Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge, („DPA“) ist Teil der Vereinbarung zwischen uns und dem Kunden für den Erwerb von (Online-)Kommunikationsdiensten von uns, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten des Kunden widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie als unseren Kunden (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“ oder „unser“ beziehen sich auf uns als den Anbieter (wie unten definiert). In dieser DPA verwendete, aber nicht definierte, großgeschriebene Begriffe sind in unseren Allgemeinen Geschäftsbedingungen oder einer anderen Vereinbarung mit uns definiert, die Ihre Nutzung der Dienste regelt.
Die Parteien vereinbaren, dass diese DPA jede bestehende Zusatzvereinbarung oder ähnliche Vereinbarung zum Datenschutz ersetzt, die die Parteien möglicherweise zuvor in Verbindung mit den Diensten abgeschlossen haben.
1. Geltungsbereich, Kundenverbände und Laufzeit
1.1 Anwendungsbereich. Diese DPA regelt die Verarbeitung von personenbezogenen Daten des Kunden durch uns als Auftragsverarbeiter.
1.2 Kundenverbände. Der Kunde tritt in dieser DPA im Namen und im Auftrag seiner selbst sowie, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbände (wie in den Bedingungen definiert) ein, sofern und insoweit Sie diesen Verbänden Zugang zu den Dienstleistungen gewähren und wir personenbezogene Daten des Kunden verarbeiten, für die solche Verbände als die verantwortliche Stelle gelten („Kundenverbände“). Für die Zwecke dieser DPA und es sei denn, es wird anders angegeben, umfassen die Begriffe „Kunde“ und „Sie“ sowohl den Kunden als auch die Kundenverbände.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange wir personenbezogene Daten des Kunden vor dem Hintergrund dieser DPA verarbeiten, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
“Account Data” sind alle persönlichen Daten, die von Ihnen oder für Sie im Zusammenhang mit dem Abschluss und der Verwaltung der Vereinbarung und Ihres Kontos an uns übermittelt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Abrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung der Vereinbarung und der zugehörigen Dienstleistungen.
“CCPA” bedeutet den California Consumer Privacy Act von 2018 und alle daraufhin erlassenen Vorschriften, in jedem Fall, wie von Zeit zu Zeit geändert.
“Customer Data” sind alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Nutzer Ihrer Kundenanwendung) gemäß der Vereinbarung eingereicht werden und von den Services verarbeitet oder gespeichert werden.
“Customer Personal Data” bedeutet personenbezogene Daten, die in Kundeninformationen enthalten sind, die von uns als Auftragsverarbeiter verarbeitet werden, sofern in dieser DPA nicht anders angegeben.
“Data Protection Laws” sind alle Gesetze und Vorschriften jeder Gerichtsbarkeit, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten gemäß der Vereinbarung gelten, einschließlich, beispielsweise und falls zutreffend, der DSGVO oder des CCPA.
“EEA” bedeutet im Sinne dieser DPA den Europäischen Wirtschaftsraum und die Schweiz.
“GDPR” bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) ausschließlich bezüglich des Vereinigten Königreichs, das Datenschutzgesetz 2018.
“Personal Data” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sei es allein oder in Kombination mit anderen Informationen.
“Personal Data Breach” bedeutet jede zufällige, unbefugte oder rechtswidrige Vernichtung, Verlust, Veränderung, Offenlegung oder Zugang zu Kundendaten und jeden anderen ähnlichen Begriff gemäß den geltenden Datenschutzgesetzen, wie beispielsweise „Security Breach“.
“Services” sind alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden, die (a) von Ihnen in einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
“Provider” bedeutet unsere Vertragspartei, die Vertragspartei dieser DPA ist, nämlich die im Abschnitt 15 der Allgemeinen Geschäftsbedingungen (Vertragspartner) aufgeführte Vertragspartei, sofern auf Ihrem Bestellformular nichts anderes angegeben ist. Sie oder der Anbieter können auch einzeln als „Partei“ und zusammen als „Parteien“ in dieser DPA bezeichnet werden.
“Standard Contractual Clauses” bedeutet Controller to Processor (Modul Zwei) oder Processor to Processor (Modul Drei), je nach Fall, der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, genehmigt durch die Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021, wie derzeit festgelegt im Amtsblatt der Europäischen Union.
“Sub-processor” bedeutet eine Drittpartei, die Kundendaten im Auftrag des Anbieters verarbeitet, wobei der Anbieter als Datenverarbeiter oder Unterverarbeiter fungiert.
“UK Standard Contractual Clauses” bedeutet eine oder alle der folgenden: (i) internationales Datenübertragungsabkommen, das von der UK Information Commissioner gemäß Abschnitt 119A der DPA 2018 herausgegeben wurde; (ii) das internationale Datenübertragungs-Addendum zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, herausgegeben von der UK Information Commissioner gemäß Abschnitt 119A der DPA 2018; oder (iii) solche Standardvertragsbestimmungen, die von der UK Information Commissioner oder der Europäischen Kommission herausgegeben oder von Zeit zu Zeit ersetzt werden.
