DSGVO-Datenverarbeitungsvereinbarung

DSGVO-Datenverarbeitungsvereinbarung

Zuletzt aktualisiert: 24. September 2025

WICHTIGER HINWEIS: Diese deutsche Version stellt die rechtlich verbindliche Fassung dar. Die englische Version dient nur als Referenz. Bei Widersprüchen zwischen den Versionen hat die deutsche Fassung Vorrang.

English Version: GDPR Data Processing Agreement

Einführung

Verwandte Dokumente:

• Nutzungsbedingungen - Regelt die Gesamtbeziehung zwischen den Parteien
• Datenschutzerklärung - Deckt direkte Kunden und Controller-Aktivitäten ab

Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil der Nutzungsbedingungen zwischen:

Datenverantwortlicher: Sie (der Kunde, der Trusted Accounts Dienste nutzt)
Datenverarbeiter: Trusted Accounts SW FlexCo, Vorarlberger Wirtschaftspark 1, 6840 Götzis, Österreich

Unternehmensdetails:

• Rechtsform: Flexible Gesellschaft (FlexCo / Flexible Kapitalgesellschaft)
• Firmensitz: Götzis, Österreich
• Geschäftsadresse: Vorarlberger Wirtschaftspark 1, 6840 Götzis, Österreich

Über Trusted Accounts SW FlexCo: Trusted Accounts SW FlexCo ist eine Flexible Gesellschaft (FlexCo), die in Österreich nach österreichischem Gesellschaftsrecht registriert ist. Als Flexible Gesellschaft operiert Trusted Accounts SW FlexCo unter dem österreichischen Rechtsrahmen und behält dabei die Flexibilität, die Unternehmensstruktur an Geschäftsbedürfnisse anzupassen. Der Firmensitz von Trusted Accounts SW FlexCo befindet sich in Götzis, Österreich, und Trusted Accounts SW FlexCo führt seine Geschäftstätigkeiten von seinen Einrichtungen in der Vorarlberger Wirtschaftspark 1, 6840 Götzis, Österreich aus.

Diese DPA gewährleistet die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und verwandter EU-Datenschutzgesetze.

1. Definitionen

"DSGVO" bedeutet die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

"Datenschutzgesetze" bedeuten alle anwendbaren Datenschutz- und Datenschutzgesetze, die von Zeit zu Zeit in Kraft sind, einschließlich der DSGVO, nationaler Umsetzungsgesetze und aller Änderungen oder Ersetzungen derselben.

"Personenbezogene Daten" bedeuten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

"Verarbeitung" bedeutet jede Operation oder Reihe von Operationen, die an Personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie mit automatisierten Mitteln erfolgen.

"Betroffene Person" bedeutet die identifizierte oder identifizierbare natürliche Person, auf die sich die Personenbezogenen Daten beziehen.

"Aufsichtsbehörde" bedeutet eine unabhängige öffentliche Behörde, die für die Überwachung der Anwendung der Datenschutzgesetze zuständig ist.

“Datenverantwortlicher” iSd Art 4 Z 7 DSGVO bedeutet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

"Datenverarbeiter" iSd Art 4 Z 8 DSGVO bedeutet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

"Trusted Accounts" bedeutet Trusted Accounts SW FlexCo.

"Tochtergesellschaft" bedeutet jedes Unternehmen, das direkt oder indirekt im Besitz ist, im Besitz von oder unter gemeinsamem Besitz mit einem anderen Unternehmen steht, wobei der Besitz eine kontrollierende Beteiligung von fünfzig Prozent (50%) oder mehr der Stimmrechte oder Eigenkapitalanteile darstellt.

"Berechtigte Tochtergesellschaft" bedeutet jede Kunden-Tochtergesellschaft, die berechtigt ist, die Dienste zu nutzen oder anderweitig von den Diensten unter der Vereinbarung zu profitieren, vorbehaltlich der dort festgelegten Bedingungen.

"Kontrolle" bedeutet den Besitz, direkt oder indirekt, der Macht, die Geschäftsführung und Politik eines Unternehmens zu leiten oder die Richtung zu verursachen, sei es durch Besitz von Stimmrechten, durch Vertrag oder anderweitig, einschließlich - aber nicht beschränkt auf den Besitz von fünfzig Prozent (50%) oder mehr der Stimmrechte oder Eigenkapitalanteile eines solchen Unternehmens.

"Sicherheitsvorfall" bedeutet jeden unbefugten oder rechtswidrigen Sicherheitsbruch, der zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Personenbezogene Daten führt.

"Standardvertragsklauseln" bedeuten die von der Europäischen Kommission angenommenen Vertragsklauseln für die Übertragung von Personenbezogenen Daten in Drittländer, wie in der Durchführungsentscheidung der Kommission (EU) 2021/914 festgelegt, einschließlich der entsprechenden Module für Controller-zu-Processor- und Controller-zu-Controller-Übertragungen, die auf das spezifische Datenübertragungsszenario anwendbar sind.

2. Geltungsbereich und Anwendbarkeit dieser DPA

2.1 Geltungsbereich und Anwendbarkeit Diese DPA regelt die Verarbeitung von Personenbezogenen Daten durch Trusted Accounts SW FlexCo (den "Verarbeiter") im Auftrag des Kunden (des "Verantwortlichen") im Zusammenhang mit der Bereitstellung von Trusted Accounts' Diensten, wobei solche Personenbezogenen Daten dem EU-Datenschutzrecht, dem britischen Datenschutzrecht oder den Datenschutzgesetzen der Schweiz unterliegen. Die Parteien erkennen an und stimmen zu, alle in dieser DPA festgelegten Bedingungen in Bezug auf solche Verarbeitungsaktivitäten für Personenbezogene Daten einzuhalten.

2.2 Rolle der Parteien Die Parteien bestätigen und erkennen an, dass im Kontext dieser DPA der Kunde als Verantwortlicher für Personenbezogene Daten handeln soll, während Trusted Accounts Personenbezogene Daten ausschließlich in der Eigenschaft eines Verarbeiters im Auftrag des Kunden verarbeitet. Diese Vereinbarung gilt daher nicht in Umständen, in denen Trusted Accounts als Verantwortlicher für seine eigenen legitimen Geschäftszwecke handeln kann, was dem Kunden im Voraus klar mitgeteilt werden soll.

