Datenverarbeitungsvereinbarung
Diese Vereinbarung zur Datenverarbeitung gilt für Sie, wenn Sie sich für MessageBird’s Services (einschließlich über einen seiner Affiliates) am oder nach dem 28. Februar 2022 und vor dem 1. Januar 2024 angemeldet haben. Gültig ab dem 15. April 2022, gilt diese Vereinbarung zur Datenverarbeitung auch für Kunden, die sich vor dem 28. Februar 2022 für MessageBird's Services angemeldet haben. Unsere archivierte Vereinbarung zur Datenverarbeitung ist in unserem Archiv der Vereinbarungen zur Datenverarbeitung verfügbar.
Dokumente
Inhalte
Diese Datenverarbeitungsvereinbarung einschließlich der Anhänge (die „DPA“) ist Teil der Vereinbarung zwischen Kunde und der in Abschnitt 15 (Vertragsschließende Einheit) der Allgemeinen Geschäftsbedingungen aufgeführten vertragsschließenden Einheit, sofern auf Ihrem Bestellformular nicht anders angegeben. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“, oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns.
1. Scope, Customer Affiliates and Term
1.1 Geltungsbereich. Diese DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Verbundenheiten. Der Kunde tritt in diese DPA im Namen von sich selbst und, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbundenheiten (wie in den Bedingungen definiert) ein, wenn und soweit Sie diesen Verbundenheiten Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die solche Verbundenheiten als Datenverantwortlicher qualifiziert sind (“Kunden-Verbundenheiten”). Für die Zwecke dieser DPA gelten nur, und außer wenn anders angegeben, die Begriffe “Kunde” und “Sie” als einschließlich Kunde und Verbundenheiten.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange MessageBird Kundendaten verarbeitet, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
In diesem DPA verwendete, aber nicht definierte kapitalisierte Begriffe haben die Bedeutung, die ihnen im Vertrag gegeben wird. Die folgenden definierten Begriffe werden in diesem DPA verwendet:
2.1 “CCPA” bedeutet das California Consumer Privacy Act von 2018 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.2 “Customer Data” bedeutet alle Daten und andere Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Customer-Anwendung) gemäß dem Vertrag eingereicht und von den Diensten verarbeitet oder gespeichert werden.
2.3 “Customer Personal Data” bedeutet Personal Data, das in Customer Data enthalten ist. Kontodaten sind keine Customer Personal Data. Kontodaten sind alle Daten, die von Ihnen oder für Sie an MessageBird in Verbindung mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Kundenzahlungsdetails und Korrespondenz über den Abschluss und die Verwaltung des Vertrags.
2.4 “Data Protection Legislation” bedeutet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung von Personal Data gemäß dem Vertrag gelten, einschließlich, wo zutreffend, der GDPR, der CCPA und aller anderen Gesetze und Vorschriften im Zusammenhang mit Datenschutz, Direktmarketing oder Datenschutz.
2.5 “EEA” bedeutet für die Zwecke dieses DPA den Europäischen Wirtschaftsraum und die Schweiz.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” bedeutet die „Controller to Processor“ (Modul 2) Module der Standardvertragsklauseln für die Übermittlung von Personal Data an Drittländer gemäß GDPR und der Durchführungsentscheidung der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” bedeutet die „Processor to Processor“ (Modul 3) Module der Standardvertragsklauseln für die Übermittlung von Personal Data an Drittländer gemäß GDPR und der Durchführungsentscheidung der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.8 “GDPR” bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr (General Data Protection Regulation); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich, das Data Protection Act 2018.
2.9 “LGPD” bedeutet die Lei Geral de Proteção de Dados von 2018 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.10 “Personal Data” bedeutet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen.
2.11 “PDPA” bedeutet das Personal Data Protection Act von 2012 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.12 “Privacy Statement” bedeutet die jeweils aktuelle Datenschutzerklärung für die Dienste, wie im Bird Privacy Statement festgelegt.
2.13 “Personal Data Breach” bedeutet jede zufällige, unbefugte oder rechtswidrige Zerstörung, Verlust, Änderung, Offenlegung von oder Zugriff auf Customer Personal Data.
2.14 “Services” bedeutet alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden, die (a) von Ihnen gemäß einem Bestellformular bestellt oder (b) von Ihnen genutzt werden.
