Datenverarbeitungsvereinbarung
Zuletzt aktualisiert: 21. November 2024
Diese Datenverarbeitungsvereinbarung gilt für Sie bei allen Services, für die Sie sich anmelden (einschließlich über unsere Affiliates):
Ab dem Tag, an dem Sie sich für unsere Services anmelden, wenn das Datum am oder nach dem 21. November 2024 ist.
Ab dem 22. Dezember 2024, wenn Sie sich vor dem 21. November 2024 für unsere Services angemeldet haben.
Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge, („DPA“) ist Teil der Vereinbarung zwischen uns und dem Kunden für den Erwerb von (Online-)Kommunikationsdiensten von uns, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten des Kunden widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie als unseren Kunden (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“ oder „unser“ beziehen sich auf uns als den Anbieter (wie unten definiert). In dieser DPA verwendete, aber nicht definierte, großgeschriebene Begriffe sind in unseren Allgemeinen Geschäftsbedingungen oder einer anderen Vereinbarung mit uns definiert, die Ihre Nutzung der Dienste regelt.
Die Parteien vereinbaren, dass diese DPA jede bestehende Zusatzvereinbarung oder ähnliche Vereinbarung zum Datenschutz ersetzt, die die Parteien möglicherweise zuvor in Verbindung mit den Diensten abgeschlossen haben.
1. Geltungsbereich, Kundenverbände und Laufzeit
1.1 Anwendungsbereich. Diese DPA regelt die Verarbeitung von personenbezogenen Daten des Kunden durch uns als Auftragsverarbeiter.
1.2 Kundenverbände. Der Kunde tritt in dieser DPA im Namen und im Auftrag seiner selbst sowie, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbände (wie in den Bedingungen definiert) ein, sofern und insoweit Sie diesen Verbänden Zugang zu den Dienstleistungen gewähren und wir personenbezogene Daten des Kunden verarbeiten, für die solche Verbände als die verantwortliche Stelle gelten („Kundenverbände“). Für die Zwecke dieser DPA und es sei denn, es wird anders angegeben, umfassen die Begriffe „Kunde“ und „Sie“ sowohl den Kunden als auch die Kundenverbände.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange wir personenbezogene Daten des Kunden vor dem Hintergrund dieser DPA verarbeiten, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
“Account Data” sind alle personenbezogenen Daten, die von Ihnen oder für Sie im Zusammenhang mit dem Abschluss und der Verwaltung der Vereinbarung und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Abrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung der Vereinbarung und die damit verbundenen Dienstleistungen.
“CCPA” bezeichnet den California Consumer Privacy Act von 2018 und alle darunter erlassenen Vorschriften, in jedem Fall in der jeweils gültigen Fassung.
“Customer Data” bezeichnet alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) im Rahmen der Vereinbarung übermittelt und von den Dienstleistungen verarbeitet oder gespeichert werden.
“Customer Personal Data” bezeichnet personenbezogene Daten, die in Kundendaten enthalten sind und von uns als Auftragsverarbeiter verarbeitet werden, sofern in dieser DPA nicht anders angegeben.
“Data Protection Laws” bezeichnet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich beispielsweise und soweit zutreffend der DSGVO oder des CCPA.
“EEA” bezeichnet für die Zwecke dieser DPA den Europäischen Wirtschaftsraum und die Schweiz.
“GDPR” bezeichnet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) ausschließlich im Vereinigten Königreich das Datenschutzgesetz 2018.
“Personal Data” bezeichnet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen, sei es alleine oder in Kombination mit anderen Informationen.
“Personal Data Breach” bezeichnet jede unbeabsichtigte, unbefugte oder rechtswidrige Zerstörung, Verlust, Änderung, Offenlegung von oder Zugriff auf Kunden-Personendaten und jeden anderen ähnlichen Begriff gemäß den geltenden Datenschutzgesetzen wie „Sicherheitsverletzung“.
“Services” bezeichnet alle von uns oder unseren verbundenen Unternehmen bereitgestellten Produkte und Dienstleistungen, die (a) von Ihnen gemäß einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
“Provider” bezeichnet unser Vertragsunternehmen, das Partei dieses DPA ist, das im Abschnitt 15 der Allgemeinen Geschäftsbedingungen (Vertragsunternehmen) aufgeführt ist, sofern auf Ihrem Bestellformular nichts anderes angegeben ist. Sie oder der Provider können auch einzeln als „Party“ und zusammen als „Parties“ in diesem DPA bezeichnet werden.
“Standard Contractual Clauses” bedeutet Controller zu Prozessor (Modul Zwei) oder Prozessor zu Prozessor (Modul Drei), je nachdem, was zutrifft, aus den Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021 genehmigt wurden, erhältlich unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“Sub-processor” bezeichnet eine dritte Partei, die Kunden-Personendaten im Auftrag des Providers verarbeitet, wenn der Provider als Datenverarbeiter oder Unterverarbeiter agiert.
