Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge, („DPA“) ist Teil der Vereinbarung zwischen uns und dem Kunden über den Kauf von (Online-)Kommunikationsdiensten von uns, um die Vereinbarung der Parteien bezüglich der Verarbeitung von personenbezogenen Daten des Kunden widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie als unseren Kunden (unter Vorbehalt von Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“ oder „unser“ beziehen sich auf uns als den Anbieter (wie unten definiert). Begriffe, die in dieser DPA verwendet werden, aber nicht unten definiert sind, sind in unseren Allgemeinen Geschäftsbedingungen oder anderen Vereinbarungen mit uns definiert, die Ihre Nutzung der Dienste regeln.
1.1 Anwendungsbereich
Diese DPA regelt die Verarbeitung von Kundendaten durch uns als Auftragsverarbeiter.
1.2 Kundenaffiliates
Der Kunde tritt in diesem DPA im Namen seiner selbst und, soweit es die Datenschutzgesetze erfordern, im Namen und im Auftrag seiner verbundenen Unternehmen (wie in den Bedingungen definiert) ein, wenn und soweit Sie solchen verbundenen Unternehmen Zugang zu den Dienstleistungen gewähren und wir personenbezogene Daten des Kunden verarbeiten, für die solche verbundenen Unternehmen als der Verantwortliche im Sinne der Datenschutzgesetze gelten (“Kundenverbundenen Unternehmen”). Für die Zwecke dieses DPA gelten nur die Bedingungen und sofern nicht anders angegeben, die Begriffe “Kunde” und “Sie” umfassen den Kunden und die Kundenverbundenen Unternehmen.
1.3 Bedingungen
Diese DPA bleibt in Kraft, solange wir die personenbezogenen Daten des Kunden gemäß dieser DPA verarbeiten, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
Kontodaten
"Kontodaten" sind alle personenbezogenen Daten, die Sie uns im Zusammenhang mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos zur Verfügung stellen, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Rechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung des Vertrags sowie der damit verbundenen Dienstleistungen.
CCPA
"CCPA" bedeutet das California Consumer Privacy Act von 2018 und alle Vorschriften, die dazu erlassen werden, jeweils in der Fassung, die von Zeit zu Zeit geändert wird.
Kundendaten
„Kundendaten“ bedeutet alle Daten und andere Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) im Rahmen des Vertrags übermittelt und von den Diensten verarbeitet oder gespeichert werden.
Kundendaten
„Kundendaten“ bezeichnet personenbezogene Daten, die in Kundendaten enthalten sind, die von uns als Auftragsverarbeiter verarbeitet werden, sofern in dieser DPA nicht anders angegeben.
Datenschutzgesetze
„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften einer beliebigen Jurisdiktion, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung von personenbezogenen Daten gemäß dem Vertrag gelten, einschließlich beispielsweise und soweit anwendbar, der DSGVO oder dem CCPA.
EWR
„EWR“ bezeichnet für die Zwecke dieser DPA den Europäischen Wirtschaftsraum und die Schweiz.
DSGVO
„DSGVO“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich, das Datenschutzgesetz von 2018.
Persönliche Daten
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, unabhängig davon, ob sie allein oder in Kombination mit anderen Informationen verwendet werden.
Verletzung personenbezogener Daten
„Persönliche Datenverletzung“ bezeichnet jede zufällige, unbefugte oder rechtswidrige Zerstörung, Verlust, Veränderung, Offenlegung oder den Zugriff auf personenbezogene Daten des Kunden sowie jeden anderen ähnlichen Begriff gemäß den geltenden Datenschutzgesetzen, wie z.B. „Sicherheitsverletzung“.
Dienstleistungen
"Dienstleistungen" bezeichnet alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden und die (a) von Ihnen unter einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
Anbieter
„Provider“ bezeichnet unsere vertragliche Einheit, die Partei dieser DPA ist und die vertragliche Einheit ist, die in Abschnitt 15 der Allgemeinen Geschäftsbedingungen (Vertragspartner) aufgeführt ist, es sei denn, es ist auf Ihrem Bestellformular anders angegeben. Sie oder der Provider können auch einzeln als „Partei“ und zusammen als „Parteien“ in dieser DPA bezeichnet werden.
Standardvertragsklauseln
Sub-Auftragsverarbeiter
„Unterauftragsverarbeiter“ bezeichnet eine Drittpartei, die personenbezogene Daten des Kunden im Auftrag des Anbieters verarbeitet, wenn der Anbieter als Auftragsverarbeiter oder Unterauftragsverarbeiter agiert.
UK Standardvertragsklauseln
„UK Standardvertragsklauseln“ bedeutet jegliche oder alle der folgenden: (i) internationale Datenübertragungsvereinbarung, die vom UK Information Commissioner gemäß Abschnitt 119A des DPA 2018 herausgegeben wurde; (ii) die internationale Datenübertragungszusatzvereinbarung zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, die vom UK Information Commissioner gemäß Abschnitt 119A des DPA 2018 herausgegeben wurde; oder (iii) solche standardmäßigen vertraglichen Bestimmungen, die vom UK Information Commissioner oder der Europäischen Kommission herausgegeben wurden und diese von Zeit zu Zeit ersetzen können. Begriffe wie „Verarbeitung“, „Datencontroller“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen gemäß der DSGVO zugewiesen wird. Die Definition von „Datencontroller“ umfasst „Unternehmen“, „Verbraucher“, „Verantwortlicher“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstanbieter“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Einzelperson“; und „Personenbezogene Daten“ umfasst „personenbezogene Informationen“, jeweils definiert gemäß dem CCPA und anderen anwendbaren Datenschutzgesetzen. Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „verkaufen“ und „teilen“ haben die gleiche Bedeutung wie in den geltenden Datenschutzgesetzen und in jedem Fall sind ihre korrespondierenden Begriffe entsprechend zu verstehen.