2.15 “Standard Contractual Clauses” bedeutet entweder (i) die EU Controller-to-Processor Standard Contractual Clauses; oder (ii) die EU Processor-to-Subprocessor Standard Contractual Clauses, entweder individuell oder kollektiv, je nach Anwendbarkeit.
2.16 “Subprocessor” bedeutet die Einheit, die Customer Personal Data im Auftrag einer als Datenverarbeiter oder Subprocessor handelnden Einheit verarbeitet.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” bedeutet die Standardvertragsklauseln für die Übermittlung von Personal Data an in Drittländern niedergelassene Datenverarbeiter in der Form, die durch die Entscheidung 2010/87/EU der Europäischen Kommission festgelegt wurde, wie sie von der Europäischen Kommission geändert, modifiziert oder ersetzt werden kann.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen gemäß der GDPR zugewiesen wird. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verantwortlicher“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstleister“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Individuum“; und "Personal Data" umfasst "persönliche Informationen", jeweils wie in der CCPA, LGPD oder PDPA definiert.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir verarbeiten die persönlichen Daten des Kunden nur insoweit, als dies erforderlich ist (i) um die Dienste bereitzustellen, einschließlich der Übertragung von Kommunikationen, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung von technischen und Lieferberichten, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, und (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben. Wir verkaufen keine persönlichen Daten, einschließlich der persönlichen Daten des Kunden, und geben persönliche Daten nicht an Dritte für Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
3.2 Anweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung vereinbar.
3.3 Details der Verarbeitung. Anhang I, Teil B. (Beschreibung der Übertragung) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten persönlicher Daten und Kategorien von betroffenen Personen durch uns als Datenverarbeiter oder Subunternehmer.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir die persönlichen Daten des Kunden als unabhängiger Datenverantwortlicher insoweit verarbeiten, als dies für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Prävention von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Ertragsplanung, Produktstrategie), Betrugsbekämpfung, Spam und Missbrauchsverhütung und -erkennung, Produktverbesserung und um unseren rechtlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtsgültigkeit. Wenn Sie als Datenverantwortlicher für persönliche Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten gesetzlich zulässig sind, einen bestimmten Zweck haben und alle erforderlichen Mitteilungen sowie Einwilligungen oder eine andere angemessene rechtliche Grundlage vorhanden sind, um die gesetzmäßige Übertragung der persönlichen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall handeln wir als Unterauftragnehmer), stellen Sie sicher, dass der betreffende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die auf Ihre Nutzung der Dienste und auf Ihre eigene Verarbeitung der persönlichen Daten des Kunden anwendbare Datenschutzgesetze einhalten, (b) die unabhängige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Umsetzung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Widerstandsfähigkeit und Vertraulichkeit der Kundendaten, die unsere Systeme zur Verarbeitung von Kundendaten nutzen, zu wahren. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zu den Sicherheitsmaßnahmen für personenbezogene Daten der Kunden zu überprüfen und eine eigenständige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und den gesetzlichen Verpflichtungen aus dem Datenschutzrecht entsprechen. Sie bestätigen, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir von Zeit zu Zeit unsere Sicherheitsmaßnahmen aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Abwertung der Gesamtsicherheit der personenbezogenen Daten der Kunden führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien „Need to know“ und minimalen Privilegien an.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten der Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragsverarbeiter), über die vertrauliche Natur solcher personenbezogenen Daten der Kunden informiert ist und einer angemessenen Vertraulichkeitsverpflichtung (ob vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Tätigkeit hinaus besteht.
5.5 Reaktion auf Datenverletzungen und Benachrichtigung. Sobald wir von einer Datenverletzung erfahren, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen über die Datenschutzverletzung bereitstellen, sobald sie bekannt wird oder auf vernünftige Anfrage von Ihnen, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mindern und eine Wiederholung der Datenschutzverletzung zu verhindern.
6. Hilfe
6.1 Daten schutz hilfe. Wir werden Ihnen auf angemessene Anfrage Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Meldung einer Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei Anfragen von Betroffenen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zur Vermeidung von Zweifel sind Sie als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei der Offenlegung und dem Zugriff. Wir werden keinen Zugriff auf Kundenpersonenbezogene Daten gewähren oder sie offenlegen, außer (i) auf Ihre Anweisung, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wenn es gesetzlich vorgeschrieben ist.