Begriffe wie “processing”, “data controller”, “data processor”, “data subject”, etc. haben die Bedeutung, die ihnen gemäß der DSGVO zugewiesen wird. Die Definition von “data controller” umfasst „business“, „consumer“, „controller“ und „organisation“; “data processor” umfasst „service provider“, „processor“ und „data intermediary“; “data subject” umfasst „consumer“ und „individual“; und “Personal Data” umfasst „personal information“, jeweils wie im CCPA und anderen anwendbaren Datenschutzgesetzen definiert. Die Begriffe “business purpose”, “commercial purpose”, “sell” und “share” haben die gleiche Bedeutung wie in den anwendbaren Datenschutzgesetzen und ihre entsprechende Begriffe sind dementsprechend auszulegen.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir werden Kunden-Personaldaten nur in dem notwendigen Umfang verarbeiten (i) um die Dienstleistungen bereitzustellen, einschließlich der Übertragung von Kommunikation, zur Sicherstellung der Sicherheit der Dienstleistungen, zur Bereitstellung technischer und Zustellberichte, zur Bereitstellung von Unterstützung und zur Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA festgelegt, (ii) für unsere berechtigten Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher festgelegt, und (iii) wie anderweitig gemäß geltendem Recht erforderlich.
3.2 Kundenanweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung konsistent.
3.3 Details der Verarbeitung. Anhang I, Teil B (Beschreibung der Übertragung) des Anhangs I zu dieser DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Subverarbeiter, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten von Personaldaten und die Kategorien von betroffenen Personen.
3.4 Berechtigte Geschäftszwecke. Sie erkennen an, dass wir Kunden-Personaldaten als unabhängiger Datenverantwortlicher in dem notwendigen Umfang für die folgenden berechtigten Geschäftszwecke verarbeiten: Abrechnung, Kontoverwaltung, finanzielle und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffe und Cyberkriminalität, die Sie, uns oder unsere Dienstleistungen betreffen können, Geschäftsmodellierung (z.B. Prognosen, Kapazitäts- und Umsatzplanung und Produktstrategie), Betrug, Spam- und Missbrauchsprävention und -erkennung, kontinuierliche Verbesserung der von Ihnen verwendeten Produkte und Dienstleistungen und zur Einhaltung unserer gesetzlichen Verpflichtungen.
4. Kundenpflichten
4.1 Lawfulness. Wenn Sie als Datenverantwortlicher für Kundenpersonenbezogene Daten agieren, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen spezifischen Zweck haben und alle erforderlichen Mitteilungen und Einwilligungen oder sonstige geeignete rechtliche Grundlagen vorhanden sind, um den rechtmäßigen Transfer der Kundenpersonenbezogenen Daten zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall agieren wir als Unterauftragsverarbeiter), stellen Sie sicher, dass der relevante Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind ausschließlich verantwortlich für (a) die Gewährleistung der Einhaltung der auf Ihre Nutzung der Dienstleistungen und Ihre eigene Verarbeitung von Kundenpersonenbezogenen Daten anwendbaren Datenschutzgesetze, (b) die eigenständige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienstleistungen Ihren Anforderungen entsprechen, und (c) die Implementierung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Dienstleistungen und Kundenanwendungen verwendet werden).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um Kundendaten vor Verletzungen personenbezogener Daten zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der Kundendaten zu bewahren, die unsere Systeme zur Verarbeitung personenbezogener Daten verwenden. Die von uns angewandten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns bereitgestellten Informationen in Bezug auf die Sicherheit der Kundendaten zu prüfen und eine unabhängige Bewertung vorzunehmen, ob diese Informationen Ihre Anforderungen und rechtlichen Verpflichtungen gemäß den Datenschutzgesetzen erfüllen. Sie erkennen an, dass die Sicherheitsmaßnahmen technische Fortschritte und Entwicklungen unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Kundendaten führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien des „Need to know“ und „Least privilege“ an, um sicherzustellen, dass der Zugriff auf Kundendaten auf das Personal beschränkt ist, das für die Bereitstellung der Services erforderlich ist und im Einklang mit dem Vertrag, einschließlich dieser DPA, steht.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, Kundendaten zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Sub-Prozessoren), über die vertrauliche Natur dieser Kundendaten informiert wird und einer angemessenen Geheimhaltungsverpflichtung (sei es eine vertragliche oder gesetzliche Pflicht) unterliegt, die über das Ende ihres Engagements hinaus bestehen bleibt.
