Data Processing Annex 2019

Diese Datenverarbeitungsvereinbarung (DPA) gilt für alle Verarbeitungen personenbezogener Daten von Endnutzern, die Sie (Kunde) MessageBird B.V. (MessageBird) über die Dienste von MessageBird bereitstellen, wie in einer separaten Vereinbarung (Dienste) separat definiert. Diese DPA gilt zusätzlich zu den Allgemeinen Geschäftsbedingungen von MessageBird oder der Hauptservicevereinbarung, je nachdem, was auf den Kunden und MessageBird (zusammen: die Parteien) anwendbar ist (Vereinbarung). Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bestimmungen der Vereinbarung und dieser DPA hat die DPA Vorrang.

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „Verletzung des Schutzes personenbezogener Daten“ usw. haben die Bedeutung, die ihnen gemäß der geltenden Datenschutzgesetzgebung zugewiesen wird (Datenschutzgesetzgebung), mit Ausnahme der Definition von (Unter-)Verarbeiter, die Telekommunikationsträger und andere Telekommunikationsdienstanbieter ausdrücklich ausschließt, die für den Betrieb der Dienste als notwendig erachtet werden, jedoch, da solche Parteien lediglich als Vermittler oder als unabhängige Datenverantwortliche agieren, nicht unter die Definition des Datenverarbeiters fallen, wie in der Datenschutzgesetzgebung angegeben.

Kunde und MessageBird erkennen beide an und verstehen, dass in Bezug auf die Verarbeitung personenbezogener Daten von Endnutzern („betroffene Personen“), die der Kunde MessageBird auf der Grundlage der Dienste bereitstellt, MessageBird der Datenverarbeiter ist.

1. Kunde weist hiermit MessageBird an, die personenbezogenen Daten der betroffenen Personen in dem Umfang zu verarbeiten, der erforderlich ist, um die Dienste im Rahmen der Vereinbarung zu erbringen.

1. MessageBird wird in Bezug auf sämtliche personenbezogenen Daten, die im Zusammenhang mit den Diensten verarbeitet werden:

   1. personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden hin verarbeiten, es sei denn, dass aufgrund der Gesetze eines Mitglieds der Europäischen Union oder aufgrund der für MessageBird geltenden Gesetze der Europäischen Union eine anderweitige Verarbeitung personenbezogener Daten erforderlich ist;

   2. nur Personal mit einem „notwendigen“ Zugang zu den personenbezogenen Daten versorgen und sicherstellen, dass alle Personen, die Zugang zu oder die Verarbeitung personenbezogener Daten haben, gesetzlich verpflichtet sind, die personenbezogenen Daten vertraulich zu behandeln;

   3. angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung, Beschädigung, Änderung oder Offenlegung zu schützen. Diese Maßnahmen müssen dem durch die Verarbeitung entstehenden Risiko entsprechen (unter Berücksichtigung der Art der personenbezogenen Daten) und dem Schaden, der durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden könnte;

   4. dem Kunden jede Unterstützung bieten, die der Kunde berechtigterweise anfordert, um es dem Kunden zu ermöglichen, seine Verpflichtungen gemäß der Datenschutzgesetzgebung zu erfüllen, einschließlich der Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten, der Sicherheit der Verarbeitung und Unterstützung des Kunden bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung;

   5. dem Kunden angemessene Unterstützung bieten, um es dem Kunden zu ermöglichen, seinen Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen. MessageBird wird technische und organisatorische Maßnahmen bereitstellen, mit denen der Kunde diese Verpflichtungen über das Konto des Kunden oder die dedizierte API erfüllen kann. Der Kunde erkennt hiermit an und stimmt zu, dass Anfragen, die vom Kunden per E-Mail gesendet werden, nicht als gültiges Mittel zur Ausübung seiner Rechte betrachtet werden und dass solche Anfragen nicht von MessageBird bearbeitet werden. Zur Vermeidung von Zweifeln ist der Kunde als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der personenbezogenen Daten der Betroffenen;