7.2 Anfragen zur Offenlegung. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir von einer Regierungs- oder Regulierungsbehörde eine Anfrage zur Offenlegung von Kundenpersonenbezogenen Daten erhalten, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Offenlegungsanfragen in Übereinstimmung mit unserer Disclosure Request Policy bearbeiten.
8. Subprocessors
8.1 Aktuelle Subprozessoren. Sie stimmen dem Einsatz der Subprozessoren zu, die unter der Überschrift „End User Personal Data“ in der Bird Subprozessorliste aufgeführt sind. Diese enthält auch ein Verfahren, um Benachrichtigungen über Änderungen in unserer Nutzung von Subprozessoren zu abonnieren. Wenn Sie solche Benachrichtigungen abonnieren und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Details zu Änderungen bei den Subprozessoren so schnell wie möglich mitteilen.
8.2 Nutzung von Subprozessoren. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung zur Beauftragung von Subprozessoren für die Verarbeitung von Kundenpersonenbezogenen Daten, vorbehaltlich des Abschnitts 8.3 dieser DPA und der folgenden Anforderungen:
a. Wir werden den Zugang zu Kundenpersonenbezogenen Daten durch Subprozessoren auf das strikt Notwendige zur Erbringung der im Subprozessorvertrag festgelegten Dienstleistungen beschränken;
b. Wir werden mit dem Subprozessor Datenschutzpflichten vereinbaren, die im Wesentlichen den Verpflichtungen aus dieser DPA entsprechen; und
c. Wir bleiben Ihnen gegenüber im Rahmen dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subprozessors haftbar.
8.3 Benachrichtigung über Änderungen bei Subprozessoren und Widerspruchsrecht. Bevor wir neue Subprozessoren ersetzen oder engagieren („Subprozessoränderung“), geben wir Ihnen die Möglichkeit, der Subprozessoränderung zu widersprechen.
Sie können einer Subprozessoränderung widersprechen, vorausgesetzt, dass (i) der Einspruch schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Benachrichtigung über die Subprozessoränderung erfolgt und (ii) der Einspruch auf vernünftigen Gründen zum Schutz von Kundenpersonenbezogenen Daten basiert und diese klar erklärt. Wenn Sie einer vorgeschlagenen Subprozessoränderung widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine wirtschaftlich vertretbare Änderung der Erbringung der Dienstleistungen vorzunehmen, die die Nutzung des betreffenden Subprozessors vermeidet. Wenn eine solche Änderung nicht innerhalb von dreißig (30) Geschäftstagen nach Eingang Ihrer Einspruchsmitteilung in wirtschaftlicher Vertretbarkeit vorgenommen werden kann oder wenn die Änderung für uns wirtschaftlich unzumutbar ist, kann jede Partei die anwendbaren Merkmale der Dienstleistungen kündigen, die ohne die Nutzung des betreffenden Subprozessors nicht bereitgestellt werden können. Dieses Kündigungsrecht ist Ihr einziges und ausschließliches Rechtsmittel, wenn Sie einer Subprozessoränderung widersprechen.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von personenbezogenen Daten von Kunden. Wir können personenbezogene Daten von Kunden übertragen, sofern alle angemessenen Schutzmaßnahmen, die durch die Datenschutzgesetzgebung erforderlich sind, vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Evaluierung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der Betroffenen und die Verfügbarkeit effektiver rechtlicher Schutzmaßnahmen für betroffene Personen umfassen.
9.2 Standardverträge für Subunternehmer. Sofern kein Angemessenheitsbeschluss oder alternatives Übertragungsmechanismus gilt, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten von Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten von Kunden rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Gerichtsbarkeit zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste personenbezogene Daten von Kunden, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Individuen unterliegen, das auf diese DPA anwendbar ist, an MessageBird übertragen werden, die in Ländern ansässig sind, die keinen angemessenen Schutz personenbezogener Daten im Sinne der Datenschutzgesetzgebung gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maß durchgesetzt werden, in dem solche Übertragungen der Datenschutzgesetzgebung unterliegen:
9.3.1 Die Parteien stimmen darin überein, dass die Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des EWR oder der Schweiz ansässig ist, das von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.1.1 Wenn Sie als Datencontroller handeln und MessageBird als Datenverarbeiter fungiert, gelten die Standardvertragsklauseln von EU-Controller zu -Prozessor für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR. Wenn Sie als Datenverarbeiter handeln und MessageBird als Subunternehmer fungiert, gelten die Standardvertragsklauseln von -Prozessor zu -Subunternehmer für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur angesehen und Sie werden unter den Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten von Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
Die optionale Klausel 7 „Docking-Klausel“ wird nicht übernommen.
