rechtliches

Auftragsverarbeitungsvertrag (AVV)

Zuletzt aktualisiert: 20. Juni 2026

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen:

SCHRUTE FARMS, einer französischen Gesellschaft mit beschränkter Haftung (SARL) mit einem Stammkapital von fünfhundert Euro (500 €), mit Sitz in 123 Rue De Rome, 75017 Paris, eingetragen im Handels- und Gesellschaftsregister von Paris (RCS Paris) unter der Nummer 981 316 300, vertreten durch ihre gemeinschaftlichen Geschäftsführer Thomas LUCY und Louis CONGARD, Betreiberin des Dienstes „ENROW“ (nachfolgend „ENROW“ oder „Anbieter“),

und

dem Kunden, der juristischen Person, die den Dienst abonniert und die Allgemeinen Geschäfts- und Nutzungsbedingungen von ENROW (die „AGB“) akzeptiert hat (nachfolgend „Kunde“),

nachfolgend einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

Dieser AVV wird gemäß Artikel 28 der Verordnung (EU) 2016/679 (DSGVO) und dem geänderten Gesetz Nr. 78-17 vom 6. Januar 1978 (Loi Informatique et Libertés) geschlossen. Er ist integraler Bestandteil des zwischen den Parteien geschlossenen Vertrags, wie in der Rangfolge der Vertragsdokumente in Klausel 1 der AGB festgelegt.

Der Datenschutzbeauftragte (DPO) von ENROW ist Herr Louis CONGARD, erreichbar unter dpo@enrow.io.

Klausel 1 — Gegenstand

Zweck dieses AVV ist es, die Bedingungen festzulegen, unter denen ENROW im Rahmen der Bereitstellung des Dienstes zur Anreicherung professioneller B2B-Daten personenbezogene Daten im Auftrag des Kunden verarbeitet, sowie die Pflichten jeder Partei in Bezug auf den Datenschutz zu bestimmen.

Klausel 2 — Begriffsbestimmungen

In diesem AVV verwendete Begriffe haben dieselbe Bedeutung wie in den AGB, sofern nachstehend keine besonderen Begriffsbestimmungen festgelegt sind:

  • „Personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von Artikel 4 Abs. 1 DSGVO.
  • „Verantwortlicher“: die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Artikel 4 Abs. 7 DSGVO).
  • „Auftragsverarbeiter“: die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Artikel 4 Abs. 8 DSGVO).
  • „Unterauftragsverarbeiter“: jeder von ENROW beauftragte Unterauftragsverarbeiter, der personenbezogene Daten im Auftrag des Kunden verarbeitet.
  • „Datenschutzverletzung“: jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten bzw. zum unbefugten Zugang zu diesen führt (Artikel 4 Abs. 12 DSGVO).
  • „Betroffene Person“: jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • „Aufsichtsbehörde“: jede unabhängige staatliche Stelle, die für die Überwachung der Anwendung der Datenschutzvorschriften zuständig ist (in Frankreich: die CNIL).

Klausel 3 — Rollen der Parteien

3.1 — Doppelrolle von ENROW

Die Parteien erkennen an, dass ENROW in zwei unterschiedlichen Rollen handelt:

(a) Unabhängiger Verantwortlicher: ENROW handelt als Verantwortlicher in Bezug auf die personenbezogenen Daten, die es in seiner eigenen Anreicherungsdatenbank erhebt, aggregiert und pflegt (berufliche E-Mail-Adressen, Telefonnummern, LinkedIn-Profile, Unternehmensinformationen). Diese Verarbeitung stützt sich auf das berechtigte Interesse von ENROW (Artikel 6 Abs. 1 lit. f DSGVO), das in einer jährlich überprüften LIA dokumentiert ist.

(b) Auftragsverarbeiter: ENROW handelt als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO, wenn es Kundendaten (vom Kunden zur Anreicherung übermittelte Daten) im Auftrag und nach Weisung des Kunden verarbeitet.

3.2 — Der Kunde als Verantwortlicher

Der Kunde handelt als Verantwortlicher in Bezug auf:

  • die Kundendaten, die er ENROW zur Anreicherung übermittelt;
  • seine Nutzung der vom Dienst zurückgelieferten angereicherten Daten.