   6. nach Wahl des Kunden personenbezogene Daten und Kopien davon an den Kunden zurückgeben oder löschen bei Beendigung der Vereinbarung des Kunden mit MessageBird, es sei denn, das geltende Recht sieht anders vor;

   7. Aufzeichnungen führen, wie unter der Datenschutzgesetzgebung in Bezug auf die im Rahmen der Vereinbarung und dieser DPA durchgeführten Verarbeitungstätigkeiten erforderlich;

   8. mindestens alle zwei Jahre die Sicherheits- und personenbezogenen Datenverarbeitungsaktivitäten von MessageBird prüfen und dem Kunden (vertraulich) auf dessen schriftlichen Wunsch eine Zusammenfassung oder Beschreibung der Ergebnisse dieser Prüfung bereitstellen. Eine Zusammenfassung eines ISO 27001:2013 Prüfberichts wird als Erfüllung der Anforderungen des Kunden betrachtet. Um Missverständnissen vorzubeugen, kann die Prüfung entweder eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein, wobei die Entscheidung jedoch im alleinigen Ermessen von MessageBird liegt;

   9. wenn die von MessageBird dem Kunden gemäß Absatz 2(h) dieser DPA bereitgestellte Zusammenfassung oder Beschreibung der Prüfergebnisse dem Kunden begründete Gründe liefert zu glauben, dass MessageBird seine Verpflichtungen gemäß dieser DPA in Bezug auf die vom Kunden bereitgestellten personenbezogenen Daten verletzt, einem unabhängigen und qualifizierten Dritten, der vom Kunden ernannt und von MessageBird genehmigt ist, zu gestatten, die anwendbaren personenbezogenen Datenverarbeitungsaktivitäten von MessageBird zu prüfen, vorausgesetzt, die Bedingungen unter Klausel 3 dieser Anlage werden erfüllt; und,

   10. den Kunden so bald wie möglich benachrichtigen, wenn MessageBird eine Mitteilung oder Kommunikation von einer Regierungs- oder Regulierungsbehörde erhält, die sich direkt auf die Verarbeitung personenbezogener Daten bezieht, wie sie vom Kunden, von MessageBird oder seinen (Unter-)Verarbeitern angewiesen und bereitgestellt wurden, es sei denn, dass eine solche Mitteilung oder Kommunikation gesetzlich verboten ist.

1. Der Kunde wird:

   1. MessageBird mindestens zwei (2) Monate vorher benachrichtigen, bevor er das Audit-Recht des Kunden gemäß Absatz 2(i) dieser DPA ausübt;

   2. sicherstellen, dass kein Audit die Geschäftsbetriebe von MessageBird unangemessen stört; und,

   3. alle Kosten eines solchen Audits selbst tragen und bezahlen.

1. Wenn der Kunde als Datenverantwortlicher handelt, garantiert der Kunde, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen bestimmten Zweck haben und alle erforderlichen Hinweise und Einwilligungen oder sonstige geeignete rechtliche Grundlagen vorliegen, um eine rechtmäßige Übertragung personenbezogener Daten zu ermöglichen. Wenn der Kunde als Datenverarbeiter agiert (wobei MessageBird ein Unterverarbeiter wäre), stellt der Kunde sicher, dass der relevante Datenverantwortliche garantiert, dass die in dieser Klausel aufgeführten Bedingungen erfüllt sind.

1. Angesichts der Natur der Dienste kann die Nutzung der Dienste durch den Kunden und die Endnutzer des Kunden die Übertragung personenbezogener Daten außerhalb des EWR erforderlich machen; wenn die Leistung der Dienste eine Übertragung personenbezogener Daten an (Unter-)Verarbeiter außerhalb des EWR beinhaltet, erteilt der Kunde MessageBird hiermit für die Dauer aller zwischen Kunde und MessageBird bestehenden Vereinbarungen das Mandat, EU-Modellvertragsklauseln mit (Unter-)Verarbeitern außerhalb des EWR im Namen des Kunden einzugehen, sofern keine anderen geeigneten Übertragungsmechanismen gemäß der Datenschutzgesetzgebung gelten.