3. Verarbeitung von Kundendaten
3.1 Zweck
Wir werden die personenbezogenen Daten der Kunden nur insoweit verarbeiten, wie es notwendig ist (i) um die Dienstleistungen bereitzustellen, einschließlich der Übermittlung von Kommunikation, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung technischer und Lieferberichte, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Updates gemäß Ihren dokumentierten Anweisungen an uns als Auftragsverarbeiter, wie in Abschnitt 3.2 dieses DPA angegeben, (ii) für unsere legitimen geschäftlichen Zwecke, wie in Abschnitt 3.4 dieses DPA als Verantwortlicher beschrieben, und (iii) wie es sonst in geltendem Recht erforderlich ist.
3.2 Kundenanweisungen
Die Vereinbarung und diese DPA bilden Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA. Wir werden anderen angemessen dokumentierten Anweisungen entsprechen, vorausgesetzt, dass diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen.
3.3 Einzelheiten der Verarbeitung
Anhang I, Teil B (Beschreibung der Übertragung) des Anhangs I zu dieser DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Sub-Verarbeiter, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten von personenbezogenen Daten und die Kategorien von betroffenen Personen.
3.4 Legitime Geschäftszwecke
Sie erkennen an, dass wir Kundendaten als eigenständiger Datenverantwortlicher in dem Umfang verarbeiten, der für die folgenden legitimen geschäftlichen Zwecke erforderlich ist: Abrechnung, Kontoverwaltung, finanzielle und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die Sie, uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Umsatzplanung sowie Produktstrategie), Betrugs-, Spam- und Missbrauchsprävention und -erkennung, Verbesserung unserer Produkt- und Dienstleistungsangebote und um unseren gesetzlichen Verpflichtungen nachzukommen.
4. Verpflichtungen des Kunden
4.1 Rechtmäßigkeit
Wo Sie als Datenverantwortlicher für die personenbezogenen Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen spezifischen Zweck haben und alle erforderlichen Hinweise, Zustimmungen oder andere geeignete rechtliche Grundlagen vorhanden sind, um einen rechtmäßigen Transfer der personenbezogenen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall werden wir als Unterauftragnehmer auftreten), stellen Sie sicher, dass der entsprechende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 genannten Bedingungen erfüllt sind.
4.2 Konformität
Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die geltenden Datenschutzgesetze in Bezug auf Ihre Nutzung der Dienste und Ihre eigene Verarbeitung von Kundenpersonenbezogenen Daten einhalten, (b) die Durchführung einer unabhängigen Bewertung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Implementierung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen
Unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos variierender Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenpannen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Resilienz und Vertraulichkeit der Kundendaten zu gewährleisten, die unsere Systeme zur Verarbeitung personenbezogener Daten der Kunden verwenden. Die von uns angewandten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen
Sie sind verantwortlich dafür, die von uns bereitgestellten Informationen zur Sicherheit der personenbezogenen Daten des Kunden zu überprüfen und eine unabhängige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und rechtlichen Verpflichtungen gemäß den Datenschutzgesetzen entsprechen. Sie erkennen an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der personenbezogenen Daten des Kunden führen.
5.3 Zugriffssteuerungen
Wir wenden die Grundsätze von „Need to know“ und „Least privilege“ an, um sicherzustellen, dass der Zugang zu Kundendaten auf das Personal beschränkt ist, das für die Bereitstellung der Dienstleistungen und gemäß dem Vertrag, einschließlich dieser DPA, erforderlich ist.
5.4 Vertraulichkeit der Verarbeitung
Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten von Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragnehmer), über die vertrauliche Natur solcher personenbezogenen Daten von Kunden informiert wird und unter einer angemessenen Verpflichtung zur Vertraulichkeit steht (ob vertraglich oder gesetzlich), die auch nach Beendigung ihres Engagements bestehen bleibt.
5.5 Reaktion auf Datenschutzverletzungen und Benachrichtigung
Sobald wir von einem Vorfall mit personenbezogenen Daten Kenntnis erlangen, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) den Vorfall mit personenbezogenen Daten untersuchen, (iii) Ihnen zeitnahe Informationen zu dem Vorfall bereitstellen, sobald sie bekannt werden oder wenn dies von Ihnen angemessen angefordert wird, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mildern und ein erneutes Auftreten des Vorfalls mit personenbezogenen Daten zu verhindern.