Der Kunde entscheidet allein über die Zwecke und Mittel seiner Nutzung der angereicherten Daten nach Abschluss des Dienstes und ist allein für die Einhaltung seiner diesbezüglichen Pflichten aus der DSGVO und dem französischen Datenschutzgesetz (Loi Informatique et Libertés) verantwortlich.

Klausel 4 — Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitung sind in Anlage 1 zu diesem AVV beschrieben. Sie umfassen insbesondere:

  • Zweck der Verarbeitung: Anreicherung beruflicher B2B-Daten im Auftrag des Kunden.
  • Kategorien betroffener Personen: berufliche Kontakte (Interessenten, potenzielle Kunden) des Kunden: Mitarbeiter, Geschäftsführer, Gesellschafter juristischer Personen.
  • Kategorien verarbeiteter personenbezogener Daten: Name, Vorname, berufliche E-Mail-Adresse, berufliche und/oder private Telefonnummer, Berufsbezeichnung, Firmenname, LinkedIn-Profil-URL, Unternehmensinformationen (Branche, Größe, Standort).
  • Sensible Daten: Es werden keine sensiblen Daten im Sinne von Artikel 9 DSGVO verarbeitet.
  • Dauer der Verarbeitung: Laufzeit des Abonnements. Kundendaten werden höchstens 90 Tage gespeichert und danach automatisch gelöscht. Technischer Cache: 48 Stunden.
  • Ort der Verarbeitung: Europäische Union — AWS Paris (eu-west-3).

Klausel 5 — Pflichten von ENROW als Auftragsverarbeiter

5.1 — Weisungen des Kunden

ENROW verarbeitet Kundendaten ausschließlich nach den dokumentierten Weisungen des Kunden. Diese AGB und dieser AVV bilden die anfänglichen Weisungen des Kunden. Zusätzliche Weisungen sind schriftlich zu übermitteln (per E-Mail an dpo@enrow.io).

Ist ENROW der Auffassung, dass eine Weisung gegen die DSGVO oder eine sonstige anwendbare Vorschrift verstößt, informiert es den Kunden unverzüglich schriftlich.

5.2 — Vertraulichkeit

ENROW gewährleistet, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Zugang erhalten nur diejenigen Personen, deren Zugriff für die Erbringung des Dienstes zwingend erforderlich ist.

5.3 — Sicherheit der Verarbeitung

ENROW trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, gemäß Artikel 32 DSGVO. Diese Maßnahmen sind in Anlage 2 zu diesem AVV beschrieben. ENROW überprüft die Wirksamkeit dieser Maßnahmen regelmäßig.

5.4 — Meldung von Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, die Kundendaten betrifft, verpflichtet sich ENROW:

  • den Kunden unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden nach Kenntniserlangung zu benachrichtigen;
  • folgende Informationen bereitzustellen: eine Beschreibung der Art der Verletzung (Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze), wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung sowie die Kontaktdaten des DPO;
  • die Verletzung in einem internen Register zu dokumentieren und mit dem Kunden zusammenzuarbeiten, um ihm die Erfüllung seiner eigenen Meldepflichten zu ermöglichen (Artikel 33 und 34 DSGVO);
  • in seiner Eigenschaft als Verantwortlicher für die in seiner eigenen Anreicherungsdatenbank gespeicherten Daten die CNIL innerhalb von 72 Stunden zu benachrichtigen.

5.5 — Unterstützung des Kunden

ENROW unterstützt den Kunden, soweit dies unter Berücksichtigung der Art der Verarbeitung mit angemessenem Aufwand möglich ist, bei:

  • der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte (Auskunft, Berichtigung, Löschung, Widerspruch, Übertragbarkeit, Einschränkung);
  • der Erfüllung seiner Pflichten aus den Artikeln 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung);
  • der Beantwortung von Anfragen und Prüfungen einer Aufsichtsbehörde.

Erhält ENROW einen Antrag direkt von einer betroffenen Person in Bezug auf Kundendaten, informiert es den Kunden unverzüglich und antwortet nicht unmittelbar, es sei denn auf Weisung des Kunden.