2.3 Kundenverpflichtungen Der Kunde erkennt an und stimmt zu, seine Verpflichtungen als Verantwortlicher unter den anwendbaren Datenschutzgesetzen in Bezug auf die Verarbeitung von Personenbezogenen Daten zu erfüllen. Darüber hinaus stellt der Kunde sicher, dass alle Verarbeitungsanweisungen, die Trusted Accounts bezüglich der Verarbeitungsaktivitäten für Personenbezogene Daten erteilt werden, den relevanten Bestimmungen der anwendbaren Datenschutzgesetze entsprechen und mit den Zwecken übereinstimmen, für die die Personenbezogenen Daten ursprünglich erhoben wurden.

3. Gegenstand und Dauer

3.1 Gegenstand Diese DPA regelt die Verarbeitung von Personenbezogenen Daten durch Trusted Accounts im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung unserer Dienste.

3.2 Dauer Diese DPA bleibt für die Dauer der Servicevereinbarung und bis alle Personenbezogenen Daten zurückgegeben oder gelöscht wurden, in Kraft.

4. Art und Zweck der Verarbeitung

4.1 Verarbeitungsaktivitäten Trusted Accounts verarbeitet Personenbezogene Daten für die folgenden Zwecke: (i) Verarbeitung, die zur Bereitstellung der Dienste gemäß der Vereinbarung erforderlich ist; und (ii) Verarbeitung, die zur Durchführung von Schritten erforderlich ist, die für die Erfüllung der Vereinbarung wesentlich sind, in jedem Fall, es sei denn, eine solche Verarbeitung ist durch anwendbares Recht im Vereinigten Königreich, in der Schweiz, in der Europäischen Union oder in einem ihrer Mitgliedstaaten vorgeschrieben, dem Trusted Accounts unterliegt. Dies umfasst insbesondere:

Servicebereitstellung: Bereitstellung unserer umfassenden Suite von Sicherheits- und Verifizierungsdiensten, einschließlich - aber nicht beschränkt auf Trusted Captcha, Trusted SDK, Trusted Verify, Developer Console und andere verwandte Dienste, die von Trusted Accounts angeboten werden, gemäß der Vereinbarung und allen anwendbaren Statements of Work oder Service Level Agreements.

Sicherheit & Betrugsprävention: Implementierung umfassender Sicherheitsmaßnahmen zur Erkennung und Verhinderung von Missbrauch, Betrug und Sicherheitsbedrohungen, einschließlich - aber nicht beschränkt auf Bot-Erkennung, Überwachung verdächtiger Aktivitäten und Bedrohungsanalyse.

Leistungsüberwachung: Sicherstellung optimaler Serviceverfügbarkeit und -leistung durch kontinuierliche Überwachung, Analysen und Systemoptimierung bei Aufrechterhaltung der Datenschutzstandards.

Support & Wartung: Bereitstellung technischer Unterstützung, Fehlerbehebungshilfe und Servicewartungsaktivitäten, die für den fortgesetzten Betrieb und die Verbesserung unserer Dienste erforderlich sind.

Compliance: Erfüllung rechtlicher und regulatorischer Verpflichtungen, einschließlich Datenschutzanforderungen, Audit-Anfragen und regulatorischer Berichterstattung, wie durch anwendbares Recht vorgeschrieben.

4.2 Verarbeitungskategorien Trusted Accounts verarbeitet die folgenden Kategorien von Personenbezogenen Daten gemäß den dokumentierten Anweisungen des Verantwortlichen:

5. Arten von Personenbezogenen Daten und Kategorien von Betroffenen

5.1 Arten von Personenbezogenen Daten Trusted Accounts verarbeitet im Auftrag unserer Kunden (Processor-Rolle) ausschließlich die folgenden Arten von Personenbezogenen Daten für Botabwehr und Sicherheitserkennung:

Technische Gerätedaten (für Bot-Erkennung): Browsertyp und -version, Gerätetyp (Desktop, Mobile, Tablet), Betriebssystem und Version, Bildschirmauflösung und Farbtiefe, Geräte-IDs (anonymisiert).

Verbindungsdaten (für Bedrohungsanalyse): IP-Adresse (wo möglich anonymisiert), Geografische Lage (nur Länderebene)

Interaktionsdaten (für Mensch-vs-Bot-Erkennung): Mausbewegungen und -klicks, Tastaturmuster und -geschwindigkeit, Scroll-Verhalten, Zeit zwischen Aktionen, Touch-Gesten (bei mobilen Geräten).

Session-Daten (für Sicherheits-Tracking): Temporäre Session-IDs, Sicherheits-Tokens, Timestamps der Interaktionen, Service-Response-Zeiten.

Verifikationsdaten (nur bei Trusted Verify): E-Mail-Adressen und Telefonnummern, die ausschließlich für Identitätsverifizierung und Sicherheitszwecke verwendet werden.

Was wir NICHT für Endbenutzer sammeln:

• Persönliche Namen (außer bei Trusted Verify)
• Finanzinformationen oder Zahlungsdetails
• Standortdaten über Länderebene hinaus
• Keine Daten zur Nutzeridentifikation (außer für Verifikation)
• Keine Daten für Profiling oder Tracking
• Keine Marketing- oder Werbezwecke

5.3 Minimal Data Ansatz für Endbenutzer (Processor-Rolle)

Sicherheitsfokus: Trusted Accounts sammelt nur Daten, die zur Erkennung echter Nutzer vs. Bedrohungen erforderlich sind.

