Direkt zum Hauptinhalt

Auftragsverarbeitungsvertrag

Version: 1.0. Gültig ab 1. Mai 2026.

Dieser Auftragsverarbeitungsvertrag ist Bestandteil der Nutzungsbedingungen zwischen Prodigi und dem Händler. Er findet Anwendung, soweit Prodigi Händlerkundendaten als Auftragsverarbeiter im Auftrag des Händlers verarbeitet.

1. Begriffsbestimmungen

1.1 In diesem Vertrag bedeuten:

„Vertrag" diesen Auftragsverarbeitungsvertrag.

„Datenschutzrecht" alle Gesetze und Verordnungen, die auf die Verarbeitung personenbezogener Daten Anwendung finden und für die jeweilige Partei gelten, einschließlich, soweit anwendbar, der UK GDPR, des Data Protection Act 2018, der DSGVO und der Privacy and Electronic Communications Regulations.

„Händlerkundendaten" personenbezogene Daten, die von oder im Auftrag des Händlers an die Dienste übermittelt oder anderweitig von Prodigi im Auftrag des Händlers verarbeitet werden, zum Zweck der Erbringung der Dienste an den Händler, einschließlich personenbezogener Daten von Kunden, Empfängern und Bestellempfängern des Händlers.

„Eingeschränkte Übermittlung" eine Übermittlung personenbezogener Daten in ein Land oder an einen Empfänger, bei der die Übermittlung nach geltendem Datenschutzrecht eingeschränkt ist, sofern keine geeigneten Garantien vorliegen.

„Dienste" die vom Händler genutzten Prodigi-Dienste, einschließlich Plattform, API, Dashboard, manueller Bestellung, Massenimport, Produktion, Erfüllung, Versand, Support und zugehöriger Dienste.

„SCC" die anwendbaren Standardvertragsklauseln, die nach dem Datenschutzrecht für die jeweilige eingeschränkte Übermittlung genehmigt sind.

1.2 Die Begriffe „Verantwortlicher", „Auftragsverarbeiter", „verarbeiten", „Verarbeitung", „personenbezogene Daten", „Verletzung des Schutzes personenbezogener Daten", „besondere Kategorien personenbezogener Daten" und „Unterauftragsverarbeiter" haben die ihnen im geltenden Datenschutzrecht zugewiesene Bedeutung.

2. Anwendungsbereich und Rollen

2.1 Dieser Vertrag findet Anwendung, soweit Prodigi Händlerkundendaten als Auftragsverarbeiter im Auftrag des Händlers verarbeitet.

2.2 Der Händler ist Verantwortlicher für die Händlerkundendaten. Prodigi ist Auftragsverarbeiter für Händlerkundendaten, soweit Prodigi diese im Auftrag des Händlers zum Zweck der Erbringung der Dienste verarbeitet.

2.3 Prodigi kann bestimmte personenbezogene Daten als Verantwortlicher verarbeiten, einschließlich Daten zu Händlerkonten, Abrechnungs-, Plattformsicherheits-, Betrugspräventions-, Support-, Marketing-, Website-Besuchs-, Bewerbungs- und Verwaltungsdaten. Diese Verarbeitung ist in der Datenschutz- und Cookie-Richtlinie von Prodigi beschrieben und fällt nicht in den Anwendungsbereich dieses Vertrags, es sei denn, das geltende Datenschutzrecht verlangt etwas anderes.

3. Einzelheiten der Verarbeitung

3.1 Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten und die Kategorien betroffener Personen sind in Anhang 1 festgelegt.

3.2 Der Händler nimmt zur Kenntnis, dass Prodigi ein dezentrales Erfüllungsnetzwerk betreibt. Zur Erbringung der Dienste kann Prodigi Händlerkundendaten in mehreren Ländern verarbeiten und begrenzte Erfüllungsdaten an Konzerngesellschaften, Produktionspartner, Erfüllungspartner, Logistikdienstleister, Technologieanbieter und andere Dienstleister offenlegen, wie in diesem Vertrag beschrieben.

3.3 Händlerkundendaten beschränken sich typischerweise auf Name des Empfängers, Lieferadresse, soweit angegebener oder erforderlicher Kontaktdaten, Bestelldetails, Produktkonfiguration, Bild- und Grafikdateien, Supportinformationen und für die Erbringung, Sicherung und Unterstützung der Dienste erforderliche technische Informationen.

4. Pflichten des Händlers

4.1 Der Händler muss sicherstellen, dass eine Rechtsgrundlage für die Erhebung, Verwendung und Bereitstellung von Händlerkundendaten an Prodigi zur Verarbeitung gemäß diesem Vertrag besteht.

4.2 Der Händler ist dafür verantwortlich, seinen Kunden und Empfängern erforderliche Datenschutzhinweise zu erteilen.

4.3 Der Händler ist dafür verantwortlich, dass alle an die Dienste übermittelten Inhalte, Bilddateien, Grafikdateien und sonstigen Materialien rechtmäßig zur Produktion und Erfüllung an Prodigi übermittelt werden dürfen.