5.6 — Verbleib der Daten bei Vertragsende

Gemäß Klausel 14.3 der AGB gilt bei Beendigung des Vertrags:

  • Export: Der Kunde hat dreißig (30) Tage Zeit, um seine Kundendaten im CSV- und/oder JSON-Format über die Software, die API oder auf Anfrage an support@enrow.io zu exportieren;
  • Löschung: Nach Ablauf dieser Frist löscht ENROW innerhalb einer weiteren Frist von dreißig (30) Tagen sämtliche Kundendaten einschließlich Kopien und Sicherungen endgültig;
  • Bescheinigung: ENROW stellt dem Kunden auf Anfrage eine schriftliche Löschbescheinigung aus.

Die Löschung der Kundendaten berührt nicht die anonymisierten und aggregierten Daten, die gemäß Klausel 9.6 der AGB verwendet werden.

Klausel 6 — Pflichten des Kunden

Der Kunde verpflichtet sich in seiner Eigenschaft als Verantwortlicher:

  • über eine gültige Rechtsgrundlage für die Übermittlung von Kundendaten an ENROW und für die Nutzung der angereicherten Daten zu verfügen (Klausel 8.2 der AGB);
  • betroffene Personen gemäß den Artikeln 13 und 14 DSGVO zu informieren;
  • sicherzustellen, dass seine Weisungen an ENROW den anwendbaren Vorschriften entsprechen;
  • keine sensiblen Daten im Sinne von Artikel 9 DSGVO zu übermitteln;
  • mit ENROW im Falle einer Datenschutzverletzung, einer Prüfung oder einer Anfrage einer Aufsichtsbehörde zusammenzuarbeiten.

Klausel 7 — Unterauftragsverarbeiter

7.1 — Allgemeine Genehmigung

Der Kunde erteilt ENROW hiermit die allgemeine Genehmigung, für die Erbringung des Dienstes Unterauftragsverarbeiter zu beauftragen (insbesondere Drittanbieter zur Anreicherung sowie Hosting-Anbieter). Die Liste der aktuell beauftragten Unterauftragsverarbeiter ist in Anlage 3 zu diesem AVV enthalten und auf Anfrage auch beim DPO erhältlich.

7.2 — Benachrichtigung und Widerspruchsrecht

Gemäß Klausel 12.2 der AGB benachrichtigt ENROW den Kunden über jede Änderung der Unterauftragsverarbeiter (durch Hinzufügung oder Ersetzung) mindestens fünfzehn (15) Tage vor dem Wirksamwerden der Änderung. Der Kunde kann innerhalb von fünfzehn (15) Tagen schriftlich Widerspruch einlegen. Kommt keine Einigung zustande, gilt der Widerspruch als Kündigung des Vertrags gemäß Klausel 12.2 der AGB.

7.3 — Den Unterauftragsverarbeitern auferlegte Pflichten

ENROW erlegt jedem Unterauftragsverarbeiter vertraglich Datenschutzpflichten auf, die den in diesem AVV enthaltenen im Wesentlichen entsprechen, insbesondere in Bezug auf Vertraulichkeit, Sicherheit, Zweckbindung und Löschung der Daten.

7.4 — Haftung

ENROW bleibt gegenüber dem Kunden für die Erfüllung der Datenschutzpflichten durch seine Unterauftragsverarbeiter in vollem Umfang verantwortlich.

Klausel 8 — Übermittlungen außerhalb des EWR

Sämtliche Daten werden innerhalb des Europäischen Wirtschaftsraums (EWR) gehostet, auf AWS-Servern in Paris (eu-west-3).

Sollte eine Übermittlung personenbezogener Daten in ein Drittland erforderlich werden, insbesondere im Zusammenhang mit der Beauftragung eines außerhalb des EWR niedergelassenen Unterauftragsverarbeiters, stellt ENROW vorab sicher, dass geeignete Garantien gemäß Kapitel V DSGVO vorhanden sind:

  • Angemessenheitsbeschluss der Europäischen Kommission (Artikel 45 DSGVO);
  • Standardvertragsklauseln (SCC), erlassen von der Europäischen Kommission (Durchführungsbeschluss 2021/914), erforderlichenfalls ergänzt durch zusätzliche Maßnahmen (Artikel 46 Abs. 2 Buchst. c DSGVO);
  • Jeder sonstige nach der DSGVO anerkannte Übermittlungsmechanismus (verbindliche interne Datenschutzvorschriften, Ausnahmen nach Artikel 49).