5.5 Reaktion und Benachrichtigung bei Verletzung personenbezogener Daten. Sobald wir von einer Verletzung personenbezogener Daten Kenntnis erlangen, werden wir Sie unverzüglich (i) benachrichtigen, (ii) die Verletzung personenbezogener Daten untersuchen, (iii) rechtzeitig Informationen in Bezug auf die Verletzung personenbezogener Daten bereitstellen, sobald diese bekannt werden oder wie vernünftigerweise von Ihnen angefordert, und (iv) wirtschaftlich angemessene Schritte unternehmen, um die Auswirkungen zu mindern und eine erneute Auftreten der Verletzung personenbezogener Daten zu verhindern.
6. Unterstützung
6.1 Unterstützung zum Datenschutz. Wir werden Ihnen in angemessenem Umfang Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich der Benachrichtigung über eine Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten der betroffenen Personen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den betroffenen Personen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zum Verständnis: Sie als der für die Datenverarbeitung Verantwortliche sind verantwortlich für die Bearbeitung etwaiger Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei der Offenlegung und dem Zugriff. Wir werden keinen Zugriff auf Kunden-Personaldaten gewähren oder diese offenlegen, außer (i) wie von Ihnen angewiesen, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wie gesetzlich vorgeschrieben.
7.2 Offenlegungsanforderungen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde zur Offenlegung von Kunden-Personaldaten erhalten, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der auf unserer Website verfügbaren Offenlegungsanforderungsrichtlinie auf der Seite der Offenlegungsanfragen bearbeiten.
8. Unterauftragnehmer
8.1 Liste der aktuellen Unterauftragsverarbeiter. Sie stimmen der Einbindung der Unterauftragsverarbeiter in Bezug auf die Services zu, die in unserem Überblick über Unterauftragsverarbeiter aufgeführt sind, der auch ein Verfahren enthält, mit dem Sie sich für Benachrichtigungen über Änderungen unserer Nutzung von Unterauftragsverarbeitern anmelden können. Wenn Sie sich für solche Benachrichtigungen anmelden, und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Details zu jeder Änderung der Unterauftragsverarbeiter so schnell wie möglich mitteilen.
8.2 Ernennung von Unterauftragsverarbeitern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter für die Verarbeitung von Kundendaten zu beauftragen, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugriff der Unterauftragsverarbeiter auf Kundendaten auf das unbedingt erforderliche Maß beschränken, um die im Unterauftragsverarbeitungsvertrag spezifizierten Services bereitzustellen;
Wir werden mit dem Unterauftragsverarbeiter Datenschutzpflichten vereinbaren, die im Wesentlichen den Verpflichtungen aus dieser DPA entsprechen; und
Wir bleiben Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzpflichten des Unterauftragsverarbeiters haftbar.
8.3 Benachrichtigung über Änderungen der Unterauftragsverarbeiter und Widerspruchsrecht. Bevor wir neue Unterauftragsverarbeiter ersetzen oder beauftragen („Änderung des Unterauftragsverarbeiters“), bieten wir Ihnen die Möglichkeit, gegen die Änderung des Unterauftragsverarbeiters Einspruch zu erheben. Sie können gegen eine Änderung des Unterauftragsverarbeiters Einspruch erheben, sofern (i) der Einspruch schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über die Änderung des Unterauftragsverarbeiters erfolgt und (ii) der Einspruch auf vernünftigen Gründen in Bezug auf den Schutz von Kundendaten basiert und diese vernünftig erklärt. Wenn Sie gegen eine vorgeschlagene Änderung des Unterauftragsverarbeiters Einspruch erheben, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine wirtschaftlich angemessene Änderung in der Bereitstellung der Services vorzunehmen, die die Nutzung des betreffenden Unterauftragsverarbeiters vermeidet. Wenn eine solche Änderung nicht innerhalb von dreißig (30) Tagen nach Erhalt Ihrer Einspruchsmitteilung vernünftigerweise vorgenommen werden kann oder wenn die Änderung für uns wirtschaftlich unvernünftig ist, kann jede Partei die betreffenden Funktionen der Services kündigen, die ohne die Nutzung des betreffenden Unterauftragsverarbeiters nicht bereitgestellt werden können. Dieses Kündigungsrecht ist Ihr einziges und ausschließliches Rechtsmittel, wenn Sie gegen eine Änderung des Unterauftragsverarbeiters Einspruch erheben.
9. Grenzüberschreitende Übertragungen von persönlichen Daten der Kunden
9.1 Übertragungen von personenbezogenen Daten der Kunden. Wir können personenbezogene Daten der Kunden übertragen, sofern alle erforderlichen angemessenen Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen getroffen werden. Dies kann die vorherige Durchführung einer Datenschutzfolgenabschätzung, die Einführung, Überwachung und Bewertung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen und die Verfügbarkeit wirksamer Rechtsbehelfe für die betroffenen Personen umfassen.