6. Unterstützung
6.1 Datenschutzhilfe
Wir werden Ihnen gemäß den angemessenen Anforderungen Unterstützung bereitstellen, um Ihnen die Einhaltung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen zu ermöglichen, einschließlich der Benachrichtigung über einen Verstoß gegen personenbezogene Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten der betroffenen Personen
Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber betroffenen Personen nachzukommen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Um Missverständnisse zu vermeiden, sind Sie als Datenverantwortlicher für die Verarbeitung von Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die Kundendaten eines betroffenen Subjekts verantwortlich.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei der Offenlegung und dem Zugriff
Wir werden den Zugriff auf oder die Offenlegung von Kundendaten nur bereitstellen oder offenlegen (i) wie von Ihnen angeordnet, (ii) wie im Vertrag und in diesem DPA aufgeführt oder (iii) wie gesetzlich vorgeschrieben.
7.2 Offenlegungsanfragen
Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Regulierungsbehörde erhalten, um Kundendaten offenzulegen, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Anfragen zur Offenlegung gemäß der Offenlegungsrichtlinie behandeln, die auf unserer Website hier verfügbar ist.
8. Unterauftragnehmer
8.1 Liste der aktuellen Subunternehmer
8.2 Ernennung von Unterauftragsverarbeitern
Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung, Sub-Auftragsverarbeiter für die Verarbeitung von Kundendaten zu beauftragen, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugang zu Kundendaten durch Sub-Auftragsverarbeiter auf das beschränken, was unbedingt erforderlich ist, um die im Sub-Auftragsverarbeitervertrag festgelegten Dienstleistungen bereitzustellen;
Wir werden mit dem Sub-Auftragsverarbeiter Verpflichtungen zum Datenschutz vereinbaren, die im Wesentlichen denselben Verpflichtungen entsprechen wie die in dieser DPA; und
Wir bleiben Ihnen gegenüber gemäß dieser DPA verantwortlich für die Erfüllung der Datenschutzverpflichtungen des Sub-Auftragsverarbeiters.
8.3 Mitteilung über Änderungen der Auftragsverarbeiter und Widerspruchsrecht
Vor der Ersetzung oder Beauftragung neuer Unterauftragnehmer („Änderung des Unterauftragnehmers“) geben wir Ihnen die Möglichkeit, Widerspruch gegen die Änderung des Unterauftragnehmers einzulegen. Sie können Widerspruch gegen eine Änderung des Unterauftragnehmers einlegen, vorausgesetzt, (i) der Widerspruch erfolgt schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über die Änderung des Unterauftragnehmers und (ii) der Widerspruch basiert auf und erklärt eindeutig die angemessenen Gründe im Zusammenhang mit dem Schutz von Kundendaten. Wenn Sie Widerspruch gegen eine vorgeschlagene Änderung des Unterauftragnehmers einlegen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine kommerziell angemessene Änderung bei der Erbringung der Dienstleistungen vorzunehmen, die die Nutzung des betreffenden Unterauftragnehmers vermeidet. Wenn eine solche Änderung innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsmitteilung nicht vernünftigerweise vorgenommen werden kann oder wenn die Änderung für uns kommerziell unvernünftig ist, kann jede Partei die entsprechenden Funktionen der Dienstleistungen kündigen, die ohne die Nutzung des betreffenden Unterauftragnehmers nicht erbracht werden können. Dieses Kündigungsrecht ist Ihr alleiniges und exklusives Rechtsmittel, wenn Sie Widerspruch gegen eine Änderung des Unterauftragnehmers einlegen.
9. grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von Kundendaten
Wir können personenbezogene Daten von Kunden nur dann übertragen, wenn alle notwendigen Schutzmaßnahmen, die von den Datenschutzgesetzen gefordert werden, vorhanden sind. Dazu kann eine vorherige Bewertung der Auswirkungen der Datenübertragung gehören, die Annahme, Überwachung und Evaluierung ergänzender technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen sowie die Verfügbarkeit effektiver rechtlicher Mittel für die betroffenen Personen.
9.2 Standardvertragsklauseln für Nebenverarbeiter
Sofern kein Angemessenheitsbeschluss oder ein alternatives Übertragungsmechanismus, wie das EU-US-Datenschutzschild, Anwendung findet, haben wir Standardvertragsklauseln mit Unterauftragnehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA dargelegten Bedingungen.
9.3 Übertragungsmechanismen für die Übertragung personenbezogener Daten von Kunden
Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um Kundendaten rechtmäßig aus einer Rechtsordnung (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Rechtsordnung zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste Kundendaten, die den GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Einzelpersonen unterliegen, das auf diese DPA anwendbar ist, an eine Anbieterentität in Ländern übertragen werden, die keinen angemessenen Schutz von Daten im Sinne der Datenschutzgesetze gewährleisten, gelten die nachstehend aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maße, in dem solche Übertragungen den Datenschutzgesetzen unterliegen, direkt durchgesetzt werden.
9.3.1
Die Parteien stimmen zu, dass die Standardvertragsklauseln auf die Kundendaten angewendet werden, die über die Dienstleistungen aus dem EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine Anbieter-Entität übertragen werden, die sich in einem Land außerhalb des EWR oder der Schweiz befindet, das nicht von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) als ausreichend schützend für personenbezogene Daten anerkannt ist.
9.3.1.1
Wenn Sie als Datenverantwortlicher agieren und wir als Datenverarbeiter fungieren, gelten die EU Standardvertragsklauseln Controller zu Processor (Modul Zwei) für jede derartige Übertragung von Kundendaten aus dem EWR. Wenn Sie als Datenverarbeiter agieren und wir als Sub-Datenverarbeiter fungieren, gelten die Standardvertragsklauseln Processor zu Processor (Modul Drei) für jede derartige Übertragung von Kundendaten aus dem EWR.