“UK Standard Contractual Clauses” bedeutet eine oder alle der folgenden: (i) internationales Datenübertragungsabkommen, das vom britischen Informationskommissar gemäß Abschnitt 119A des DPA 2018 herausgegeben wurde; (ii) das internationale Datenübertragungs-Zusatzdokument zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, herausgegeben vom britischen Informationskommissar gemäß Abschnitt 119A des DPA 2018; oder (iii) solche Standardvertragsbestimmungen, die vom britischen Informationskommissar oder der Europäischen Kommission erlassen werden können, um diese von Zeit zu Zeit zu ersetzen.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen in der DSGVO zugewiesen ist. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verbraucher“, „Verantwortlicher“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstleister“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Einzelperson“; und „Personendaten“ umfasst „persönliche Informationen“, jeweils wie im CCPA und anderen anwendbaren Datenschutzgesetzen definiert. Die Begriffe „geschäftlicher Zweck“, „kommerzieller Zweck“, „verkaufen“ und „teilen“ haben die gleiche Bedeutung wie in den anwendbaren Datenschutzgesetzen und, in jedem Fall, werden ihre verwandten Begriffe entsprechend ausgelegt.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir werden Kunden-Personaldaten nur in dem notwendigen Umfang verarbeiten (i) um die Dienstleistungen bereitzustellen, einschließlich der Übertragung von Kommunikation, zur Sicherstellung der Sicherheit der Dienstleistungen, zur Bereitstellung technischer und Zustellberichte, zur Bereitstellung von Unterstützung und zur Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA festgelegt, (ii) für unsere berechtigten Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher festgelegt, und (iii) wie anderweitig gemäß geltendem Recht erforderlich.
3.2 Kundenanweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung konsistent.
3.3 Details der Verarbeitung. Anhang I, Teil B (Beschreibung der Übertragung) des Anhangs I zu dieser DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Subverarbeiter, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten von Personaldaten und die Kategorien von betroffenen Personen.
3.4 Berechtigte Geschäftszwecke. Sie erkennen an, dass wir Kunden-Personaldaten als unabhängiger Datenverantwortlicher in dem notwendigen Umfang für die folgenden berechtigten Geschäftszwecke verarbeiten: Abrechnung, Kontoverwaltung, finanzielle und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffe und Cyberkriminalität, die Sie, uns oder unsere Dienstleistungen betreffen können, Geschäftsmodellierung (z.B. Prognosen, Kapazitäts- und Umsatzplanung und Produktstrategie), Betrug, Spam- und Missbrauchsprävention und -erkennung, kontinuierliche Verbesserung der von Ihnen verwendeten Produkte und Dienstleistungen und zur Einhaltung unserer gesetzlichen Verpflichtungen.
4. Kundenpflichten
4.1 Lawfulness. Wenn Sie als Datenverantwortlicher für Kundenpersonenbezogene Daten agieren, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen spezifischen Zweck haben und alle erforderlichen Mitteilungen und Einwilligungen oder sonstige geeignete rechtliche Grundlagen vorhanden sind, um den rechtmäßigen Transfer der Kundenpersonenbezogenen Daten zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall agieren wir als Unterauftragsverarbeiter), stellen Sie sicher, dass der relevante Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind ausschließlich verantwortlich für (a) die Gewährleistung der Einhaltung der auf Ihre Nutzung der Dienstleistungen und Ihre eigene Verarbeitung von Kundenpersonenbezogenen Daten anwendbaren Datenschutzgesetze, (b) die eigenständige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienstleistungen Ihren Anforderungen entsprechen, und (c) die Implementierung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Dienstleistungen und Kundenanwendungen verwendet werden).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um Kundendaten vor Verletzungen personenbezogener Daten zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der Kundendaten zu bewahren, die unsere Systeme zur Verarbeitung personenbezogener Daten verwenden. Die von uns angewandten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns bereitgestellten Informationen in Bezug auf die Sicherheit der Kundendaten zu prüfen und eine unabhängige Bewertung vorzunehmen, ob diese Informationen Ihre Anforderungen und rechtlichen Verpflichtungen gemäß den Datenschutzgesetzen erfüllen. Sie erkennen an, dass die Sicherheitsmaßnahmen technische Fortschritte und Entwicklungen unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Kundendaten führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien des „Need to know“ und „Least privilege“ an, um sicherzustellen, dass der Zugriff auf Kundendaten auf das Personal beschränkt ist, das für die Bereitstellung der Services erforderlich ist und im Einklang mit dem Vertrag, einschließlich dieser DPA, steht.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, Kundendaten zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Sub-Prozessoren), über die vertrauliche Natur dieser Kundendaten informiert wird und einer angemessenen Geheimhaltungsverpflichtung (sei es eine vertragliche oder gesetzliche Pflicht) unterliegt, die über das Ende ihres Engagements hinaus bestehen bleibt.