9.2 Standardvertragsklauseln für Subunternehmer. Sofern keine Angemessenheitsentscheidung oder ein alternatives Übertragungsmechanismus wie das EU-US-Datenschutzschild Anwendung findet, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften) abgeschlossen und werden diese aufrechterhalten, die sich außerhalb des EWR befinden, gemäß den in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten der Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten der Kunden rechtmäßig aus einer Jurisdiktion (z.B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Jurisdiktion zu exportieren, findet dieser Abschnitt Anwendung. Wenn im Rahmen der Dienste personenbezogene Daten der Kunden, die dem GDPR oder einem anderen Recht zum Schutz oder zur Privatsphäre von Einzelpersonen unterliegen, an eine Anbieterentität übermittelt werden, die sich in Ländern befindet, die keinen angemessenen Schutz gemäß den Datenschutzgesetzen gewährleisten, gelten die nachstehend aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien durchgesetzt werden, soweit diese Übertragungen den Datenschutzgesetzen unterliegen.
9.3.1 Die Parteien stimmen zu, dass die Standardvertragsklauseln auf personenbezogene Daten der Kunden angewendet werden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder über eine Weiterübertragung, an eine Anbieterentität in einem Land außerhalb des EWR oder der Schweiz übertragen werden, das von der Europäischen Kommission (oder, im Fall von Übertragungen aus der Schweiz, der zuständigen Behörde der Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.
9.3.1.1 Wenn Sie als Verantwortlicher handeln und wir als Auftragsverarbeiter, gelten die EU-Vereinbarungen für Verantwortliche und Auftragsverarbeiter (Modul Zwei) der Standardvertragsklauseln für jede solche Übertragung personenbezogener Daten der Kunden aus dem EWR. Wenn Sie als Auftragsverarbeiter handeln und wir als Subunternehmer, gelten die Vereinbarungen für Auftragsverarbeiter (Modul Drei) der Standardvertragsklauseln für jede solche Übertragung personenbezogener Daten der Kunden aus dem EWR.
9.3.1.2 Wir werden als Datenimporteur und Sie als Datenexporteur unter den Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als in diese DPA integriert gelten. Die in Anhang 1 und Anhang 2 zu den Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II zu dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten der Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie folgt getan:
i. Die optionale Klausel 7 "Anschlussklausel" wird nicht angenommen.
ii. Für Klausel 9 "Einsatz von Subunternehmern" wählen die Parteien die folgende Option: "Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur wird den Verantwortlichen in schriftlicher Form über beabsichtigte Änderungen dieser Liste durch die Hinzufügung oder den Austausch von Subunternehmern mindestens 10 Geschäftstage im Voraus informieren, um dem Verantwortlichen ausreichend Zeit zu geben, solchen Änderungen vor der Beauftragung des Subunternehmers zu widersprechen. Der Datenimporteur wird dem Datenexporteur die notwendigen Informationen bereitstellen, um dem Datenexporteur zu ermöglichen, sein Widerspruchsrecht auszuüben. Der Datenimporteur wird den Datenexporteur über die Beauftragung der Subunternehmer informieren."
iii. Für Klausel 11 (a) "Abhilfe" nehmen die Parteien die Option nicht an.
iv. Für Klausel 17 "Anwendbares Recht" wählen die Parteien die folgende Option: "Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigtenrechte zulässt. Die Parteien stimmen zu, dass dies das Recht der Niederlande sein wird."
v. Für Klausel 18 (b) "Gerichtsstand und Zuständigkeit": "Die Parteien sind sich einig, dass dies die Gerichte der Niederlande sein werden."
9.3.2 Die Parteien stimmen zu, dass die UK Standardvertragsklauseln auf personenbezogene Daten der Kunden angewendet werden, die über die Dienste aus dem Vereinigten Königreich, entweder direkt oder über eine Weiterübertragung, an eine Anbieterentität in einem Land außerhalb des Vereinigten Königreichs übertragen werden, das von der zuständigen Aufsichtsbehörde oder staatlichen Stelle des Vereinigten Königreichs nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.
9.3.2.1 Wir werden als Datenimporteur und Sie als Datenexporteur unter den UK Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK Standardvertragsklauseln angesehen, die als in diese DPA integriert gelten. Die in den UK Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II zu dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den UK Standardvertragsklauseln haben die UK Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten der Kunden aus dem Vereinigten Königreich Vorrang.
10. Prüfung
10.1 Audit Report. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001-Standard (oder einem gleichwertigen) geprüft. Das Audit kann, nach unserem alleinigen Ermessen, ein internes Audit oder ein von einer dritten Partei durchgeführtes Audit sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung des Auditberichts („Audit Report“) zur Verfügung, damit Sie unsere Einhaltung der Auditstandards und dieser DPA überprüfen können. Solche Auditberichte sowie alle darin enthaltenen Schlussfolgerungen oder Feststellungen sind unsere vertraulichen Informationen.