9.3.1.2
Wir werden als Datenimporteur und Sie werden als Datenexporteur unter den Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA integriert gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Einzelheiten sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln ausschließlich in Bezug auf eine Übertragung von Kundendaten aus dem EWR Vorrang.
9.3.1.3
Wo die Standardvertragsklauseln von den Parteien verlangen, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
i. Die optionale Klausel 7 "Anschlussklausel" wird nicht angenommen.
ii. Für Klausel 9 "Einsatz von Unterauftragsverarbeitern" wählen die Parteien die folgende Option: "Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur muss den Verantwortlichen schriftlich über beabsichtigte Änderungen dieser Liste durch die Hinzufügung oder den Austausch von Unterauftragsverarbeitern mindestens 10 Geschäftstage im Voraus informieren, um dem Verantwortlichen ausreichend Zeit zu geben, um solchen Änderungen vor dem Einsatz von Unterauftragsverarbeitern zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen zur Verfügung stellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über den Einsatz von Unterauftragsverarbeitern informieren."
iii. Für Klausel 11 (a) "Abhilfe" nehmen die Parteien die Option nicht an.
iv. Für Klausel 17 "Anwendbares Recht" wählen die Parteien die folgende Option: "Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das niederländische Recht sein wird."
v. Für Klausel 18 (b) "Wahl des Gerichtsstands und der Rechtsordnung": "Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden."
9.3.2
Die Parteien stimmen zu, dass die Standardvertragsklauseln des Vereinigten Königreichs auf die über die Dienste aus dem Vereinigten Königreich übertragenen personenbezogenen Daten des Kunden anwendbar sind, entweder direkt oder durch Weiterübertragung an eine Anbieter-Entität, die sich in einem Land außerhalb des Vereinigten Königreichs befindet, das von der zuständigen Regulierungsbehörde oder Regierungsbehörde des Vereinigten Königreichs nicht als ein Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1
Wir werden als Datenimporteur und Sie werden als Datenexporteur gemäß den UK Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK Standardvertragsklauseln behandelt, die als in diese DPA aufgenommen gelten. Die erforderlichen Details gemäß den UK Standardvertragsklauseln sind in Anhang I und Anhang II zu dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den UK Standardvertragsklauseln haben die UK Standardvertragsklauseln allein in Bezug auf die Übertragung von personenbezogenen Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Prüfung
10.1 Prüfungsbericht
Unsere Kommunikationsplattform wird regelmäßig gegen den ISO 27001 Standard (oder gleichwertig) auditiert. Die Prüfung kann, nach unserem alleinigen Ermessen, eine interne Prüfung oder eine Prüfung durch einen Dritten sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung des Auditberichts („Auditbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Auditberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundeninformationsanfragen
Wir werden Ihnen alle Informationen, die vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen nach diesem DPA nachzuweisen, zur Verfügung stellen. Wir werden schriftliche Antworten auf angemessene Informationsanforderungen, die von Ihnen gestellt werden, bereitstellen, einschließlich Antworten auf Fragebögen zur Informationssicherheit und zu Audits, die angemessen im Umfang sind und notwendig sind, um die Einhaltung dieses DPA zu bestätigen, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen Informationen, die von uns bereitgestellt oder öffentlich gemacht wurden, zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungsaktivitäten in Bezug auf die Dienstleistungen erfordert, dass ein zusätzlicher Fragebogen ausgefüllt wird. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung
Wenn ein von uns an Sie geliefertes Prüfungsbericht Ihnen stichhaltige Gründe gibt, um zu glauben, dass wir gegen unsere Verpflichtungen unter dieser Datenschutzvereinbarung (DPA) in Bezug auf die von Ihnen bereitgestellten personenbezogenen Daten des Kunden verstoßen, werden wir es Ihnen erlauben, einen unabhängigen und qualifizierten Dritten Auditor, den Sie ernannt und den wir genehmigt haben, zu beauftragen, die relevanten anwendbaren Verarbeitungstätigkeiten personenbezogener Daten zu prüfen, vorausgesetzt, dass in dem größtmöglichen Umfang, der nach geltendem Recht zulässig ist, die folgenden Anforderungen erfüllt sind:
Sie müssen uns mindestens sechzig (60) Tage im Voraus eine angemessene Mitteilung geben, bevor Sie das Recht auf Prüfung ausüben;
Der Auditor erklärt sich mit marktüblichen Vertraulichkeitsverpflichtungen mit uns einverstanden;
Sie und der Auditor ergreifen Maßnahmen, um Störungen unseres Geschäftsbetriebs zu minimieren;
Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
Wir sind nicht verpflichtet, Zugang zu Kundendaten anderer Kunden oder Systeme zu gewähren, die nicht an der Erbringung der Dienste beteiligt sind; und
Sie müssen alle Kosten der Prüfung übernehmen.
11. Löschung und Rückgabe von Kundendaten
Nach Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kunden-Partnerkommunikation und -rechte
Der Abschluss dieses DPA im Namen und für Rechnung eines Kunden-Affiliate, wie in Abschnitt 1.2 dargelegt, stellt ein separates DPA zwischen uns und diesem Kunden-Affiliate dar, vorbehaltlich der folgenden Bestimmungen:
12.1. Kommunikation
Der Kunde, der die Vertragspartei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns gemäß dieser DPA und ist berechtigt, jegliche Kommunikation im Zusammenhang mit dieser DPA im Namen seiner Kundenaffiliates zu machen und zu empfangen.