Für Klausel 9 „Einsatz von Subunternehmern“ wählen die Parteien die folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: der Datenimporteur hat die allgemeine Genehmigung des Datencontrollers für die Einbeziehung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur hat den Datencontroller spezifisch schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmern mindestens 10 Werktage im Voraus zu informieren, wodurch dem Datencontroller ausreichend Zeit eingeräumt wird, um solchen Änderungen vor der Einbeziehung der Subunternehmer zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen bereitstellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbeziehung der Subunternehmer informieren.“
Für Klausel 11 (a) „Abhilfe“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern solches Recht das Recht auf drittseitige Begünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein wird.“
Für Klausel 18 (b) „Wahl des Gerichtsstands und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden.“
9.3.2 Die Parteien stimmen darin überein, dass die UK-Controller-zu-Prozessor-Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom Vereinigten Königreich, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des Vereinigten Königreichs ansässig ist, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1 MessageBird wird als Datenimporteur angesehen und Sie werden unter den UK-Controller-zu-Prozessor-Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK-Controller-zu-Prozessor-Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der UK-Controller-zu-Prozessor-Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den UK-Controller-zu-Prozessor-Standardvertragsklauseln haben die UK-Controller-zu-Prozessor-Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Prüfbericht. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013-Standard (oder einem gleichwertigen Standard) auditiert. Die Prüfung kann nach unserem Ermessen eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung der Prüfberichte („Prüfbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Prüfberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundenanfragen zu Informationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen von Ihnen bereitstellen, einschließlich Antworten auf Fragen zur Informationssicherheit und Prüfungsfragebögen, die im Umfang angemessen und zur Bestätigung der Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen von uns bereitgestellten oder veröffentlichten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten in Bezug auf die Dienste erfordern die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns bereitgestellter Prüfbericht Ihnen begründete Gründe gibt zu glauben, dass wir unsere Verpflichtungen aus dieser DPA, die sich auf die von Ihnen bereitgestellten Kunden personenbezogenen Daten beziehen, verletzen, gestatten wir einem unabhängigen und qualifizierten dritten Prüfer, den Sie ernennen und der von uns genehmigt wird, die relevanten anwendbaren Aktivitäten zur Verarbeitung personenbezogener Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:
a. Sie müssen uns mindestens sechzig (60) Tage im Voraus mittels einer angemessenen Mitteilung vor der Ausübung des Rechts auf Prüfung informieren;
b. Der Prüfer erklärt sich bereit, marktübliche Vertraulichkeitsverpflichtungen mit uns einzugehen;
c. Sie und der Prüfer ergreifen Maßnahmen, um Störungen des Geschäftsbetriebs zu minimieren;
d. Die Prüfung wird während der üblichen Geschäftszeiten durchgeführt;
e. Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Dienste beteiligt sind, zu gewähren; und
f. Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und im Auftrag eines Kundenverbunds wie in Abschnitt 1.2 dargelegt, stellt einen separaten DPA zwischen uns und diesem Kundenverbund dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, im Namen seiner Kundenverbünde jegliche Kommunikation in Bezug auf dieses DPA zu tätigen und zu empfangen.
12.2 Rechte der Kundenverbünde. Wenn ein Kundenverbund eine Partei in den DPA mit uns wird, ist er, soweit erforderlich, nach den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze den Kundenverbund nicht dazu verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen MessageBird selbst geltend zu machen, sind sich die Parteien einig, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenverbunds suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solchen Rechte im Rahmen dieses DPA nicht separat für jeden Kundenverbund einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenverbünde zusammen ausüben soll.