5.5 Reaktion und Benachrichtigung bei Verletzung personenbezogener Daten. Sobald wir von einer Verletzung personenbezogener Daten Kenntnis erlangen, werden wir Sie unverzüglich (i) benachrichtigen, (ii) die Verletzung personenbezogener Daten untersuchen, (iii) rechtzeitig Informationen in Bezug auf die Verletzung personenbezogener Daten bereitstellen, sobald diese bekannt werden oder wie vernünftigerweise von Ihnen angefordert, und (iv) wirtschaftlich angemessene Schritte unternehmen, um die Auswirkungen zu mindern und eine erneute Auftreten der Verletzung personenbezogener Daten zu verhindern.
6. Unterstützung
6.1 Unterstützung zum Datenschutz. Wir werden Ihnen in angemessenem Umfang Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich der Benachrichtigung über eine Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten der betroffenen Personen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den betroffenen Personen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zum Verständnis: Sie als der für die Datenverarbeitung Verantwortliche sind verantwortlich für die Bearbeitung etwaiger Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei der Offenlegung und dem Zugang. Wir werden keinen Zugang zu Kunden-Personaldaten gewähren oder diese offenlegen, außer (i) auf Ihre Anweisung, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wie gesetzlich vorgeschrieben.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde erhalten, Kunden-Personaldaten offenzulegen, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsrichtlinie behandeln, die auf unserer Website hier verfügbar ist.
8. Unterauftragnehmer
8.1 Liste der aktuellen Unterauftragsverarbeiter. Sie stimmen der Einbindung der Unterauftragsverarbeiter in Bezug auf die Services zu, die in unserem Überblick über Unterauftragsverarbeiter aufgeführt sind, der auch ein Verfahren enthält, mit dem Sie sich für Benachrichtigungen über Änderungen unserer Nutzung von Unterauftragsverarbeitern anmelden können. Wenn Sie sich für solche Benachrichtigungen anmelden, und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Details zu jeder Änderung der Unterauftragsverarbeiter so schnell wie möglich mitteilen.
8.2 Ernennung von Unterauftragsverarbeitern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter für die Verarbeitung von Kundendaten zu beauftragen, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugriff der Unterauftragsverarbeiter auf Kundendaten auf das unbedingt erforderliche Maß beschränken, um die im Unterauftragsverarbeitungsvertrag spezifizierten Services bereitzustellen;
Wir werden mit dem Unterauftragsverarbeiter Datenschutzpflichten vereinbaren, die im Wesentlichen den Verpflichtungen aus dieser DPA entsprechen; und
Wir bleiben Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzpflichten des Unterauftragsverarbeiters haftbar.
8.3 Benachrichtigung über Änderungen der Unterauftragsverarbeiter und Widerspruchsrecht. Bevor wir neue Unterauftragsverarbeiter ersetzen oder beauftragen („Änderung des Unterauftragsverarbeiters“), bieten wir Ihnen die Möglichkeit, gegen die Änderung des Unterauftragsverarbeiters Einspruch zu erheben. Sie können gegen eine Änderung des Unterauftragsverarbeiters Einspruch erheben, sofern (i) der Einspruch schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über die Änderung des Unterauftragsverarbeiters erfolgt und (ii) der Einspruch auf vernünftigen Gründen in Bezug auf den Schutz von Kundendaten basiert und diese vernünftig erklärt. Wenn Sie gegen eine vorgeschlagene Änderung des Unterauftragsverarbeiters Einspruch erheben, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine wirtschaftlich angemessene Änderung in der Bereitstellung der Services vorzunehmen, die die Nutzung des betreffenden Unterauftragsverarbeiters vermeidet. Wenn eine solche Änderung nicht innerhalb von dreißig (30) Tagen nach Erhalt Ihrer Einspruchsmitteilung vernünftigerweise vorgenommen werden kann oder wenn die Änderung für uns wirtschaftlich unvernünftig ist, kann jede Partei die betreffenden Funktionen der Services kündigen, die ohne die Nutzung des betreffenden Unterauftragsverarbeiters nicht bereitgestellt werden können. Dieses Kündigungsrecht ist Ihr einziges und ausschließliches Rechtsmittel, wenn Sie gegen eine Änderung des Unterauftragsverarbeiters Einspruch erheben.
9. Grenzüberschreitende Übertragungen von persönlichen Daten der Kunden
9.1 Übertragungen von personenbezogenen Daten der Kunden. Wir können personenbezogene Daten der Kunden übertragen, sofern alle erforderlichen angemessenen Sicherheitsvorkehrungen gemäß den Datenschutzgesetzen getroffen werden. Dies kann die vorherige Durchführung einer Datenschutzfolgenabschätzung, die Einführung, Überwachung und Bewertung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen und die Verfügbarkeit wirksamer Rechtsbehelfe für die betroffenen Personen umfassen.
