Skip to content
GoDesk
RECHTLICH · DPA

Datenverarbeitungszusatz

Dieser DPA gilt zwischen upDevTeam LTD (dem 'Verarbeiter') und jedem Kunden des GoDesk-Dienstes, der bei der Nutzung des Dienstes personenbezogene Daten identifizierbarer Personen als 'Verantwortlicher' gemäß der DSGVO verarbeitet. Er ist durch Verweis in die Nutzungsbedingungen integriert.

Zuletzt aktualisiert: 2026-05-06
TL;DR

Wenn Sie GoDesk zur Unterstützung von Geschäftskunden, Mitarbeitern oder anderen identifizierbaren Personen nutzen, sind Sie der Verantwortliche und wir sind der Verarbeiter. Dieser DPA regelt, wie wir personenbezogene Daten in Ihrem Namen gemäß Artikel 28 der DSGVO behandeln.

Indem Sie unsere Nutzungsbedingungen akzeptieren, akzeptieren Sie auch diesen DPA. Unternehmenskunden, die ein gegengezeichnetes PDF benötigen, können dies unter info@godeskflow.com anfordern.

Inhalte
  1. 01Definitionen
  2. 02Geltungsbereich und Rollen
  3. 03Details der Verarbeitung (Artikel 28(3) DSGVO)
  4. 04Pflichten des Auftragsverarbeiters
  5. 05Unterauftragsverarbeiter
  6. 06Sicherheitsmaßnahmen
  7. 07Internationale Übertragungen
  8. 08Anfragen von betroffenen Personen
  9. 09Verletzungen von personenbezogenen Daten
  10. 10Prüfungen
  11. 11Rückgabe und Löschung
  12. 12Haftung
  13. 13Laufzeit
  14. 14Anwendbares Recht
  15. 15Kontakt

01Definitionen

Groß Schreibungen haben die Bedeutungen, die ihnen in der DSGVO gegeben werden. Die folgenden Begriffe haben die unten stehenden Bedeutungen.

Kundendaten
Personenbezogene Daten, die der Kunde oder seine Endbenutzer über den GoDesk-Dienst übermitteln oder speichern und die wir im Auftrag des Kunden als Verarbeiter verarbeiten.
DSGVO
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Allgemeine Datenschutzverordnung) und jede nationale Umsetzungsgesetzgebung, einschließlich der UK DSGVO.
Verarbeiter
upDevTeam LTD.
Verantwortlicher
Kunde.
Sub-Verarbeiter
Jeder Drittanbieter-Verarbeiter, der von upDevTeam LTD beauftragt wurde, Kundendaten zu verarbeiten.
Standardvertragsklauseln
Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der DSGVO, angenommen durch den Beschluss der Kommission (EU) 2021/914 (Modul 2 / Modul 3 wie anwendbar).

02Geltungsbereich und Rollen

Dieser DPA gilt für die Verarbeitung von Kundendaten, die von upDevTeam LTD im Auftrag des Kunden im Rahmen der Bereitstellung des Dienstes durchgeführt wird.

Die Parteien erkennen an, dass in Bezug auf diese Verarbeitung der Kunde der Verantwortliche und upDevTeam LTD der Verarbeiter ist.

upDevTeam LTD verarbeitet auch Daten als Verantwortlicher in Bezug auf seine eigenen Geschäftstätigkeiten (Rechnungsstellung, Missbrauchsbekämpfung, Marketing). Die Datenschutzrichtlinie beschreibt diese Verarbeitung.

03Details der Verarbeitung (Artikel 28(3) DSGVO)

Gegenstand
Bereitstellung des GoDesk Remote-Desktop-Dienstes für den Kunden.
Dauer
Solange der Kunde den Dienst nutzt, zuzüglich etwaiger nach der Kündigung vereinbarter Aufbewahrungsfristen gemäß Abschnitt 11.
Art und Zweck
Hosting, Übertragung, Authentifizierung, Telemetrie, Support und andere Verarbeitungen, die notwendig sind, um den Dienst zu betreiben.
Kategorien von Daten
Konto-IDs (E-Mail, Peer-ID), Verbindungsmetadaten (Zeitstempel, IP) und alle personenbezogenen Daten, die der Kunde in Gerätenamen oder Sitzungsmetadaten angibt. Der Sitzungsinhalt ist Ende-zu-Ende-verschlüsselt und für uns nicht als Klartext zugänglich.
Kategorien von betroffenen Personen
Die Endbenutzer, Mitarbeiter, Auftragnehmer des Kunden und alle Personen, deren Geräte über den Dienst durch den Kunden zugänglich gemacht werden.
Besondere Kategorien von Daten
Werden von upDevTeam LTD als Auftragsverarbeiter nicht erfasst. Der Kunde darf keine besonderen Kategorien von Daten in Gerätenamen oder andere Klartextmetadaten eingeben.

