Data Processing Annex 2019

Dieser Datenverarbeitungszusatz (DPA) gilt für alle Verarbeitungen personenbezogener Daten von Endnutzern, die Sie (Kunde) MessageBird B.V. (MessageBird) durch die Dienste von MessageBird bereitstellen, wie in einer separaten Vereinbarung definiert (Dienste). Diese DPA gilt zusätzlich zu den Allgemeinen Geschäftsbedingungen von MessageBird oder dem Master Service Agreement, je nachdem, was anwendbar ist (Vereinbarung) für Kunde und MessageBird (zusammen: die Parteien). Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bestimmungen der Vereinbarung und dieser DPA hat die DPA Vorrang.

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „Verstoß gegen personenbezogene Daten“ usw. haben die Bedeutung, die ihnen gemäß der anwendbaren Datenschutzgesetzgebung zugewiesen wird (Datenschutzgesetzgebung), mit Ausnahme der Definition von (Unter-)Verarbeiter, die ausdrücklich Telekommunikationsnetzbetreiber und andere Telekommunikationsdienstleister ausschließt, die für den Betrieb der Dienste als notwendig erachtet werden, aber da solche Parteien lediglich als Durchleiter oder als unabhängige Datenverantwortliche agieren, nicht unter die Definition eines Datenverarbeiters fallen, wie in der Datenschutzgesetzgebung angegeben.

Kunde und MessageBird erkennen beide an und verstehen, dass MessageBird in Bezug auf die Verarbeitung personenbezogener Daten von Endnutzern („betroffene Person“), die der Kunde auf Basis der Dienste MessageBird bereitstellt, der Datenverarbeiter ist.

1. Der Kunde weist hiermit MessageBird an, die personenbezogenen Daten der betroffenen Personen im erforderlichen Umfang zur Durchführung der Dienste gemäß der Vereinbarung zu verarbeiten.

2. MessageBird wird in Bezug auf alle personenbezogenen Daten, die im Zusammenhang mit den Diensten verarbeitet werden:

   1. personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden verarbeiten, es sei denn, anderweitig durch die Gesetze eines Mitglieds der Europäischen Union oder durch die Gesetze der Europäischen Union, die auf MessageBird anwendbar sind, erforderlich, personenbezogene Daten zu verarbeiten;

   2. nur Personal mit „need to know“-Zugang zu den personenbezogenen Daten versorgen und sicherstellen, dass alle solche Mitarbeiter, die Zugang zu oder personenbezogene Daten verarbeiten, rechtlich dazu verpflichtet sind, die personenbezogenen Daten vertraulich zu halten;

   3. angemessene technische und organisatorische Maßnahmen treffen, um die personenbezogenen Daten gegen unbefugte oder rechtswidrige Verarbeitung und gegen zufälligen Verlust, Zerstörung, Beschädigung, Veränderung oder Offenlegung zu schützen. Diese Maßnahmen müssen dem Verarbeitungsrisiko angemessen sein (unter Berücksichtigung der Art der personenbezogenen Daten) und dem Schaden, der durch eine Datenschutzverletzung entstehen könnte, angemessen sein;

   4. dem Kunden jegliche Unterstützung zukommen lassen, die vernünftigerweise vom Kunden angefordert wird, um dem Kunden zu ermöglichen, seine Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Benachrichtigung über Verstöße gegen personenbezogene Daten, der Sicherheit der Verarbeitung und der Unterstützung des Kunden bei der Durchführung von Datenschutzfolgenabschätzungen;

   5. dem Kunden angemessene Unterstützung zukommen lassen, um den Kunden zu ermöglichen, seinen Verpflichtungen gegenüber betroffenen Personen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen. MessageBird wird technische und organisatorische Maßnahmen bereitstellen, um dem Kunden die Erfüllung dieser Verpflichtungen über das Konto des Kunden oder die dedizierte API zu ermöglichen. Der Kunde erkennt hiermit an und stimmt zu, dass Anfragen, die der Kunde per E-Mail sendet, nicht als gültiges Mittel zur Ausübung seiner Rechte betrachtet werden und dass solche Anfragen von MessageBird nicht bearbeitet werden. Zweifelsohne ist der Kunde als Datenverantwortlicher verantwortlich für die Bearbeitung jeglicher Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die personenbezogenen Daten der betroffenen Personen;