12.2 Rechte der Kundenverbände
Wenn ein Kundenpartner eine Partei des DPA mit uns wird, ist er, soweit dies nach den Datenschutzgesetzen erforderlich ist, berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich der folgenden Bedingungen:
(i) Sofern die Datenschutzgesetze den Kundenpartner nicht verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen uns selbst auszuüben, stimmen die Parteien zu, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenpartners suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solche Rechte im Rahmen dieses DPA nicht separat für jeden Kundenpartner einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenpartner zusammen ausüben soll.
(ii) Die Parteien stimmen zu, dass der Kunde, der die vertragliche Partei des Vertrags ist, bei einer Vor-Ort-Prüfung der Verfahren, die relevant zum Schutz der persönlichen Daten des Kunden sind, die in Abschnitt 10.3 dieses DPA festgelegt ist, alle angemessenen Maßnahmen ergreifen wird, um Auswirkungen auf uns zu begrenzen, indem er, soweit dies vernünftigerweise möglich ist, mehrere Prüfungsanfragen, die im Namen seiner selbst und aller seiner Kundenpartner gestellt werden, in einer einzigen Prüfung zusammenfasst.
Zur Klarstellung wird ein Kundenpartner keine vertragliche Partei des Vertrags.
13. Gesetz zum Schutz der Privatsphäre der Verbraucher von Kalifornien
Soweit es anwendbar ist, machen wir Ihnen die folgenden zusätzlichen Verpflichtungen in Bezug auf die Verarbeitung von personenbezogenen Daten der Kunden im Rahmen des CCPA.
13.1 Unsere Verpflichtungen nach den US-Datenschutzgesetzen
Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA zugewiesen sind. Soweit anwendbar werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen („US-Personenbezogene Daten“) unterliegen, gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personenbezogene Daten sind wir ein Dienstleister im Sinne des CCPA und ein Datenverarbeiter im Sinne anderer US-Datenschutzgesetze. Wir werden keine US-Personenbezogenen Daten verkaufen. Wir werden keine US-Personenbezogenen Daten (i) für andere Zwecke als die im Vertrag festgelegten Geschäftszwecke aufbewahren, verwenden oder offenlegen (einschließlich der Aufbewahrung, Nutzung oder Offenlegung US-Personenbezogener Daten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten Geschäftszweck entspricht oder wie anderweitig durch den CCPA oder geltende Gesetze erlaubt); oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
13.2 Kundenpflichten
Sie erklären und garantieren, dass Sie den Endbenutzer darüber informiert haben, dass die personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen verwendet oder weitergegeben werden. Sie sind verantwortlich für die Einhaltung der Anforderungen der Datenschutzgesetze, soweit diese auf Sie als Datenverantwortlichen anwendbar sind.
14. Anwendbares Recht und Streitbeilegung
Jede Streitigkeit, Forderung oder Kontroverse („Streitigkeiten“), die aus oder im Zusammenhang mit dieser DPA entsteht, unterliegt dem Recht der Niederlande und ist entsprechend auszulegen. Jede Partei stimmt zu, dass die zuständigen Gerichte von Amsterdam das ausschließliche Zuständigkeitsrecht haben, um Streitigkeiten, die aus oder im Zusammenhang mit dieser DPA entstehen, zu entscheiden.
13.1 Unsere Verpflichtungen nach den US-Datenschutzgesetzen
Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA zugewiesen sind. Soweit anwendbar werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen („US-Personenbezogene Daten“) unterliegen, gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personenbezogene Daten sind wir ein Dienstleister im Sinne des CCPA und ein Datenverarbeiter im Sinne anderer US-Datenschutzgesetze. Wir werden keine US-Personenbezogenen Daten verkaufen. Wir werden keine US-Personenbezogenen Daten (i) für andere Zwecke als die im Vertrag festgelegten Geschäftszwecke aufbewahren, verwenden oder offenlegen (einschließlich der Aufbewahrung, Nutzung oder Offenlegung US-Personenbezogener Daten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten Geschäftszweck entspricht oder wie anderweitig durch den CCPA oder geltende Gesetze erlaubt); oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
ANHANG I - DETAILS DER VERARBEITUNG
Soweit zutreffend, dient dieser Anhang I als Anhang I zu den EWR-Standardvertragsklauseln.
Anlage I, Teil A. Liste der Parteien
Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA zugewiesen sind. Soweit anwendbar werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen („US-Personenbezogene Daten“) unterliegen, gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personenbezogene Daten sind wir ein Dienstleister im Sinne des CCPA und ein Datenverarbeiter im Sinne anderer US-Datenschutzgesetze. Wir werden keine US-Personenbezogenen Daten verkaufen. Wir werden keine US-Personenbezogenen Daten (i) für andere Zwecke als die im Vertrag festgelegten Geschäftszwecke aufbewahren, verwenden oder offenlegen (einschließlich der Aufbewahrung, Nutzung oder Offenlegung US-Personenbezogener Daten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten Geschäftszweck entspricht oder wie anderweitig durch den CCPA oder geltende Gesetze erlaubt); oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
Datenexporteur
Kunde
Kontaktdaten des Datenexporteurs
Die in dem Kundenkonto angegebene Adresse, die E-Mail-Adresse des Kontoinhabers oder die E-Mail-Adresse(n), an die der Kunde gemäß der Vereinbarung Mitteilungen erhalten möchte.