9.2 Standardvertragsklauseln für Subunternehmer. Sofern keine Angemessenheitsentscheidung oder ein alternatives Übertragungsmechanismus wie das EU-US-Datenschutzschild Anwendung findet, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften) abgeschlossen und werden diese aufrechterhalten, die sich außerhalb des EWR befinden, gemäß den in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten der Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten der Kunden rechtmäßig aus einer Jurisdiktion (z.B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Jurisdiktion zu exportieren, findet dieser Abschnitt Anwendung. Wenn im Rahmen der Dienste personenbezogene Daten der Kunden, die dem GDPR oder einem anderen Recht zum Schutz oder zur Privatsphäre von Einzelpersonen unterliegen, an eine Anbieterentität übermittelt werden, die sich in Ländern befindet, die keinen angemessenen Schutz gemäß den Datenschutzgesetzen gewährleisten, gelten die nachstehend aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien durchgesetzt werden, soweit diese Übertragungen den Datenschutzgesetzen unterliegen.
9.3.1 Die Parteien stimmen zu, dass die Standardvertragsklauseln auf personenbezogene Daten der Kunden angewendet werden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder über eine Weiterübertragung, an eine Anbieterentität in einem Land außerhalb des EWR oder der Schweiz übertragen werden, das von der Europäischen Kommission (oder, im Fall von Übertragungen aus der Schweiz, der zuständigen Behörde der Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.
9.3.1.1 Wenn Sie als Verantwortlicher handeln und wir als Auftragsverarbeiter, gelten die EU-Vereinbarungen für Verantwortliche und Auftragsverarbeiter (Modul Zwei) der Standardvertragsklauseln für jede solche Übertragung personenbezogener Daten der Kunden aus dem EWR. Wenn Sie als Auftragsverarbeiter handeln und wir als Subunternehmer, gelten die Vereinbarungen für Auftragsverarbeiter (Modul Drei) der Standardvertragsklauseln für jede solche Übertragung personenbezogener Daten der Kunden aus dem EWR.
9.3.1.2 Wir werden als Datenimporteur und Sie als Datenexporteur unter den Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als in diese DPA integriert gelten. Die in Anhang 1 und Anhang 2 zu den Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II zu dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten der Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie folgt getan:
i. Die optionale Klausel 7 "Anschlussklausel" wird nicht angenommen.
ii. Für Klausel 9 "Einsatz von Subunternehmern" wählen die Parteien die folgende Option: "Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur wird den Verantwortlichen in schriftlicher Form über beabsichtigte Änderungen dieser Liste durch die Hinzufügung oder den Austausch von Subunternehmern mindestens 10 Geschäftstage im Voraus informieren, um dem Verantwortlichen ausreichend Zeit zu geben, solchen Änderungen vor der Beauftragung des Subunternehmers zu widersprechen. Der Datenimporteur wird dem Datenexporteur die notwendigen Informationen bereitstellen, um dem Datenexporteur zu ermöglichen, sein Widerspruchsrecht auszuüben. Der Datenimporteur wird den Datenexporteur über die Beauftragung der Subunternehmer informieren."
iii. Für Klausel 11 (a) "Abhilfe" nehmen die Parteien die Option nicht an.
iv. Für Klausel 17 "Anwendbares Recht" wählen die Parteien die folgende Option: "Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigtenrechte zulässt. Die Parteien stimmen zu, dass dies das Recht der Niederlande sein wird."
v. Für Klausel 18 (b) "Gerichtsstand und Zuständigkeit": "Die Parteien sind sich einig, dass dies die Gerichte der Niederlande sein werden."
9.3.2 Die Parteien stimmen zu, dass die UK Standardvertragsklauseln auf personenbezogene Daten der Kunden angewendet werden, die über die Dienste aus dem Vereinigten Königreich, entweder direkt oder über eine Weiterübertragung, an eine Anbieterentität in einem Land außerhalb des Vereinigten Königreichs übertragen werden, das von der zuständigen Aufsichtsbehörde oder staatlichen Stelle des Vereinigten Königreichs nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet.
9.3.2.1 Wir werden als Datenimporteur und Sie als Datenexporteur unter den UK Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK Standardvertragsklauseln angesehen, die als in diese DPA integriert gelten. Die in den UK Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II zu dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den UK Standardvertragsklauseln haben die UK Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten der Kunden aus dem Vereinigten Königreich Vorrang.
10. Prüfung
10.1 Audit Report. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001-Standard (oder einem gleichwertigen) geprüft. Das Audit kann, nach unserem alleinigen Ermessen, ein internes Audit oder ein von einer dritten Partei durchgeführtes Audit sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung des Auditberichts („Audit Report“) zur Verfügung, damit Sie unsere Einhaltung der Auditstandards und dieser DPA überprüfen können. Solche Auditberichte sowie alle darin enthaltenen Schlussfolgerungen oder Feststellungen sind unsere vertraulichen Informationen.
