nach Erhalt schriftlich antworten und weitere Informationen, Klarstellungen oder Nachweise, die ihm vernünftigerweise zur Verfügung stehen, bereitstellen, vorbehaltlich angemessener Vertraulichkeitspflichten sowie etwaiger Einschränkungen, die sich aus OneCals Verpflichtungen gegenüber Dritten, dem Schutz von Daten anderer Kunden oder dem Schutz der Geschäftsgeheimnisse von OneCal ergeben.

Sollte der Kunde nach Abschluss der in den vorstehenden Absätzen genannten Schritte vernünftigerweise der Ansicht sein, dass die bereitgestellten Informationen weiterhin nicht ausreichen, um die Einhaltung einer bestimmten Pflicht nach diesem DPA nachzuweisen, kann der Kunde auf eigene Kosten ein auf diesen konkreten Sachverhalt beschränktes Audit der datenschutzrechtlichen Compliance von OneCal durchführen, höchstens einmal innerhalb eines Zeitraums von zwölf Monaten (außer wenn dies von einer Aufsichtsbehörde gefordert wird oder nach einer Sicherheitsverletzung), vorbehaltlich folgender Bedingungen: (a) eine schriftliche Vorankündigung von mindestens sechzig (60) Tagen; (b) Abschluss einer für OneCal vernünftigerweise akzeptablen Vertraulichkeitsvereinbarung; (c) das Audit wird während der regulären Geschäftszeiten in einer Weise durchgeführt, die den Betrieb von OneCal nicht beeinträchtigt, und erstreckt sich nicht auf Daten anderer Kunden, Geschäftsgeheimnisse oder Systeme, deren Zugang einen Verstoß gegen die Verpflichtungen von OneCal gegenüber Dritten darstellen würde; und (d) der Prüfer ist ein anerkannter unabhängiger Dritter, der kein Wettbewerber von OneCal ist und die oben genannte Vertraulichkeitsvereinbarung abgeschlossen hat. Die Parteien werden die Auditergebnisse austauschen und etwaige Feststellungen nach Treu und Glauben erörtern.

10. Rückgabe und Löschung personenbezogener Daten des Kunden

Der Kunde kann personenbezogene Daten des Kunden während der Laufzeit des Vertrags jederzeit über die Funktionalität des Dienstes löschen. Für Anfragen zum Datenexport kann der Kunde OneCal unter contact@onecal.io kontaktieren.

Nach Beendigung oder Ablauf des Vertrags wird OneCal nach Wahl des Kunden alle personenbezogenen Daten des Kunden löschen oder an den Kunden zurückgeben und alle vorhandenen Kopien löschen, soweit nicht das geltende Recht OneCal zur Aufbewahrung der personenbezogenen Daten verpflichtet oder die personenbezogenen Daten in routinemäßigen verschlüsselten Backups aufbewahrt werden, die im normalen Verlauf der Backup-Aufbewahrungspraktiken von OneCal rotiert und gelöscht werden.

Wenn der Vertrag beendet wird, einschließlich wenn der Kunde sein Konto über den Dienst löscht, löscht OneCal personenbezogene Daten des Kunden unverzüglich aus den aktiven Produktionssystemen. Backup-Kopien werden gelöscht, sobald diese Backups im normalen Verlauf der Backup-Aufbewahrungspraktiken von OneCal rotiert werden (in der Regel innerhalb von sieben (7) Tagen). Die einzigen personenbezogenen Daten, die OneCal über eine gelöschte betroffene Person aufbewahrt, sind ein einseitiger Hash der E-Mail-Adresse, der auf der Grundlage berechtigter Interessen unbefristet aufbewahrt wird, um die erneute Registrierung gesperrter oder gelöschter Konten zu verhindern und die Betrugs- und Missbrauchsprävention zu unterstützen. Finanzbuchhaltungsunterlagen werden von den Merchants of Record von OneCal gemäß deren eigenen gesetzlichen Aufbewahrungsfristen geführt und nicht von OneCal aufbewahrt.

11. Haftung

Die Haftung jeder Partei, die sich aus diesem DPA ergibt oder mit diesem zusammenhängt, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungsgrundlage, unterliegt den im Vertrag festgelegten Haftungsbeschränkungen, und jede Bezugnahme im Vertrag auf die Haftung einer Partei bezeichnet die Gesamthaftung dieser Partei aus dem Vertrag und diesem DPA zusammen. Nichts in diesem DPA beschränkt oder schließt eine Haftung aus, die nach geltendem Recht nicht beschränkt oder ausgeschlossen werden kann, einschließlich der Haftung nach Artikel 82 der DSGVO.

Der Kunde wird in Bezug auf denselben Schaden keine doppelten Ansprüche sowohl aus dem Vertrag als auch aus diesem DPA geltend machen.