1. Durch diese Klausel erteilt der Kunde MessageBird eine allgemeine schriftliche Genehmigung für die Beauftragung weiterer Dritter als neue (Unter-)Verarbeiter für die Verarbeitung personenbezogener Daten, vorbehaltlich der Bedingungen dieser Anlage. MessageBird wird keine (Unter-)Verarbeiter in die Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung einbeziehen, ohne den Kunden vorher über eine beabsichtigte Veränderung in Bezug auf die Hinzufügung oder den Ersatz anderer Verarbeiter zu informieren, sodass dem Kunden die Gelegenheit gegeben wird, solchen Veränderungen zu widersprechen. 

1. Der Kunde kann solchen neuen (Unter-)Verarbeitern nur aus vernünftigen Gründen im Zusammenhang mit Datenschutz widersprechen, indem er die Vereinbarung und diese Anlage kündigt. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden, wenn dieser neuen (Unter-)Verarbeitern widerspricht.

1. Der Kunde stimmt ausdrücklich der Beauftragung der unter https://www.messagebird.com/en-gb/legal/privacy#processorList aufgeführten Einheiten als (Unter-)Verarbeiter von MessageBird für die Verarbeitung personenbezogener Daten zu. MessageBird wird die Liste der (Unter-)Verarbeiter aktualisieren, wenn ein neuer (Unter-)Verarbeiter für die Verarbeitung personenbezogener Daten engagiert wird.

1. MessageBird wird alle verfügbaren und angemessenen vertraglichen Maßnahmen ergreifen, um sicherzustellen, dass, wenn ein (Unter-)Verarbeiter beauftragt wird:

   1. der (Unter-)Verarbeiter personenbezogene Daten nur dann verarbeitet, wenn eine solche Verarbeitung für die Erbringung der Dienste oder eines Teils davon notwendig ist;

   2. Datenschutzverpflichtungen, die denen in dieser DPA einen ähnlichen Schutz bieten, dem (Unter-)Verarbeiter per Vertrag oder durch eine andere rechtliche Handlung gemäß EU-Recht oder dem Recht eines Mitgliedstaats auferlegt werden, insbesondere ausreichende Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung die Anforderungen der Datenschutzgesetzgebung erfüllt, und;

   3. MessageBird gegenüber dem Kunden gemäß dieser DPA für die Erfüllung der Verpflichtungen seines (Unter-)Verarbeiters haftet.

1. Details der Verarbeitung:

   1. Gegenstand und Zweck der Verarbeitung: Bereitstellung der Dienste von MessageBird für den Kunden.

   2. Kategorien personenbezogener Daten: Informationen über Endnutzer, die der Kunde MessageBird über die Dienste bereitstellt.

   3. Kategorien von betroffenen Personen: Betroffene Personen umfassen Kunden des Kunden, Mitarbeiter, Lieferanten und jede andere natürliche Person, die Endnutzer der Kommunikationsdienste ist, von denen der Kunde personenbezogene Daten über die Dienste bereitstellt.

   4. Dauer der Verarbeitung: Personenbezogene Daten werden so lange verarbeitet, wie es für die Erbringung der Dienste erforderlich ist oder wie es geltendes Recht vorschreibt.

1. Diese Datenverarbeitungsvereinbarung unterliegt den Gesetzen der Niederlande, und die Parteien unterwerfen sich der ausschließlichen Zuständigkeit der Amsterdamer Gerichte für alle Zwecke im Zusammenhang mit dieser DPA, einschließlich der Durchsetzung einer gemäß oder im Zusammenhang damit ergangenen Entscheidung oder eines Urteils.