10.2 Kundeninformationsanfragen. Wir stellen Ihnen alle Informationen zur Verfügung, die vernünftigerweise notwendig sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen geben, die Sie stellen, einschließlich Antworten auf Informationssicherheits- und Auditfragebögen, die in Umfang vernünftig und notwendig sind, um die Einhaltung dieser DPA zu bestätigen, vorausgesetzt, dass Sie (i) zunächst eine angemessene Anstrengung unternommen haben, die angeforderten Informationen aus den von uns bereitgestellten oder öffentlich gemachten Unterlagen, Auditberichten und anderen Informationen zu erhalten, und (ii) dieses Recht nicht öfter als einmal pro Jahr ausüben, es sei denn, ein Verstoß gegen personenbezogene Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten im Zusammenhang mit den Services erfordert die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns an Sie bereitgestellter Auditbericht Ihnen begründeten Anlass gibt zu glauben, dass wir gegen unsere Verpflichtungen aus dieser DPA bezüglich der von Ihnen bereitgestellten Kundenpersonaldaten verstoßen, gestatten wir einem unabhängigen und qualifizierten Drittauditor, der von Ihnen ernannt und von uns genehmigt wird, die relevanten und anwendbaren Verarbeitungstätigkeiten der personenbezogenen Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen im größtmöglichen gesetzlich zulässigen Umfang erfüllt sind:
Sie müssen uns mindestens sechzig (60) Tage vorher eine angemessene Vorankündigung machen, bevor Sie das Prüfungsrecht ausüben;
Der Auditor stimmt mit uns marktüblichen Vertraulichkeitsverpflichtungen zu;
Sie und der Auditor ergreifen Maßnahmen, um die Störung unserer Geschäftsabläufe zu minimieren;
Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
Wir sind nicht verpflichtet, Zugang zu Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Services beteiligt sind, zu gewähren; und
Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Ihnen gehörenden personenbezogenen Daten der Kunden (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder Ihnen zurückgeben, es sei denn, diese Anforderung gilt nicht insoweit, als wir gesetzlich verpflichtet sind, einige oder alle personenbezogenen Daten der Kunden aufzubewahren. Wenn Sie uns anweisen, personenbezogene Daten der Kunden zu löschen, werden die archivierten personenbezogenen Daten der Kunden in unseren Backup-Systemen von weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und für Rechnung eines Kundenangehörigen, wie in Abschnitt 1.2 dargelegt, stellt ein separates DPA zwischen uns und diesem Kundenangehörigen dar, vorbehaltlich Folgendem:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, alle Mitteilungen bezüglich dieses DPA im Namen seiner Kundenangehörigen zu machen und zu empfangen.
12.2 Rechte der Kundenangehörigen. Wenn ein Kundenangehöriger Partei des DPA mit uns wird, ist er, soweit nach den Datenschutzgesetzen erforderlich, berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu fordern, vorbehaltlich Folgendem:
(i) Sofern die Datenschutzgesetze nicht verlangen, dass der Kundenangehörige ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen uns selbst ausübt, stimmen die Parteien zu, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausübt oder ein solches Rechtsmittel im Namen des Kundenangehörigen fordert und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, die Rechte aus diesem DPA nicht separat für jeden Kundenangehörigen einzeln, sondern in einer kombinierten Art und Weise für sich selbst und alle seine Kundenangehörigen zusammen ausübt.
(ii) Die Parteien stimmen zu, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn ein Vor-Ort-Audit der Verfahren, die für den Schutz von Kundendaten relevant sind, in seinem Namen durchgeführt wird, wie in Abschnitt 10.3 dieses DPA festgelegt, alle angemessenen Maßnahmen ergreift, um jegliche Auswirkungen auf uns zu begrenzen, indem er, soweit dies mit angemessenem Aufwand möglich ist, mehrere Audit-Anfragen, die im Namen von sich selbst und allen seinen Kundenangehörigen durchgeführt werden, in einem einzigen Audit kombiniert.
Zur Klarstellung, ein Kundenangehöriger wird keine vertragliche Partei des Vertrags.
13. Gesetz zum Schutz der Privatsphäre der Verbraucher von Kalifornien.
Soweit zutreffend, machen wir Ihnen gegenüber folgende zusätzliche Verpflichtungen in Bezug auf die Verarbeitung von Kundendaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen nach den U.S.-Datenschutzgesetzen. Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die ihnen im CCPA zugewiesene Bedeutung. Soweit anwendbar, werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren U.S.-Datenschutzgesetzen unterliegen („U.S.-Personendaten“), gemäß den Bestimmungen des CCPA und anderer U.S.-Datenschutzgesetze behandeln. In Bezug auf U.S.-Personendaten sind wir ein Dienstleister nach dem CCPA und ein Datenverarbeiter nach anderen U.S.-Datenschutzgesetzen. Wir werden keine U.S.-Personendaten verkaufen. Wir werden keine U.S.-Personendaten (i) für einen anderen Zweck als die im Vertrag festgelegten Geschäftszwecke (einschließlich der Beibehaltung, Nutzung oder Offenlegung von U.S.-Personendaten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten Geschäftszweck entspricht oder anderweitig durch den CCPA oder geltende Gesetze erlaubt ist) oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
13.2 Kundenpflichten. Sie erklären und garantieren, dass Sie den Endnutzer darüber informiert haben, dass die personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen verwendet oder geteilt werden. Sie sind für die Einhaltung der Anforderungen der Datenschutzgesetze verantwortlich, soweit sie für Sie als Datenverantwortlicher zutreffen.