Spezifische Datenkategorien für Endbenutzer:

• Technische Gerätedaten (für Bot-Erkennung): Browsertyp und -version, Gerätetyp, Betriebssystem, Bildschirmauflösung, Geräte-IDs (anonymisiert)
• Verbindungsdaten (für Bedrohungsanalyse): IP-Adresse (wo möglich anonymisiert), Geografische Lage (nur Länderebene), Netzwerk-Provider-Informationen
• Interaktionsdaten (für Mensch-vs-Bot-Erkennung): Mausbewegungen, Tastaturmuster, Scroll-Verhalten, Zeit zwischen Aktionen, Touch-Gesten
• Session-Daten (für Sicherheits-Tracking): Temporäre Session-IDs, Sicherheits-Tokens, Timestamps

Was wir NICHT für Endbenutzer sammeln:

• Persönliche Namen (außer bei Trusted Verify)
• E-Mail-Adressen (außer bei Trusted Verify)
• Telefonnummern (außer bei Trusted Verify)
• Finanzinformationen oder Zahlungsdetails
• Standortdaten über Länderebene hinaus
• Keine Daten zur Nutzeridentifikation
• Keine Daten für Profiling oder Tracking

Datenminimierungsprinzipien:

• Sicherheitsfokus: Nur Daten zur Erkennung echter Nutzer vs. Bedrohungen
• Verifikationszweck: E-Mail-Adressen und Telefonnummern nur für Trusted Verify-Verifikation
• Keine Identifikation: Keine Nutzeridentifikation oder -verfolgung (außer für Verifikation)
• Gefährder-Tracking: Wir speichern notwendige Daten auch im nicht anonymisierten Format (z.B. IP-Adresse) von erkannten Gefährdern zur Wiedererkennung und Schutz unserer Kundenplattformen
• Automatische Löschung: Daten werden gelöscht, sobald nicht mehr benötigt
• Keine Datenkombination: Endbenutzerdaten werden nicht mit anderen Datenquellen kombiniert
• Keine Profiling: Keine Verwendung für Profiling, Marketing oder andere Zwecke
• Anonymisierung: Alle gespeicherten Daten werden anonymisiert (durch Hashing), um die Privatsphäre zu schützen (außer Verifikationsdaten und Gefährder-Tracking)

5.4 Verarbeitungsbeschränkungen für Endbenutzer

Trusted Accounts verarbeitet Endbenutzer-Daten ausschließlich für:

• Sicherheitserkennung: Erkennung echter Nutzer vs. automatisierte Systeme
• Bedrohungsabwehr: Identifikation und Verhinderung von Sicherheitsrisiken
• Service-Bereitstellung: Technische Funktionalität der Sicherheitsdienste
• Identitätsverifikation: E-Mail-Adressen und Telefonnummern nur für Trusted Verify-Verifikation

Hinweis: Plattform-Administratoren, Abrechnungs- und Support-Kontakte, die direkte Kunden von Trusted Accounts sind, werden durch unsere Datenschutzerklärung abgedeckt, da wir in diesem Fall als Datenverantwortlicher handeln. Diese DPA konzentriert sich ausschließlich auf die Datenverarbeitung im Auftrag unserer Kunden (Processor-Rolle), insbesondere die Verarbeitung von Endbenutzer-Daten.

5.2 Kategorien von Betroffenen Die Dienste von Trusted Accounts verarbeiten im Auftrag unserer Kunden (Processor-Rolle) Daten der folgenden Kategorien von Betroffenen:

Endbenutzer: Personen, die Plattformen nutzen, die unsere Dienste verwenden, deren Daten gemäß den Anweisungen des Verantwortlichen und anwendbaren Datenschutzrichtlinien verarbeitet werden.

Hinweis: Plattform-Administratoren, Abrechnungs- und Support-Kontakte, die direkte Kunden von Trusted Accounts sind, werden durch unsere Datenschutzerklärung abgedeckt, da wir in diesem Fall als Datenverantwortlicher handeln.

6. Verpflichtungen und Rechte des Verantwortlichen

6.1 Verantwortlichenverpflichtungen Der Verantwortliche erkennt an und stimmt zu, dass er für die Einhaltung aller anwendbaren Datenschutzgesetze in Bezug auf seine Verarbeitung von Personenbezogenen Daten verantwortlich ist, einschließlich - aber nicht beschränkt auf die Einholung aller notwendigen Einwilligungen, Genehmigungen und Berechtigungen von Betroffenen, wie durch anwendbares Recht vorgeschrieben. Der Verantwortliche stellt Trusted Accounts genaue, vollständige und aktuelle Personenbezogene Daten zur Verfügung und benachrichtigt Trusted Accounts unverzüglich über alle Anfragen, Einwände oder Beschränkungen von Betroffenen, die unsere Verarbeitungsaktivitäten beeinträchtigen könnten. Darüber hinaus stellt der Verantwortliche angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz von Personenbezogenen Daten sicher und stellt sicher, dass seine Verarbeitungsanweisungen den anwendbaren Datenschutzgesetzen entsprechen.

6.2 Verantwortlichenrechte Der Verantwortliche behält alle unter den anwendbaren Datenschutzgesetzen gewährten Rechte, einschließlich des Rechts, umfassende Informationen über unsere Verarbeitungsaktivitäten, Sicherheitsmaßnahmen und Compliance-Praktiken anzufordern. Der Verantwortliche kann auf Personenbezogene Daten zugreifen, überprüfen und auditieren, die in seinem Auftrag verarbeitet werden, die Korrektur oder Löschung ungenauer oder veralteter Personenbezogener Daten anfordern, der Verarbeitung auf der Grundlage berechtigter Interessen widersprechen, wo anwendbar, und Datenportabilitätsrechte gemäß den DSGVO-Anforderungen ausüben. Der Verantwortliche kann auch Informationen über unsere Unterauftragsverarbeiter und deren Einhaltung der Datenschutzverpflichtungen anfordern.

7. Verpflichtungen und Rechte des Verarbeiters

7.1 Verarbeitungsanweisungen Trusted Accounts SW FlexCo (der "Verarbeiter") erkennt an und stimmt zu, dass sie Personenbezogene Daten ausschließlich gemäß den dokumentierten Anweisungen des Verantwortlichen verarbeiten wird, einschließlich der dokumentierten Anweisungen bezüglich der Übertragung von Personenbezogenen Daten in Drittländer oder internationale Organisationen, es sei denn, eine solche Verarbeitung ist durch anwendbares Recht vorgeschrieben, dem Trusted Accounts unterliegt. In solchen Umständen wird Trusted Accounts den Verantwortlichen über die rechtliche Anforderung vor der Verarbeitung benachrichtigen, es sei denn, eine solche Benachrichtigung ist durch Gesetz aus wichtigen Gründen des öffentlichen Interesses verboten.