10.2 Kundeninformationsanfragen. Wir stellen Ihnen alle Informationen zur Verfügung, die vernünftigerweise notwendig sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen geben, die Sie stellen, einschließlich Antworten auf Informationssicherheits- und Auditfragebögen, die in Umfang vernünftig und notwendig sind, um die Einhaltung dieser DPA zu bestätigen, vorausgesetzt, dass Sie (i) zunächst eine angemessene Anstrengung unternommen haben, die angeforderten Informationen aus den von uns bereitgestellten oder öffentlich gemachten Unterlagen, Auditberichten und anderen Informationen zu erhalten, und (ii) dieses Recht nicht öfter als einmal pro Jahr ausüben, es sei denn, ein Verstoß gegen personenbezogene Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten im Zusammenhang mit den Services erfordert die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns an Sie bereitgestellter Auditbericht Ihnen begründeten Anlass gibt zu glauben, dass wir gegen unsere Verpflichtungen aus dieser DPA bezüglich der von Ihnen bereitgestellten Kundenpersonaldaten verstoßen, gestatten wir einem unabhängigen und qualifizierten Drittauditor, der von Ihnen ernannt und von uns genehmigt wird, die relevanten und anwendbaren Verarbeitungstätigkeiten der personenbezogenen Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen im größtmöglichen gesetzlich zulässigen Umfang erfüllt sind:
Sie müssen uns mindestens sechzig (60) Tage vorher eine angemessene Vorankündigung machen, bevor Sie das Prüfungsrecht ausüben;
Der Auditor stimmt mit uns marktüblichen Vertraulichkeitsverpflichtungen zu;
Sie und der Auditor ergreifen Maßnahmen, um die Störung unserer Geschäftsabläufe zu minimieren;
Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
Wir sind nicht verpflichtet, Zugang zu Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Services beteiligt sind, zu gewähren; und
Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Ihnen gehörenden personenbezogenen Daten der Kunden (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder Ihnen zurückgeben, es sei denn, diese Anforderung gilt nicht insoweit, als wir gesetzlich verpflichtet sind, einige oder alle personenbezogenen Daten der Kunden aufzubewahren. Wenn Sie uns anweisen, personenbezogene Daten der Kunden zu löschen, werden die archivierten personenbezogenen Daten der Kunden in unseren Backup-Systemen von weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und für Rechnung eines Kundenangehörigen, wie in Abschnitt 1.2 dargelegt, stellt ein separates DPA zwischen uns und diesem Kundenangehörigen dar, vorbehaltlich Folgendem:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, alle Mitteilungen bezüglich dieses DPA im Namen seiner Kundenangehörigen zu machen und zu empfangen.
12.2 Rechte der Kundenangehörigen. Wenn ein Kundenangehöriger Partei des DPA mit uns wird, ist er, soweit nach den Datenschutzgesetzen erforderlich, berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu fordern, vorbehaltlich Folgendem:
(i) Sofern die Datenschutzgesetze nicht verlangen, dass der Kundenangehörige ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen uns selbst ausübt, stimmen die Parteien zu, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausübt oder ein solches Rechtsmittel im Namen des Kundenangehörigen fordert und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, die Rechte aus diesem DPA nicht separat für jeden Kundenangehörigen einzeln, sondern in einer kombinierten Art und Weise für sich selbst und alle seine Kundenangehörigen zusammen ausübt.
(ii) Die Parteien stimmen zu, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn ein Vor-Ort-Audit der Verfahren, die für den Schutz von Kundendaten relevant sind, in seinem Namen durchgeführt wird, wie in Abschnitt 10.3 dieses DPA festgelegt, alle angemessenen Maßnahmen ergreift, um jegliche Auswirkungen auf uns zu begrenzen, indem er, soweit dies mit angemessenem Aufwand möglich ist, mehrere Audit-Anfragen, die im Namen von sich selbst und allen seinen Kundenangehörigen durchgeführt werden, in einem einzigen Audit kombiniert.
Zur Klarstellung, ein Kundenangehöriger wird keine vertragliche Partei des Vertrags.