(ii) Die Parteien sind sich einig, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die den Schutz von Kundendaten betreffen, in seinem Auftrag durchgeführt wird, wie in Abschnitt 10.3 dieses DPA dargelegt, alle angemessenen Maßnahmen ergreifen soll, um etwaige Auswirkungen auf uns zu minimieren, indem er, soweit dies angemessen möglich ist, mehrere Prüfungsanfragen, die im Auftrag von ihm und all seinen Kundenverbünden durchgeführt werden, in einer einzigen Prüfung zusammenfasst.
Zum Klarstellen, ein Kundenverbund wird keine vertragliche Partei des Vertrags.
13. Gesetz über den Datenschutz der Verbraucher von Kalifornien
Wir machen Ihnen gegenüber die folgenden zusätzlichen Verpflichtungen im Hinblick auf die Verarbeitung von Kundenpersonenbezogenen Daten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen. Wir werden den CCPA einhalten und alle Kundenpersonenbezogenen Daten, die dem CCPA unterliegen („CCPA Personal Data“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA Personal Data sind wir ein Dienstanbieter im Sinne des CCPA. Wir werden (a) keine CCPA Personal Data verkaufen; (b) keine CCPA Personal Data für andere Zwecke aufbewahren, verwenden oder offenlegen als für den spezifischen Zweck der Bereitstellung der Dienstleistungen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von CCPA Personal Data für einen kommerziellen Zweck, der nicht der Bereitstellung der Dienstleistungen dient; oder (c) keine CCPA Personal Data außerhalb unserer direkten Geschäftsbeziehung mit Ihnen aufbewahren, verwenden oder offenlegen. Die Verarbeitung von CCPA Personal Data, die durch Ihre Anweisungen in den Bedingungen und diesem DPA autorisiert ist, ist integraler Bestandteil unserer Dienstleistungsbereitstellung. Sie erkennen an und stimmen zu, dass unser Zugang zu Kundendaten nicht Teil der im Rahmen der Vereinbarung ausgetauschten Gegenleistung darstellt. Soweit jegliche Nutzungsdaten als CCPA Personal Data betrachtet werden, sind wir das Unternehmen in Bezug auf solche Daten und werden diese Daten gemäß unserer Datenschutzerklärung verarbeiten. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstanbieter“ und „verkaufen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Beide Parteien bestätigen, dass sie die im DPA und in der Vereinbarung festgelegten Verpflichtungen und Einschränkungen verstanden haben und einhalten werden, wie es der CCPA verlangt.
13.2 Kundenverpflichtungen. Sie erklären und gewährleisten, dass Sie dem Endnutzer mitgeteilt haben, dass die personenbezogenen Daten gemäß den in Abschnitt 1798.140(t)(2)(C)(i) des CCPA vorgesehenen Bedingungen verwendet oder geteilt werden. Sie sind für die Einhaltung der für Sie als Datenverantwortlicher geltenden Anforderungen des CCPA verantwortlich.
14. Anwendbares Recht und Streitbeilegung
Abschnitt 13 der Bedingungen gilt für alle Streitigkeiten, die aus dieser DPA entstehen oder damit in Zusammenhang stehen, es sei denn, die Datenschutzgesetze verlangen etwas anderes.
ANHANG I - DETAILS DER VERARBEITUNG
Sofern anwendbar, dient dieser Anhang 1 als Anhang I zu den EWR-Standardvertragsklauseln.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Kundenkonto angegebene Adresse oder die E-Mail-Adresse des Kontoinhabers des Kunden oder die E-Mail-Adresse(n), an die der Kunde Benachrichtigungen gemäß der Vereinbarung erhalten möchte.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs wird in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum: Falls zutreffend, wird der Datenexporteur als Unterzeichner der hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttreten der DPA betrachtet.
Datenimporteur: MessageBird B.V.
Kontaktdaten des Datenimporteurs: Trompenburgstraat 2-C, 1079TX, Amsterdam, Die Niederlande, Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur agiert als Datenverarbeiter.
