Journey Studio legal
Datenverarbeitung
So setzen wir die Datenverarbeitung fuer Customer Journeys um.
Gültig ab: 25. Februar 2026
Zuletzt aktualisiert: 1. Mai 2026
Diese Auftragsverarbeitungsvereinbarung („DPA“) ist Bestandteil der Vereinbarung zwischen GreenRoot Analytics B.V. („Auftragsverarbeiter“) und dem Kunden („Verantwortlicher“) bei der Nutzung der GreenRoot-Analytics- Plattform (des „Dienstes“).
Transparenz. Wir möchten den Dienst mit maximaler Transparenz und einer Privacy-first-Haltung betreiben. Diese DPA ist so verfasst, dass sie die Verarbeitung beschreibt, die wir als Auftragsverarbeiter durchführen, sowie die Schutzmaßnahmen, die wir anwenden.
1) Gegenstand und Dauer
1.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Bereitstellung des Dienstes für die Dauer der Kundenvereinbarung (und jede Übergangsfrist, die erforderlich ist, um Daten zurückzugeben oder zu löschen).
2) Art und Zweck der Verarbeitung
2.1. Die Verarbeitung kann Konto-, Workspace-, Projekt- und Zugangsverwaltung umfassen.
2.2. Die Verarbeitung kann die Erstellung, Konfiguration, Freigabe und Verteilung von Journeys/Umfragen und Customer-Journey-Maps umfassen.
2.3. Die Verarbeitung kann die Erhebung und Speicherung von Umfrageantworten, Teilnehmerlisten sowie vom Verantwortlichen initiierte Einladungs- und Erinnerungs-Workflows umfassen.
2.4. Die Verarbeitung kann die Erstellung von Analytics, Exporten, PDF-/Berichtsartefakten und Executive- Summary-Ausgaben umfassen, die vom Verantwortlichen angefordert oder ausgelöst werden.
2.5. Die Verarbeitung kann KI-gestützte Funktionen umfassen (zum Beispiel Website-Kontext-Extraktion aus von Nutzern angegebenen öffentlichen Website-Inhalten, geführte Journey-/Fragen-/Phasen-/KPI-Generierung und Executive-Summary-Generierung) unter Nutzung eines KI-Unterauftragsverarbeiters.
2.6. Die Verarbeitung kann Sicherheits-, Logging-, Missbrauchspräventions- und Lösch-/Bereinigungs-Workflows umfassen, die auf Weisung des Verantwortlichen durchgeführt werden.
3) Kategorien betroffener Personen und personenbezogener Daten
3.1. Typische betroffene Personen sind Kundenbenutzer (Workspace-Benutzer).
3.2. Typische betroffene Personen sind Umfrageteilnehmer (Endnutzer).
3.3. Typische personenbezogene Daten umfassen Kontokennungen (z. B. Name, E-Mail-Adresse, bevorzugte Sprache und Rolle innerhalb des Workspace).
3.4. Typische personenbezogene Daten umfassen Antworten von Befragten und Freitextantworten (wie vom Verantwortlichen konfiguriert), E-Mail-Adressen von Teilnehmenden und Einladungs-/Erinnerungsmetadaten sowie vom Verantwortlichen eingegebenen Projekt-/Map-/Journey-Kontext.
3.5. Typische personenbezogene Daten umfassen betriebliche Metadaten, die für den Betrieb des Dienstes benötigt werden (z. B. Zeitstempel, technische Kennungen, begrenzte Zustell-/Sicherheits-/Diagnoseprotokolle und vom Verantwortlichen angeforderte Export-/Berichtsartefakte).
3.6. Der Dienst ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) vorgesehen. Der Verantwortliche sollte den Auftragsverarbeiter nicht anweisen, solche Daten zu verarbeiten, und sollte deren Erhebung in Umfragen vermeiden. Wenn besondere Kategorien von Daten durch Befragte eingegeben werden (z. B. über Freitextantworten), bleibt der Verantwortliche als Verantwortlicher verantwortlich; der Auftragsverarbeiter wird bei Löschung/Anonymisierung angemessen unterstützen, soweit dies vernünftigerweise möglich ist.
4) Pflichten des Verantwortlichen
4.1. Der Verantwortliche ist verantwortlich für eine rechtmäßige Grundlage zur Verarbeitung personenbezogener Daten und, soweit erforderlich, für die Einholung gültiger Einwilligung(en).
4.2. Der Verantwortliche ist verantwortlich für die Bereitstellung aller erforderlichen Hinweise an betroffene Personen (einschließlich Befragten) und für die Bearbeitung von Betroffenenanfragen als Verantwortlicher.
