Data Processing Agreement (DPA)

Stand: 20. März 2026
Gültig ab: unverzüglich
Gilt für:

• https://www.sendarix.com
• https://app.sendarix.com (Kunden-Dashboard)
• Alle SMTP- & API-Services

Diese DPA spiegelt gängige GDPR-orientierte Auftragsverarbeitungsbedingungen für E-Mail-Infrastruktur wider. Sie ergänzt die Terms of Service, wenn wir personenbezogene Daten in Ihrem Auftrag verarbeiten.

---

1. Einleitung

Dieses Data Processing Agreement („DPA“) ist Teil der Vereinbarung zwischen Sendarix („Processor“) und dem Kunden („Controller“) und gilt, wenn Sendarix personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit dem Service verarbeitet.

Durch Nutzung des Service zur Übertragung oder sonstigen Verarbeitung personenbezogener Daten über betroffene Personen tritt der Kunde diese DPA ein. Bei Konflikt zwischen den Nutzungsbedingungen und dieser DPA zur Datenverarbeitung hat die DPA für hier erfasste Verarbeitung Vorrang.

---

2. Begriffsbestimmungen

• „Personal Data“, „Processing“, „Controller“, „Processor“, „Data Subject“, „Personal Data Breach“ — wie in anwendbarem Datenschutzrecht definiert (einschließlich GDPR, soweit anwendbar).
• „Sub-processor“ — ein von Sendarix eingesetzter Dritter zur Verarbeitung personenbezogener Daten unter dieser DPA.
• „Customer Instructions“ — dokumentierte Anweisungen des Kunden zur Verarbeitung, einschließlich Konfiguration und Nutzung des Kunden-Dashboards, APIs, SMTP-Einlieferung, Support-Tickets, die die Verarbeitung steuern, und rechtmäßige Nutzung des Service innerhalb der Nutzungsbedingungen und AUP.

---

3. Umfang & Rollen

Der Kunde ist Verantwortlicher der personenbezogenen Daten, die er im Zusammenhang mit dem Service bereitstellt. Sendarix ist Auftragsverarbeiter und verarbeitet solche personenbezogenen Daten nur nach Customer Instructions, sofern anwendbares Recht nichts anderes verlangt (in diesem Fall informiert Sendarix den Kunden, sofern nicht untersagt).

Art, Zweck und Kategorien der Verarbeitung sind in Abschnitt 5 und Anhang A (Zusammenfassung unten) beschrieben.

---

4. Customer Instructions

Der Kunde weist Sendarix an, personenbezogene Daten zu verarbeiten, um den E-Mail-Zustell-Service bereitzustellen, zu sichern und zu verbessern, gemäß den Nutzungsbedingungen, dieser DPA, der Dokumentation und den Einstellungen des Kunden im Service. Anweisungen außerhalb dieses Umfangs erfordern vorherige schriftliche Vereinbarung.

Hält Sendarix eine Anweisung für rechtswidrig, kann sie die Anweisung ablehnen oder aussetzen und den Kunden benachrichtigen, soweit erlaubt.

---

5. Art & Zweck der Verarbeitung (Zusammenfassung Anhang A)

Sendarix verarbeitet personenbezogene Daten, um:

• E-Mail via SMTP und API zu übertragen und weiterzuleiten
• Bounces, Beschwerden und Suppressions zu behandeln
• Delivery Analytics, Webhooks und Dashboards bereitzustellen
• Konten zu authentifizieren, Rate Limits durchzusetzen und Missbrauch zu erkennen
• Abrechnung und Support über app.sendarix.com zu erbringen

Die Verarbeitung beschränkt sich auf das für diese Zwecke angemessen Notwendige.

---

6. Arten personenbezogener Daten

Je nach Nutzung können dies E-Mail-Adressen, Nachrichten-Metadaten (einschließlich Betreffzeilen), Absender-/Empfänger-Identifikatoren, IP-Adressen, Zustell- und Engagement-Events, Support-Ticket-Inhalte mit personenbezogenen Daten und Abrechnungs-Kontaktdaten umfassen.

E-Mail-Inhalt wird vorübergehend zum Routen und Zustellen verarbeitet; Sendarix nutzt Nachrichtentexte nicht für unverwandtes Marketing oder Profiling.