04Pflichten des Auftragsverarbeiters

upDevTeam LTD wird:

  • personenbezogene Daten des Kunden nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten, einschließlich der im Vertrag und in diesem DPA festgelegten, es sei denn, es ist durch EU- oder Mitgliedstaatenrecht erforderlich;
  • sicherstellen, dass die zur Verarbeitung personenbezogener Daten des Kunden autorisierten Personen durch angemessene Vertraulichkeitsverpflichtungen gebunden sind;
  • die in Abschnitt 6 beschriebenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten;
  • die Bedingungen in Artikel 28(2) und (4) DSGVO für die Beauftragung von Unterauftragsverarbeitern (Abschnitt 5) respektieren;
  • den Kunden unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO unterstützen;
  • alle Informationen bereitstellen, die erforderlich sind, um die Einhaltung von Artikel 28 DSGVO nachzuweisen.

05Unterauftragsverarbeiter

Der Kunde ermächtigt upDevTeam LTD, die folgenden Unterauftragsverarbeiter zu beauftragen:

Supabase, Inc.
Konto-Datenbank, Authentifizierung, Telemetrie-Speicherung. Gehostet in der EU.
Hetzner Online GmbH
Rechenleistung und Bandbreite für Relays und Web-Infrastruktur (Zypern und Deutschland).
Cloudflare, Inc.
DNS, CDN, Edge-Sicherheit.
Google Ireland Ltd.
Optionale Analysen, nur wenn die Endbenutzer des Kunden über den Cookie-Banner einwilligen.
Stripe Payments Europe Ltd.
Zahlungsabwicklung für kostenpflichtige Pläne.

Wir werden dem Kunden mindestens 30 Tage im Voraus schriftlich mitteilen, bevor wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen, indem wir die Änderung auf godeskflow.com/dpa veröffentlichen oder den Kontakt des Kontos per E-Mail benachrichtigen. Wenn der Kunde aus datenschutzrechtlichen Gründen angemessen Einspruch erhebt, werden wir in gutem Glauben versuchen, eine Lösung zu finden; wenn keine Einigung erzielt werden kann, kann der Kunde den betroffenen Dienst vorzeitig kündigen.

Wir bleiben dem Kunden für die Handlungen und Unterlassungen unserer Unterauftragsverarbeiter verantwortlich, als ob sie unsere eigenen wären.

06Sicherheitsmaßnahmen

Wir implementieren und halten technische und organisatorische Maßnahmen auf dem Stand der Technik, einschließlich:

  • TLS 1.3 während der Übertragung, AES-256-GCM im Ruhezustand für Backups, X25519 + ED25519 Schlüssel Austausch für Ende-zu-Ende-verschlüsselte Sitzungsinhalte;
  • rollenbasierte Zugriffskontrolle mit geringstem Privileg und obligatorischer Zwei-Faktor-Authentifizierung für Mitarbeiter;
  • zentrale Protokollierung von administrativen Aktionen auf Produktionssystemen;
  • Schwachstellenmanagement, Abhängigkeitsscans und zeitnahe Sicherheitsupdates;
  • physische Sicherheit, die an ISO 27001-zertifizierte Rechenzentrumsbetreiber delegiert wird;
  • dokumentiertes Verfahren zur Incident-Response mit Bereitschaftsrotation.

07Internationale Übertragungen

Die personenbezogenen Daten des Kunden werden im EWR gehostet. Wo die Übertragung personenbezogener Daten des Kunden außerhalb des EWR erforderlich ist (z. B. wenn ein in den USA ansässiger Unterauftragsverarbeiter beteiligt ist), verweisen die Parteien auf die Standardvertragsklauseln, wobei upDevTeam LTD als 'Datenexporteur' für diese Übertragung und der Unterauftragsverarbeiter als 'Datenimporteur' auftritt.

Wenn der Kunde außerhalb des EWR ansässig ist und personenbezogene Daten von upDevTeam LTD an den Kunden fließen, integrieren die Parteien die SCCs (Modul 4) für die entsprechende Übertragung.

Wir führen eine Übertragungswirkungenbewertung für jeden nicht im EWR ansässigen Sub-Auftragsverarbeiter durch und wenden ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung) an, wenn die Bewertung dies empfiehlt.

08Anfragen von betroffenen Personen

Wenn wir eine Anfrage von einer betroffenen Person bezüglich personenbezogener Daten des Kunden erhalten, werden wir nicht direkt antworten, außer um den Eingang zu bestätigen und die betroffene Person an den Kunden zu verweisen. Wir werden die Anfrage ohne unangemessene Verzögerung an den Kunden weiterleiten.