14. Anwendbares Recht und Streitbeilegung
Jede Streitigkeit, Forderung oder Kontroverse („Dispute“), die sich aus dieser DPA ergibt oder damit in Zusammenhang steht, unterliegt den Gesetzen der Niederlande und wird in Übereinstimmung mit diesen ausgelegt. Jede Partei stimmt zu, dass die zuständigen Gerichte von Amsterdam, Niederlande, die ausschließliche Zuständigkeit haben, um alle Streitigkeiten, die sich aus dieser DPA ergeben oder damit in Zusammenhang stehen, beizulegen.
ANHANG I - DETAILS DER VERARBEITUNG
Diese Anlage I dient, soweit anwendbar, als Anhang I zu den Standardvertragsklauseln.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Kundenkonto angegebene Adresse, oder die E-Mail-Adresse des Konto-Inhabers des Kunden, oder die E-Mail-Adresse(n), an die der Kunde festlegt, Benachrichtigungen gemäß der Vereinbarung zu erhalten.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs wird in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum: Soweit und wenn anwendbar, gilt der Datenexporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
Datenimporteur: Anbieter
Kontaktdaten des Datenimporteurs: Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur agiert als Datenverarbeiter.
Unterschrift und Datum: Soweit und wenn anwendbar, gilt der Datenimporteur als Unterzeichner der hierin enthaltenen Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden.
Benutzer. Kontaktpersonen (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (gegenwärtige, potenzielle, ehemalige) des Kunden, die die Dienstleistungen nutzen („Benutzer“).
Endbenutzer. Jede Person, (i) deren Kontaktdaten in der Kontaktliste(n) des Kunden enthalten sind; (ii) deren Informationen auf oder über die Dienste gespeichert oder gesammelt werden, oder (ii) an die der Kunde Mitteilungen sendet oder anderweitig über die Dienste angreift oder kommuniziert (zusammen „Endbenutzer“). Der Kunde bestimmt allein die Kategorien der betroffenen Personen, die in der Kommunikation über unsere Kommunikationsplattform enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten.
Personenbezogene Daten des Kunden, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthalten sind.
Kommunikationsinhalte, die personenbezogene Daten oder andere personalisierte Merkmale enthalten können, abhängig vom Kommunikationsinhalt, wie vom Kunden festgelegt.
Verkehrsdaten, die personenbezogene Daten des Kunden über die Leitung, Dauer oder Zeit einer Kommunikation wie Anruf, SMS oder E-Mail enthalten können, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung.
Nutzungsdaten des Kunden können Daten enthalten, die mit Ihnen als einer Person in statistischen Daten und Informationen in Bezug auf Ihr Konto und Ihre Serviceaktivitäten, Service bezogene Einblicke und analytische Berichte zur gesendeten Kommunikation und zum Kundensupport verknüpft werden können.
3. Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung erhalten haben), Führung eines Zugangsprotokolls zu den Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
Kommunikationsinhalte. Sensible Daten können gelegentlich über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer sensible Daten in die über die Dienste übermittelten Kommunikationsinhalte aufnehmen. Sie sind verantwortlich dafür, dass geeignete Vorkehrungen getroffen werden, bevor Sie selbst oder Ihre Endbenutzer sensible Daten über die Dienste übermitteln oder verarbeiten, gemäß Abschnitt 3.2 der Vereinbarung.
Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Es sind keine sensiblen Daten in Verkehrsdaten, Endbenutzerdaten oder Nutzungsdaten des Kunden enthalten.
4. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden kontinuierlich für die Dauer der Vereinbarung übertragen.
5. Art der Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden in dem Umfang, der erforderlich ist, um die Dienstleistungen im Rahmen der Vereinbarung bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich der personenbezogenen Daten des Kunden, und teilen keine personenbezogenen Daten mit Dritten für Vergütung oder für eigene geschäftliche Interessen dieser Drittparteien.
6. Zweck(e) der Datenübertragung und der weiteren Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, wie in dieser DPA festgelegt, es sei denn, die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der wir unterliegen, in diesem Fall stufen wir uns als Datenverantwortlicher ein.