---

7. Pflichten des Processors

• Personenbezogene Daten nur nach Customer Instructions gemäß Abschnitt 4 verarbeiten
• Sicherstellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind
• Angemessene technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Kosten und des Risikos umsetzen
• Den Kunden bei Data-Subject-Anfragen, DSFA und vorherigen Konsultationen soweit anwendbar angemessen unterstützen
• Den Kunden unverzüglich nach Kenntnis einer Personal Data Breach benachrichtigen, die Kunden-Personenbezogene Daten betrifft, und angemessene Informationen für regulatorische Meldungen des Kunden bereitstellen
• Bei Ende des Service (oder auf Anfrage) personenbezogene Daten gemäß Abschnitt 11 löschen oder zurückgeben, vorbehaltlich gesetzlicher Aufbewahrung

---

8. Sub-processors

Der Kunde ermächtigt Sendarix, Sub-processors (z. B. Hosting, DNS, Zahlung, Transport, Missbrauchserkennung, Support-Tools) einzusetzen, vorbehaltlich schriftlicher Vereinbarungen, die datenschutzrechtliche Pflichten wesentlich gleichwertig zu dieser DPA auferlegen.

Sendarix bleibt für die Erfüllung der Pflichten der Sub-processors verantwortlich. Eine aktuelle Liste ist auf Anfrage verfügbar und kann auf <strong>sendarix.com</strong> veröffentlicht werden. Sendarix gibt wo zumutbar angemessene Vorankündigung zu Änderungen bei Sub-processors; der Kunde kann aus angemessenen datenschutzrechtlichen Gründen widersprechen.

---

9. Internationale Übermittlungen

Werden personenbezogene Daten aus dem EWR, UK oder der Schweiz in Länder ohne Angemessenheitsbeschluss übermittelt, setzt Sendarix geeignete Garantien um, z. B. die EU-Kommissions-Standardvertragsklauseln (2021), das UK International Data Transfer Addendum (IDTA) oder Addendum zu den EU SCCs, Schweizer Anforderungen soweit anwendbar oder andere rechtmäßige Übermittlungstools.

Auf Anfrage stellt Sendarix Informationen zu den für relevante Übermittlungen genutzten Mechanismen bereit.

---

10. Rechte betroffener Personen

Sendarix unterstützt den Kunden bei der Beantwortung von Anfragen betroffener Personen zu in seinem Auftrag verarbeiteten personenbezogenen Daten. Sofern nicht gesetzlich vorgeschrieben, antwortet Sendarix nicht direkt an betroffene Personen; der Kunde soll Anfragen über sein Konto oder an privacy@sendarix.com mit ausreichenden Details zur Weiterleitung stellen.

---

11. Aufbewahrung &amp; Löschung

Nach Beendigung des Service oder Ablauf der Kundenbeziehung löscht oder gibt Sendarix personenbezogene Daten gemäß Privacy Policy und operativen Möglichkeiten zurück, außer wenn längere Aufbewahrung gesetzlich erforderlich oder für legitime Sicherheits- und Missbrauchsarchive in unserer Dokumentation angegeben ist.

Typische operative Aufbewahrung (vorbehaltlich Änderung mit Hinweis): SMTP/API-Logs 30–90 Tage; Bounce-/Complaint-Daten bis zu 6 Monate; Abrechnungsunterlagen 5–10 Jahre wo gesetzlich erforderlich.

---

12. Audits

Der Kunde kann Informationen anfordern, die zur Bestätigung der Einhaltung dieser DPA angemessen notwendig sind (z. B. Zusammenfassungen von Sicherheitspraktiken und Sub-processor-Listen). Vor-Ort- oder invasive Audits, die Service-Sicherheit oder -Verfügbarkeit gefährden, erfordern vorherige schriftliche Vereinbarung zu Umfang, Zeitplan und Vertraulichkeit. Kosten von Audits über angemessene Unterstützung hinaus können berechnet werden.

---

13. Meldung von Datenverletzungen

Meldungen beschreiben, soweit bekannt, die Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze, wahrscheinliche Folgen und ergriffene oder geplante Maßnahmen.

---

14. Haftung

Die Haftung für Verarbeitung unter dieser DPA unterliegt den Beschränkungen in den Nutzungsbedingungen, außer wo zwingendes Recht solche Beschränkungen bei Datenschutzverletzungen verbietet.

---

15. Laufzeit

Diese DPA bleibt für die Dauer der Verarbeitung und bis zur Rückgabe oder Löschung personenbezogener Daten gemäß Abschnitt 11 in Kraft.

---

16. Maßgebliche Bestimmungen

Soweit die GDPR gilt, bestätigen die Parteien, dass diese DPA den in Artikel 28 erforderlichen Inhalt umfasst. Für andere Gesetze gelten analoge Pflichten soweit erforderlich.

---

17. Kontakt

privacy@sendarix.com · legal@sendarix.com