Datenexporteurrolle
Die Rolle des Datenexporteurs ist in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum
Wenn und sofern anwendbar, wird der Datenexporteur als unterzeichnender der hierin aufgenommenen Standardvertragsklauseln ab dem Wirksamkeitsdatum des DPA angesehen.
Datenimporte
Anbieter
Kontaktdaten des Datenimporteurs
Datenschutzbeauftragter - privacy@bird.com
Datenimporteur-Rolle
Der Datenimporteur fungiert als Datenverarbeiter.
Unterschrift und Datum
Sofern und wenn zutreffend, wird der Datenimporteur als als zum Zeitpunkt des Inkrafttretens der DPA unterzeichnete Standardvertragsklauseln angesehen.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden.
Benutzer. Kontaktpersonen (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemalig) des Kunden, die die Dienste nutzen („Benutzer“);
Endbenutzer. Jede natürliche Person (i), deren Kontaktdaten in der Kontaktliste des Kunden enthalten sind; (ii) deren Informationen in den Diensten gespeichert oder über die Dienste erfasst werden, oder (ii) an die der Kunde Kommunikationsmaßnahmen sendet oder mit denen er über die Dienste interagiert oder kommuniziert (gemeinsam „Endbenutzer“). Sie als Kunde bestimmen ausschließlich die Kategorien von betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Kommunikation enthalten sind.
2. Kategorien personenbezogener Daten, die übertragen werden
Kundendaten, die persönliche Daten, Kommunikationsinhalt, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten enthalten.
Kommunikationsinhalt, der persönliche Daten oder andere personalisierte Merkmale enthalten kann, je nach dem Kommunikationsinhalt, wie von Ihnen als Kunde bestimmt.
Verkehrsdaten, die Kundendaten über die Weiterleitung, Dauer oder den Zeitpunkt einer Kommunikation wie Sprachanrufe, SMS oder E-Mails enthalten können, unabhängig davon, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalidentifier.
Kundennutzungsdaten können Daten enthalten, die mit Ihnen als Einzelperson verknüpft werden können und in statistischen Daten sowie Informationen zu Ihrem Konto und Ihren Dienstaktivitäten, dienstbezogenen Erkenntnissen und Analysereports zu gesendeten Kommunikationen und Kundensupport enthalten sind.
3. Sensible Daten transferiert
Sensible Daten wurden übertragen (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Beschaffenheit der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zweckbeschränkungen, Zugangsrestriktionen (einschließlich Zugang nur für Personal, das eine spezielle Schulung absolviert hat), Protokollierung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
Inhaltskommunikation. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer entscheiden, sensible Daten in den über die Dienste übermittelten Kommunikationen einzufügen. Sie sind dafür verantwortlich, sicherzustellen, dass geeignete Sicherheitsvorkehrungen getroffen werden, bevor sensible Daten über die Dienste übermittelt oder verarbeitet werden, oder bevor Sie Ihren Endbenutzern gestatten, sensible Daten über die Dienste zu übermitteln oder zu verarbeiten, gemäß Abschnitt 3.2 des Vertrags.
Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten von Kunden. In Verkehrsdaten, Endbenutzerdaten oder Nutzungsdaten von Kunden sind keine sensiblen Daten enthalten.
4. Die Frequenz der Übertragung
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kundendaten werden während der Laufzeit des Vertrags kontinuierlich übertragen.
5. Art der Verarbeitung
Wir werden die personenbezogenen Daten der Kunden verarbeiten, soweit dies erforderlich ist, um die im Vertrag vereinbarten Dienstleistungen bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich der personenbezogenen Daten der Kunden, und geben keine personenbezogenen Daten an Dritte zur Vergütung oder für deren eigene geschäftlichen Interessen weiter.
6. Zweck(e) der Datenübertragung und der weiteren Verarbeitung
Wir werden die personenbezogenen Daten des Kunden als Auftragsverarbeiter gemäß den Anweisungen des Kunden, wie in dieser DPA dargelegt, verarbeiten, es sei denn, die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der wir unterliegen, in diesem Fall werden wir als Verantwortlicher eingestuft.
Inhaltskommunikation, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Personenbezogene Daten, die in den Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten enthalten sind, unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:
Inhaltskommunikation. Die Bereitstellung von programmierbaren Kommunikationsprodukten und -diensten, die in Form von Programmierschnittstellen (APIs) oder über das Dashboard an den Kunden angeboten werden, einschließlich der Übertragung an oder von der Softwareanwendung des Kunden über unsere Kommunikationsplattform und andere Kommunikationsnetze.
Verkehrsdaten. Verkehrsdaten werden zu dem Zweck verarbeitet, die Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder die Abrechnung in Bezug auf diese Kommunikation durchzuführen. Dies kann personenbezogene Daten des Kunden über die Weiterleitung, Dauer oder den Zeitpunkt einer Kommunikation wie z.B. Sprachgespräch, SMS oder E-Mail umfassen, unabhängig davon, ob es sich um eine Einzelperson oder ein Unternehmen handelt.