4.3. Der Verantwortliche ist verantwortlich dafür, Umfragen/Journeys so zu konfigurieren, dass sie für die Zielgruppe angemessen sind und keine besonderen Kategorien personenbezogener Daten abfragen.
4.4. Der Verantwortliche ist verantwortlich dafür, dass Einladungen und Erinnerungen an Teilnehmende rechtmäßig sind (einschließlich anwendbarer Datenschutz- und Anti-Spam-Anforderungen) und dass hochgeladene Teilnehmerlisten rechtmäßig erhoben und genutzt werden.
4.5. Der Verantwortliche ist verantwortlich dafür, dem Auftragsverarbeiter bei Bedarf dokumentierte Weisungen zu erteilen, einschließlich für Lösch-/Rückgabeanfragen und jede Nutzung KI-gestützter Funktionen auf Kundeninhalten.
4.6. Wenn der Verantwortliche den Auftragsverarbeiter bittet, öffentliche Website-Inhalte im Rahmen eines KI-gestützten Setup-Flows zu analysieren, ist der Verantwortliche dafür verantwortlich, dass er berechtigt ist, die betreffende URL bzw. den betreffenden Inhalt zu diesem Zweck bereitzustellen.
5) Unterauftragsverarbeiter
Der Auftragsverarbeiter kann Unterauftragsverarbeiter einsetzen, um Teile des Dienstes bereitzustellen (zum Beispiel Hosting, E-Mail-Zustellung und KI-gestützte Funktionen).
5.1. Der Auftragsverarbeiter wird eine Liste von Unterauftragsverarbeitern führen.
5.2. Der Auftragsverarbeiter bleibt für die Leistung von Unterauftragsverarbeitern unter dieser DPA verantwortlich.
Siehe: Unterauftragsverarbeiter (Abschnitt 10).
5.3. Der Auftragsverarbeiter wird die Liste der Unterauftragsverarbeiter aktualisieren, wenn sich wesentliche auftragsverarbeiterbezogene Anbieter ändern. Soweit vernünftigerweise praktikabel, kann der Verantwortliche aus angemessenen datenschutzrechtlichen Gründen gegen einen neuen Unterauftragsverarbeiter Einspruch erheben, und die Parteien werden in gutem Glauben an einer geeigneten Lösung arbeiten.
5.4. Diese DPA und die Unterauftragsverarbeiterliste in Abschnitt 10 betreffen Dienste, die der Auftragsverarbeiter nutzt, um Kundeninhalte im Auftrag des Verantwortlichen zu verarbeiten. GreenRoot kann außerdem verantwortlichenbezogene Anbieter für eigene Abrechnung, Zahlungen, Rechnungsstellung und Kontoverwaltung einsetzen (zum Beispiel Stripe). Solche Anbieter werden nicht als DPA-Unterauftragsverarbeiter aufgeführt, sofern sie nicht Kundeninhalte im Auftrag des Verantwortlichen verarbeiten.
6) Internationale Übermittlungen
6.1. Wenn personenbezogene Daten außerhalb des EWR/Vereinigten Königreichs übermittelt werden, wird der Auftragsverarbeiter geeignete Schutzmaßnahmen sicherstellen (zum Beispiel Standardvertragsklauseln (SCCs), soweit anwendbar).
7) Rückgabe oder Löschung
7.1. Bei Beendigung des Dienstes und auf Anfrage des Verantwortlichen (soweit anwendbar) wird der Auftragsverarbeiter personenbezogene Daten gemäß den Weisungen des Verantwortlichen und geltendem Recht löschen oder zurückgeben, vorbehaltlich einer begrenzten Aufbewahrung, die aus rechtlichen Gründen, zur Betrugsprävention oder aus Sicherheitsgründen erforderlich ist.
7.2. Wenn der Auftragsverarbeiter Exporte, PDFs, Executive Summaries oder ähnliche Artefakte für den Verantwortlichen erstellt, werden diese Artefakte als Kundeninhalte behandelt und unterliegen demselben Rahmen für Löschung/Rückgabe, vorbehaltlich rechtmäßiger Aufbewahrungsausnahmen.
8) Pflichten des Auftragsverarbeiters (DSGVO Art. 28)
8.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisungen des Verantwortlichen, einschließlich hinsichtlich Übermittlungen personenbezogener Daten an ein Drittland, es sei denn, der Auftragsverarbeiter ist nach Unionsrecht oder dem Recht der Mitgliedstaaten dazu verpflichtet (in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen über diese rechtliche Anforderung, sofern das Recht eine solche Information nicht untersagt).
8.2. Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind.
8.3. Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten (DSGVO Art. 32).