4.4 Prodigi verlangt vom Händler nicht die Übermittlung besonderer Kategorien personenbezogener Daten. Soweit Inhalte personenbezogene Daten oder besondere Kategorien personenbezogener Daten enthalten, bleibt der Händler dafür verantwortlich, dass die Inhalte rechtmäßig übermittelt werden und geeignete Verarbeitungsvoraussetzungen vorliegen.

4.5 Der Händler darf keine personenbezogenen Daten an die Dienste übermitteln, die für die Nutzung der Dienste nicht in vernünftiger Weise erforderlich sind.

5. Verarbeitungsweisungen

5.1 Der Händler weist Prodigi an, Händlerkundendaten in dem Umfang zu verarbeiten, der zur Erbringung der Dienste in vernünftiger Weise erforderlich ist, einschließlich:

  • Entgegennahme und Validierung von Bestellungen;
  • Routing von Bestellungen an Produktionsstandorte;
  • Herstellung von Produkten;
  • Versand und Lieferung von Bestellungen;
  • Abwicklung von Nachdrucken, Rücksendungen und Supportfällen;
  • Qualitätskontrolle und Produktionsfehlerbehebung;
  • Betrugsprävention, Missbrauchsprävention und Plattformsicherheit;
  • Aufbewahrung von Aufzeichnungen, die für rechtliche, steuerliche, buchhalterische, streitbezogene und Compliance-Zwecke erforderlich sind;
  • Erfüllung des geltenden Rechts;
  • im Übrigen Betrieb, Wartung und Verbesserung der Dienste.

5.2 Die dokumentierten Weisungen des Händlers umfassen diesen Vertrag, die Nutzungsbedingungen, die Nutzung der Dienste durch den Händler, über die Dienste übermittelte Bestellungen, API-Aufrufe, Dashboard-Aktionen, Integrationseinstellungen, Supportanfragen und sonstige von Prodigi vereinbarte schriftliche Weisungen.

5.3 Prodigi verarbeitet Händlerkundendaten ausschließlich auf der Grundlage dokumentierter Weisungen des Händlers, es sei denn, das geltende Recht verlangt etwas anderes. Soweit das Recht Prodigi zu einer von den Weisungen des Händlers abweichenden Verarbeitung verpflichtet, informiert Prodigi den Händler hierüber, sofern dies nicht gesetzlich untersagt ist.

5.4 Prodigi kann eine Weisung ablehnen oder aussetzen, wenn Prodigi diese vernünftigerweise als rechtswidrig, technisch unsicher, betrieblich nicht durchführbar oder mit den Diensten unvereinbar erachtet.

6. Vertraulichkeit

6.1 Prodigi stellt sicher, dass zur Verarbeitung von Händlerkundendaten befugte Personen geeigneten Vertraulichkeitspflichten unterliegen.

6.2 Prodigi beschränkt den Zugang zu Händlerkundendaten auf Mitarbeitende, Auftragnehmer, Konzerngesellschaften und Unterauftragsverarbeiter, die diesen Zugang zur Erbringung, Sicherung oder Unterstützung der Dienste benötigen.

7. Sicherheitsmaßnahmen

7.1 Prodigi setzt geeignete technische und organisatorische Maßnahmen ein, um Händlerkundendaten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung zu schützen.

7.2 Die technischen und organisatorischen Maßnahmen sind in Anhang 2 zusammengefasst.

7.3 Der Händler nimmt zur Kenntnis, dass die Dienste standardisierte Plattformdienste sind und dass die Sicherheitsmaßnahmen unter Berücksichtigung der Art der Verarbeitung, der begrenzten verarbeiteten Erfüllungsdaten, des Stands der Technik, der Implementierungskosten und der mit der Verarbeitung verbundenen Risiken zu beurteilen sind.

8. Unterauftragsverarbeiter und Erfüllungsnetzwerk

8.1 Der Händler erteilt Prodigi eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern zur Verarbeitung von Händlerkundendaten, soweit dies zur Erbringung, Sicherung, Unterstützung oder Verbesserung der Dienste erforderlich ist.

8.2 Unterauftragsverarbeiter können Konzerngesellschaften der Prodigi Group, Hosting- und Infrastrukturanbieter, Software- und Technologieanbieter, Support-Tools, Zahlungs- und Betrugspräventionsdienstleister, Produktions- und Erfüllungspartner, Logistikdienstleister und sonstige Dienstleister sein.

8.3 Prodigi kann begrenzte Erfüllungsdaten an Produktionspartner, Erfüllungspartner und Logistikdienstleister offenlegen, soweit dies zur Herstellung und Lieferung von Bestellungen erforderlich ist. Diese Daten beschränken sich typischerweise auf Name des Empfängers, Lieferadresse, Kontaktdaten soweit erforderlich, Bestelldetails, Produktkonfiguration und die zur Herstellung des Produkts erforderliche Bild- oder Grafikdatei.