12. California Consumer Privacy Act

Soweit OneCal personenbezogene Daten von Einwohnern Kaliforniens im Auftrag des Kunden verarbeitet, handelt OneCal als „service provider“ des Kunden im Sinne des CCPA. OneCal wird: (a) solche personenbezogenen Daten nur für die in diesem DPA und im Vertrag dargelegten begrenzten und bestimmten Geschäftszwecke verarbeiten; (b) solche personenbezogenen Daten nicht „verkaufen“ oder „teilen“ (im Sinne der Definitionen dieser Begriffe im CCPA); (c) solche personenbezogenen Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen Kunde und OneCal oder für einen kommerziellen Zweck außer den in diesem DPA dargelegten Geschäftszwecken aufbewahren, nutzen oder offenlegen, es sei denn, dies ist nach dem CCPA zulässig; und (d) solche personenbezogenen Daten nicht mit personenbezogenen Daten kombinieren, die von einer anderen Person erhalten wurden, es sei denn, dies ist nach dem CCPA zulässig.

OneCal bestätigt, dass es die in diesem Abschnitt dargelegten Beschränkungen versteht und einhalten wird.

13. Allgemeines

Dieser DPA tritt an dem Tag in Kraft, an dem der Kunde den Vertrag akzeptiert, und bleibt so lange in Kraft, wie OneCal personenbezogene Daten des Kunden verarbeitet, einschließlich nach Beendigung des Vertrags, soweit eine fortgesetzte Verarbeitung zur Umsetzung von Abschnitt 10 (Rückgabe und Löschung) erforderlich ist.

OneCal kann diesen DPA von Zeit zu Zeit aktualisieren, unter anderem um Änderungen anwendbarer Datenschutzgesetze, Übermittlungsmechanismen oder des Geschäftsbetriebs von OneCal widerzuspiegeln. Wir werden wesentliche Änderungen in der in den Nutzungsbedingungen beschriebenen Weise mitteilen. Aktualisierungen, die durch geltendes Recht, durch eine Aufsichtsbehörde oder zur Berücksichtigung eines ersetzenden Übermittlungsmechanismus erforderlich sind, treten zu dem in der Mitteilung angegebenen Zeitpunkt in Kraft, ohne dass es einer weiteren Handlung des Kunden bedarf.

Sollte eine Bestimmung dieses DPA durch ein zuständiges Gericht für ungültig oder undurchsetzbar erklärt werden, bleiben die übrigen Bestimmungen in vollem Umfang in Kraft.

Fragen zu diesem DPA, Anforderungen einer gegengezeichneten Kopie, Anforderungen einer unterzeichneten Kopie der SCC oder nach diesem DPA erforderliche Mitteilungen können an OneCal unter contact@onecal.io gesendet werden. In der EU ansässige betroffene Personen können auch die im Abschnitt „EU/EWR-DSGVO-Vertreter“ der Datenschutzerklärung von OneCal dargelegten Kanäle nutzen. Datenschutzerklärung lesen.

Anhang 1 – Beschreibung der Verarbeitung

Gegenstand

OneCal Processes Customer Personal Data as necessary to provide the Service in accordance with the Agreement and Customer's documented instructions, including any features and functionality made available to Customer from time to time.

Dauer

Für die Laufzeit des Vertrags zuzüglich des in Abschnitt 10 festgelegten Aufbewahrungszeitraums nach Beendigung.

Art und Zweck

Processing activities include hosting, storing, transmitting, displaying, backing up, securing, and otherwise handling Customer Personal Data as reasonably necessary to deliver, support, and improve the Service in accordance with the Agreement and Customer's instructions.

Kategorien betroffener Personen

  • Customer's Authorized Users: account holders and other individuals authorized by Customer to use the Service.
  • Customer's End Users: booking attendees and schedulers, workspace invitees, and other persons who interact with content the Customer publishes through the Service or who are invited to scheduled events.

Kategorien personenbezogener Daten

  • Identification and contact data: such as name, email address, time zone, and similar contact details of Authorized Users and End Users.
  • Account and workspace data: account and team-membership information for Authorized Users, such as role and permission assignments, invitation status, and team affiliations.
  • Calendar data: Personal Data contained in connected calendar event details as exposed by Customer's connected calendar providers. Customer may minimize what is mirrored to destination calendars through the privacy controls available in the Service.
  • Booking data: Booking Page and per-link configuration, and booking event data, including times, attendee details, and custom-field responses, which may contain arbitrary Customer-defined Personal Data.
  • Customer-published content: text, images, links, and other content Customer publishes on Booking Pages and similar surfaces.
  • Communications data sent through the Service on Customer's behalf: outbound transactional and service email content to End Users (such as booking confirmations, reminders, and calendar invites).
  • Support communications: messages, transcripts, and attachments exchanged with OneCal's support channel.
  • Device and mobile-application data: data necessary to operate OneCal's mobile applications, such as push notification tokens and device-level preferences.
  • Integration data: payload contents of outbound webhooks delivered to Customer-provided endpoints, and other Personal Data transmitted through Customer's use of OneCal APIs.

