Data Processing Agreement (DPA)

1. Parties

Controller (“Customer”): the organisation that has created an account on Decidly and has accepted this DPA by accepting the Terms or by separate signature.

Processor (“Provider”): DBBC Ventures GmbH, Platanenstr. 45, 13156 Berlin, Germany. Registered at Local Court Berlin (Charlottenburg), HRB 256898. Represented by the managing directors: David Bühn.

2. Subject, Duration, Nature and Purpose of Processing

• Subject: processing of personal data to provide and further develop the Service and for support.
• Duration: for the term of the main contract (Terms) until final deletion after termination.
• Nature: collecting, recording, organising, storing, adapting, retrieving, querying, transmitting, aligning, restricting, erasing and destroying personal data.
• Purpose: provision of a SaaS platform for documenting and conducting decision processes based on the DACI framework, including optional AI-assisted features.

3. Categories of Data Subjects

• Employees of the Customer and affiliated companies
• External contributors, customers, suppliers of the Customer who are named in the context of decisions
• Contact persons whose data the Customer enters into the Service

4. Categories of Personal Data

• Master data (name, business email, company, role)
• Communication data (comments, arguments, messages)
• Content data on decisions (questions, solutions, assessments)
• Log data (access and usage logs)
• Uploaded files and images where applicable (Customer-determined)

Special categories of personal data within the meaning of Art. 9 GDPR (e.g. health, religion, trade union data) are not subject of this DPA and must not be entered into the Service.

5. Instructions

The Provider processes personal data exclusively on documented instructions from the Customer, unless required to do so by Union or Member State law. In such a case, the Provider informs the Customer of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest.

The instructions are initially conclusively set out in the Terms and this DPA; subsequent individual instructions are given by the Customer in text form to privacy@decidly.io. The Provider shall immediately notify the Customer of instructions that, in its view, violate data protection law.

6. Technical and Organisational Measures (TOMs)

The Provider implements the technical and organisational measures set out in Annex 1 (TOMs), which correspond to the state of the art and ensure a level of protection appropriate to the risk within the meaning of Art. 32 GDPR. The Provider reviews the measures regularly and adapts them to technological developments.

7. Sub-Processors

The Customer hereby grants the Provider a general written authorisation within the meaning of Art. 28(2) GDPR to engage further processors. The list of currently engaged sub-processors is available at /subprocessors and forms part of this DPA.

The Provider will inform the Customer of any addition or replacement of sub-processors at least 30 days in advance. The Customer may object on justified grounds within 14 days of such information. If no amicable solution is reached, the Customer may terminate the main contract with reasonable notice for cause.

The Provider imposes on its sub-processors data protection obligations at least equivalent to those of this DPA.

8. International Transfers

Where personal data is transferred to a third country outside the EEA, the Provider ensures appropriate safeguards, in particular by entering into the EU Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914) and, where applicable, additional measures. Current third-country transfers are listed in the Subprocessor list.

9. Assistance to the Customer

The Provider assists the Customer in complying with its obligations under Art. 32–36 GDPR and in responding to requests by data subjects (Art. 12–22 GDPR), insofar as possible without disproportionate effort. Such assistance is provided free of charge, unless based on a circumstance within the Customer's sphere.

10. Notification of Personal Data Breaches

The Provider shall notify the Customer without undue delay – preferably within 48 hours of becoming aware – of any personal data breach within the meaning of Art. 4(12) GDPR affecting the subject matter. The notification contains the information provided for in Art. 33(3) GDPR, insofar as available to the Provider.

11. Data Subject Rights

If a data subject contacts the Provider directly, the Provider forwards the request to the Customer without undue delay. The Provider does not provide the data subject with independent information about the processing.

12. Evidence and Audit Rights

The Provider makes available to the Customer, upon request, the information necessary to demonstrate compliance with the obligations under Art. 28 GDPR and this DPA. The Customer may carry out audits once per year and additionally for specific cause, subject to prior scheduling and respecting the Provider's business and trade secrets, or have them carried out by a third party bound by confidentiality. The Provider may also provide evidence through current, independent audit reports or certificates.

13. Deletion After Termination

After termination of the main contract, the Provider, at the Customer's choice, returns or deletes all personal data, unless required by Union or Member State law to retain them. Deletion takes place at the latest 30 days after termination in the production environment; backups are overwritten as part of regular rotation.

14. Liability

Art. 82 GDPR applies to external liability. Internally, the parties are liable in accordance with the provisions of the Terms; Sec. 10 of the Terms applies accordingly.

15. Miscellaneous

The law and place of jurisdiction specified in the Terms apply. Should individual provisions of this DPA be invalid, the validity of the remaining provisions shall remain unaffected.

1. Parteien

Verantwortlicher („Kundin“): die Organisation, die einen Account bei Decidly angelegt und diesen AVV durch Annahme der AGB bzw. durch gesonderte Signatur akzeptiert hat.

Auftragsverarbeiter („Anbieter“): DBBC Ventures GmbH, Platanenstr. 45, 13156 Berlin, Deutschland. Eingetragen beim Amtsgericht Berlin (Charlottenburg), HRB 256898. Vertreten durch die Geschäftsführung: David Bühn.

2. Gegenstand, Dauer, Art und Zweck der Verarbeitung

• Gegenstand: Verarbeitung personenbezogener Daten zur Bereitstellung und Weiterentwicklung des Dienstes sowie für den Support.
• Dauer: für die Laufzeit des Hauptvertrags (AGB) bis zur endgültigen Löschung nach Vertragsende.
• Art: Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Abfragen, Übermitteln, Abgleichen, Einschränken, Löschen und Vernichten personenbezogener Daten.
• Zweck: Bereitstellung einer SaaS-Plattform für die Dokumentation und Durchführung von Entscheidungsprozessen nach dem DACI-Framework einschließlich optionaler KI-gestützter Funktionen.