8.4. Der Auftragsverarbeiter beauftragt keinen weiteren Auftragsverarbeiter, ohne die Anforderungen in Abschnitt 5 zu erfüllen.
8.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person (DSGVO Kapitel III).
8.6. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die personenbezogene Daten betrifft, die unter dieser DPA verarbeitet werden.
8.7. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten zu Sicherheit, Meldung von Verletzungen und DPIA-/Konsultationspflichten (DSGVO Art. 32-36), unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
8.8. Der Auftragsverarbeiter stellt dem Verantwortlichen Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, und ermöglicht und unterstützt Audits gemäß Abschnitt 9.
9) Audit-Rechte
9.1. Der Verantwortliche kann Informationen anfordern, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA durch den Auftragsverarbeiter nachzuweisen.
9.2. Der Verantwortliche kann außerdem ein Audit (einschließlich Inspektionen) höchstens einmal pro 12 Monate durchführen, mit angemessener vorheriger schriftlicher Mitteilung, während üblicher Geschäftszeiten und unter Beachtung der Sicherheits- und Vertraulichkeitsanforderungen des Auftragsverarbeiters.
9.3. Soweit verfügbar kann der Auftragsverarbeiter Audit-Anfragen durch die Bereitstellung von Audit-Berichten oder Sicherheitsdokumentation Dritter erfüllen, statt einer Vor-Ort-Inspektion.
9.4. Der Verantwortliche trägt die Audit-Kosten.
10) Unterauftragsverarbeiter
10.1. Bei GreenRoot entwickeln und betreiben wir die Kerntechnologie der Plattform selbst. Für zusätzliche Infrastruktur und spezialisierte Dienste (wie E-Mail-Zustellung und KI-gestützte Funktionen) nutzen wir eine kleine Anzahl sorgfältig ausgewählter Unterauftragsverarbeiter, die unten aufgeführt sind.
10.2. Zuletzt aktualisiert: 1. Mai 2026.
| Unterauftragsverarbeiter | Zweck | Datenkategorien | Standort/Region | Hinweise |
|---|---|---|---|---|
| Namecheap (VPS-Hosting / Infrastruktur) | Hosting / Infrastruktur | Konto-, Workspace-, Projekt-, Map- und Journey-Daten, Antworten, Berichts-/Export-Artefakte, Logs | Vereinigte Staaten (siehe Hinweise) | Aktueller primärer VPS-Infrastrukturanbieter. Domainregistrierungs- / DNS-Dienste fallen nicht unter diese Zeile, sofern sie nicht ebenfalls Kundeninhalte verarbeiten |
| PrivateEmail | Transaktionale E-Mail-Zustellung (SMTP) | E-Mail-Adressen von Workspace-Benutzern, E-Mail-Adressen von Teilnehmenden, Nachrichteninhalt, begrenzte Zustellmetadaten | Vereinigte Staaten (siehe Hinweise) | Für auftragsverarbeiterbezogene Einladungen, Erinnerungen, zugangsbezogene Benachrichtigungen und Meldungen zu fertigen Exporten/Berichten genutzt |
| OpenAI | KI-Unterstützung | Journey-/Projekt-/Map-Kontext, für Zusammenfassungen verwendete Umfrageantworten, Berichtskontext und von Nutzern angegebene öffentliche Website-URLs/Inhalte, wenn KI-gestützte Funktionen genutzt werden | Global (Multi-Region) | Für Website-Kontext-Extraktion, geführte Generierung und Executive-Summary-Generierung bei Nutzung verwendet |
10.3. Auftragsverarbeiterbezogene Export-/PDF-/Berichtsartefakte werden derzeit auf derselben selbstgehosteten Infrastruktur gespeichert, sofern nicht für eine bestimmte Umgebung ein separater S3-kompatibler Object-Storage-Anbieter konfiguriert ist. Wenn ein separater Object-Storage-Anbieter aktiviert wird, um Kundeninhalte zu verarbeiten, sollte diese Unterauftragsverarbeiterliste entsprechend aktualisiert werden.
10.4. „Standort/Region“ wird auf hoher Ebene angegeben und kann je nach Vendor-Konfiguration und Routing variieren. Wenn Sie einen definitiven Standort für ein bestimmtes Konto oder eine Umgebung benötigen, bestätigen Sie dies beim Vendor.
10.5. Anbieter, die GreenRoot für eigene verantwortlichenbezogene Abrechnung, Zahlungen, Analytics/Messung und Kontoverwaltung nutzt, fallen nicht unter diese auftragsverarbeiterbezogene Unterauftragsverarbeitertabelle, sofern sie nicht Kundeninhalte im Auftrag des Verantwortlichen verarbeiten.
11) Kontakt
11.1. Fragen: contact@greenrootanalytics.com