Endbenutzerdaten. Personenbezogene Daten von Endbenutzern sind erforderlich, um die Dienste zu erbringen, und werden nur zu den Zwecken der Übertragung von Kommunikationen, der Kundenunterstützung und zur Einhaltung unserer gesetzlichen Verpflichtungen verarbeitet.
Kundennutzungsdaten. Personenbezogene Daten, die in den Kundennutzungsdaten enthalten sind, unterliegen den Verarbeitungsaktivitäten zur Bereitstellung der Dienste gemäß dem Vertrag, mit dem Ziel, dem Kunden Einblicke und analytische Berichte in Bezug auf die gesendete Kommunikation, die Kundenunterstützung und die kontinuierliche Verbesserung der Dienste zu bieten.
7. Aufbewahrungsfrist für personenbezogene Daten
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums: Kommunikationsinhalte und Verkehrsdaten. Für Kommunikationsinhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten; für Videodienste werden Kommunikationsinhalte und Verkehrsdaten für mindestens 30 Tage bis zur Dauer aufbewahrt, die mit Ihnen vereinbart wurde; für E-Mail-Dienste werden Kommunikationsinhalte und Verkehrsdaten 72 Stunden lang aufbewahrt; für alle anderen Dienste werden Kommunikationsinhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen Kommunikationsinhalte oder Verkehrsdaten über die technischen und organisatorischen Maßnahmen, die Ihnen über die Dienste zur Verfügung gestellt werden. Endbenutzerdaten. Endbenutzerdaten werden für die Dauer verarbeitet, die vom Kunden bestimmt wird; wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die standardmäßige Aufbewahrungsfrist die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B. Kundennutzungsdaten. Bei Beendigung des Vertrags dürfen wir Kundennutzungsdaten zu den in Abschnitt 6(d) dieses Anhangs I, Teil B, festgelegten Zwecken aufbewahren, verwenden und offenlegen, vorbehaltlich der Vertraulichkeitsverpflichtungen gemäß dem Vertrag. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B, festgelegten Zwecke benötigen.
7. Aufbewahrung personenbezogener Daten
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, wenn dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden:
Inhalts- und Verkehrsdaten der Kommunikation;
Für Inhalts- und Verkehrsdaten der Kommunikation, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für Videodienste werden Inhalts- und Verkehrsdaten der Kommunikation mindestens 30 Tage lang aufbewahrt, bis zur Dauer, die mit Ihnen vereinbart wurde;
Für E-Mail-Dienste werden Inhalts- und Verkehrsdaten der Kommunikation 72 Stunden lang aufbewahrt;
Für alle anderen Dienste werden Inhalts- und Verkehrsdaten der Kommunikation für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen die Inhalts- oder Verkehrsdaten der Kommunikation über die technischen und organisatorischen Maßnahmen, die Ihnen über die Dienste zur Verfügung gestellt werden.
Benutzerdaten werden für die Dauer verarbeitet, die vom Kunden festgelegt wird; wenn Benutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die standardmäßige Aufbewahrungsfrist die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
Kundennutzungsdaten: Nach Beendigung des Vertrags dürfen wir die Kundennutzungsdaten zu den in Abschnitt 6(d) dieses Anhangs I, Teil B, aufgeführten Zwecken aufbewahren, verwenden und offenlegen, vorbehaltlich der in dem Vertrag festgelegten Vertraulichkeitsverpflichtungen. Wir werden die Kundennutzungsdaten anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B, festgelegten Zwecke benötigen.
8. Für Übertragungen an (Sub-)Auftragsverarbeiter
Für Übertragungen an (Unter-)Auftragsverarbeiter geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Für Übertragungen an Unter-Auftragsverarbeiter sind der Gegenstand und die Art der Verarbeitung in unserem Überblick über die Unter-Auftragsverarbeiter aufgeführt, und die Dauer entspricht der Dauer des Vertrags.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
ANHANG II - Technische und organisatorische Sicherheitsmaßnahmen
Sofern zutreffend, dient dieses Anhang II als Anhang II zu den Standardvertragsklauseln. Im Folgenden finden Sie weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die nachfolgend dargelegt sind.
Technische und organisatorische Sicherheitsmaßnahmen
Maßnahmen zur Pseudonymisierung und zum Schutz personenbezogener Daten in der Speicherung und im Transit:
Alle personenbezogenen Daten werden während der Übertragung und im Ruhezustand verschlüsselt und, soweit aus sicherheitstechnischen Gründen relevant, behandelt, als ob sie als sensible Daten klassifiziert wären. Informationen werden immer standardmäßig über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Verarbeitungssystemen und -diensten:
Wir schließen Vereinbarungen mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Sub-unternehmern ab, die Geheimhaltungsbestimmungen enthalten. Unsere Geschäftskontinuitätsrichtlinie besteht darin, unser Geschäft und unsere Dienstleistungen im Falle längerer Ausfälle, die durch Faktoren außerhalb unserer Kontrolle verursacht werden, vorzubereiten und die Dienstleistungen in dem größtmöglichen Umfang in einem minimalen Zeitrahmen wiederherzustellen. Wir wissen, dass die von uns bereitgestellten Dienstleistungen für unsere Kunden von wesentlicher Bedeutung sind und haben daher sehr wenig Toleranz für Dienstunterbrechungen. Unsere Wiederherstellungszeiträume sind so gestaltet, dass wir unseren Verpflichtungen gegenüber allen unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Effektivität technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten:
Das Ziel der Informationssicherheit und unseres Informationssicherheitsmanagementsystems (ISMS) ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierte) Informationssysteme zu schützen und das Risiko von Schäden zu minimieren, indem Sicherheitsvorfälle verhindert und Sicherheitsbedrohungen und -anfälligkeiten verwaltet werden. Unser juristisches Team, der Datenschutzbeauftragte und das Sicherheitsteam stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmen einfließen.
