Datenverarbeitungsvertrag (DPA)
Zuletzt aktualisiert: 2026-07-14
Zuletzt aktualisiert die Subunternehmer-Seite: 2026-07-04
Diese DPA legt die Bedingungen fest, unter denen wir personenbezogene Daten in Ihrem Auftrag verarbeiten.
Diese Vereinbarung zur Auftragsdatenverarbeitung (Vereinbarung) legt die Verpflichtungen und Bedingungen fest, unter denen Petitions.com Group Oy (Dienstanbieter) personenbezogene Daten im Namen des Petitionsautors (Petitionsautor oder Datenverantwortlicher) im Rahmen der Bereitstellung von Hosting-Diensten für Online-Petitionen (Dienste) verarbeitet.
Änderung der Bedingungen
Wir behalten uns das Recht vor, diese Bedingungen jederzeit ohne vorherige Ankündigung zu ändern oder zu modifizieren.
Definitionen und Rollen
- Dienstanbieter: Petitionen.com (Petitions.com Group Oy), handelt als Auftragsverarbeiter und verarbeitet personenbezogene Daten im Auftrag des Datenverantwortlichen, soweit dies zur Erbringung der Dienstleistungen erforderlich ist.
- Verantwortlicher: Der Petitionsautor, der die Zwecke und Mittel der Verarbeitung der von den Unterzeichnern seiner Petition erhobenen personenbezogenen Daten bestimmt. Als Verfasser einer Petition, die auf Petitionen.com gehostet wird, gelten Sie als der Datenverantwortliche. Sie entscheiden über den Inhalt der Petition, was von den Unterzeichnern gefragt wird, die Zwecke der Verarbeitung ihrer personenbezogenen Daten und die Dauer, für die die personenbezogenen Daten gespeichert werden. Petitionen.com bietet eine Online-Plattform zur Erstellung und Bereitstellung von Petitionen und erleichtert Ihre Rolle als Verantwortlicher mit der Autonomie, die Datenerhebung und -nutzung der Petition nach Ihren Zielen und rechtlichen Verpflichtungen zu gestalten.
Verarbeitungsumfang
The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. Der Umfang der Verarbeitungstätigkeiten beschränkt sich auf das Hosting, die Verwaltung und die Unterstützung von Online-Petitionen.
As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.
The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.
Datenschutz
Der Dienstleister verpflichtet sich, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit personenbezogener Daten gegen unbefugten Zugriff, Verlust oder Beschädigung zu gewährleisten.
Verbotene Datenerfassung
Es ist untersagt, persönliche Identifikationsnummern (wie nationale Ausweisnummern) von Unterzeichnern zu erfragen.
Unterauftragsverarbeiter
Der Dienstanbieter kann Unterauftragsverarbeiter einsetzen, um bei der Bereitstellung der Dienste zu unterstützen. Der Dienstanbieter stellt sicher, dass Unterauftragsverarbeiter den Datenschutzverpflichtungen entsprechend dieser DPA nachkommen. Sie erkennen an und stimmen zu, dass der Dienstanbieter die Ermessensfreiheit behält, Unterauftragsverarbeiter auszuwählen und zu ersetzen, um die Dienste effizient bereitzustellen.
Liste der Unterauftragsverarbeiter. (Letzte Aktualisierung: 2026-07-04)
Verantwortlichkeiten des Datenverantwortlichen
Der Verantwortliche ist dafür verantwortlich, dass die Erhebung, Verarbeitung und Behandlung personenbezogener Daten in Übereinstimmung mit allen geltenden Gesetzen und Vorschriften erfolgt.
Verantwortlicher für die Datenverarbeitung Identifikation
Gemäß der Datenschutz-Grundverordnung (DSGVO) ist es erforderlich, dass die Identität des Datenverantwortlichen eindeutig angegeben wird. Die folgenden Bestimmungen gelten für Petitionsautoren, die unsere Website nutzen:
Einzelne Petitionsautoren
Wenn Sie als Einzelperson eine Petition erstellen, sind Sie verpflichtet, Ihren vollständigen gesetzlichen Namen anzugeben. Dies dient als Ihre Identifizierung als Datenverantwortlicher im Sinne der DSGVO.