Kommunikationsinhalte, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthaltenen personenbezogenen Daten unterliegen folgenden grundlegenden Verarbeitungstätigkeiten:
Kommunikationsinhalte. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienstleistungen, angeboten in Form von Anwendungsprogrammierschnittstellen (APIs) oder über das Dashboard, für den Kunden, einschließlich der Übermittlung an oder von der Softwareapplikation des Kunden von oder zu unserer Kommunikationsplattform und andere Kommunikationsnetze.
Verkehrsdaten. Verkehrsdaten werden für die Zwecke der Übertragung von Kommunikation über ein elektronisches Kommunikationsnetz oder für die Abrechnung in Bezug auf diese Kommunikation verarbeitet. Dies kann personenbezogene Daten des Kunden über die Leitung, Dauer oder Zeit einer Kommunikation wie Anruf, SMS oder E-Mail beinhalten, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
Endbenutzerdaten. Personenbezogene Daten von Endbenutzern sind erforderlich, um die Dienstleistungen zu erbringen und werden nur für die Zwecke der Kommunikationsübertragung, des Kundensupports und der Sicherstellung der Einhaltung unserer rechtlichen Verpflichtungen verarbeitet.
Nutzungsdaten des Kunden. Die in Nutzungsdaten des Kunden enthaltenen personenbezogenen Daten unterliegen den Verarbeitungstätigkeiten zur Bereitstellung der Dienstleistungen im Rahmen der Vereinbarung, mit dem Ziel, dem Kunden einblicke und analytische Berichte über die gesendete Kommunikation, den Kundensupport und die kontinuierliche Verbesserung der Dienstleistungen zu bieten.
7. Die Dauer, für die die personenbezogenen Daten aufbewahrt werden, oder, wenn das nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:
Kommunikationsinhalte und Verkehrsdaten.
Für Kommunikationsinhalte und Verkehrsdaten, die in den SMS und Voice Services enthalten sind, gilt eine Aufbewahrungszeit von sechs Monaten;
Für die Video Services werden Kommunikationsinhalte und Verkehrsdaten für mindestens 30 Tage bis zur Dauer, die mit Ihnen vereinbart wurde, aufbewahrt;
Für Email Services werden Kommunikationsinhalte und Verkehrsdaten für 72 Stunden aufbewahrt;
Für alle anderen Dienste werden Kommunikationsinhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen die Kommunikationsinhalte oder Verkehrsdaten über die Ihnen zur Verfügung gestellten technischen und organisatorischen Maßnahmen der Dienste.
Endbenutzerdaten. Endbenutzerdaten werden für die vom Kunden bestimmte Dauer verarbeitet, wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die Standard-Aufbewahrungsdauer die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
Nutzungsdaten des Kunden. Nach Beendigung des Vertrags können wir, gebrauchen und offenbaren wir die Nutzungsdaten des Kunden für die in Abschnitt 6(d) dieses Anhangs I, Teil B aufgeführten Zwecke, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir anonymisieren oder löschen die Nutzungsdaten des Kunden, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke benötigen.
8. Für Übertragungen an (Unter-)Auftragsverarbeiter angeben, Gegenstand, Art und Dauer der Verarbeitung: Für Übertragungen an Unterauftragsverarbeiter sind Gegenstand und Art der Verarbeitung in unserem Überblick über Unterauftragsverarbeiter aufgeführt, und die Dauer entspricht der Dauer des Vertrags.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
ANHANG II - TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN
Wo zutreffend, dient dieser Anhang II als Anlage II der Standardvertragsklauseln. Das Folgende liefert weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die unten dargelegt sind.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz personenbezogener Daten bei Speicherung und Übertragung: Alle personenbezogenen Daten werden bei Übertragung und im Ruhezustand verschlüsselt und, soweit sicherheitsrelevant, so behandelt, als ob sie als sensible Daten eingestuft wären. Informationen werden stets standardmäßig über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsbestimmungen mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Sub-Prozessoren ab. Unsere Geschäftskontinuitätspolitik besteht darin, unser Geschäft und unsere Dienstleistungen für den Fall längerer Ausfälle, die durch Faktoren außerhalb unserer Kontrolle verursacht werden, vorzubereiten und die Dienstleistungen in kürzester Zeit so weit wie möglich wiederherzustellen. Wir verstehen, dass die von uns bereitgestellten Dienste für unsere Kunden geschäftskritisch sind und haben daher sehr wenig Toleranz für Dienstunterbrechungen. Unsere Wiederherstellungszeiträume sind so ausgelegt, dass wir unsere Verpflichtungen gegenüber all unseren Kunden erfüllen können
Prozesse zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Information Security Management System (ISMS) ist es, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierte) Informationssysteme zu schützen und das Schadensrisiko durch die Verhinderung von Sicherheitsvorfällen und das Management von Sicherheitsbedrohungen und Schwachstellen zu minimieren. Unser Rechtsteam, Datenschutzbeauftragter und Sicherheitsteam stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmen einbezogen werden.
