1. Vertragsparteien Diese Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) wird geschlossen zwischen JoMoCo UG (haftungsbeschränkt) i. G. Wiesenblick 5 87466 Oy-Mittelberg Deutschland nachfolgend „Auftragnehmer“ und dem jeweiligen Kunden der als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO handelt (nachfolgend „Auftraggeber“) gemeinsam auch „Parteien“ genannt. Diese Vereinbarung ist Bestandteil der zwischen den Parteien bestehenden Nutzungsbedingungen bzw. des jeweiligen Hauptvertrages über die Nutzung der vom Auftragnehmer bereitgestellten digitalen Plattform Jomoco-Solutions und Leistungen. Sie gilt für sämtliche Verarbeitungen personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der Plattform Jomoco-Solutions vornimmt. 2. Gegenstand und Dauer der Verarbeitung (1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Nutzung der cloudbasierten Plattform Jomoco-Solutions des Auftragnehmers sowie der damit verbundenen digitalen Funktionen und Dienste. (2) Die Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglich geschuldeten Leistungen. (3) Die Dauer der Verarbeitung entspricht der Laufzeit des jeweiligen Vertragsverhältnisses. Nach dessen Beendigung gelten die Regelungen zur Datenlöschung gemäß Ziffer 11 dieser Vereinbarung.

3. Art und Zweck der Verarbeitung Zweck der Verarbeitung ist die Bereitstellung, Nutzung, Konfiguration, Verwaltung, Analyse und der technische Betrieb der Plattform Jomoco-Solutions sowie aller darüber bereitgestellten digitalen Funktionen. Die Verarbeitung umfasst insbesondere CRM, Kundenmanagement, Kommunikation, Messaging, Automation, Workflows, Telefonie, Kampagnen, Marketing, Terminverwaltung, Analyse, Reporting, Benutzerverwaltung und systemtechnische Sicherheits- und Betriebsprozesse. Die Verarbeitung umfasst zudem technische Systemprozesse wie Benutzer-Authentifizierung, Rollen- und Rechteverwaltung, API-Verbindungen, Drittanbieter-Integrationen und systeminterne Log-Prozesse, soweit diese für den sicheren Betrieb der Plattform Jomoco-Solutions erforderlich sind. 4. Art der personenbezogenen Daten Im Rahmen der Nutzung der Plattform Jomoco-Solutions können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden: Namen E-Mail-Adressen Telefonnummern Account, Profil und Zugangsdaten CRM- und Kontaktdaten Kommunikationsinhalte wie Nachrichten, E-Mails, Chatverläufe, Gesprächs- und Interaktionsmetadaten Social-Media-Daten (Accounts, Inhalte, Interaktionen) Marketing-, Tracking- und Kampagnendaten Automations-, Workflow- und Prozessdaten Nutzungs-, Meta-, Analyse- und Protokolldaten gegebenenfalls Sprach-, Audio- oder Kommunikationsmetadaten

5. Kategorien betroffener Personen Von der Datenverarbeitung können insbesondere betroffen sein: – Kunden des Auftraggebers – Interessenten und Leads – Mitarbeiter des Auftraggebers – Kommunikationspartner – sonstige vom Auftraggeber eingebundene Dritte

6. Weisungsrecht des Auftraggebers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, die in Textform, insbesondere per E-Mail oder über die bereitgestellte Plattform Jomoco-Solutions, erteilt werden kann, sofern er nicht durch Unionsrecht oder das Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtliche Verpflichtung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. (2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen datenschutzrechtliche Bestimmungen verstößt.