Unterschrift und Datum: Falls zutreffend, wird der Datenimporteur als Unterzeichner der hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttreten der DPA betrachtet.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden: Benutzer. Kontaktpersonen des Kunden (natürliche Personen) oder Angestellte, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemals), die die Dienste über das Konto des Kunden nutzen („Benutzer“);Endnutzer. Jede Person, (i) deren Kontaktdaten in den Kontaktlisten des Kunden enthalten sind; (ii) deren Informationen über die Dienste gespeichert oder gesammelt werden, oder (ii) an die der Kunde Mitteilungen sendet oder auf andere Weise an sie über die Dienste kommuniziert (zusammenfassend „Endnutzer“). Sie als Kunde bestimmen allein die Kategorien der betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Kommunikation enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten: Kunden-Personenbezogene-Daten enthalten in Kommunikationsinhalten, Verkehrsdaten, Endnutzer-Daten und Kundennutzungsdaten. Kommunikationsinhalte, die personenbezogene Daten oder andere personalisierte Merkmale enthalten können, je nach Kommunikationsinhalt, wie vom Kunden bestimmt. Verkehrsdaten, die Kunden-Personenbezogene-Daten über die Führung, Dauer oder den Zeitpunkt einer Kommunikation wie Sprachruf, SMS oder E-Mail enthalten können, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen. Endnutzer-Daten wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanal-ID. Kundennutzungsdaten können Daten enthalten, die mit Ihnen als Einzelperson in statistischen Daten und Informationen in Verbindung gebracht werden können, die sich auf Ihre Konten- und Serviceaktivitäten, servicebezogene Einblicke und Analyseberichte zur gesendeten Kommunikation und zum Kundendienst beziehen.
3. Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Sicherheitsmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich nur für Mitarbeiter, die eine spezielle Schulung erhalten haben), Aufzeichnung des Datenzugriffs, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
(a) Kommunikationsinhalte. Sensible Daten können gelegentlich über die Dienste verarbeitet werden, wenn Sie oder Ihre Endnutzer beschließen, sensible Daten in den über die Dienste übertragenen Kommunikationen zu verwenden. Sie sind dafür verantwortlich, sicherzustellen, dass geeignete Sicherheitsmaßnahmen vorhanden sind, bevor Sie oder Ihre Endnutzer sensible Daten über die Dienste übertragen oder verarbeiten, gemäß Abschnitt 3.2 der Vereinbarung.
(b) Verkehrsdaten, Endnutzer-Daten und Kundennutzungsdaten. In Verkehrsdaten, Endnutzer-Daten oder Kundennutzungsdaten sind keine sensiblen Daten enthalten.
4. Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kunden-Personenbezogene-Daten werden während der Laufzeit der Vereinbarung kontinuierlich übertragen.
5. Art der Verarbeitung: Wir werden Kunden-Personenbezogene-Daten in dem Umfang verarbeiten, der notwendig ist, um die in der Vereinbarung festgelegten Dienste zu erbringen. Wir verkaufen keine personenbezogenen Daten, einschließlich Kunden-Personenbezogene-Daten, und teilen keine personenbezogenen Daten mit Dritten zum Ausgleich oder für die eigenen Geschäftsinteressen dieser Dritten.
6. Zweck(e) der Datenübertragung und der weiteren Verarbeitung: Wir werden Kunden-Personenbezogene-Daten als Datenverarbeiter in Übereinstimmung mit den Anweisungen des Kunden gemäß dieser DPA verarbeiten, es sei denn, die Verarbeitung ist zur Einhaltung einer rechtlichen Verpflichtung erforderlich, der wir unterliegen, in welchem Fall wir als Datenverantwortlicher klassifiziert werden.
Kommunikationsinhalte, Verkehrsdaten, Endnutzer-Daten und Kundennutzungsdaten. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endnutzer-Daten und Kundennutzungsdaten enthalten sind, unterliegen den folgenden grundlegenden Verarbeitungstätigkeiten:
(a) Kommunikationsinhalte. Die Bereitstellung von programmierbaren Kommunikationsprodukten und -diensten, angeboten in Form von Anwendungsprogrammierschnittstellen (APIs) oder über das Dashboard, für den Kunden, einschließlich der Übermittlung zu oder von der Softwareanwendung des Kunden zu oder von unserer Kommunikationsplattform und anderen Kommunikationsnetzen.