Der Kunde wird über jede Übermittlung außerhalb des EWR anhand der Liste der Unterauftragsverarbeiter (Anlage 3) informiert, die für jeden Unterauftragsverarbeiter dessen Standort und den anwendbaren Übermittlungsmechanismus angibt.

Soweit SCC erforderlich sind, gelten sie als zwischen ENROW und dem betreffenden Unterauftragsverarbeiter geschlossen. Der Kunde kann auf Anfrage beim DPO eine Kopie erhalten.

Klausel 9 — Auditrecht

Gemäß Artikel 28 Abs. 3 Buchst. h DSGVO kann der Kunde ein Audit der Praktiken von ENROW hinsichtlich der Verarbeitung und Sicherheit personenbezogener Daten verlangen, vorbehaltlich folgender Bedingungen:

  • Schriftliche Vorankündigung von 30 Tagen an dpo@enrow.io;
  • Höchstens 1 Audit pro Jahr, außer im Fall eines nachgewiesenen Verstoßes oder auf Verlangen einer Aufsichtsbehörde;
  • Umfang: ausschließlich DSGVO- und DPA-Konformität. Quellcode, proprietäre Algorithmen und Geschäftsgeheimnisse sind ausgenommen;
  • Durchführung: durch den Kunden oder einen unabhängigen, zur Vertraulichkeit verpflichteten Dritten. ENROW kann einem Auditor widersprechen, der ein Wettbewerber ist;
  • Kosten trägt der Kunde, außer im Fall eines wesentlichen Verstoßes durch ENROW.

Alternative: ENROW kann dem Auditverlangen nachkommen, indem es dem Kunden eines oder mehrere der folgenden, höchstens 12 Monate alten Dokumente zur Verfügung stellt: einen Bericht über einen Penetrationstest durch einen unabhängigen Dritten, einen ausgefüllten CSA-CAIQ-Sicherheitsfragebogen (Consensus Assessments Initiative Questionnaire) oder gegebenenfalls jede sonstige anerkannte Sicherheitszertifizierung oder jeden sonstigen Prüfbericht. Die Bereitstellung solcher Dokumente entbindet ENROW für den abgedeckten Zeitraum von der Pflicht, ein Vor-Ort-Audit zu akzeptieren, außer im Fall eines nachgewiesenen Verstoßes oder auf Verlangen einer Aufsichtsbehörde.

ENROW stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung seiner Pflichten nach Artikel 28 DSGVO erforderlich sind.

Klausel 10 — Internationale Konformität

Dieser AVV gilt im Rahmen der folgenden Vorschriften, soweit diese auf die Verarbeitung anwendbar sind:

  • DSGVO (Verordnung (EU) 2016/679) und das französische Datenschutzgesetz (Loi n°78-17);
  • UK GDPR und der Data Protection Act 2018 (in Bezug auf betroffene Personen im Vereinigten Königreich);
  • revDSG (das neue Schweizer Bundesgesetz über den Datenschutz);
  • CCPA / CPRA: ENROW handelt als „service provider“ im Sinne des CCPA/CPRA. ENROW verkauft oder teilt personenbezogene Daten nicht im Sinne dieser Vorschriften.

Klausel 11 — Haftung

Die Haftung jeder Partei aus diesem DPA unterliegt den Beschränkungen und Ausschlüssen gemäß Klausel 16 der AGB, vorbehaltlich der anwendbaren Ausnahmen (grobe Fahrlässigkeit, Vorsatz, Verletzung von Datenschutzpflichten).

Jede Partei ist für die Einhaltung ihrer eigenen Pflichten nach den anwendbaren Datenschutzvorschriften verantwortlich. Der Kunde bleibt allein für die Nutzung der angereicherten Daten nach Erbringung des Dienstes verantwortlich.