13. Gesetz zum Schutz der Privatsphäre der Verbraucher von Kalifornien.
Soweit zutreffend, machen wir Ihnen gegenüber folgende zusätzliche Verpflichtungen in Bezug auf die Verarbeitung von Kundendaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen nach den U.S.-Datenschutzgesetzen. Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die ihnen im CCPA zugewiesene Bedeutung. Soweit anwendbar, werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren U.S.-Datenschutzgesetzen unterliegen („U.S.-Personendaten“), gemäß den Bestimmungen des CCPA und anderer U.S.-Datenschutzgesetze behandeln. In Bezug auf U.S.-Personendaten sind wir ein Dienstleister nach dem CCPA und ein Datenverarbeiter nach anderen U.S.-Datenschutzgesetzen. Wir werden keine U.S.-Personendaten verkaufen. Wir werden keine U.S.-Personendaten (i) für einen anderen Zweck als die im Vertrag festgelegten Geschäftszwecke (einschließlich der Beibehaltung, Nutzung oder Offenlegung von U.S.-Personendaten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten Geschäftszweck entspricht oder anderweitig durch den CCPA oder geltende Gesetze erlaubt ist) oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
13.2 Kundenpflichten. Sie erklären und garantieren, dass Sie den Endnutzer darüber informiert haben, dass die personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen verwendet oder geteilt werden. Sie sind für die Einhaltung der Anforderungen der Datenschutzgesetze verantwortlich, soweit sie für Sie als Datenverantwortlicher zutreffen.
14. Anwendbares Recht und Streitbeilegung
Jede Streitigkeit, Forderung oder Kontroverse („Dispute“), die sich aus dieser DPA ergibt oder damit in Zusammenhang steht, unterliegt den Gesetzen der Niederlande und wird in Übereinstimmung mit diesen ausgelegt. Jede Partei stimmt zu, dass die zuständigen Gerichte von Amsterdam, Niederlande, die ausschließliche Zuständigkeit haben, um alle Streitigkeiten, die sich aus dieser DPA ergeben oder damit in Zusammenhang stehen, beizulegen.
ANHANG I - DETAILS DER VERARBEITUNG
Diese Anlage I dient, soweit anwendbar, als Anhang I zu den Standardvertragsklauseln.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Kundenkonto angegebene Adresse, oder die E-Mail-Adresse des Konto-Inhabers des Kunden, oder die E-Mail-Adresse(n), an die der Kunde festlegt, Benachrichtigungen gemäß der Vereinbarung zu erhalten.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs wird in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum: Soweit und wenn anwendbar, gilt der Datenexporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
Datenimporteur: Anbieter
Kontaktdaten des Datenimporteurs: Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur agiert als Datenverarbeiter.
Unterschrift und Datum: Soweit und wenn anwendbar, gilt der Datenimporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden.
Benutzer. Kontaktpersonen (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (gegenwärtige, potenzielle, ehemalige) des Kunden, die die Dienstleistungen nutzen („Benutzer“).
Endbenutzer. Jede Person, (i) deren Kontaktdaten in der Kontaktliste(n) des Kunden enthalten sind; (ii) deren Informationen auf oder über die Dienste gespeichert oder gesammelt werden, oder (ii) an die der Kunde Mitteilungen sendet oder anderweitig über die Dienste angreift oder kommuniziert (zusammen „Endbenutzer“). Der Kunde bestimmt allein die Kategorien der betroffenen Personen, die in der Kommunikation über unsere Kommunikationsplattform enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten.
Personenbezogene Daten des Kunden, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthalten sind.
Kommunikationsinhalte, die personenbezogene Daten oder andere personalisierte Merkmale enthalten können, abhängig vom Kommunikationsinhalt, wie vom Kunden festgelegt.
Verkehrsdaten, die personenbezogene Daten des Kunden über die Leitung, Dauer oder Zeit einer Kommunikation wie Anruf, SMS oder E-Mail enthalten können, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung.
Nutzungsdaten des Kunden können Daten enthalten, die mit Ihnen als einer Person in statistischen Daten und Informationen in Bezug auf Ihr Konto und Ihre Serviceaktivitäten, Service bezogene Einblicke und analytische Berichte zur gesendeten Kommunikation und zum Kundensupport verknüpft werden können.
3. Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung erhalten haben), Führung eines Zugangsprotokolls zu den Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
Kommunikationsinhalte. Sensible Daten können gelegentlich über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer sensible Daten in die über die Dienste übermittelten Kommunikationsinhalte aufnehmen. Sie sind verantwortlich dafür, dass geeignete Vorkehrungen getroffen werden, bevor Sie selbst oder Ihre Endbenutzer sensible Daten über die Dienste übermitteln oder verarbeiten, gemäß Abschnitt 3.2 der Vereinbarung.
Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Es sind keine sensiblen Daten in Verkehrsdaten, Endbenutzerdaten oder Nutzungsdaten des Kunden enthalten.
4. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden kontinuierlich für die Dauer der Vereinbarung übertragen.
5. Art der Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden in dem Umfang, der erforderlich ist, um die Dienstleistungen im Rahmen der Vereinbarung bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich der personenbezogenen Daten des Kunden, und teilen keine personenbezogenen Daten mit Dritten für Vergütung oder für eigene geschäftliche Interessen dieser Drittparteien.
6. Zweck(e) der Datenübertragung und der weiteren Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, wie in dieser DPA festgelegt, es sei denn, die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der wir unterliegen, in diesem Fall stufen wir uns als Datenverantwortlicher ein.