8.4 Prodigi führt einen Hinweis zu Unterauftragsverarbeitern und Erfüllungsnetzwerk, der die Kategorien von Unterauftragsverarbeitern und Erfüllungsempfängern beschreibt, die zur Erbringung der Dienste eingesetzt werden.

8.5 Prodigi verpflichtet Unterauftragsverarbeiter zu Datenschutzpflichten, die ein angemessenes Schutzniveau für Händlerkundendaten gewährleisten und die Art der Verarbeitung sowie die Rolle des Unterauftragsverarbeiters berücksichtigen.

8.6 Prodigi bleibt dem Händler gegenüber für die Erfüllung der Pflichten aus diesem Vertrag verantwortlich, soweit deren Erfüllung von einem von Prodigi beauftragten Unterauftragsverarbeiter übernommen wird.

8.7 Prodigi kann seine Unterauftragsverarbeiter und sein Erfüllungsnetzwerk von Zeit zu Zeit aktualisieren. Soweit nach geltendem Datenschutzrecht erforderlich, informiert Prodigi über wesentliche Änderungen bei Unterauftragsverarbeitern. Die Information kann durch Aktualisierung des Hinweises zu Unterauftragsverarbeitern und Erfüllungsnetzwerk, per E-Mail, über das Dashboard oder auf andere geeignete Weise erfolgen.

8.8 Der Händler kann einem wesentlichen neuen Unterauftragsverarbeiter aus berechtigten datenschutzrechtlichen Gründen widersprechen, indem er Prodigi innerhalb von 30 Tagen nach der entsprechenden Mitteilung informiert. Der Widerspruch muss das konkrete datenschutzrechtliche Anliegen erläutern.

8.9 Im Fall eines Widerspruchs nach Klausel 8.8 kann Prodigi nach eigenem Ermessen:

  • Informationen zur Ausräumung des Widerspruchs bereitstellen;
  • angemessene Maßnahmen zur Risikominderung treffen;
  • die Nutzung des betreffenden Unterauftragsverarbeiters für den Händler vermeiden, soweit dies technisch und kommerziell durchführbar ist;
  • dem Händler ermöglichen, die Nutzung der betroffenen Dienste einzustellen;
  • die betroffenen Dienste beenden.

8.10 Ein Widerspruch eines Händlers hindert Prodigi nicht daran, den jeweiligen Unterauftragsverarbeiter für andere Händler einzusetzen oder die Dienste für andere Kunden zu betreiben.

8.11 Dieser Vertrag verpflichtet Prodigi nicht zur Offenlegung kommerziell sensibler Einzelheiten zu Erfüllungsnetzwerk, Produktions-Routing, Betriebsabläufen, Sicherheitsarchitektur oder Lieferantenvereinbarungen über das nach geltendem Datenschutzrecht erforderliche Maß hinaus.

9. Rechte betroffener Personen

9.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt Prodigi den Händler in vernünftigem Umfang bei der Beantwortung von Anfragen betroffener Personen, die ihre Rechte nach dem Datenschutzrecht ausüben.

9.2 Erhält Prodigi eine Anfrage unmittelbar von einem Kunden oder Empfänger eines Händlers in Bezug auf Händlerkundendaten, kann Prodigi die Person an den Händler verweisen, sofern Prodigi nicht gesetzlich zur unmittelbaren Antwort verpflichtet ist.

9.3 Der Händler ist dafür verantwortlich zu entscheiden, ob und wie auf Anfragen betroffener Personen in Bezug auf Händlerkundendaten geantwortet wird.

10. Unterstützung bei der Compliance

10.1 Unter Berücksichtigung der Art der Verarbeitung und der Prodigi zur Verfügung stehenden Informationen unterstützt Prodigi den Händler in vernünftigem Umfang bei dessen Pflichten in Bezug auf Sicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzungen und vorherige Konsultation von Aufsichtsbehörden, soweit sich diese Unterstützung auf die Verarbeitung von Händlerkundendaten durch Prodigi bezieht.

10.2 Prodigi kann eine angemessene Gebühr für Unterstützungsleistungen erheben, die nicht von diesem Vertrag verlangt sind, übermäßig oder wiederholt sind, erheblichen manuellen Aufwand erfordern oder auf eine unangemessene Nutzung der Dienste durch den Händler zurückgehen.

11. Verletzungen des Schutzes personenbezogener Daten

11.1 Prodigi informiert den Händler nach Bekanntwerden einer Verletzung des Schutzes von Händlerkundendaten unverzüglich.

11.2 Die Mitteilung umfasst die zum jeweiligen Zeitpunkt vernünftigerweise verfügbaren Informationen, die Folgendes umfassen können:

  • Art der Verletzung;
  • Kategorien und ungefähre Anzahl der betroffenen Personen;
  • Kategorien und ungefähres Volumen der betroffenen Daten;
  • wahrscheinliche Folgen, soweit bekannt;
  • ergriffene oder vorgeschlagene Maßnahmen zur Behebung;
  • Kontaktdaten für weitere Informationen.