Klausel 12 — Laufzeit und Kündigung

Dieses DPA tritt am Tag der Annahme der AGB durch den Kunden in Kraft und bleibt in Kraft, solange der Vertrag besteht. Die Pflichten von ENROW zur Löschung der Kundendaten (Klausel 5.6) und zur Vertraulichkeit gelten über die Beendigung des Vertrags hinaus fort.

Klausel 13 — Schlussbestimmungen

13.1 — Rangfolge

Dieses DPA ist wesentlicher Bestandteil des Vertrags. Bei Widersprüchen zwischen diesem DPA und den AGB hat dieses DPA in allen Fragen der Verarbeitung personenbezogener Daten Vorrang. In allen übrigen Fragen haben die AGB Vorrang.

13.2 — Änderung

ENROW kann dieses DPA ändern, um Änderungen der anwendbaren Vorschriften Rechnung zu tragen. Jede wesentliche Änderung wird dem Kunden dreißig (30) Tage vor ihrem Inkrafttreten mitgeteilt.

13.3 — Anwendbares Recht

Dieses DPA unterliegt französischem Recht. Ausschließlich zuständig sind die Gerichte von Paris.

Anlage 1 — Beschreibung der Verarbeitung

  • Verantwortlicher (Kundendaten): Der Kunde.
  • Auftragsverarbeiter: SCHRUTE FARMS / ENROW.
  • DSB des Auftragsverarbeiters: Louis CONGARD — dpo@enrow.io.
  • Zwecke der Verarbeitung: Anreicherung professioneller B2B-Daten (Suche nach E-Mails, Telefonnummern, LinkedIn-Profilen, Unternehmensinformationen) auf Grundlage der vom Kunden übermittelten Kundendaten.
  • Art der Verarbeitung: Erhebung, Einsichtnahme, Abgleich, Strukturierung, vorübergehende Speicherung, Rückgabe, Löschung.
  • Kategorien betroffener Personen: Berufliche Kontakte (Mitarbeiter, Geschäftsführer, Gesellschafter, Selbstständige) juristischer Personen, die der Kunde im Rahmen seiner B2B-Akquise anspricht.
  • Kategorien personenbezogener Daten: Name, Vorname, berufliche E-Mail-Adresse, berufliche Telefonnummer, private Telefonnummer (soweit vorhanden), Berufsbezeichnung, Unternehmensname und -informationen (Branche, Größe, Standort, Website), URL des LinkedIn-Profils.
  • Sensible Daten (Art. 9 DSGVO): Keine.
  • Rechtsgrundlage (Verarbeitung durch ENROW als Verantwortlicher): Berechtigtes Interesse (Artikel 6 Abs. 1 Buchst. f DSGVO) — dokumentierte LIA.
  • Häufigkeit der Verarbeitung: Fortlaufend, auf Anfrage des Kunden über die Software, die API oder die Erweiterung.
  • Aufbewahrungsdauer der Kundendaten: Höchstens 90 Tage nach Übermittlung, anschließend automatische Löschung.
  • Technischer Cache: 48 Stunden (aus Gründen der Performance und der Verifizierung gerechtfertigt; im Fall eines Widerspruchs innerhalb von 24 Stunden gelöscht).
  • Standort: EU — AWS Paris (eu-west-3).

Anlage 2 — Technische und organisatorische Maßnahmen (TOM)

Gemäß Artikel 32 DSGVO setzt ENROW folgende Maßnahmen um:

A. Verschlüsselung

  • Bei der Übertragung: Die gesamte Kommunikation wird über TLS 1.2 oder höher (HTTPS) verschlüsselt. Unverschlüsselte Verbindungen werden abgewiesen.
  • Im Ruhezustand: gespeicherte Daten werden über AES-256 (native AWS-Verschlüsselung) verschlüsselt.
  • Passwörter: irreversibles Hashing mit dem bcrypt-Algorithmus und individuellem Salting.

B. Zugriffskontrolle

  • Authentifizierung: Identifizierung per E-Mail und Passwort, mit verfügbarer und empfohlener Multi-Faktor-Authentifizierung (MFA).
  • Zugriffsverwaltung: striktes RBAC-Modell (Role-Based Access Control). Jedes Zugriffsrecht ist auf das strikt Erforderliche beschränkt (Grundsatz der geringsten Rechte).
  • Sitzungen: signierte JWT-Token mit automatischem Ablauf.

