Funktionen Preise API Referenz Über
Melden Sie sich an Melden Sie sich an

Datenverarbeitungsvereinbarung (DPA)

v1.0 – Gültig ab März 2026

Morlivo, eine Marke von Stelica Ventures LLC, einer in Texas gegründeten Gesellschaft mit beschränkter Haftung ("Morlivo", "Auftragsverarbeiter"), verpflichtet sich, personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (EU) 2016/679 ("GDPR"), dem UK GDPR und allen sonstigen anwendbaren Datenschutzgesetzen zu verarbeiten. Diese Vereinbarung zur Datenverarbeitung ("DPA") regelt die Verarbeitung personenbezogener Daten durch Morlivo im Auftrag unserer Kunden ("Verantwortlicher"). Verweise auf "Morlivo" oder "Morlivo.ai" beziehen sich auf Stelica Ventures LLC, die unter dem Namen Morlivo.ai tätig ist.

1. Definitionen

Für die Zwecke dieser Datenverarbeitungsvereinbarung:

  • <strong>"Personenbezogene Daten"</strong> sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 Absatz 1 der DSGVO definiert.
  • <strong>"Verarbeitung"</strong> bezeichnet jede an personenbezogenen Daten vorgenommene Verarbeitungshandlung, einschließlich Erhebung, Speicherung, Nutzung, Weitergabe oder Löschung, wie in Artikel 4 Absatz 2 der DSGVO definiert.
  • <strong>"Verantwortlicher"</strong> bezeichnet den Kunden, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  • <strong>"Auftragsverarbeiter"</strong> ist Morlivo, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • <strong>"Unterauftragsverarbeiter"</strong> bezeichnet jede vom Auftragsverarbeiter beauftragte Drittpartei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • <strong>"Betroffene Person"</strong> bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

2. Einzelheiten zur Verarbeitung

Der Processor verarbeitet Personal Data nur auf dokumentierte Anweisungen des Controller, einschließlich hinsichtlich Übermittlungen von Personal Data in ein Drittland, es sei denn, der Processor ist nach Unions‑ oder Mitgliedstaatenrecht, dem er unterliegt, dazu verpflichtet.

Die Einzelheiten der Verarbeitung lauten wie folgt:

  • <strong>Gegenstand:</strong> Erbringung von Übersetzungs-, Transkriptions- und Sprachverarbeitungsdiensten.
  • <strong>Dauer:</strong> Für die Laufzeit des zugrunde liegenden Dienstleistungsvertrags.
  • <strong>Art und Zweck:</strong> Verarbeitung von Kundeninhalten zur Erbringung von Übersetzungen, Transkriptionen und damit zusammenhängenden Sprachdienstleistungen.
  • <strong>Kategorien betroffener Personen:</strong> Endbenutzer und Personen, deren Daten in den Kundeninhalten enthalten sind.
  • <strong>Arten personenbezogener Daten:</strong> Namen, Kontaktdaten und sonstige personenbezogene Daten, die in zur Verarbeitung eingereichten Materialien enthalten sind.

3. Sicherheitsmaßnahmen

Der Processor wird geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Sicherheitsniveau gemäß Artikel 32 der DSGVO zu gewährleisten. Zu diesen Maßnahmen gehören:

  • Verschlüsselung personenbezogener Daten im Ruhezustand (AES-256) und während der Übertragung (TLS 1.2+).
  • Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen.
  • Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
  • Regelmäßige Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen.
  • Pseudonymisierung personenbezogener Daten, soweit technisch machbar und angemessen.
  • Strenge Zugriffskontrollen nach dem Prinzip der geringsten Rechte.
  • Umfassende Audit-Protokollierung und Überwachung des Datenzugriffs.

Der Processor stellt sicher, dass Personen, die zur Verarbeitung von Personal Data befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

4. Unterauftragsverarbeiter

Der Controller erteilt dem Processor eine allgemeine Ermächtigung zur Beauftragung von Sub-processors. Der Processor führt eine stets aktuelle Liste der Sub-processors und stellt sie dem Controller auf Anfrage zur Verfügung. Die aktuelle Liste der Sub-processors ist in unserer Datenschutzerklärung veröffentlicht.