Wir werden dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen zu Zugang, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch bieten, unter Berücksichtigung der Art der Verarbeitung und der uns vorliegenden Informationen. Wenn die Anfrage übermäßig oder offensichtlich unbegründet ist, können wir eine angemessene Gebühr erheben.

09Verletzungen von personenbezogenen Daten

Wir werden den Kunden ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme über eine Verletzung von personenbezogenen Daten, die die personenbezogenen Daten des Kunden betrifft, informieren. Die Benachrichtigung wird die Informationen enthalten, die nach Artikel 33(3) DSGVO erforderlich sind, soweit bekannt, mit Updates, während die Untersuchung fortschreitet.

Wir werden mit dem Kunden zusammenarbeiten, um die Verletzung einzudämmen, zu untersuchen und zu dokumentieren, und werden keine öffentlichen Erklärungen dazu abgeben, ohne zuvor die Zustimmung des Kunden einzuholen, es sei denn, das Gesetz verlangt dies.

10Prüfungen

Wir stellen dem Kunden die Informationen zur Verfügung, die notwendig sind, um die Einhaltung von Artikel 28 DSGVO nachzuweisen, durch (a) diese DPA, (b) das auf Anfrage verfügbare Sicherheits-Whitepaper und (c) die aktuellsten Prüfberichte von relevanten Sub-Auftragsverarbeitern (z.B. SOC 2 Berichte).

Wenn der Kunde vernünftigerweise glaubt, dass die in Abschnitt 10.1 erwähnten Materialien unzureichend sind, kann der Kunde auf seine Kosten und mit mindestens 30 Tagen schriftlicher Ankündigung unsere Einhaltung dieser DPA auditieren, höchstens einmal pro Jahr (außer im Falle eines wesentlichen Verstoßes), vorausgesetzt, die Prüfung (i) wird während der normalen Geschäftszeiten durchgeführt, (ii) stört unsere Betriebsabläufe nicht, (iii) wird von einem unabhängigen Prüfer durchgeführt, der an angemessene Vertraulichkeitsverpflichtungen gebunden ist, und (iv) umfasst keinen Zugriff auf Einrichtungen oder Daten anderer Kunden.

Prüfberichte sind vertrauliche Informationen von upDevTeam LTD und dürfen nur unter Geheimhaltung mit Regulierungsbehörden und rechtlichen Beratern geteilt werden.

11Rückgabe und Löschung

Bei Beendigung der Dienstleistung werden wir, nach Wahl des Kunden und innerhalb von 30 Tagen nach dem Beendigungsdatum, entweder alle personenbezogenen Daten des Kunden in einem strukturierten elektronischen Format zurückgeben oder sicher löschen, es sei denn, die Aufbewahrung ist nach EU- oder Landesrecht erforderlich.

Sicherungskopien werden gemäß unserer standardmäßigen Backup-Retention (derzeit 35 Tage) gelöscht. Backups bleiben bis zum Überschreiben durch die Sicherheitsmaßnahmen in Abschnitt 6 geschützt.

12Haftung

Die Haftung, die sich aus dieser DPA ergibt, unterliegt dem Abschnitt zur Haftungsbeschränkung der Nutzungsbedingungen.

Soweit Artikel 82 DSGVO die Haftung zwischen gemeinsamen Verantwortlichen, Auftragsverarbeitern und Sub-Auftragsverarbeitern verteilt, stimmen die Parteien zu, der gesetzlichen Verteilung zu folgen.

13Laufzeit

Diese DPA tritt am Tag der Zustimmung des Kunden zu den Nutzungsbedingungen in Kraft und bleibt so lange in Kraft, wie upDevTeam LTD personenbezogene Daten des Kunden im Auftrag des Kunden verarbeitet, zuzüglich einer Überlebensfrist, die erforderlich ist, um Verpflichtungen aus den Abschnitten 9, 10 und 11 zu erfüllen.

14Anwendbares Recht

Diese DPA unterliegt den Gesetzen der Republik Zypern, es sei denn, die SCCs gelten, in diesem Fall hat das in den SCCs angegebene anwendbare Recht Vorrang für Angelegenheiten im Geltungsbereich der SCCs.

15Kontakt

Mitteilungen gemäß dieser DPA sind zu senden an info@godeskflow.com (Datenverarbeitungsfragen) und an info@godeskflow.com (Fragen von betroffenen Personen und Aufsichtsbehörden).

Wenn Sie ein gegenzeichnetes Exemplar dieser DPA auf dem Briefpapier von upDevTeam LTD benötigen, schreiben Sie an info@godeskflow.com. Die englische Version dieser DPA ist die maßgebliche Version.