7. Technische und organisatorische Maßnahmen (1) Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. (2) Diese Maßnahmen umfassen insbesondere: – Zugriffskontrollen – Zugangskontrollen – Weitergabekontrollen – Eingabekontrollen – Verfügbarkeitskontrollen – Trennungsgebot – Verschlüsselung – Datensicherung – Protokollierung (3) Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten betrauten Personen auf Vertraulichkeit verpflichtet sind. Die jeweils aktuellen technischen und organisatorischen Maßnahmen können in einer fortlaufend aktualisierten Übersicht dokumentiert werden und werden dem Auftraggeber auf Anfrage in geeigneter Form zur Verfügung gestellt. 8. Einsatz von Unterauftragsverarbeitern (1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, zur Erfüllung der vertraglich geschuldeten Leistungen Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 2 DSGVO einzusetzen. (2) Der Auftragnehmer setzt Unterauftragsverarbeiter insbesondere in den Bereichen Hosting, Plattformbetrieb, CRM, Kommunikation, Messaging, Telefonie, Automatisierung, Integrationen, Analyse, Monitoring, Sicherheitsüberwachung und Systembetrieb ein. Der Einsatz erfolgt ausschließlich soweit erforderlich, um die vertraglich geschuldeten Leistungen der Jomoco-Solutions Plattform erbringen zu können. Die Auflistung der Unterauftragsverarbeiter erfolgt exemplarisch und kann sich im Rahmen der technischen Weiterentwicklung der Plattform Jomoco-Solutions ändern. Ein Anspruch auf den Einsatz bestimmter technischer Dienstleister oder Softwarelösungen besteht nicht. Automatisierung und Integrationen, E-Mail und Kommunikation, Hosting und Infrastruktur, Plattformbetrieb und Hosting, Monitoring und Betrieb Bluesky Social PBC USA, dezentrale Social Media Plattform für textbasierte Kommunikation, CleverReach GmbH & Co. KG Deutschland, E Mail Marketing und Kommunikationsdienste, Google Ireland Ltd. YouTube Creative Studio EU, Video Verwaltung Analyse und Monetarisierungsfunktionen, Hetzner Online GmbH Deutschland, Hosting und Infrastrukturleistungen, HighLevel Inc. USA, Betrieb von Teilbereichen der Plattform einschließlich Hosting Automatisierungs und Kommunikationsfunktionen, HubSpot Inc. USA, CRM System für Marketing Vertrieb und Service Automatisierung, Instantly Inc. USA, E Mail Outreach und Kommunikationsautomatisierung, IONOS SE Deutschland, Server und Cloud Infrastruktur, Leadconnector USA, Kommunikations und Automatisierungsdienste innerhalb der Plattform, LinkedIn Ireland Unlimited Company LinkedIn Business EU, Social Media Management Unternehmensseiten Werbeanzeigen und Analysefunktionen, LinkedIn Ireland Unlimited Company LinkedIn Campaign Manager EU, Verwaltung Steuerung und Analyse von Werbekampagnen, LinkedIn Ireland Unlimited Company LinkedIn Creator Tool EU, Tools für Creator Inhalte Analyse und Community Management, LinkedIn Ireland Unlimited Company LinkedIn Page Admin Tool EU, Verwaltung von Unternehmensseiten Rollen Berechtigungen und Inhalten, Mailgun Technologies Inc. USA, E Mail Versanddienst für transaktionale Nachrichten und automatisierte E Mail Kommunikation, Make Celonis SE bzw. Make.com EU, Integrations und Automatisierungsdienste, Meta Platforms Ireland Ltd. Facebook Studio EU, Social Media Verwaltung Analyse und Content Steuerung, Meta Platforms Ireland Ltd. Meta Business Suite EU, zentrale Verwaltung von Facebook und Instagram Seiten Nachrichten Inhalten und Anzeigen, Meta Platforms Ireland Ltd. Meta Suite EU, erweiterte Dienste für Verwaltung Analyse und Werbesteuerung, Meta Platforms Ireland Ltd. Threads EU, textbasierte Social Media Kommunikation und Community Interaktion, n8n GmbH bzw. n8n.io, Workflow und Prozessautomatisierung, Onepage.io EU, Landingpage Website und Marketing Tools zur Erstellung und Verwaltung von Webseiten, OVHcloud EU, europäische Cloud Infrastruktur, Pipedrive OÜ EU, CRM System zur Vertriebssteuerung und Pipeline Verwaltung, Pinterest Europe Ltd. Pinterest EU, visuelle Social Media Plattform Content Veröffentlichung Reichweitenanalyse und Anzeigen, Pinterest Europe Ltd. Pinterest Business Hub EU, Verwaltung von Business Accounts Anzeigenstatistiken und Content Performance, Reddit Inc. USA, Community Plattform für Content Diskussion und Reichweitenaufbau, Salesforce Inc. USA, CRM System für Vertrieb Marketing und Kundenmanagement, Sentry Inc., Fehleranalyse und Systemüberwachung, SendGrid Inc. USA, transaktionale E Mails Systembenachrichtigungen und Zustellungsmanagement, Sendinblue GmbH EU, transaktionale und Marketing E Mails, Snap Inc. USA, Social Media Plattform für visuelle Kommunikation Stories und Anzeigen, The Rocket Science Group LLC Mailchimp USA, E Mail Kommunikation und Kampagnen, TikTok Technology Limited TikTok Business Center EU, Verwaltung von Anzeigen Kampagnen Analyse und Geschäftskonten, TikTok Technology Limited TikTok Creator Tools EU, Content Erstellung Video Analyse und Community Verwaltung, Twilio Inc. USA, Kommunikationsdienste für SMS Voice WhatsApp und API basierte Nachrichtenübermittlung, UptimeRobot Inc., Verfügbarkeitsüberwachung, X Corp. ehemals Twitter USA, Microblogging Plattform Content Veröffentlichung und Interaktion, Zapier Inc. USA, Schnittstellen und Automatisierungsdienste, Zoho Corporation Pvt. Ltd. EU und Drittstaaten, CRM System sowie Geschäfts und Kundenmanagement Anwendungen (4) Die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter erfolgt ausschließlich auf Grundlage eines entsprechenden Vertrags gemäß Art. 28 DSGVO. Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter mindestens die gleichen datenschutzrechtlichen Verpflichtungen einhalten, die in dieser Vereinbarung festgelegt sind. (5) Sofern Unterauftragsverarbeiter personenbezogene Daten in Drittländern, insbesondere in den USA, verarbeiten, stellt der Auftragnehmer sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, insbesondere durch den Abschluss von Standardvertragsklauseln der Europäischen Kommission oder sonstige zulässige Übermittlungsmechanismen. (6) Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen bei den eingesetzten Unterauftragsverarbeitern. Ein gesondertes Widerspruchsrecht besteht, sofern die Änderung für den Auftraggeber unzumutbar ist. (7) Der Auftragnehmer ist berechtigt, Unterauftragsverarbeiter auszutauschen oder weitere Unterauftragsverarbeiter einzusetzen, sofern hierdurch das Datenschutzniveau nicht beeinträchtigt wird. (8) Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der datenschutzrechtlichen Verpflichtungen der eingesetzten Unterauftragsverarbeiter im Umfang der gesetzlichen Vorgaben des Art. 28 Abs. 4 DSGVO.