7.2 Vertraulichkeitsverpflichtungen Trusted Accounts stellt sicher, dass alle zur Verarbeitung von Personenbezogenen Daten autorisierten Mitarbeiter durch Vertraulichkeitsverpflichtungen gebunden sind oder angemessenen gesetzlichen Vertraulichkeitsanforderungen unterliegen.

7.3 Sicherheitsmaßnahmen Trusted Accounts implementiert angemessene technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der in Anhang II dieser DPA detaillierten Maßnahmen.

7.4 Unterstützung bei Betroffenenrechten Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen bei der Beantwortung von Anfragen von Betroffenen.

7.5 Verletzungsbenachrichtigung

Trusted Accounts als Auftragsverarbeiter informiert den Verantwortlichen ohne unangemessene Verzögerung, spätestens innerhalb von 72 Stunden nach Kenntniserlangung von einer personenbezogenen Datenpanne. Kenntniserlangung liegt vor, sobald der Auftragsverarbeiter hinreichende Sicherheit über das Vorliegen eines Vorfalls hat. Die Erstmeldung enthält mindestens: (i) Art der Verletzung, (ii) betroffene Datenkategorien und voraussichtliche Anzahl der Datensätze/Betroffenen, (iii) wahrscheinliche Folgen, (iv) getroffene bzw. vorgeschlagene Abhilfemaßnahmen. Der Auftragsverarbeiter übermittelt weitere Informationen, sobald diese verfügbar und validiert sind und benennt einen Ansprechpartner für die Koordination. Die Zusammenarbeit erfolgt in angemessenem Umfang zur Erfüllung der Pflichten des Verantwortlichen nach Art. 33, 34 DSGVO.

7.6 Detaillierte Sicherheitsmaßnahmen Trusted Accounts hat angemessene technische und organisatorische Sicherheitsmaßnahmen implementiert, um ein dem Risiko der Verarbeitung von Personenbezogenen Daten angemessenes Sicherheitsniveau zu gewährleisten. Das Sicherheitsprogramm von Trusted Accounts umfasst:

Verschlüsselung: Alle Personenbezogenen Daten werden während der Übertragung und im Ruhezustand mit branchenüblichen Verschlüsselungsprotokollen verschlüsselt. Trusted Accounts führt sichere Schlüsselverwaltungspraktiken durch und stellt sicher, dass Verschlüsselungsschlüssel getrennt von den verschlüsselten Daten gespeichert werden.

Zugriffskontrolle: Trusted Accounts implementiert rollenbasierte Zugriffskontrolle (RBAC) mit dem Prinzip der geringsten Berechtigung, Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe und regelmäßige Zugriffsüberprüfungen, um angemessene Zugriffsebenen sicherzustellen. Alle Zugriffsversuche werden protokolliert und auf verdächtige Aktivitäten überwacht.

Überwachung und Erkennung: Trusted Accounts führt Sicherheitsüberwachung durch Intrusion Detection und Prevention Systeme, Bedrohungsintelligenz-Feeds und Alarmierung für Sicherheitsereignisse durch. Das Sicherheitsoperationszentrum von Trusted Accounts überwacht potenzielle Bedrohungen und reagiert auf Vorfälle gemäß dokumentierten Verfahren.

Incident Response: Trusted Accounts führt Incident Response-Verfahren durch, die sofortige Eindämmung, Untersuchung, Benachrichtigung betroffener Parteien nach Gesetz und Post-Incident-Analyse zur Verhinderung von Wiederholungen umfassen. Alle Sicherheitsvorfälle werden dokumentiert und bis zur Lösung verfolgt.

Schwachstellenmanagement: Trusted Accounts führt regelmäßige Sicherheitsbewertungen durch, einschließlich Schwachstellenscans, Sicherheitstests und Überwachung von Sicherheitsempfehlungen. Kritische und hochriskante Schwachstellen werden innerhalb definierter Zeitrahmen gemäß dem Risikomanagement-Framework von Trusted Accounts behoben.

7.7 Unterauftragsverarbeiter. Trusted Accounts als Auftragsverarbeiter kann Unterauftragsverarbeiter einsetzen, um bei der Bereitstellung der Dienste zu helfen, vorausgesetzt, dass Trusted Accounts eine stets aktuelle Liste aller Unterauftragsverarbeiter führt und dem Verantwortlichen mindestens 30 Tage im Voraus schriftliche Benachrichtigung über vorgeschlagene Änderungen bezüglich der Hinzufügung oder des Ersatzes von Unterauftragsverarbeitern gibt. Der Verantwortliche kann aus berechtigten, nachgewiesenen Datenschutzgründen schriftlich widersprechen. Die Parteien bemühen sich um eine Lösung (z. B. alternative Verarbeitung). Ist keine Lösung möglich, kann der Verantwortliche die betroffene Verarbeitung kündigen oder einstellen. Ein Kündigungsrecht für den gesamten Vertrag entsteht dadurch nicht.

Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter verantwortlich, als hätte er deren Handlungen oder Unterlassungen selbst vorgenommen (Art. 28 Abs. 4 DSGVO). Ansprüche des Verantwortlichen wegen Pflichtverletzungen von Unterauftragsverarbeitern unterliegen den Haftungsregelungen in Punkt 14 (einschließlich des dort geregelten Haftungshöchstbetrags und der dort genannten Ausnahmen). Keine Haftung besteht, soweit der Verstoß überwiegend durch Weisungen des Verantwortlichen, dessen Pflichtverletzungen oder die Pflichtverletzungen seiner Auftragsverarbeiter/Erfüllungsgehilfen verursacht wurde oder auf unabwendbaren Ereignissen außerhalb des Einflussbereichs des Auftragsverarbeiters beruht. Ansprüche nach Art. 82 DSGVO bleiben unberührt.