C. Infrastruktur und Hosting

  • Hosting-Anbieter: Amazon Web Services (AWS), Region eu-west-3 (Paris). AWS ist ISO-27001- und SOC-1/2/3-zertifiziert und DSGVO-konform.
  • Netzwerkisolierung: Datenbanken und interne Dienste sind in einer Virtual Private Cloud (VPC) ohne direkten öffentlichen Zugriff isoliert.
  • Backups: automatische tägliche Backups, verschlüsselt, mit konfigurierter Aufbewahrung.

D. Protokollierung und Überwachung

  • Zugriffsprotokolle: Nachvollziehbarkeit der Nutzeraktionen (Kennung, Aktion, Zeitstempel, IP-Adresse). Protokolle im Ruhezustand verschlüsselt.
  • Monitoring: fortlaufende Überwachung der Infrastruktur mit automatisierten Warnmeldungen bei Anomalien.

E. Minimierung und Aufbewahrung

  • Es werden ausschließlich die für die Erbringung des Dienstes strikt erforderlichen Daten erhoben und verarbeitet;
  • Kundendaten: höchstens 90 Tage, anschließend automatische Löschung;
  • Technischer Cache: 48 Stunden;
  • Wirksame und irreversible Löschung nach Ablauf der Aufbewahrungsdauer.

F. Organisatorische Sicherheit

  • Sensibilisierung aller Mitarbeiter für den Datenschutz;
  • Robuste Passwortrichtlinie für interne Zugänge;
  • Grundsatz der geringsten Rechte in allen Teams angewandt;
  • Von jedem Mitarbeiter mit Zugriff auf personenbezogene Daten unterzeichnete Vertraulichkeitsverpflichtung.

G. Vorfallmanagement

  • Internes Verfahren zum Management von Sicherheitsvorfällen;
  • Benachrichtigung des Kunden innerhalb von 72 Stunden (Klausel 5.4 dieses DPA);
  • Geführtes und aktuell gehaltenes Verzeichnis von Datenschutzverletzungen.

Diese Maßnahmen werden regelmäßig überprüft und aktualisiert, um dem Stand der Technik, den Implementierungskosten und der Art der Risiken Rechnung zu tragen.

Anlage 3 — Liste der Unterauftragsverarbeiter

Teil A — Veröffentlichte Unterauftragsverarbeiter (Liste gültig zum 20. Juni 2026)

UnterauftragsverarbeiterZweckKategorien personenbezogener DatenStandortÜbermittlungsmechanismus
Amazon Web Services (AWS)Hosting, Infrastruktur, Datenbanken, SpeicherungAlle vom Service verarbeiteten personenbezogenen DatenEU (Paris, eu-west-3)Keine Übermittlung außerhalb des EWR
Stripe, Inc.Zahlungsabwicklung und RechnungsstellungName, E-Mail, Zahlungsdaten des KundenEU (Irland)Keine Übermittlung außerhalb des EWR
SigNozLogging, Monitoring und ObservabilityTechnische Kennungen, IP-Adressen, NutzungsprotokolleEU (europäische Instanz)Keine Übermittlung außerhalb des EWR
HubSpot, Inc.CRM — Verwaltung der Kunden- und InteressentenbeziehungenName, Vorname, E-Mail, Unternehmen, InteraktionsverlaufEU (Frankreich / Deutschland, europäische Instanz)Keine Übermittlung außerhalb des EWR
Brevo (ehem. Sendinblue)E-Mail-Marketing und transaktionale KommunikationName, Vorname, E-Mail des Kunden/NutzersFrankreich / EUKeine Übermittlung außerhalb des EWR
Intercom, Inc.Kundensupport (Chat, Tickets, Wissensdatenbank)Name, Vorname, E-Mail, Inhalt der Support-KommunikationEU (Irland)Keine Übermittlung außerhalb des EWR
Anthropic, Inc. (Claude.ai)KI-Unterstützung bei Datenverarbeitung und -analyse. Es werden keine Daten für das Modelltraining verwendet.Daten werden anlassbezogen und ohne dauerhafte Speicherung verarbeitetUSAAngemessenheitsbeschluss (EU-US DPF) + SCCs. Vertragliche No-Training-Klausel.
PartneroPartnerprogramm und ProvisionsverwaltungName, E-Mail, Affiliate-EmpfehlungsdatenEU (Estland)Keine Übermittlung außerhalb des EWR
Google WorkspaceInterne Kommunikation (E-Mail, Dokumente)Interne Daten, ggf. personenbezogene Kundendaten in der KommunikationEU (Server in Frankreich)Keine Übermittlung außerhalb des EWR (Region Frankreich konfiguriert)
Slack Technologies (Salesforce)Interne Kommunikation zwischen den TeamsInterne Daten, ggf. personenbezogene Kundendaten in der KommunikationEU (europäische Instanz)Keine Übermittlung außerhalb des EWR