11.3 Prodigi kann Informationen schrittweise im Verlauf der Untersuchung bereitstellen.

11.4 Der Händler ist dafür verantwortlich zu entscheiden, ob er eine Aufsichtsbehörde, einen Kunden, einen Empfänger oder eine andere Person benachrichtigen muss, es sei denn, Prodigi ist gesetzlich zur eigenständigen Mitteilung verpflichtet.

12. Löschung und Rückgabe

12.1 Bei Beendigung der Dienste löscht Prodigi Händlerkundendaten oder gibt sie zurück, im Einklang mit den Nutzungsbedingungen, den Dashboard-Optionen des Händlers, diesem Vertrag und den Aufbewahrungsverfahren von Prodigi.

12.2 Prodigi kann Händlerkundendaten so lange aufbewahren, wie dies in vernünftiger Weise für rechtliche, steuerliche, buchhalterische, prüfungsbezogene, betrugspräventive, sicherheitsbezogene, streitbezogene, Rückbuchungs-, Gewährleistungs-, Produktqualitäts-, Nachdruck-, versicherungsbezogene oder Compliance-Zwecke erforderlich ist.

12.3 Der Aufbewahrungsansatz von Prodigi unterscheidet zwischen folgenden Datenkategorien:

  • 12.3.1 Produktions-Bild- und -Grafikdateien werden für den Zeitraum aufbewahrt, der in vernünftigem Umfang für Produktion, Qualitätskontrolle, Nachdrucke und Support erforderlich ist, und werden anschließend gemäß den Aufbewahrungsverfahren von Prodigi gelöscht oder unzugänglich gemacht.
  • 12.3.2 Bestell- und Versandaufzeichnungen werden für den für Kundenservice, Streitbeilegung, Rückbuchungen, Gewährleistung, gesetzliche Aufzeichnungspflichten und Steuern erforderlichen Zeitraum aufbewahrt.
  • 12.3.3 Rechnungen und Zahlungsaufzeichnungen werden für den nach geltendem Buchhaltungs- und Steuerrecht erforderlichen Zeitraum aufbewahrt.
  • 12.3.4 Support-Tickets und zugehörige Korrespondenz werden für den für Servicekontinuität, Streitbeilegung und Qualitätssicherung erforderlichen Zeitraum aufbewahrt.
  • 12.3.5 Betriebs-, Sicherheits- und Plattformprotokolle werden für den für Sicherheits-, Fehlerbehebungs-, Betrugspräventions- und Prüfungszwecke erforderlichen Zeitraum aufbewahrt.
  • 12.3.6 Sicherungskopien werden gemäß den Standard-Sicherungszyklen von Prodigi aufbewahrt und in diesen Zyklen überschrieben.

12.4 In Sicherungskopien, Archiven und Protokollen aufbewahrte Händlerkundendaten sind vor aktiver Verarbeitung geschützt und werden gemäß den üblichen Löschzyklen von Prodigi gelöscht, sofern eine frühere Löschung nicht technisch und betrieblich möglich ist.

12.5 Prodigi ist nicht verpflichtet, Bestellaufzeichnungen, Rechnungen, Produktionsaufzeichnungen, Supportaufzeichnungen oder sonstige Daten zu löschen, die Prodigi nach geltendem Recht oder für berechtigte Compliance-, Sicherheits- oder Streitbeilegungszwecke aufbewahren muss oder darf.

13. Prüfung und Auskunftsrechte

13.1 Prodigi stellt Informationen bereit, die in vernünftigem Umfang erforderlich sind, um die Einhaltung dieses Vertrags nachzuweisen.

13.2 Der primäre Weg zum Nachweis der Einhaltung erfolgt über veröffentlichte Richtlinien, Sicherheitsübersichten, technische und organisatorische Maßnahmen, Informationen zu Unterauftragsverarbeitern, schriftliche Antworten, Prüfungsübersichten oder Sicherheitsfragebögen von Prodigi.

13.3 Der Händler kann weitere Informationen anfordern, soweit dies in vernünftigem Umfang zur Prüfung der Einhaltung dieses Vertrags durch Prodigi erforderlich ist. Prodigi kann Anfragen ablehnen, die irrelevant, unverhältnismäßig, wiederholt, kommerziell sensibel, sicherheitssensibel oder nach geltendem Datenschutzrecht nicht erforderlich sind.

13.4 Prüfungen, Inspektionen oder Überprüfungen unterliegen einer angemessenen Vorankündigung, Vertraulichkeitspflichten, angemessenen Begrenzungen des Prüfungsumfangs, Sicherheitsanforderungen und Kontrollen zur Vermeidung von Störungen des Geschäfts von Prodigi und anderer Händler.