Alle Unterauftragsverarbeiter müssen durch Datenschutzverpflichtungen gebunden sein, die gleichwertig sind und im wesentlichen den Anforderungen dieser DPA entsprechen.

8. Betroffenenrechte

8.1 Recht auf Auskunft Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen bei der Beantwortung von Auskunftsanfragen von Betroffenen, indem es Personenbezogene Daten in einem strukturierten, gebräuchlichen, maschinenlesbaren Format bereitstellt, das Datenportabilitätsanforderungen unterstützt. Trusted Accounts gewährleistet eine rechtzeitige Antwort innerhalb der DSGVO-Zeitrahmen und führt Audit-Trails aller Auskunftsanfragen und -antworten. Die Systeme von Trusted Accounts sind darauf ausgelegt, Personenbezogene Daten effizient abzurufen und zu formatieren, während Sicherheits- und Datenschutzstandards eingehalten werden.

8.2 Recht auf Berichtigung Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen bei der Korrektur unrichtiger Personenbezogener Daten von Betroffenen, indem es Korrekturanträge zeitnah bearbeitet und Audit-Trails aller vorgenommenen Korrekturen führt. Trusted Accounts bestätigt dem Verantwortlichen den Abschluss von Berichtigungsanträgen. Alle Korrektur-Aktivitäten werden für Compliance- und Audit-Zwecke protokolliert und verfolgt.

8.3 Recht auf Löschung Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen bei der Löschung von Personenbezogenen Daten von Betroffenen, indem Trusted Accounts über sichere Löschverfahren verfügt, die eine vollständige Entfernung aus allen Systemen von Trusted Accounts gewährleisten, einschließlich Backups und Archiven, wo technisch machbar. Trusted Accounts bestätigt dem Verantwortlichen schriftlich die Löschung und führt Löschungsaufzeichnungen für Compliance-Zwecke. Die Löschverfahren von Trusted Accounts entsprechen den DSGVO-Anforderungen und branchenüblichen Praktiken für sichere Datenentsorgung.

8.4 Recht auf Einschränkung Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen bei der Einschränkung der Verarbeitung, indem es technische Einschränkungen wie angefordert implementiert, einschließlich Datenzugriffskontrollen, Verarbeitungsbeschränkungen und Systemmodifikationen, wo erforderlich. Trusted Accounts führt Einschränkungsaufzeichnungen und stellt sicher, dass die Verarbeitung nur dann wieder aufgenommen wird, wenn Einschränkungen vom Verantwortlichen aufgehoben werden. Alle Einschränkungs-Aktivitäten werden dokumentiert und für die Compliance-Verifikation verfolgt.

9. Datenverletzungsbenachrichtigung

9.1 Verletzungserkennung Trusted Accounts führt Systeme und Verfahren zur Erkennung von Verletzungen von Personenbezogenen Daten durch, einschließlich unbefugtem Zugriff auf Personenbezogene Daten, versehentlichem Verlust oder Zerstörung von Personenbezogenen Daten, unbefugter Offenlegung von Personenbezogenen Daten und Änderung von Personenbezogenen Daten ohne Autorisierung. Die Sicherheitsüberwachungssysteme von Trusted Accounts umfassen Intrusion Detection Systeme, Security Information and Event Management Tools, Log-Analyse und Alarmierungsmechanismen für potenzielle Sicherheitsvorfälle. Trusted Accounts führt Sicherheitsoperationsüberwachung durch, um Erkennung und Reaktion auf potenzielle Verletzungen sicherzustellen.

9.2 Benachrichtigungsprozess Nach Kenntnisnahme einer Verletzung von Personenbezogenen Daten wird Trusted Accounts den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme benachrichtigen, es sei denn, die Verletzung wird wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen. Die Benachrichtigung von Trusted Accounts enthält Informationen über die Art der Verletzung, einschließlich der Kategorien und ungefähren Anzahl der betroffenen Betroffenen, der Kategorien und ungefähren Anzahl der betroffenen Personenbezogenen Daten, der wahrscheinlichen Folgen der Verletzung und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung. Trusted Accounts bietet angemessene Zusammenarbeit mit dem Verantwortlichen bei Verletzungsuntersuchungen und Reaktionsaktivitäten und implementiert Korrekturmaßnahmen zur Verhinderung von Wiederholungen.

9.3 Verletzungsdokumentation Trusted Accounts führt Aufzeichnungen aller Verletzungen von Personenbezogenen Daten, einschließlich Dokumentation der Fakten rund um jede Verletzung, der Auswirkungen und potenziellen Folgen für betroffene Betroffene, ergriffener Abhilfemaßnahmen zur Behebung der Verletzung und gelernten Lektionen zur Verhinderung zukünftiger Vorkommen. Diese Dokumentation wird gemäß den DSGVO-Anforderungen geführt und ist für die Überprüfung durch den Verantwortlichen und relevante Aufsichtsbehörden nach Gesetz verfügbar.

10. Datenschutz-Folgenabschätzung

10.1 Bewertungsunterstützung Trusted Accounts bietet angemessene Unterstützung für den Verantwortlichen auf Anfrage bei der Durchführung von Datenschutz-Folgenabschätzungen, indem es Informationen über die für den Verantwortlichen durchgeführten Verarbeitungsaktivitäten von Trusted Accounts bereitstellt, einschließlich der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. Trusted Accounts beschreibt seine technischen und organisatorischen Sicherheitsmaßnahmen und Schutzmaßnahmen, identifiziert potenzielle Risiken für die Rechte und Freiheiten von Betroffenen und stellt Dokumentation zur Unterstützung von Risikobewertungsaktivitäten bereit. Das Team von Trusted Accounts arbeitet mit dem Verantwortlichen zusammen, um sicherzustellen, dass notwendige Informationen für die Folgenabschätzung verfügbar sind.

