Version: März 2026
Anbieter: Grib Leisure IT Innovations B.V. mit Sitz in Königsborner Straße 26 A, 39175 Biederitz, Niederlande. Handelsregisternummer 69360057 („GetGrib“)
Diese Datenverarbeitungsvereinbarung („DPA“) ist integraler Bestandteil des Vertrags zwischen: Grib Leisure IT Innovations B.V. mit Sitz in Haagweg 4 G12, 39175 Biederitz, Niederlande („Auftragsverarbeiter“), und dem Kunden, wie im jeweiligen Bestellformular angegeben („Verantwortlicher“).
1.1 Diese DPA gilt, soweit der Auftragsverarbeiter personenbezogene Daten im Rahmen der Erbringung von Dienstleistungen für den Verantwortlichen verarbeitet. 1.2 Der Verantwortliche gilt als Verantwortlicher und der Auftragsverarbeiter als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung („DSGVO“). 1.3 Art, Zweck und Dauer der Verarbeitung sowie die Kategorien der betroffenen Personen und der personenbezogenen Daten sind in Anhang 1 aufgeführt.
2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Anweisungen des Verantwortlichen, sofern keine gesetzliche Verpflichtung etwas anderes vorschreibt. 2.2 Der Auftragsverarbeiter gewährleistet, dass Personen, die Zugang zu personenbezogenen Daten haben, einer angemessenen Geheimhaltungspflicht unterliegen. 2.3 Der Auftragsverarbeiter wird personenbezogene Daten nicht: (i) für eigene Zwecke verwenden; (ii) verkaufen; (iii) an Dritte weitergeben, sofern dies nicht gemäß dieser DPA zulässig ist. 2.4 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Anweisung seiner Ansicht nach gegen die DSGVO verstößt.
3.1 Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust oder jeder Form der unrechtmäßigen Verarbeitung zu schützen, wobei er den Stand der Technik, die Umsetzungskosten sowie die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung berücksichtigt.
3.2 Diese Maßnahmen umfassen, soweit angemessen: (i) die Verschlüsselung von Daten während der Übertragung und Speicherung; (ii) rollenbasierte Zugriffsbeschränkung und angemessene Authentifizierung; (iii) Protokollierung und Überwachung von Zugriffen und Nutzung; (iv) regelmäßige Sicherheitstests und Schwachstellenscans; (v) Sicherungs- und Wiederherstellungsverfahren; (vi) Maßnahmen zur Gewährleistung der Verfügbarkeit und Ausfallsicherheit der Systeme. 3.3 Der Auftragsverarbeiter wird die Sicherheitsmaßnahmen regelmäßig bewerten und bei Bedarf aktualisieren
4.1 Der Verantwortliche erteilt hiermit seine allgemeine Zustimmung zur Beauftragung von Unterauftragsverarbeitern. 4.2 Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter vertraglich an Verpflichtungen gebunden ist, die inhaltlich denen in dieser DPA entsprechen. 4.3 Der Auftragsverarbeiter bleibt in vollem Umfang für das Handeln der beauftragten Unterauftragsverarbeiter verantwortlich. 4.4 Der Auftragsverarbeiter nutzt zur Unterstützung seiner Dienstleistungen Dritte (Unterauftragsverarbeiter) wie Hosting-Anbieter, Infrastrukturanbieter und Kommunikationswerkzeuge (z. B. Amazon Web Services, DigitalOcean oder vergleichbare Anbieter). Diese Parteien verarbeiten personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und unter angemessenen vertraglichen Garantien. Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich und kann von Zeit zu Zeit aufgrund betrieblicher Änderungen angepasst werden. 4.5 Der Auftragsverarbeiter informiert den Verantwortlichen über wesentliche Änderungen bei den Unterauftragsverarbeitern, wobei der Verantwortliche die Möglichkeit hat, innerhalb einer angemessenen Frist Widerspruch einzulegen.
5.1 Der Auftragsverarbeiter wird personenbezogene Daten nicht außerhalb des Europäischen Wirtschaftsraums verarbeiten oder verarbeiten lassen, ohne dass angemessene Garantien gemäß der DSGVO bestehen. 5.2 Solche Garantien können aus von der Europäischen Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses) oder anderen gültigen Übermittlungsmechanismen bestehen.
6.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung seiner Verpflichtungen in Bezug auf Anfragen von betroffenen Personen.
7.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem er von einer Verletzung im Zusammenhang mit personenbezogenen Daten Kenntnis erlangt hat. 7.2 Diese Meldung enthält, soweit verfügbar: (i) eine Beschreibung der Art der Datenpanne; (ii) die (voraussichtlichen) Folgen; (iii) die getroffenen und geplanten Maßnahmen.
8.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit dies angemessen ist, bei: (i) der Einhaltung von Sicherheitsverpflichtungen; (ii) der Meldepflicht bei Datenschutzverletzungen; (iii) der Durchführung von Datenschutz-Folgenabschätzungen (DPIA), sofern zutreffend.
9.1 Nach Beendigung der Dienstleistung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen: (i) personenbezogene Daten löschen; oder (ii) diese zurückgeben und anschließend löschen, sofern gesetzliche Aufbewahrungspflichten nichts anderes vorschreiben.
10.1 Der Auftragsverarbeiter stellt alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen. 10.2 Audits werden unter Berücksichtigung der Angemessenheit, der Vertraulichkeit und einer minimalen Beeinträchtigung der Geschäftstätigkeiten durchgeführt.
11.1 Die Haftung der Parteien im Rahmen dieser DPA unterliegt den in den Allgemeinen Geschäftsbedingungen festgelegten Beschränkungen.
12.1 Im Falle eines Widerspruchs zwischen dieser DPA und den Allgemeinen Geschäftsbedingungen hat diese DPA Vorrang, soweit es um den Datenschutz geht. 12.2 Auf diese DPA findet das in den Allgemeinen Geschäftsbedingungen festgelegte Recht Anwendung.
Zweck der Verarbeitung: Bereitstellung der GetGrib-Plattform und der damit verbundenen Dienste. Art der Verarbeitung: Erhebung, Speicherung, Analyse und Bereitstellung von Daten innerhalb der Anwendung. Kategorien der betroffenen Personen: Nutzer des Kunden (z. B. Mitglieder und Klienten). Arten von personenbezogenen Daten: Name Kontaktdaten (E-Mail, Telefon) Nutzungsdaten Fitness- und gesundheitsbezogene Daten (wie Aktivität, Gewicht, Schlaf und Ernährung) Dauer: Während der Laufzeit des Vertrags und gemäß den Anweisungen des Verantwortlichen.