   6. nach Wahl des Kunden personenbezogene Daten und Kopien davon bei Beendigung der Vereinbarung des Kunden mit MessageBird löschen oder an den Kunden zurückgeben, es sei denn, zwingende anwendbare Gesetze schreiben etwas anderes vor;

   7. Aufzeichnungen über die Verarbeitungstätigkeiten entsprechend der Datenschutzgesetzgebung im Rahmen der Vereinbarung und dieser DPA führen;

   8. mindestens alle zwei Jahre die Sicherheits- und personenbezogenen Datenverarbeitungsaktivitäten von MessageBird auditieren und dem Kunden (vertraulich) auf Anfrage schriftlich eine Zusammenfassung oder eine Beschreibung der Ergebnisse eines solchen Audits bereitstellen. Eine Zusammenfassung eines ISO 27001:2013-Auditberichts wird als Erfüllung der Anfrage des Kunden angesehen. Zweifelsohne kann das Audit entweder ein internes Audit oder ein von einem Dritten durchgeführtes Audit sein, wobei die Entscheidung aber im alleinigen Ermessen von MessageBird liegt;

   9. wenn die Zusammenfassung oder die Beschreibung der Audit-Ergebnisse, die MessageBird gemäß Absatz 2(h) dieser DPA dem Kunden bereitstellt, dem Kunden begründeten Anlass zur Annahme gibt, dass MessageBird gegen seine Verpflichtungen aus dieser DPA in Bezug auf die vom Kunden bereitgestellten personenbezogenen Daten verstößt, einem von einem unabhängigen und qualifizierten Dritten, der vom Kunden benannt und von MessageBird genehmigt wurde, erlauben, die anwendbaren personenbezogenen Datenverarbeitungsaktivitäten von MessageBird zu auditieren, vorausgesetzt, dass die Bedingungen gemäß Klausel 3 dieses Anhangs erfüllt sind; und,

   10. den Kunden so schnell wie möglich benachrichtigen, wenn MessageBird eine Mitteilung oder Kommunikation von einer Regierungs- oder Aufsichtsbehörde erhält, die sich direkt auf die Verarbeitung personenbezogener Daten bezieht, wie vom Kunden angewiesen und bereitgestellt, sei es durch MessageBird oder seine (Unter-)Verarbeiter, es sei denn, eine solche Mitteilung oder Kommunikation ist gesetzlich verboten.

3. Der Kunde wird:

   1. MessageBird mindestens zwei (2) Monate vorher benachrichtigen, bevor der Kunde das Recht auf Audit gemäß Absatz 2(i) dieser DPA ausübt;

   2. sicherstellen, dass ein solches Audit die Geschäftstätigkeit von MessageBird nicht unangemessen beeinträchtigt; und,

   3. alle Kosten eines solchen Audits tragen und bezahlen.

4. Wenn der Kunde als Datenverantwortlicher handelt, garantiert der Kunde, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen spezifischen Zweck haben und alle erforderlichen Mitteilungen und Zustimmungen oder anderweitig geeignete rechtliche Grundlagen vorhanden sind, um die rechtmäßige Übertragung personenbezogener Daten zu ermöglichen. Wenn der Kunde ein Datenverarbeiter ist (in diesem Fall wird MessageBird ein Unterverarbeiter sein), stellt der Kunde sicher, dass der relevante Datenverantwortliche garantiert, dass die in dieser Klausel aufgeführten Bedingungen erfüllt sind.

5. Angesichts der Natur der Dienste kann die Nutzung der Dienste durch den Kunden und die Endnutzer des Kunden erfordern, dass personenbezogene Daten außerhalb des EWR übertragen werden; wenn die Erbringung der Dienste die Übertragung personenbezogener Daten an (Unter-)Verarbeiter außerhalb des EWR umfasst, erteilt der Kunde hiermit MessageBird das Mandat, für die Laufzeit aller Vereinbarungen zwischen dem Kunden und MessageBird EU-Mustervertragsklauseln mit (Unter-)Verarbeitern außerhalb des EWR im Namen des Kunden abzuschließen, wenn keine anderen geeigneten Übertragungsmechanismen gemäß der Datenschutzgesetzgebung gelten.