10.2 Risikominderung Trusted Accounts hat Maßnahmen zur Behebung identifizierter Risiken, einschließlich verstärkter Sicherheitskontrollen implementiert. Trusted Accounts verfügt, wo erforderlich, über zusätzliche Überwachungs- und Protokollierungsfunktionen und führt regelmäßige interne Sicherheitsbewertungen und Tests durch und passt Sicherheitsmaßnahmen basierend auf Bedrohungsintelligenz und branchenüblichen Praktiken an. Die Risikominderungsstrategien von Trusted Accounts sind darauf ausgelegt, sicherzustellen, dass identifizierte Risiken zeitnah und effektiv behoben werden, mit regelmäßiger Überprüfung und Aktualisierungen zur Aufrechterhaltung angemessener Schutzebenen.

11. Compliance-Verifikation

11.1 Compliance-Verifikation Trusted Accounts kann eine relevante Dokumentation zur Demonstration der Einhaltung dieser DPA bereitstellen, wenn dies vom Verantwortlichen angefordert wird.

11.2 Verifikationsprozess Compliance-Verifikationsanfragen werden während der normalen Geschäftszeiten mit angemessener Vorankündigung gestellt, typischerweise nicht weniger als 30 Tage, um ordnungsgemäße Vorbereitung und Koordination zu ermöglichen. Trusted Accounts stellt sicher, dass Verifikationsanfragen ohne Störung der Geschäftstätigkeit oder Kompromittierung der Sicherheit seiner Systeme bearbeitet werden. Alle Verifikationsanfragen werden gemäß den Sicherheitsrichtlinien und -verfahren von Trusted Accounts bearbeitet.

11.3 Verifikationszusammenarbeit Trusted Accounts bietet angemessene Zusammenarbeit mit Compliance-Verifikationsanfragen, indem es Zugang zu relevanter Dokumentation gewährt, Interviews mit relevanten Mitarbeitern erleichtert und Sicherheitsmaßnahmen und -kontrollen in Betrieb durchführt. Trusted Accounts führt Dokumentation zur Unterstützung von Verifikationsaktivitäten und stellt sicher, dass alle Verifikationsanforderungen zeitnah und professionell erfüllt werden.

12. Datenübertragungen

12.1 Übertragungsmechanismen Für Übertragungen von Personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) implementiert Trusted Accounts angemessene Schutzmaßnahmen gemäß den DSGVO-Anforderungen. Trusted Accounts hält von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) ein, einschließlich Modul Zwei (Controller zu Processor) und Modul Eins (Controller zu Controller), wo anwendbar. Für Gerichtsbarkeiten mit Angemessenheitsentscheidungen verlässt sich Trusted Accounts auf solche Bestimmungen, und wo angemessen, implementiert Trusted Accounts Binding Corporate Rules für Intra-Gruppen-Übertragungen. Trusted Accounts führt zusätzliche Schutzmaßnahmen durch, wie durch anwendbares Recht vorgeschrieben, und überprüft und aktualisiert seine Übertragungsmechanismen regelmäßig, um fortgesetzte Compliance sicherzustellen.

12.2 Übertragungsdokumentation Trusted Accounts führt Dokumentationen über internationale Datenübertragungen, einschließlich Aufzeichnungen von Übertragungsmechanismen und implementierten Schutzmaßnahmen, Risikobewertungen und Minderungsmaßnahmen. Trusted Accounts prüft und aktualisiert Übertragungsvereinbarungen anhand sich entwickelnden rechtlichen Anforderungen. Diese Dokumentation ist für die Überprüfung durch den Verantwortlichen und relevante Aufsichtsbehörden auf Anforderung verfügbar und wird regelmäßig aktualisiert, um Änderungen in rechtlichen Anforderungen oder den Verarbeitungsaktivitäten von Trusted Accounts widerzuspiegeln.

13. Datenrückgabe und -löschung

13.1 Rückgabeprozess Auf schriftliche Anforderung des Verantwortlichen stellt Trusted Accounts als Auftragsverarbeiter innerhalb von 30 Tagen nach Vertragsende eine Kopie der personenbezogenen Daten in einem gängigen, maschinenlesbaren Format bereit, das Datenportabilitätsanforderungen unterstützt. Trusted Accounts gewährleistet eine sichere Übertragung der Daten mit angemessenen Verschlüsselungs- und sicheren Übertragungsprotokollen und bestätigt schriftlich den Abschluss des Rückgabeprozesses. Zusätzliche Export-/Transformationsleistungen erfolgen nach angemessenem Aufwand gegen Vergütung gemäß den jeweils gültigen Sätzen des Auftragsverarbeiters.

13.2 Löschprozess Nach Rückgabe der personenbezogenen Daten löscht Trusted Accounts alle Kopien in produktiven Systemen innerhalb von 30 Tagen nach Vertragsende. Backups/Archive werden im Rahmen des regulären Rotationszyklus (max. 90 Tage) automatisch überschrieben; bis dahin sind sie logisch/technisch isoliert und ausschließlich für Zwecke der Datensicherung/Katastrophenwiederherstellung zugänglich. Soweit gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen, werden die betreffenden Daten gesperrt und ausschließlich zur Erfüllung dieser Pflichten vorgehalten; nach Fristablauf werden sie gelöscht. Trusted Accounts als Auftragverarbeiter stellt dem Verantwortlichen auf Anfrage eine Löschbestätigung bereit und führt gegebenenfalls Löschprotokolle für interne Compliance-Zwecke. Die Löschverfahren von Trusted Accounts gewährleisten eine sichere Entsorgung aller physischen Aufzeichnungen und vollständige Entfernung von Personenbezogenen Daten aus allen elektronischen Systemen und Speichermedien.