Der Processor wird den Controller über beabsichtigte Änderungen hinsichtlich der Hinzunahme oder des Austauschs von Sub-processors informieren und dem Controller eine angemessene Möglichkeit einräumen, solchen Änderungen zu widersprechen. Wenn der Processor einen Sub-processor beauftragt, wird der Processor diesem Sub-processor vertraglich dieselben Datenschutzpflichten auferlegen, wie sie in diesem DPA festgelegt sind.

Der Processor bleibt gegenüber dem Controller uneingeschränkt haftbar für die Erfüllung der Verpflichtungen eines Sub-processor aus diesem DPA.

5. Rechte der betroffenen Person

Der Processor wird den Controller dabei unterstützen, seiner Verpflichtung nachzukommen, Anfragen von betroffenen Personen, die ihre Rechte aus Kapitel III der DSGVO ausüben, zu beantworten, einschließlich:

  • Auskunftsrecht (Artikel 15).
  • Recht auf Berichtigung (Artikel 16).
  • Recht auf Löschung (Artikel 17).
  • Recht auf Einschränkung der Verarbeitung (Artikel 18).
  • Recht auf Datenübertragbarkeit (Artikel 20).
  • Widerspruchsrecht (Artikel 21).

Wenn der Auftragsverarbeiter eine Anfrage von einer betroffenen Person direkt erhält, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiterleiten und nicht direkt an die betroffene Person antworten, es sei denn, der Verantwortliche hat hierzu ermächtigt.

6. Internationale Überweisungen

Der Processor wird Personal Data nicht in ein Drittland oder an eine internationale Organisation übermitteln, sofern nicht die in Kapitel V der DSGVO geforderten geeigneten Garantien bestehen. Genehmigte Übermittlungsmechanismen umfassen:

  • Von der Europäischen Kommission verabschiedete Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission).
  • Angemessenheitsentscheidungen gemäß Artikel 45 des GDPR.
  • Verbindliche Unternehmensregeln, die von einer zuständigen Aufsichtsbehörde genehmigt wurden.

Enterprise-Kunden können Einstellungen zur Datenlokalisierung konfigurieren, um die Verarbeitung und Speicherung personenbezogener Daten auf bestimmte geografische Regionen (EU, US oder APAC) zu beschränken und so den Bedarf an grenzüberschreitenden Übermittlungen zu minimieren.

7. Benachrichtigung über Verstöße

Der Processor wird den Controller ohne unangemessene Verzögerung und in jedem Fall spätestens achtundvierzig (48) Stunden, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4(12) der DSGVO erlangt hat, benachrichtigen.

Die Benachrichtigung muss Folgendes enthalten:

  • Eine Beschreibung der Art des Verstoßes gegen den Schutz personenbezogener Daten, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze.
  • Name und Kontaktdaten des Datenschutz-Ansprechpartners des Auftragsverarbeiters.
  • Eine Beschreibung der wahrscheinlichen Folgen des Verstoßes.
  • Eine Beschreibung der Maßnahmen, die zur Behebung des Verstoßes ergriffen oder vorgeschlagen wurden, einschließlich Maßnahmen zur Abmilderung seiner nachteiligen Auswirkungen.

8. Audits und Inspektionen

Der Processor stellt dem Controller alle Informationen zur Verfügung, die notwendig sind, um die Einhaltung der in Artikel 28 der DSGVO festgelegten Pflichten nachzuweisen. Der Processor ermöglicht und trägt zu Prüfungen, einschließlich Inspektionen, bei, die vom Controller oder einem vom Controller beauftragten Prüfer durchgeführt werden, vorbehaltlich einer angemessenen Vorankündigung und Vertraulichkeitspflichten.

9. Laufzeit und Datenlöschung

Diese DPA bleibt für die Dauer des zugrunde liegenden Servicevertrags in Kraft. Nach Beendigung des Servicevertrags hat der Processor nach Wahl des Controller alle personenbezogenen Daten zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, Unions- oder Mitgliedstaatrecht verlangt die Aufbewahrung der personenbezogenen Daten. Auf Anforderung des Controller hat der Processor schriftlich zu bestätigen, dass er dieser Verpflichtung nachgekommen ist.

Fordern Sie eine DPA an

Um eine Data Processing Agreement anzufordern, wenden Sie sich an unser Compliance-Team. Wir werden mit Ihnen zusammenarbeiten, um eine DPA abzuschließen, die den Datenschutzanforderungen Ihrer Organisation entspricht.

Kontaktieren Sie das Compliance-Team Fordern Sie eine DPA-Vorlage an