3. Kategorien betroffener Personen

• Beschäftigte der Kundin und verbundener Unternehmen
• Externe Mitwirkende (Contributors), Kunden, Lieferanten der Kundin, die im Rahmen von Entscheidungen benannt werden
• Ansprechpartner, deren Daten die Kundin in den Dienst einstellt

4. Kategorien personenbezogener Daten

• Stammdaten (Name, berufliche E-Mail, Unternehmen, Rolle)
• Kommunikationsdaten (Kommentare, Argumente, Nachrichten)
• Inhaltsdaten zu Entscheidungen (Fragestellungen, Lösungen, Bewertungen)
• Protokolldaten (Zugriffs- und Nutzungsprotokolle)
• Ggf. hochgeladene Dateien und Bilder (durch die Kundin bestimmt)

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheits-, Religions-, Gewerkschaftsdaten) sind nicht Gegenstand dieses AVV und sollen nicht in den Dienst eingestellt werden.

5. Weisungsbefugnis

Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Kundin, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats, dem der Anbieter unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Anbieter der Kundin diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen sind zunächst durch die AGB und diesen AVV abschließend festgelegt; spätere Einzelweisungen erteilt die Kundin in Textform an privacy@decidly.io. Weisungen, die aus Sicht des Anbieters gegen Datenschutzrecht verstoßen, teilt der Anbieter unverzüglich mit.

6. Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter trifft die in Anlage 1 (TOMs) beschriebenen technischen und organisatorischen Maßnahmen, die dem Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO gewährleisten. Er überprüft die Maßnahmen regelmäßig und passt sie an die technische Entwicklung an.

7. Unterauftragsverarbeiter

Die Kundin erteilt dem Anbieter hiermit die allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO zur Heranziehung weiterer Auftragsverarbeiter. Die Liste der aktuell eingesetzten Unterauftragsverarbeiter ist unter /subprocessors abrufbar und Bestandteil dieses AVV.

Über die Hinzuziehung oder den Ersatz weiterer Unterauftragsverarbeiter informiert der Anbieter die Kundin mindestens 30 Tage vorab. Die Kundin kann innerhalb von 14 Tagen nach Information begründeten Widerspruch einlegen. Gelingt keine einvernehmliche Lösung, kann die Kundin den Hauptvertrag mit angemessener Frist außerordentlich kündigen.

Der Anbieter verpflichtet seine Unterauftragsverarbeiter auf Datenschutzpflichten, die denen dieses AVV mindestens gleichwertig sind.

8. Drittlandübermittlungen

Sofern personenbezogene Daten in ein Drittland außerhalb des EWR übermittelt werden, stellt der Anbieter geeignete Garantien sicher, insbesondere durch Abschluss der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) und ggf. zusätzliche Maßnahmen. Die aktuellen Drittlandbezüge sind in der Subprocessor-Liste aufgeführt.

9. Unterstützung der Kundin

Der Anbieter unterstützt die Kundin bei der Erfüllung ihrer Pflichten nach Art. 32–36 DSGVO sowie bei der Beantwortung von Anträgen betroffener Personen (Art. 12–22 DSGVO), soweit dies ohne unverhältnismäßigen Aufwand möglich ist. Die Unterstützung erfolgt unentgeltlich, soweit sie nicht auf einem Umstand beruht, der in der Sphäre der Kundin liegt.

10. Meldung von Datenschutzverletzungen

Der Anbieter benachrichtigt die Kundin unverzüglich – möglichst innerhalb von 48 Stunden nach Kenntnis – über jede festgestellte Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, die den Auftragsgegenstand betrifft. Die Meldung enthält die in Art. 33 Abs. 3 DSGVO vorgesehenen Informationen, soweit diese dem Anbieter verfügbar sind.

11. Rechte betroffener Personen

Wendet sich eine betroffene Person unmittelbar an den Anbieter, leitet dieser die Anfrage unverzüglich an die Kundin weiter. Der Anbieter gibt der betroffenen Person keine eigenständigen Auskünfte über die Verarbeitung.

12. Nachweispflichten und Prüfrechte

Der Anbieter stellt der Kundin auf Anfrage die erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO sowie dieses AVV zur Verfügung. Die Kundin kann einmal jährlich und zusätzlich aus besonderem Anlass nach vorheriger Terminabstimmung und unter Wahrung von Betriebs- und Geschäftsgeheimnissen des Anbieters Prüfungen durchführen oder durch einen zur Verschwiegenheit verpflichteten Dritten durchführen lassen. Der Anbieter kann die Prüfung auch durch aktuelle, unabhängige Prüfberichte oder Zertifikate nachweisen.

13. Löschung nach Vertragsende

Nach Beendigung des Hauptvertrags gibt der Anbieter nach Wahl der Kundin alle personenbezogenen Daten zurück oder löscht sie, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Eine Löschung erfolgt spätestens 30 Tage nach Vertragsende in der Produktivumgebung; Backups werden im Rahmen der regulären Rotation überschrieben.

14. Haftung

Für die Haftung im Außenverhältnis gilt Art. 82 DSGVO. Im Innenverhältnis haften die Parteien gemäß den Regelungen der AGB; Ziff. 10 der AGB gilt entsprechend.

15. Sonstiges

Es gilt das in den AGB festgelegte Recht und der dort vereinbarte Gerichtsstand. Sollten einzelne Regelungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.