6. Durch diese Klausel erteilt der Kunde MessageBird eine allgemeine schriftliche Genehmigung für die Beauftragung anderer Dritter als neuer (Unter-)Verarbeiter zur Verarbeitung personenbezogener Daten, vorbehaltlich der Bedingungen dieses Anhangs. MessageBird wird keinen (Unter-)Verarbeiter mit der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung beauftragen, ohne den Kunden vorher über eine beabsichtigte Änderung bezüglich der Hinzufügung oder des Austauschs anderer Verarbeiter zu informieren, wodurch dem Kunden die Möglichkeit gegeben wird, solchen Änderungen zu widersprechen. 

7. Der Kunde kann einem solchen neuen (Unter-)Verarbeiter nur aus vernünftigen Gründen im Zusammenhang mit dem Datenschutz widersprechen, indem er die Vereinbarung und diesen Anhang beendet. Dieses Kündigungsrecht ist das einzige und ausschließliche Recht des Kunden, um einem solchen neuen (Unter-)Verarbeiter zu widersprechen.

8. Der Kunde stimmt ausdrücklich der Beauftragung der auf https://www.messagebird.com/en-gb/legal/privacy#processorList aufgelisteten Einheiten als (Unter-)Verarbeiter von MessageBird zur Verarbeitung personenbezogener Daten zu. MessageBird wird die Liste der (Unter-)Verarbeiter aktualisieren, wenn ein neuer (Unter-)Verarbeiter zur Verarbeitung personenbezogener Daten beauftragt wird.

9. MessageBird wird alle verfügbaren und angemessenen vertraglichen Maßnahmen ergreifen, um sicherzustellen, dass bei der Beauftragung eines (Unter-)Verarbeiters:

   1. der (Unter-)Verarbeiter personenbezogene Daten nur verarbeiten wird, wenn eine solche Verarbeitung für die Erbringung der Dienste oder einen Teil davon erforderlich ist;

   2. dem (Unter-)Verarbeiter Datenschutzverpflichtungen auferlegt werden, die ähnlichen Schutz wie die in dieser DPA bieten, und zwar durch einen Vertrag oder eine andere rechtliche Handlung gemäß EU-Recht oder Recht der Mitgliedstaaten, insbesondere ausreichende Garantien zur Implementierung geeigneter technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung den Anforderungen der Datenschutzgesetzgebung entspricht, und;

   3. MessageBird dem Kunden gegenüber im Rahmen dieser DPA für die Erfüllung der Verpflichtungen seines (Unter-)Verarbeiters haftet.

10. Details der Verarbeitung:

    1. Zweck und Gegenstand der Verarbeitung: Erbringung der Dienste von MessageBird an den Kunden.

    2. Kategorien personenbezogener Daten: Informationen über Endnutzer, die der Kunde über die Dienste an MessageBird bereitstellt.

    3. Kategorien der betroffenen Personen: Betroffene Personen umfassen Kunden des Kunden, Mitarbeiter, Lieferanten und jede andere natürliche Person, die Endnutzer von Kommunikationsdiensten ist und von der der Kunde personenbezogene Daten über Dienste bereitstellt.

    4. Dauer der Verarbeitung: personenbezogene Daten werden verarbeitet, solange dies für die Erbringung der Dienste erforderlich ist oder wie gesetzlich vorgeschrieben.

11. Dieser Datenverarbeitungszusatz unterliegt den Gesetzen der Niederlande, und die Parteien unterwerfen sich der ausschließlichen Gerichtsbarkeit der Amsterdamer Gerichte für alle Zwecke, die mit dieser DPA verbunden sind, einschließlich der Durchsetzung von Schiedssprüchen oder Urteilen, die unter oder im Zusammenhang damit getroffen werden.