Organisatorische Petitionsverfasser
Wenn eine Petition im Namen einer Organisation erstellt wird, muss der vollständige rechtliche Name der Organisation angegeben werden. Zusätzlich sollte die Organisation einen Vertreter benennen und dessen Kontaktdaten angeben, der für die Datenverarbeitungsaktivitäten verantwortlich ist, wie zum Beispiel einen Datenschutzbeauftragten (DSB) oder eine ähnliche Person.
Betroffenenrechte
Der für die Verarbeitung Verantwortliche muss sicherstellen, dass die betroffenen Personen (Unterzeichner der Petition) ihre Rechte gemäß der DSGVO ausüben können, wie z.B. das Recht auf Zugang, Berichtigung oder Löschung ihrer Daten oder die Einreichung einer Beschwerde bei einer Aufsichtsbehörde.
Umgang mit Löschanfragen von betroffenen Personen durch Unterzeichner
The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.
Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.
When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.
The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.
Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.
Technische Protokolle können personenbezogene Daten enthalten, etwa IP-Adressen oder Metadaten zur E-Mail-Zustellung. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.
The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.
Handling Rectification Requests from Signatories
The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.
Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.
The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.
Notifying Recipients
Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.
Rechenschaftspflicht und Einhaltung
Der Datenschutzverantwortliche muss die Einhaltung der DSGVO nachweisen können, einschließlich der Beantwortung von Anfragen der betroffenen Personen bezüglich ihrer personenbezogenen Daten.
Datenschutzerklärung oder Hinweis
Eine klare und zugängliche Datenschutzrichtlinie oder -mitteilung muss bereitgestellt werden, die darlegt, wie personenbezogene Daten verarbeitet werden, die Zwecke der Verarbeitung und wie betroffene Personen ihre Rechte ausüben können.
Benachrichtigung über Änderungen
Petitionsautoren sind verpflichtet, Petitionen.com (Petitions.com Group Oy) über jede Änderung ihres Status als Datenverantwortlicher oder der Kontaktdaten ihres Vertreters zu informieren.
Jährliche Überprüfung der Datenverarbeitung
Der Petitionsautor ist verpflichtet, eine jährliche Überprüfung durchzuführen, um festzustellen, ob weiterhin ein legitimer Grund für die fortgesetzte Verarbeitung der personenbezogenen Daten der Unterzeichner besteht. Diese Überprüfung sollte die Notwendigkeit und Relevanz der Daten im Hinblick auf den Zweck der Petition beurteilen. Falls der Petitionsautor feststellt, dass kein gültiger Grund mehr für die Weiterverarbeitung der Daten besteht, muss er geeignete Maßnahmen ergreifen, um die Verarbeitung einzustellen und die Löschung der Daten gemäß den geltenden Datenschutzgesetzen einzuleiten.
Use of Up-to-Date Signature Data
Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.
Datenaufbewahrung und -löschung
Sollte der Verantwortliche (der Autor der Petition) gegen eine der Bestimmungen der Vereinbarung zur Auftragsverarbeitung (DPA) verstoßen, einschließlich, aber nicht beschränkt auf das Versäumnis, eine jährliche Überprüfung der Datenverarbeitungsaktivitäten durchzuführen oder eine gültige Begründung für die fortlaufende Verarbeitung der personenbezogenen Daten der Unterzeichner zu liefern, behält sich der Dienstanbieter das Recht vor, die mit ihrer Petition verbundenen personenbezogenen Daten zu entfernen oder zu löschen.
Haftungsbeschränkung
In keinem Fall darf die Gesamthaftung des Auftragsverarbeiters gegenüber dem Verantwortlichen für alle Schäden, Verluste und Klagegründe, sei es vertraglich, außervertraglich (einschließlich Fahrlässigkeit) oder anderweitig, den Gesamtbetrag überschreiten, den der Verantwortliche dem Auftragsverarbeiter im Rahmen dieser Vereinbarung gezahlt hat.
Anwendbares Recht
Diese Vereinbarung unterliegt den Gesetzen Finnlands.