Auftragsverarbeitungs-Anhang

Dieser Anhang regelt die Verarbeitung von Kunden-Personendaten durch Skeldy im Auftrag des Kunden. Der Kunde ist Verantwortlicher; Skeldy SAS ist Auftragsverarbeiter.

• Betroffene — Mitarbeiter, Führungskräfte und autorisierte Nutzer des Kunden.
• Kategorien — Identifikation (Name, E-Mail), Beschäftigungs-Metadaten (Rolle, Bereich, Qualifikationen), Plandaten, In-Produkt-Kommunikation, Audit- und Sicherheitsprotokolle.
• Besondere Kategorien (Art. 9 DSGVO) werden standardmäßig nicht verarbeitet. Gesundheitsnahe Daten wie Krankheitsgründe dürfen nicht in Skeldy eingetragen werden.

Die Verarbeitung erfolgt für die Dauer des Abonnements zuzüglich der unten beschriebenen Löschfrist. Skeldy verarbeitet ausschließlich auf Grundlage dokumentierter Weisungen des Kunden, einschließlich Weisungen über Produkt-UI und API.

Skeldy setzt die in der Datenschutzerklärung gelisteten Unterauftragsverarbeiter ein. Neue Unterauftragsverarbeiter werden mindestens 30 Tage im Voraus angekündigt. Der Kunde kann aus berechtigtem Grund widersprechen; lässt sich der Widerspruch nicht ausräumen, kann der betroffene Dienst gekündigt werden.

Produktionsdaten verbleiben in der EU. Sind Übermittlungen außerhalb des EWR erforderlich (z. B. Stripe), stützen wir uns auf die EU-Standardvertragsklauseln (Beschluss 2021/914) sowie ergänzende technische Maßnahmen. Das einschlägige Modul der SVK ist durch Verweis Bestandteil dieses Anhangs.

• Verschlüsselung — TLS 1.2+ in Transit, AES-256 at-rest.
• Zugriff — rollenbasiert nach Least Privilege, MFA für alle Administrator-Konten.
• Datenbank — Row-Level-Security-Policies in jeder Tabelle gemäß Hierarchie.
• Logging — privilegierte Aktionen 13 Monate aufbewahrt.
• Backups — Point-in-Time Recovery aktiv, Restore mindestens jährlich getestet.
• Pen-Test — unabhängiger Test mindestens jährlich; Behebung hoher und kritischer Befunde vor Launch.
• Personal — Vertraulichkeitsverpflichtungen, jährliche Sicherheitsschulungen.

Skeldy stellt Self-Service-Endpoints für Export und Löschung bereit. Reicht dies nicht aus, leisten wir innerhalb von 30 Tagen weitere Unterstützung. Kontakt: [email protected].

Wir benachrichtigen den Kunden ohne unangemessene Verzögerung, spätestens innerhalb von 72 Stunden nach Kenntnis einer Verletzung des Schutzes von Kunden-Personendaten, mit den für die Erfüllung von Art. 33/34 DSGVO erforderlichen Informationen.

Der Kunde kann einmal pro 12-Monats-Zeitraum Audit-Informationen anfordern, erfüllt durch SOC-2-Berichte, Pen-Test-Zusammenfassungen oder die Beantwortung eines Sicherheits-Fragebogens. Vor-Ort-Audits werden geleistet, soweit gesetzlich verpflichtend; Kosten trägt die anfragende Partei.

Nach Beendigung kann der Kunde Daten 30 Tage lang exportieren. Danach löscht Skeldy die Kunden-Personendaten innerhalb weiterer 30 Tage, ausgenommen gesetzlich vorgeschriebene Aufbewahrung (z. B. Buchungsbelege).