13.5 Vor-Ort-Prüfungen sind für Standard-Selbstbedienungskonten nicht verfügbar, sofern sie nicht nach geltendem Recht erforderlich sind und nicht in vernünftiger Weise durch Dokumentation oder schriftliche Antworten erfüllt werden können.

13.6 Der Händler trägt seine eigenen Prüfungs- oder Überprüfungskosten. Prodigi kann eine angemessene Gebühr für Unterstützungsleistungen erheben, die über die üblichen Antworten auf Dokumentations- und Fragebögen hinausgehen.

14. Internationale Datenübermittlungen

14.1 Der Händler nimmt zur Kenntnis, dass Prodigi globale Dienste erbringt und Händlerkundendaten in Ländern verarbeiten oder dorthin übermitteln kann, in denen Prodigi, Konzerngesellschaften, Erfüllungspartner, Logistikdienstleister, Technologieanbieter und sonstige Dienstleister tätig sind.

14.2 Soweit eine eingeschränkte Übermittlung geeignete Garantien erfordert, verwendet Prodigi geeignete Übermittlungsmechanismen gemäß dem Datenschutzrecht. Dazu können Angemessenheitsbeschlüsse, die EU-SCC, das UK International Data Transfer Addendum, das UK International Data Transfer Agreement oder ein anderer rechtmäßiger Übermittlungsmechanismus gehören.

14.3 Soweit die EU-SCC erforderlich sind, werden sie durch Bezugnahme in diesen Vertrag einbezogen und gelten wie folgt: Modul 2 gilt, wenn der Händler Verantwortlicher und Prodigi Auftragsverarbeiter ist; Modul 3 gilt, wenn Prodigi einen Unterauftragsverarbeiter für eine eingeschränkte Übermittlung beauftragt; Anhang I (Beschreibung der Übermittlung) wird durch Anhang 1 dieses Vertrags ausgefüllt; Anhang II (Technische und organisatorische Maßnahmen) wird durch Anhang 2 dieses Vertrags ausgefüllt; und Anhang III (Unterauftragsverarbeiter) wird durch den Hinweis zu Unterauftragsverarbeitern und Erfüllungsnetzwerk ausgefüllt.

14.4 Soweit das UK International Data Transfer Addendum zu den EU-SCC erforderlich ist, wird es durch Bezugnahme in diesen Vertrag einbezogen und findet auf die jeweiligen EU-SCC Anwendung. Soweit das UK International Data Transfer Agreement anstelle des UK Addendum gilt, finden die Parameter dieses Vertrags auf die entsprechenden Abschnitte dieses Instruments Anwendung.

14.5 Der Händler ermächtigt Prodigi, anwendbare Übermittlungsmechanismen mit relevanten Unterauftragsverarbeitern und Empfängern im Auftrag des Händlers abzuschließen, soweit dies zur Erbringung der Dienste erforderlich ist.

14.6 Der Händler nimmt zur Kenntnis, dass internationale Übermittlungen erforderlich sein können, um Bestellungen an Erfüllungsstandorte zu routen, Produkte herzustellen, Produkte zu liefern, Support zu leisten, die Plattforminfrastruktur zu betreiben und die Dienste zu betreiben.

15. Haftung

15.1 Dieser Vertrag ist Bestandteil der Nutzungsbedingungen. Die Haftungsbeschränkungen und -ausschlüsse der Nutzungsbedingungen finden auf diesen Vertrag Anwendung, sofern in einem gesondert vereinbarten schriftlichen Vertrag nichts anderes ausdrücklich geregelt ist.

15.2 Dieser Vertrag beschränkt oder schließt keine Haftung aus, soweit eine solche Haftung nach geltendem Recht nicht beschränkt oder ausgeschlossen werden kann.

16. Änderungen dieses Vertrags

16.1 Prodigi kann diesen Vertrag von Zeit zu Zeit gemäß den Nutzungsbedingungen aktualisieren.

16.2 Prodigi wird das Schutzniveau für Händlerkundendaten nach diesem Vertrag nicht wesentlich reduzieren, ohne eine angemessene Vorankündigung zu geben, soweit dies nach geltendem Recht erforderlich ist.

17. Vorrang

17.1 Im Konfliktfall zwischen diesem Vertrag und den Nutzungsbedingungen in Bezug auf die Verarbeitung von Händlerkundendaten als Auftragsverarbeiter geht dieser Vertrag im Umfang des Konflikts vor.

17.2 Hat der Händler einen gesondert unterzeichneten schriftlichen Vertrag mit Prodigi geschlossen, der die Datenverarbeitung ausdrücklich regelt, hat dieser Vertrag Vorrang im in diesem Vertrag festgelegten Umfang.