14. Haftung und Freistellung

14.1 Haftungsbegrenzung Die gesamte Haftung des Auftragsverarbeiters aus oder im Zusammenhang mit dieser Vereinbarung unabhängig vom Rechtsgrund ist insgesamt auf einen Höchstbetrag begrenzt, der den vom Verantwortlichen in den zwölf (12) Monaten vor dem haftungsauslösenden Ereignis für die betroffenen Dienste an den Auftragsverarbeiter gezahlt hat. Dieser Betrag stellt die maximale Gesamthaftung des Auftragsverarbeiters gegenüber dem Verantwortlichen für sämtliche Ansprüche zusammen aus dieser Vereinbarung dar, unabhängig von Anzahl oder Art einzelner Schadensfälle. Zwingende Ansprüche nach Art. 82 DSGVO bleiben unberührt. Unberührt bleiben zudem die Haftung des Auftragsverarbeiters für Vorsatz und grobe Fahrlässigkeit, Schäden aus der Verletzung von Leben, Körper oder Gesundheit sowie zwingende Haftung (insbesondere nach dem Produkthaftungsgesetz). Eine Haftung für mittelbare Schäden, entgangenen Gewinn sowie Kosten der Datenwiederherstellung ist ausgeschlossen. Der Verantwortliche hat zumutbare Maßnahmen zur Schadensminderung zu ergreifen und den Auftragsverarbeiter unverzüglich über drohende oder eingetretene Schäden zu informieren.

14.2 Freistellung Der Auftragsverarbeiter (Trusted Accounts) stellt den Verantwortlichen von berechtigten, rechtskräftig festgestellten oder mit vorheriger schriftlicher Zustimmung des Auftragsverarbeiters einvernehmlich beigelegten Drittansprüchen frei, die unmittelbar auf einen nachweislichen Verstoß des Auftragsverarbeiters gegen diese Vereinbarung zurückzuführen sind, einschließlich angemessener und nachweislich entstandener Rechtsverfolgungs- und Verteidigungskosten, vorausgesetzt: (i) der Verantwortliche informiert den Auftragsverarbeiter unverzüglich schriftlich über den Anspruch, (ii) räumt dem Auftragsverarbeiter die ausschließliche Verfahrens- und Vergleichskontrolle ein und (iii) leistet zumutbare Unterstützung.
Keine Freistellung besteht, soweit der Anspruch (mit-)verursacht wurde durch Weisungen des Verantwortlichen, dessen Pflichtverletzungen oder die Pflichtverletzungen seiner Auftragsverarbeiter/Erfüllungsgehilfen.
Bußgelder oder behördliche Gebühren werden nur insoweit und soweit rechtlich zulässig übernommen, als sie auf vorsätzliche oder grob fahrlässige Pflichtverletzungen des Auftragsverarbeiters zurückgehen; Schuldanerkenntnisse werden hierdurch nicht begründet.
Freistellungsansprüche nach diesem Punkt 14.2 werden auf den in Punkt 14.1 festgelegten Haftungshöchstbetrag angerechnet und durch diesen begrenzt. Zwingende Ansprüche nach Art. 82 DSGVO bleiben hiervon unberührt.

15. Laufzeit und Kündigung

15.1 Laufzeit Diese DPA bleibt für die Dauer der Servicevereinbarung zwischen den Parteien in Kraft und bleibt in Kraft, bis alle Personenbezogenen Daten gemäß den Bestimmungen dieser DPA zurückgegeben oder gelöscht wurden. Die Laufzeit dieser DPA überlebt die Beendigung der Hauptvereinbarung, soweit dies zur Gewährleistung der Einhaltung der Datenschutzgesetze und der Erfüllung aller hierin festgelegten Verpflichtungen erforderlich ist. Diese DPA bleibt für die Parteien bindend, bis alle Datenschutzverpflichtungen erfüllt und alle Personenbezogenen Daten ordnungsgemäß entsorgt wurden.

15.2 Kündigungswirkungen Bei Beendigung dieser DPA oder der zugrunde liegenden Servicevereinbarung müssen alle Personenbezogenen Daten gemäß den in Abschnitt 13 festgelegten Verfahren zurückgegeben oder gelöscht werden, und alle Verarbeitungsaktivitäten müssen unverzüglich eingestellt werden, außer wie durch anwendbares Recht vorgeschrieben. Verifikationsrechte bleiben für Compliance-Verifikationszwecke für einen angemessenen Zeitraum nach Beendigung in Kraft, und Vertraulichkeitsverpflichtungen überleben die Beendigung unbegrenzt, um die Privatsphäre und Sicherheit von Personenbezogenen Daten zu schützen. Die Parteien arbeiten in gutem Glauben zusammen, um eine ordnungsgemäße Beendigung und Einhaltung aller anwendbaren Datenschutzanforderungen sicherzustellen.

16. Anwendbares Recht und Gerichtsstand

16.1 Anwendbares Recht Diese DPA unterliegt österreichischem Recht für allgemeine Vertragsangelegenheiten, mit spezifischem Bezug auf EU-Datenschutzrecht für Datenschutzangelegenheiten. Die Parteien erkennen an, dass EU-Datenschutzrecht Vorrang vor allen widersprüchlichen Bestimmungen des österreichischen Rechts hat, soweit dies zur Gewährleistung der Einhaltung der DSGVO-Anforderungen erforderlich ist. Diese DPA bezieht durch Verweis alle anwendbaren Verordnungen, Richtlinien und Durchführungsgesetze im Zusammenhang mit Datenschutz und Privatsphäre ein.

16.2 Gerichtsstand Streitigkeiten aus dieser DPA werden primär durch Verhandlungen in gutem Glauben zwischen den Parteien gelöst, mit dem Ziel, gegenseitig akzeptable Lösungen zu finden. Wenn Verhandlungen scheitern, werden Streitigkeiten ausschließlich vor österreichischen Gerichten gelöst, vorbehaltlich zwingender DSGVO-Gerichtsstandsvorschriften und dem Recht von Betroffenen, Beschwerden bei ihrer örtlichen Aufsichtsbehörde einzureichen. Alle Streitbeilegungsverfahren werden gemäß anwendbarem Recht und den Grundsätzen von Fairness und ordnungsgemäßem Verfahren durchgeführt.

17. Verschiedenes

17.1 Salvatorische Klausel Wenn eine Bestimmung dieser DPA als ungültig, nicht durchsetzbar oder im Widerspruch zu anwendbarem Recht befunden wird, bleiben die verbleibenden Bestimmungen in vollem Umfang aufrecht und wirksam. Ungültige Bestimmungen werden durch gültige Alternativen ersetzt, die die ursprüngliche Absicht und den Konsens zwischen den Parteien am besten widerspiegeln, während die vollständige Einhaltung der Datenschutzgesetze gewährleistet wird. Die Parteien vereinbaren, in gutem Glauben zu verhandeln, um ungültige Bestimmungen durch gültige zu ersetzen, die dieselben wirtschaftlichen und rechtlichen Ziele erreichen.