Besondere Kategorien personenbezogener Daten

Der Dienst ist nicht für besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) oder Daten, die HIPAA oder GLBA unterliegen, vorgesehen, und der Kunde sichert zu, dass er solche Daten nicht übermittelt. Soweit solche Daten unter Verstoß gegen diese Beschränkung übermittelt werden, sind sie nicht Teil der von diesem DPA vorgesehenen Verarbeitung.

Häufigkeit der Verarbeitung

Fortlaufend, für die Dauer des Vertrags.

Aufbewahrung

Wie in Abschnitt 10 dieses DPA und in der Datenschutzerklärung von OneCal dargelegt.

Anhang 2 – Technische und organisatorische Maßnahmen

OneCal setzt technische und organisatorische Maßnahmen um, die darauf ausgelegt sind, personenbezogene Daten des Kunden im Einklang mit Artikel 32 der DSGVO zu schützen, einschließlich: Verschlüsselung personenbezogener Daten bei der Übertragung (TLS) und im Ruhezustand; private, netzwerkisolierte Produktionsdatenbanken, die auf AWS gehostet werden; rollenbasierte Zugriffskontrollen und das Prinzip der geringsten Rechte für Mitarbeitende; Hashing risikobehafteter Kennungen (API-Schlüssel, Kontokennungen nach Löschung); Webhook-Signaturprüfung bei eingehenden Anbieterereignissen; automatisierte verschlüsselte Backups; Protokollierung sicherheitsrelevanter administrativer Handlungen einschließlich Impersonation; Missbrauchspräventionsmaßnahmen wie IP-basierte Ratenbegrenzung und Sperrlisten für Wegwerf-E-Mails; automatisiertes Scannen auf Schwachstellen in Abhängigkeiten; ein dokumentiertes Incident-Response-Verfahren; sowie der Abschluss von Auftragsverarbeitungsverträgen mit jedem Unterauftragsverarbeiter.

Eine aktuelle, ausführlichere Beschreibung der Sicherheitskontrollen von OneCal ist veröffentlicht auf der OneCal-Datensicherheitsseite und bildet einen Bestandteil der technischen und organisatorischen Maßnahmen, die nach diesem DPA auf personenbezogene Daten des Kunden angewendet werden. OneCal kann die dort beschriebenen Kontrollen von Zeit zu Zeit aktualisieren, sofern eine solche Aktualisierung das Gesamtschutzniveau personenbezogener Daten des Kunden nicht wesentlich verringert.

Anhang 3 – Anhänge zu den Standardvertragsklauseln

Dieser Anhang 3 vervollständigt die Anhänge zu den Standardvertragsklauseln, soweit sie nach Abschnitt 5 dieses DPA einbezogen werden.

A. Liste der Parteien

Datenexporteur: der Kunde, identifiziert in seinem OneCal-Konto, handelnd als Verantwortlicher, mit den Kontaktdaten, die der Kunde in seinem Konto angibt.

Datenimporteur: OneCal SHPK, Rruga Gjon Buzuku, Apartamenti nr.2, Kati 7, Tirana, Albania, handelnd als Auftragsverarbeiter. Kontakt: contact@onecal.io. Vertreter in der EU: Euverify Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Ireland. E-Mail: gdpr@euverify.com.

B. Beschreibung der Übermittlung

The categories of Data Subjects, categories of Personal Data, special categories of data (none, as set out in Annex 1), nature and purpose of the Processing, frequency, duration, and retention are set out in Annex 1.

C. Zuständige Aufsichtsbehörde

Für Übermittlungen, die der DSGVO unterliegen: die Irish Data Protection Commission (21 Fitzwilliam Square South, Dublin 2, D02 RD28, Ireland). Für Übermittlungen, die der UK GDPR unterliegen: das UK Information Commissioner's Office. Für Übermittlungen, die ausschließlich dem FADP unterliegen: der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.

II. Technische und organisatorische Maßnahmen

Die vom Datenimporteur angewandten technischen und organisatorischen Maßnahmen sind in Anhang 2 dargelegt.

III. Liste der Unterauftragsverarbeiter

Die aktuelle Liste der genehmigten Unterauftragsverarbeiter ist auf der OneCal-Unterauftragsverarbeiter-Seite veröffentlicht. Unterauftragsverarbeiter-Seite ansehen.