Anhang 1: Einzelheiten der Verarbeitung

Feld Einzelheiten
Gegenstand Bereitstellung von Print-on-Demand-Plattform, Produktion, Erfüllung, Versand, Support und zugehörigen Diensten.
Dauer Für die Dauer der Nutzung der Dienste durch den Händler und etwaige anwendbare Aufbewahrungsfristen.
Art der Verarbeitung Erhebung, Empfang, Speicherung, Hosting, Organisation, Abruf, Übermittlung, Offenlegung, Produktionsnutzung, Qualitätskontrolle, Support, Löschung und sonstige zur Erbringung der Dienste erforderliche Verarbeitung.
Zweck der Verarbeitung Entgegennahme von Bestellungen, Validierung von Bestellungen, Routing von Bestellungen, Herstellung von Produkten, Versand und Lieferung von Bestellungen, Abwicklung von Nachdrucken, Bearbeitung von Supportanfragen, Betrugsprävention, Plattformsicherheit, Erfüllung des Rechts, Abrechnungsunterstützung, Dienstebetrieb und Diensteverbesserung.
Betroffene Personen Kunden des Händlers, Bestellempfänger, Händler, befugte Nutzer, Supportkontakte und aus übermittelten Inhalten identifizierbare Personen.
Kategorien personenbezogener Daten Name des Empfängers, Lieferadresse, soweit angegebene Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Bestelldetails, Produktkonfiguration, Bilddateien, Grafikdateien, Supportaufzeichnungen, Bestellreferenzen, Versand- und Sendungsverfolgungsdaten, IP-Adresse, Geräteinformationen und gegebenenfalls technische Protokolle.
Besondere Kategorien personenbezogener Daten Von Prodigi nicht verlangt. Können beiläufig in Bilddateien, Grafikdateien oder anderen vom Händler oder dessen Kunden übermittelten Inhalten enthalten sein. Der Händler bleibt für die rechtmäßige Übermittlung verantwortlich.
Verarbeitungsorte Vereinigtes Königreich, EWR, Vereinigte Staaten, Australien und weitere Länder, in denen Prodigi, Konzerngesellschaften, Erfüllungspartner, Logistikdienstleister, Technologieanbieter oder sonstige Dienstleister tätig sind.
Kategorien der Unterauftragsverarbeiter Konzerngesellschaften, Cloud-Hosting-Anbieter, Technologieanbieter, Support-Tools, Produktionspartner, Erfüllungspartner, Logistikdienstleister, Zahlungs- und Betrugspräventionsdienstleister und Berufsträger.

Anhang 2: Technische und organisatorische Maßnahmen

Prodigi unterhält technische und organisatorische Maßnahmen, die der Art der Dienste und der verarbeiteten Händlerkundendaten angemessen sind. Diese Maßnahmen umfassen die folgenden Bereiche.

1. Zugangskontrolle

  • Der Zugang zu Systemen mit Händlerkundendaten ist auf befugtes Personal beschränkt.
  • Zugriffsrechte werden rollenbasiert und nach dem Grundsatz minimaler Berechtigung unter Bezugnahme auf den Geschäftsbedarf gewährt.
  • Zugriffsrechte werden regelmäßig überprüft und unverzüglich entzogen, wenn sie nicht mehr erforderlich sind, einschließlich bei Rollenwechsel und Ausscheiden aus dem Konzern.
  • Der administrative Zugang ist auf Personen beschränkt, die ihn benötigen, und unterliegt zusätzlichen Kontrollen.

2. Authentifizierung

  • Benutzerkonten sind durch Authentifizierungskontrollen geschützt.
  • Multi-Faktor-Authentifizierung wird für administrative Konten und für den Fernzugriff auf Produktionssysteme eingesetzt.
  • Auf relevante Systeme werden Passwort- und Kontokontrollen angewendet.

3. Vertraulichkeit

  • Zur Verarbeitung personenbezogener Daten befugte Personen unterliegen Vertraulichkeitspflichten.
  • Auftragnehmer und Dienstleister unterliegen, soweit angemessen, vertraglichen Vertraulichkeitspflichten.
  • Das Onboarding umfasst Datenschutz- und Sicherheitssensibilisierung; das Offboarding umfasst die unverzügliche Aufhebung des Zugangs.

4. Verschlüsselung und Übertragung

  • Daten, die über öffentliche Netze über die Dienste übermittelt werden, sind durch aktuelle Industriestandard-Verschlüsselung während der Übertragung geschützt.
  • Produktions- und Supportprozesse sind so gestaltet, dass eine unnötige Übertragung von Händlerkundendaten vermieden wird.

5. Datenminimierung

  • Prodigi beschränkt die an Produktions- und Logistikpartner offengelegten Erfüllungsdaten auf das, was zur Herstellung und Lieferung von Bestellungen vernünftigerweise erforderlich ist.
  • Produktionspartner erhalten typischerweise nur Name des Empfängers, Lieferadresse, Bestelldetails und die zur Herstellung des Produkts erforderliche Bild- oder Grafikdatei.
  • Betriebliche Datenflüsse werden auf Möglichkeiten zur Reduzierung der mit jeder Empfängerkategorie geteilten personenbezogenen Daten überprüft.