17.2 Änderungen Trusted Accounts kann diese DPA mit 30 Tagen Vorankündigung einseitig ändern, um Änderungen in den Datenschutzgesetzen widerzuspiegeln, regulatorische Leitlinien zu integrieren, technische oder organisatorische Verbesserungen umzusetzen oder Compliance-Anforderungen zu erfüllen. Der Verantwortliche kann innerhalb von 30 Tagen nach Benachrichtigung über Änderungen kündigen, wenn er mit den Änderungen nicht einverstanden ist. Alle Änderungen werden mit angemessener Benachrichtigung an den Verantwortlichen vorgenommen.

17.3 Gesamtvereinbarung Diese DPA stellt die vollständige und ausschließliche Vereinbarung zwischen den Parteien bezüglich der Datenverarbeitungsaktivitäten dar und ersetzt alle vorherigen Vereinbarungen, Verständnisse und Darstellungen zu diesem Thema. Diese DPA wird durch Verweis in die Nutzungsbedingungen und die Datenschutzerklärung einbezogen und kann durch zusätzliche Bedingungen, Zeitpläne oder Anhänge ergänzt werden, wenn diese zwischen den Parteien vereinbart werden. Im Falle von Konflikten zwischen dieser DPA, der Nutzungsbedingungen oder der Datenschutzerklärung haben die Bestimmungen dieser DPA Vorrang.

18. Kontaktinformationen

Datenschutzbeauftragter:

• Name: Ludwig Thoma
• E-Mail: privacy@trustedaccounts.org

Rechtsabteilung:

• E-Mail: legal@trustedaccounts.org
• Adresse: Trusted Accounts SW FlexCo, Vorarlberger Wirtschaftspark 1, 6840 Götzis, Österreich

---

Anhang I: Einzelheiten der Verarbeitung

A. Liste der Parteien

• Verantwortlicher: Sie, als Kunde und Vertragspartner von Trusted Accounts
• Verarbeiter: Trusted Accounts SW FlexCo, Vorarlberger Wirtschaftspark 1, 6840 Götzis, Österreich

B. Beschreibung der Verarbeitung Die Verarbeitungsaktivitäten umfassen Benutzerauthentifizierung und -verifizierung, Erkennung und Verhinderung von Sicherheitsbedrohungen, Service-Leistungsüberwachung und -optimierung, technische Unterstützung und Wartung sowie Compliance und regulatorische Berichterstattung.

C. Verarbeitungsdauer Die Verarbeitung erfolgt für die Dauer der Servicevereinbarung und bis die Datenlöschungsanforderungen erfüllt sind.

D. Art und Zweck der Verarbeitung Die Verarbeitung ist für die Servicebereitstellung, Sicherheit und Einhaltung rechtlicher Verpflichtungen erforderlich.

E. Kategorien von Betroffenen

• Endbenutzer von Kundenplattformen (im Auftrag unserer Kunden verarbeitet)

Hinweis: Plattform-Administratoren, Abrechnungs- und Support-Kontakte, die direkte Kunden von Trusted Accounts sind, werden durch unsere Datenschutzerklärung abgedeckt, da wir in diesem Fall als Datenverantwortlicher handeln.

F. Arten von Personenbezogenen Daten (nur für Endbenutzer im Auftrag unserer Kunden)

• Technische Gerätedaten (für Bot-Erkennung)
• Verbindungsdaten (für Bedrohungsanalyse)
• Interaktionsdaten (für Mensch-vs-Bot-Erkennung)
• Session-Daten (für Sicherheits-Tracking)
• Verifikationsdaten (nur bei Trusted Verify: E-Mail-Adressen und Telefonnummern)

Anhang II: Technische und organisatorische Maßnahmen

A. Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC) mit Prinzip der geringsten Berechtigung
• Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe
• Regelmäßige Zugriffsüberprüfungen und Berechtigungsaudits
• Sichere Anmeldedatenverwaltung und -rotation

B. Datensicherheit

• Verschlüsselung bei der Übertragung (branchenübliche Protokolle)
• Verschlüsselung im Ruhezustand (branchenübliche Verschlüsselung)
• Sichere Schlüsselverwaltung und -trennung
• Maßnahmen zur Verhinderung von Datenverlust

C. Netzwerksicherheit

• Umfassender Firewall-Schutz
• Intrusion Detection und Prevention Systeme
• Regelmäßige Sicherheitsbewertungen und Tests
• Schwachstellenmanagement und Patch-Management

D. Physische Sicherheit

• Cloud-basierte Infrastruktur mit Unternehmenssicherheit
• Umgebungskontrollen und -überwachung
• Zugriffsprotokollierung und -überwachung
• Disaster Recovery und Business Continuity Verfahren

E. Organisatorische Maßnahmen

• Mitarbeiterschulungen und Sensibilisierungsprogramme
• Incident Response Verfahren und Eskalation
• Business Continuity Planung und Tests
• Regelmäßige Sicherheitsaudits und Compliance-Überprüfungen

Anhang III: Unterauftragsverarbeiter

A. Aktuelle Unterauftragsverarbeiter Trusted Accounts führt eine aktuelle Liste von Unterauftragsverarbeitern in seiner Dokumentation.

B. Unterauftragsverarbeiter-Anforderungen Alle Unterauftragsverarbeiter müssen gleichwertige Datenschutzverpflichtungen bieten, angemessene Sicherheitsmaßnahmen implementieren, unsere Compliance-Verpflichtungen unterstützen und Audit-Rechte akzeptieren.

C. Unterauftragsverarbeiter-Änderungen Trusted Accounts benachrichtigt 30 Tage im Voraus über Unterauftragsverarbeiter-Änderungen und erlaubt Einwände aus berechtigten Gründen.