Kommunikationsinhalte, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthaltenen personenbezogenen Daten unterliegen folgenden grundlegenden Verarbeitungstätigkeiten:
Kommunikationsinhalte. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienstleistungen, angeboten in Form von Anwendungsprogrammierschnittstellen (APIs) oder über das Dashboard, für den Kunden, einschließlich der Übermittlung an oder von der Softwareapplikation des Kunden von oder zu unserer Kommunikationsplattform und andere Kommunikationsnetze.
Verkehrsdaten. Verkehrsdaten werden für die Zwecke der Übertragung von Kommunikation über ein elektronisches Kommunikationsnetz oder für die Abrechnung in Bezug auf diese Kommunikation verarbeitet. Dies kann personenbezogene Daten des Kunden über die Leitung, Dauer oder Zeit einer Kommunikation wie Anruf, SMS oder E-Mail beinhalten, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
Endbenutzerdaten. Personenbezogene Daten von Endbenutzern sind erforderlich, um die Dienstleistungen zu erbringen und werden nur für die Zwecke der Kommunikationsübertragung, des Kundensupports und der Sicherstellung der Einhaltung unserer rechtlichen Verpflichtungen verarbeitet.
Nutzungsdaten des Kunden. Die in Nutzungsdaten des Kunden enthaltenen personenbezogenen Daten unterliegen den Verarbeitungstätigkeiten zur Bereitstellung der Dienstleistungen im Rahmen der Vereinbarung, mit dem Ziel, dem Kunden einblicke und analytische Berichte über die gesendete Kommunikation, den Kundensupport und die kontinuierliche Verbesserung der Dienstleistungen zu bieten.
7. Die Dauer, für die die personenbezogenen Daten aufbewahrt werden, oder, wenn das nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:
Kommunikationsinhalte und Verkehrsdaten.
Für Kommunikationsinhalte und Verkehrsdaten, die in den SMS und Voice Services enthalten sind, gilt eine Aufbewahrungszeit von sechs Monaten;
Für die Video Services werden Kommunikationsinhalte und Verkehrsdaten für mindestens 30 Tage bis zur Dauer, die mit Ihnen vereinbart wurde, aufbewahrt;
Für Email Services werden Kommunikationsinhalte und Verkehrsdaten für 72 Stunden aufbewahrt;
Für alle anderen Dienste werden Kommunikationsinhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen die Kommunikationsinhalte oder Verkehrsdaten über die Ihnen zur Verfügung gestellten technischen und organisatorischen Maßnahmen der Dienste.
Endbenutzerdaten. Endbenutzerdaten werden für die vom Kunden bestimmte Dauer verarbeitet, wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die Standard-Aufbewahrungsdauer die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
Nutzungsdaten des Kunden. Nach Beendigung des Vertrags können wir, gebrauchen und offenbaren wir die Nutzungsdaten des Kunden für die in Abschnitt 6(d) dieses Anhangs I, Teil B aufgeführten Zwecke, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir anonymisieren oder löschen die Nutzungsdaten des Kunden, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke benötigen.
8. Für Übertragungen an (Unter-)Auftragsverarbeiter angeben, Gegenstand, Art und Dauer der Verarbeitung: Für Übertragungen an Unterauftragsverarbeiter sind Gegenstand und Art der Verarbeitung in unserem Überblick über Unterauftragsverarbeiter aufgeführt, und die Dauer entspricht der Dauer des Vertrags.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
ANHANG II - TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN
Wo zutreffend, dient dieser Anhang II als Anhang II zu den Standardvertragsklauseln. Im Folgenden finden Sie weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die nachstehend aufgeführt sind.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz personenbezogener Daten bei Speicherung und Übertragung: Alle personenbezogenen Daten werden bei der Übertragung und in Ruhe verschlüsselt und soweit aus Sicherheitsperspektive relevant, so behandelt, als ob sie als sensible Daten klassifiziert wären. Informationen werden standardmäßig immer über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität und Verfügbarkeit sowie Widerstandsfähigkeit von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsklauseln mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Subprozessoren ab. Unsere Geschäftskontinuitätspolitik besteht darin, unser Geschäft und unsere Dienstleistungen im Falle längerer Ausfälle aufgrund von Faktoren, die außerhalb unserer Kontrolle liegen, vorzubereiten und die Dienstleistungen so schnell wie möglich wiederherzustellen. Wir verstehen, dass die von uns bereitgestellten Dienste für unsere Kunden von entscheidender Bedeutung sind und daher nur wenig Toleranz für Dienstunterbrechungen besteht. Unsere Wiederherstellungszeitpläne sind darauf ausgelegt, sicherzustellen, dass wir unsere Verpflichtungen gegenüber all unseren Kunden erfüllen können.
Prozesse zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Information Security Management System (ISMS) ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden zu minimieren, indem Sicherheitsvorfälle verhindert und Sicherheitsbedrohungen und Schwachstellen verwaltet werden. Unser Rechtsteam, Datenschutzbeauftragter und Sicherheitsteam stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmen einfließen.