6. Trennung und Plattformkontrollen

  • Händlerkonten sind durch Plattformberechtigungen und Kontokontrollen logisch getrennt.
  • Produktionsworkflows sind so gestaltet, dass nur relevante Bestelldaten an den jeweiligen Erfüllungsstandort oder Anbieter weitergeleitet werden.
  • Produktions-, Test- und Verwaltungsumgebungen sind getrennt.

7. Protokollierung und Überwachung

  • Produktionssysteme und administrativer Zugang werden für Sicherheits-, Betriebs-, Betrugspräventions- und Fehlerbehebungszwecke protokolliert.
  • Protokolle werden zu Betriebs- und Sicherheitszwecken gemäß den Aufbewahrungsverfahren von Prodigi aufbewahrt.
  • Protokolle werden überprüft und Warnmeldungen zu anomalen oder unbefugten Aktivitäten ausgegeben.

8. Schwachstellen- und Patchmanagement

  • Produktionssysteme unterliegen einem Schwachstellenmanagement, einschließlich regelmäßiger Schwachstellenscans und Patches.
  • Erkannte Schwachstellen werden nach Schweregrad priorisiert und behoben.

9. Vorfallsreaktion

  • Prodigi unterhält Verfahren zur Erkennung, Eskalation, Untersuchung und Reaktion auf Sicherheitsvorfälle und Verletzungen des Schutzes personenbezogener Daten.
  • Vorfälle, die Händlerkundendaten betreffen, werden zur Bestimmung der Meldepflichten bewertet.
  • Die Verfahren werden regelmäßig überprüft und getestet.

10. Sicherung und Resilienz

  • Prodigi unterhält den Diensten angemessene Sicherungs- und Resilienzverfahren.
  • Sicherungsdaten werden gemäß den anwendbaren Aufbewahrungszyklen aufbewahrt und gelöscht.
  • Die Wiederherstellung von Sicherungen wird regelmäßig getestet.

11. Lieferantenkontrollen

  • Prodigi führt Onboarding-Sorgfaltsprüfungen bei Unterauftragsverarbeitern und Erfüllungspartnern vor der Beauftragung durch.
  • Prodigi setzt vertragliche Kontrollen mit relevanten Unterauftragsverarbeitern und Erfüllungspartnern ein, die geeignete technische und organisatorische Maßnahmen verlangen.
  • Prodigi verpflichtet Unterauftragsverarbeiter und Erfüllungspartner, personenbezogene Daten ausschließlich für die Dienste zu verwenden, die sie Prodigi erbringen.
  • Lieferantenkontrollen variieren je nach Lieferantenkategorie, Risiko und Rolle.

12. Sichere Entwicklung und Änderungskontrolle

  • Plattformänderungen werden über interne Entwicklungs- und Bereitstellungsprozesse gesteuert.
  • Sicherheits- und Datenschutzüberlegungen werden im Plattformbetrieb und in der -entwicklung berücksichtigt.
  • Änderungen am Produktivsystem werden geprüft und genehmigt.

13. Physische und betriebliche Sicherheit

  • Von Prodigi betriebene Standorte verwenden physische und betriebliche Kontrollen, die der Anlage und der Tätigkeit angemessen sind, einschließlich kontrolliertem Zugang zu Produktionsbereichen.
  • Produktionsabfälle, die Händlerkundendaten enthalten, etwa Fehldrucke oder beschädigte Produkte, werden sicher entsorgt.
  • Partneranlagen sind verpflichtet, ihren Produktions- und Erfüllungsrollen angemessene Kontrollen aufrechtzuerhalten.

Anhang 3: Hinweis zu Unterauftragsverarbeitern und Erfüllungsnetzwerk

1. Zweck

Prodigi betreibt eine globale Print-on-Demand-Plattform und ein Erfüllungsnetzwerk. Zur Erbringung der Dienste setzt Prodigi Konzerngesellschaften, Technologieanbieter, Produktionspartner, Erfüllungspartner, Logistikdienstleister und sonstige Dienstleister ein.

Dieser Hinweis beschreibt die Kategorien von Empfängern, die Händlerkundendaten verarbeiten oder erhalten können.

2. Zur Erfüllung offengelegte Daten

Für Produktion und Lieferung gibt Prodigi typischerweise nur begrenzte Erfüllungsdaten weiter, etwa:

  • Name des Empfängers;
  • Lieferadresse;
  • Kontaktdaten, soweit für Lieferung oder Support erforderlich;
  • Bestelldetails;
  • Produktkonfiguration;
  • Bild- oder Grafikdatei, die zur Herstellung des Produkts erforderlich ist;
  • Versand- und Sendungsverfolgungsdaten.

Prodigi verkauft keine Händlerkundendaten und nutzt Händlerkundendaten nicht zur direkten Vermarktung gegenüber den Kunden des Händlers.