Maßnahmen für Benutzeridentifikation und -autorisation: Wir folgen den Prinzipien des "Need to Know" und "Least Privilege". Wir fördern die Nutzung von rollenbasierten Zugriffskontrollen. Die Bereitstellung und Entsperrung wird vom Sicherheitsteam überwacht, wobei Single-Sign-On und 2FA standardmäßig verwendet werden. Für jedes Informationsasset wurden Eigentümer definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugriff auf ihre Systeme angemessen und regelmäßig überprüft wird. Wann immer mit sensiblen Informationen gearbeitet oder kritische Maßnahmen ergriffen werden, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung: Prüfprotokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sicher aufbewahrt, um ein Risiko der Manipulation zu vermeiden. Die Incident Management Richtlinie erzwingt den Incident Response Plan und seine Verfahren. Diese Leitlinien werden befolgt, wenn jegliche Art von Sicherheits- oder technischen Vorfällen auftritt.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen in der Produktionsumgebung der Kommunikationsplattform als Dienstleistung. Um dies näher zu erläutern, müssen alle Anfragen für Änderungen (RFC) von einer designierten Partei genehmigt und gemäß dem formalen Änderungssteuerungsprozess durchgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen in einer kontrollierten Weise überprüft, autorisiert, getestet, implementiert und freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsbaselines werden befolgt, um die Systeme sicher zu konfigurieren, indem Best Practices befolgt werden. Auch innerhalb der Engineering-Abteilung wird ein Tech Radar verwendet, um zu definieren, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung eingeführt oder vermieden werden können.
Maßnahmen für physische Sicherheit: Alle Bird-Mitarbeiter arbeiten remote. Aufgrund der Remote-Arbeitsrichtlinie von Bird hat Bird eine Telearbeitsrichtlinie implementiert und durchgesetzt, die sicherstellt, dass Mitarbeiter remote auf sichere Weise arbeiten. Die Richtlinie erzwingt Mindestmaßnahmen zur physischen Sicherheit, Zugangssicherheit, Verbindungs- und Kommunikationssicherheit.
Maßnahmen für interne IT- und IT-Sicherheitsführung und -management: Wir unterhalten ein risikobasiertes Bewertungssicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die zum Schutz der Dienste und der Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten ausgelegt sind. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert. Darüber hinaus gelten gesetzliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unsere Informationssicherheitspolitiken, -verfahren und -richtlinien übersetzt. Wir haben ein Sicherheitslenkungsausschuss, der für das taktische Niveau der Informationssicherheit verantwortlich ist. Dies beinhaltet die Koordination von Informationssicherheitsaktivitäten und die Umsetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Einhaltung der gesetzlichen Vorschriften. Alle Mitarbeiter sind verantwortlich für den Schutz der Unternehmensressourcen. Alle unsere Mitarbeiter werden auf Fähigkeiten, Erfahrung und Integrität überprüft. Mitarbeiter werden über Sicherheit und Datenschutz bei der Einführung sowie durch regelmäßige teamspezifische Schulungen und andere unternehmensweite Veranstaltungen über die Bedeutung von Datenschutz und Sicherheitskonformität informiert. Wir sind nach ISO 27001 zertifiziert, dem weltweit anerkannten Informationssicherheitsstandard für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind nach ISO 27001 zertifiziert.
Wir sind auch bei der niederländischen Behörde für Verbraucher und Märkte registriert. Das bedeutet, dass wir immer rechenschaftspflichtig und völlig transparent gegenüber unseren Kunden sind.
Wir sind assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen von Mobilfunkbetreibern weltweit.
Wir sind stets auf dem neuesten Stand aller geltenden Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung und des EU-US-Datenschutzrahmens.
Maßnahmen für Zertifizierungen/Überprüfung von Prozessen und Produkten: Wir unterziehen uns strengen Überwachungen sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001-Compliance und führen regelmäßig Anwendungssicherheitstests und Penetrationstests durch.
Maßnahmen zur Gewährleistung der Verantwortlichkeit: Wir setzen Informationssicherheits- und Datenschutzrichtlinien gemäß den anwendbaren Gesetzen um und veröffentlichen eine Übersicht über unsere ISMS-relevanten Informationen (link). Wir haben einen dedizierten Sicherheitsdirektor, Informationssicherheitsbeauftragten, Compliance-Beauftragten und Datenschutzbeauftragten ernannt und pflegen Unterlagen über unsere Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen, die personenbezogene Daten betreffen, soweit anwendbar.
Maßnahmen zur Sicherstellung der Datenlöschung: Wir gewährleisten die Datenlöschung durch einen automatisierten Löschprozess innerhalb unserer Kommunikations- und Infrastrukturumgebung. Dieser Datenlöschprozess stellt sicher, dass alle Daten, die nicht mehr benötigt werden, um einen bestimmten Zweck zu erfüllen, nach der Verarbeitung aus unseren Systemen entfernt werden.