Maßnahmen zur Benutzeridentifikation und -autorisierung:
Wir folgen den Grundsätzen "Need to know" und "Least privilege". Wir fördern die Nutzung von rollenbasiertem Zugangskontrolle. Die Bereitstellung und Entziehung wird vom Sicherheitsteam überwacht, wobei Single-Sign-On und 2FA standardmäßig verwendet werden. Für jedes Informationsvermögen wurden Eigentümer definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Im Umgang mit sensiblen Informationen oder bei kritischen Handlungen verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung:
Audit-Protokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sicher aufbewahrt, um das Risiko von Manipulationen zu vermeiden. Die Richtlinie zum Incident Management setzt den Reaktionsplan für Vorfälle und dessen Verfahren durch. Diese Richtlinien werden befolgt, wenn ein beliebiger Typ von Sicherheits- oder technischen Vorfällen auftritt.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration:
Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen an der Produktionsumgebung der Communication Platform as a Service. Um weiter auszuführen, müssen alle Änderungsanfragen (RFC) von einer dafür benannten Partei genehmigt und gemäß dem formalen Änderungssteuerungsprozess umgesetzt werden. Der Steuerungsprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, genehmigt, getestet, implementiert und kontrolliert freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden befolgt, um die Systeme sicher gemäß den besten Praktiken zu konfigurieren. Auch innerhalb der Ingenieurabteilung wird ein technisches Radar verwendet, um zu definieren, welche Technologien (Programmiersprachen, Plattformwerkzeuge, Datenbanken und Datenmanagementwerkzeuge) während der Entwicklung angenommen oder vermieden werden sollten.
Maßnahmen für die physische Sicherheit
Wir fördern aktiv eine "Arbeiten von überall"-Politik, sodass unsere Mitarbeiter von jedem Ort aus arbeiten können, den sie möchten. Dennoch haben wir unsere Büroräume. Wir haben keine sicheren Bereiche/Datenzentren in unseren Räumlichkeiten, da wir ein vollständig cloudbasiertes Unternehmen sind. Unsere Büroetagen sind durch physische Zugangskontrollen, CCTV und bewaffnete Sicherheit geschützt.
Maßnahmen für die interne IT- und IT-Sicherheitsgovernance und -verwaltung:
Wir führen ein risikobasiertes Sicherheitsprogramm durch, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die darauf abzielen, die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert aufgebaut. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unsere Informationssicherheitspolitiken, -verfahren und -richtlinien übersetzt. Wir haben ein Sicherheitslenkungsausschuss, der für die taktische Ebene der Informationssicherheit verantwortlich ist. Dies umfasst die Koordination der Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der regulatorischen Compliance. Alle Mitarbeiter sind dafür verantwortlich, die Unternehmenswerte zu schützen. Alle unsere Mitarbeiter werden auf Fachkenntnisse, Erfahrung und Integrität überprüft. Die Mitarbeiter werden bei der Einarbeitung sowie durch regelmäßige teamspezifische Schulungen und andere unternehmensweite Versammlungen über die Bedeutung des Datenschutzes und der Sicherheitskonformität informiert. Wir sind nach ISO 27001 zertifiziert, den weltweit anerkannten Informationssicherheitsstandards für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind ISO 27001 zertifiziert.
Wir sind auch bei der niederländischen Behörde für Verbraucher und Märkte registriert. Das bedeutet, dass wir immer verantwortlich sind und vollständig transparent gegenüber unseren Kunden agieren.
Wir sind assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen der Mobilfunkanbieter weltweit.
Wir halten uns immer an alle geltenden Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung und des EU-US-Datenschutzrahmens.
Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten:
Wir unterliegen strengen Kontrollen sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001-Konformität und führen regelmäßig Anwendungssicherheits- und Penetrationstests durch.
Maßnahmen zur Sicherstellung der Haftung:
Wir implementieren Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen und veröffentlichen einen Überblick über unsere ISMS relevanten Informationen (link). Wir haben einen speziellen Sicherheitsdirektor, einen Informationssicherheitsbeauftragten, einen Compliance-Beauftragten und einen Datenschutzbeauftragten ernannt und führen eine Dokumentation unserer Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Berichterstattung über Sicherheitsvorfälle mit personenbezogenen Daten, sofern zutreffend.
Maßnahmen zur Sicherstellung der Datenlöschung:
Wir gewährleisten die Datenlöschung durch einen automatisierten Löschprozess in unserer Kommunikations- und Infrastrukturumgebung. Dieser Datenlöschprozess stellt sicher, dass alle Daten, die nicht mehr benötigt werden, um einen bestimmten Zweck zu erfüllen, nach der Verarbeitung aus unseren Systemen entfernt werden.