3. Empfängerkategorien

Manche Empfänger handeln als Unterauftragsverarbeiter für Prodigi, während andere je nach ihrer Rolle, dem erbrachten Dienst und dem anwendbaren Recht als unabhängige Verantwortliche agieren können. Beispielsweise handeln Versanddienstleister, Zahlungsdienstleister, Steuerbehörden und Berufsträger typischerweise als unabhängige Verantwortliche in Bezug auf personenbezogene Daten, die sie für eigene Zwecke verarbeiten. Die nachstehende Tabelle beschreibt beide Empfängertypen, soweit relevant.

Empfängerkategorie Zweck Typischerweise verarbeitete Daten Typische Standorte
Konzerngesellschaften der Prodigi Group Plattformbetrieb, Erfüllung, Kundensupport, Abrechnungsunterstützung, Verwaltung und Konzerndienstleistungen. Händlerkonto-Daten, Bestelldaten, begrenzte Erfüllungsdaten, Supportdaten und technische Daten. Vereinigtes Königreich, EWR, USA und weitere Konzernstandorte.
Cloud-Hosting- und Infrastrukturanbieter Hosting, Speicherung, Rechenleistung, Vernetzung, Sicherheit und Plattformbetrieb. Plattformdaten, Bestelldaten, Bild- und Grafikdateien, Protokolle und technische Daten. Vereinigtes Königreich, EWR, USA und weitere Dienstleistungsregionen.
Software- und Technologieanbieter Plattform-Tools, Monitoring, Analytik, Workflow-Tools, E-Mail, Authentifizierung und interne Systeme. Händlerkonto-Daten, Supportdaten, Bestellreferenzen, technische Daten und gegebenenfalls begrenzte Händlerkundendaten. Vereinigtes Königreich, EWR, USA und weitere Dienstleistungsregionen.
Produktions- und Erfüllungspartner Herstellung, Druck, Veredelung, Verpackung, Versand, Qualitätskontrolle und Nachdrucke. Name des Empfängers, Lieferadresse, Bestelldetails, Produktkonfiguration, Bild- oder Grafikdatei und Versanddaten. Vereinigtes Königreich, EWR, USA, Australien und weitere Erfüllungsregionen.
Logistik-, Post- und Versanddienstleister Lieferung, Versand, Sendungsverfolgung, Zoll, Rücksendungen und Liefersupport. Name des Empfängers, Lieferadresse, Kontaktdaten soweit erforderlich, Sendungsinhaltsangaben, Sendungsverfolgungsdaten und Zolldaten soweit erforderlich. Bestimmungs- und Transitländer.
Zahlungs-, Abrechnungs- und Betrugspräventionsdienstleister Zahlungsabwicklung, Abrechnung, Betrugsprävention und Finanzverwaltung. Händlerkonto-Daten, Zahlungsinformationen, Transaktionsdaten, Bestellreferenzen und Daten zur Betrugsprävention. Vereinigtes Königreich, EWR, USA und weitere Dienstleistungsregionen.
Berufsträger und Compliance-Dienstleister Recht, Buchhaltung, Prüfung, Versicherung, Compliance und Streitbeilegung. Relevante Konto-, Bestell-, Support- oder Transaktionsdaten, soweit erforderlich. Vereinigtes Königreich, EWR und weitere relevante Standorte.

4. Produktions- und Erfüllungspartner

Prodigi setzt Produktions- und Erfüllungspartner zur Herstellung und zum Versand von Bestellungen ein. Erfüllungspartner erhalten ausschließlich die Informationen, die zur Herstellung und zum Versand der jeweiligen Bestellung in vernünftigem Umfang erforderlich sind.

Im Einklang mit Klausel 8.11 veröffentlicht Prodigi Empfängerkategorien und typische Verarbeitungsorte, jedoch keine öffentliche Liste mit Namen der Produktionspartner. Das Produktions-Routing ändert sich im Zeitverlauf, und Identität, Kapazität, Leistungsfähigkeit und Routing-Logik der Partner sind Bestandteil der kommerziellen und betrieblichen Infrastruktur von Prodigi. Soweit nach geltendem Datenschutzrecht erforderlich oder im Rahmen einer Enterprise-Vereinbarung vereinbart, können weitere Informationen zu den für die Bestellungen eines Händlers eingesetzten Produktions- und Erfüllungspartnern unter Vertraulichkeitsverpflichtungen und in angemessenem Umfang bereitgestellt werden.

5. Aktualisierungen

Prodigi aktualisiert diesen Hinweis von Zeit zu Zeit. Die jeweils aktuelle Fassung wird unter prodigi.com/subprocessor-and-fulfilment-network-notice/ veröffentlicht. Wesentliche Änderungen werden gemäß Klausel 8.7 dieses Vertrags mitgeteilt.

6. Kontakt

Fragen zu diesem Hinweis sind an dpo@prodigi.com zu richten.