9. Drittlandübermittlung (1) Eine Verarbeitung personenbezogener Daten kann in Drittländern, insbesondere in den USA, erfolgen. (2) Die Übermittlung erfolgt ausschließlich unter Einhaltung der gesetzlichen Vorgaben der Art. 44 ff. DSGVO, insbesondere auf Grundlage von Standardvertragsklauseln der Europäischen Kommission oder sonstiger geeigneter Garantien. (3) Dem Auftraggeber ist bekannt, dass bei einer Verarbeitung personenbezogener Daten in Drittländern trotz geeigneter Garantien ein Restrisiko bestehen kann.

10. Unterstützungspflichten Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung der gesetzlichen Pflichten gemäß Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO, insbesondere bei: der Wahrnehmung von Betroffenenrechten der Sicherstellung der Datensicherheit der Meldung von Datenschutzverletzungen der Durchführung von Datenschutz Folgenabschätzungen Soweit Unterstützungsleistungen über den üblichen Umfang hinausgehen oder einen erheblichen zusätzlichen Aufwand verursachen, kann der Auftragnehmer hierfür eine angemessene Vergütung verlangen.

11. Löschung und Rückgabe von Daten Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer alle personenbezogenen Daten oder schränkt deren Verarbeitung ein, sofern keine gesetzlichen Aufbewahrungs- oder Nachweispflichten bestehen. Auf Wunsch des Auftraggebers unterstützt der Auftragnehmer bei der Sicherung, Herausgabe oder Übertragung der Daten, sofern dem keine gesetzlichen Pflichten entgegenstehen. Der Auftragnehmer ist nicht berechtigt, die Daten nach Vertragsende in eigener Verantwortung weiterzuverarbeiten.

12. Kontrollrechte Der Auftraggeber ist berechtigt, nach vorheriger angemessener Ankündigung während der üblichen Geschäftszeiten die Einhaltung dieser Vereinbarung zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten überprüfen zu lassen. Die Durchführung der Kontrolle hat in einer Weise zu erfolgen, die den Geschäftsbetrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigt. Audits können auf angemessene Weise auch durch geeignete Nachweise oder Dokumentationen erbracht werden. 13. Haftung Es gelten die Haftungsregelungen der zwischen den Parteien geschlossenen Nutzungsbedingungen.

14. Schlussbestimmungen (1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. (2) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. (3) Es gilt das Recht der Bundesrepublik Deutschland.