Maßnahmen zur Benutzeridentifikation und -authentifizierung: Wir folgen den Prinzipien des „Wissen-müssen“ und „geringstes Privileg“. Wir fördern die Verwendung von rollenbasierter Zugriffskontrolle. Die Bereitstellung und Deprovisionierung wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA als Standard. Für jedes Informationsgut wurden Eigentümer definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Bei sensiblen Informationen oder kritischen Maßnahmen verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung: Audit-Protokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sicher aufbewahrt, um das Risiko einer Manipulation zu vermeiden. Die Richtlinie für das Vorfallmanagement erzwingt den Vorfallsreaktionsplan und dessen Verfahren. Diese Richtlinien werden eingehalten, wenn ein Sicherheits- oder technischer Vorfall auftritt.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich Standardkonfiguration: Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen der Produktionsumgebung der Communication Platform as a Service. Um dies weiter auszuführen, müssen alle Änderungsanforderungen (RFC) von einer designierten Partei genehmigt und gemäß dem formellen Change-Control-Prozess ausgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und kontrolliert freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden befolgt, um die Systeme sicher zu konfigurieren, indem Best Practices befolgt werden. Außerdem wird im Engineering Department ein Technologie-Radar verwendet, um zu definieren, welche Technologien (Sprachen, Plattformtools, Datenbanken und Datenmanagement-Tools) während der Entwicklung angenommen oder vermieden werden sollen.
Maßnahmen zur physischen Sicherheit: Alle Bird-Mitarbeiter arbeiten remote. Aufgrund der Remote-Working-Policy von Bird hat Bird eine Telearbeitspolitik eingeführt und durchgesetzt, die sicherstellt, dass Mitarbeiter remote auf sichere Weise arbeiten. Die Richtlinie erzwingt Mindestmaßnahmen in Bezug auf physische Sicherheit, Zugangssicherheit, Verbindungs- und Kommunikationssicherheit.
Maßnahmen zur internen IT- und IT-Sicherheitsführung und -management: Wir pflegen ein risikobasiertes Bewertungs-Sicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die darauf ausgelegt sind, die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert eingerichtet. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unseren Informationssicherheitsrichtlinien, -verfahren und -richtlinien übersetzt. Wir haben ein Sicherheitslenkungsausschuss, das für das taktische Niveau der Informationssicherheit verantwortlich ist. Dies beinhaltet die Koordination der Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit und unsere kontinuierliche Einhaltung der Vorschriften. Alle Mitarbeiter sind dafür verantwortlich, die Unternehmenswerte zu schützen. Alle unsere Mitarbeiter werden auf Fachkenntnisse, Erfahrung und Integrität überprüft. Mitarbeiter werden über Sicherheit und Datenschutz sowohl bei der Einarbeitung als auch durch regelmäßige teambasierte Schulungen und andere unternehmensweite Präsentationen über die Bedeutung des Datenschutzes und der Sicherheitskonformität informiert. Wir sind ISO 27001 zertifiziert, den weltweit anerkannten Informationssicherheitsstandards für Information Security Management Systems (ISMS).
Alle unsere Hosting-Anbieter sind ISO 27001 zertifiziert.
Wir sind auch bei der niederländischen Verbraucher- und Marktaufsichtsbehörde registriert. Das bedeutet, dass wir unseren Kunden gegenüber immer rechenschaftspflichtig und voll transparent sind.
Wir sind immer auf dem neuesten Stand mit allen geltenden Gesetzen und Vorschriften, einschließlich der Datenschutz-Grundverordnung und dem EU-US-Datenschutzrahmen.
Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten: Wir unterziehen uns sowohl strengen Überwachungen als auch Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001 Konformität und führen regelmäßig Anwendungs-schwachstellen- und Penetrationstests durch.
Maßnahmen zur Sicherstellung der Verantwortlichkeit: Wir implementieren Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen und veröffentlichen einen Überblick über unsere ISMS-relevanten Informationen in unserem MessageBird Security Overview. Wir haben einen dedizierten Director of Security, Information Security Officer, Compliance Officer und Datenschutzbeauftragten ernannt und führen Dokumentationen unserer Verarbeitungsaktivitäten, einschließlich der Aufzeichnung und Berichterstattung von Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten, wo zutreffend.
Maßnahmen zur Sicherstellung der Datenlöschung: Wir stellen die Datenlöschung durch einen automatisierten Löschprozess innerhalb unserer Kommunikations- und Infrastrukturumgebung sicher. Dieser Datenlöschprozess stellt sicher, dass alle Daten, die nicht mehr benötigt werden, um einen bestimmten Zweck zu erfüllen, nach der Verarbeitung aus unseren Systemen entfernt werden.