Teil B — Anbieter von Datenanreicherung (vertrauliche Liste)

Für die Bereitstellung des Anreicherungs-Service setzt ENROW spezialisierte Anbieter in den folgenden Kategorien ein:

KategorieZweckArten personenbezogener Daten
Anbieter von SERP-DatenExtraktion öffentlich zugänglicher Daten über SuchmaschinenName, Vorname, Unternehmen, öffentlich zugängliche berufliche Daten
Anbieter beruflicher KontaktdatenErgänzende Anreicherung um berufliche E-Mails und TelefonnummernBerufliche E-Mail, berufliche und/oder private Telefonnummer
Anbieter firmografischer DatenAnreicherung um Unternehmensinformationen (Branche, Größe, Umsatz, Standort, Rechtsform)Firmenname, Registernummer, Branche, Mitarbeiterzahl, Umsatz, Anschrift des Sitzes
Anbieter von Business-SignalenErkennung von Business-Signalen (Finanzierungsrunden, Einstellungen, Positionswechsel, eingesetzte Technologien, Neuigkeiten)Unternehmensdaten, Namen und Funktionen von Führungskräften und Mitarbeitern, öffentlich zugängliche berufliche Ereignisse

Vertraulichkeit der namentlichen Liste: Die vollständige namentliche Liste der Anreicherungsanbieter, einschließlich ihrer Identität, ihres Standorts und des jeweils anwendbaren Übermittlungsmechanismus, stellt ein Geschäftsgeheimnis von ENROW im Sinne der Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen sowie des Gesetzes Nr. 2018-670 vom 30. Juli 2018 zur Umsetzung dieser Richtlinie in französisches Recht dar.

Mitteilung an den Kunden: Diese Liste wird auf schriftliche Anfrage an den DPO (dpo@enrow.io) mitgeteilt, vorbehaltlich des vorherigen Abschlusses einer Vertraulichkeitsvereinbarung (NDA) durch den Kunden. Der Kunde verpflichtet sich, diese Liste sowie die darin enthaltenen Informationen keinem Dritten offenzulegen und sie ausschließlich zur Überprüfung der DSGVO-Konformität von ENROW zu verwenden.

Widerspruchsrecht: Der in Ziffer 7.2 dieses DPA und Ziffer 12.2 der AGB vorgesehene Mechanismus zur Benachrichtigung und zum Widerspruchsrecht gilt vollumfänglich für die Anreicherungsanbieter. Der Kunde wird über jede Änderung mindestens fünfzehn (15) Tage vor dem Wirksamkeitsdatum benachrichtigt, auch wenn der Name des neuen Anbieters unter NDA mitgeteilt wird.

Gemeinsame Garantien: ENROW gewährleistet, dass jeder Anreicherungsanbieter (a) vertraglich an Datenschutzpflichten gebunden ist, die im Wesentlichen den in diesem DPA enthaltenen entsprechen, (b) innerhalb des EWR ansässig oder durch einen mit Kapitel V der DSGVO konformen Übermittlungsmechanismus abgedeckt ist und (c) personenbezogene Daten ausschließlich im strikten Rahmen der Weisungen von ENROW und allein zu Zwecken der Anreicherung verarbeitet.