(b) Verkehrsdaten. Verkehrsdaten werden zu dem Zweck verarbeitet, Kommunikation über ein elektronisches Kommunikationsnetz zu übertragen oder für die Abrechnung in Bezug auf diese Kommunikation. Dies kann Kunden-Personenbezogene-Daten über die Führung, Dauer oder den Zeitpunkt einer Kommunikation wie Sprachruf, SMS oder E-Mail umfassen, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
(c) Endnutzer-Daten. Personenbezogene Daten von Endnutzern sind erforderlich, um die Dienste zu erbringen und werden nur zu den Zwecken der Kommunikationsübertragung, des Kundendienstes und der Einhaltung rechtlicher Verpflichtungen von MessageBird verarbeitet.
(d) Kundennutzungsdaten. Personenbezogene Daten, die in Kundennutzungsdaten enthalten sind, unterliegen den Verarbeitungstätigkeiten zur Erbringung der in der Vereinbarung festgelegten Dienste, mit dem Ziel, dem Kunden dienstbezogene Einblicke und Analyseberichte zu den gesendeten Kommunikationen, dem Kundendienst und der kontinuierlichen Verbesserung der Dienste zu bieten.
7. Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, sofern dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:
(a) Kommunikationsinhalte und Verkehrsdaten. Für Kundendaten und Verkehrsdaten, die in den SMS- und Voice-Diensten enthalten sind, gilt eine Speicherdauer von sechs Monaten;
Für die Dienste von 24sessions werden Kundendaten und Verkehrsdaten mindestens 30 Tage bis zur vereinbarten Dauer mit Ihnen gespeichert;
Für alle anderen Dienste werden Kundendaten und Verkehrsdaten für die Dauer der Dienste gespeichert, es sei denn, Sie löschen Kundendaten oder Verkehrsdaten über die Ihnen über die Dienste bereitgestellten technischen und organisatorischen Maßnahmen.
(b) Endnutzer-Daten.Endnutzer-Daten werden für den vom Kunden bestimmten Zeitraum verarbeitet, wenn Endnutzer-Daten in Ihre Kontaktprofile aufgenommen werden, ist die Standardaufbewahrungsfrist für die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
(c) Kundennutzungsdaten.Nach Beendigung der Vereinbarung können wir Kundennutzungsdaten für die in Abschnitt 6(d) dieses Anhangs I, Teil B genannten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir anonymisieren oder löschen Kundennutzungsdaten, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B genannten Zwecke benötigen.
8. Bei Übertragungen an (Unter-)Verarbeiter, geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Bei Übertragungen an Unterverarbeiter sind der Gegenstand und die Art der Verarbeitung in der Bird Subprocessor List beschrieben, und die Dauer dieser Verarbeitung entspricht der Laufzeit der Vereinbarung.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Wo zutreffend, dient diese Anlage II als Anhang II zu den Standardvertragsklauseln. Im Folgenden werden weitere Informationen zu unseren unten dargelegten technischen und organisatorischen Sicherheitsmaßnahmen bereitgestellt.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz von Persönlichen Daten in Speicherung und Übertragung: Alle persönlichen Daten werden während der Übertragung und im Ruhezustand verschlüsselt und, soweit aus Sicherheitssicht relevant, so behandelt, als wären sie als sensible Daten eingestuft. Informationen werden standardmäßig immer über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität sowie Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsklauseln mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Subprozessoren ab. Unsere Geschäftskontinuitätspolitik besteht darin, unser Geschäft und unsere Dienstleistungen im Falle längerer Ausfälle, die durch Faktoren außerhalb unserer Kontrolle verursacht werden, vorzubereiten und Dienste so weit wie möglich in kürzester Zeit wiederherzustellen. Wir verstehen, dass die von uns bereitgestellten Dienstleistungen für unsere Kunden entscheidend sind und daher nur sehr wenig Toleranz für Dienstunterbrechungen besteht. Unsere Zeitrahmen für die Wiederherstellung sind darauf ausgelegt, sicherzustellen, dass wir unseren Verpflichtungen gegenüber all unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Information Security Management System (ISMS) besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden durch die Verhinderung von Sicherheitsvorfällen und das Management von Bedrohungen und Schwachstellen zu minimieren. Unser Rechtsteam, Datenschutzbeauftragter und Sicherheits- und Konformitätsteam stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmen einbezogen werden.
Maßnahmen zur Benutzeridentifizierung und -autorisierung: Wir folgen den Prinzipien des „Need to Know“ und „Least Privilege“. Wir fördern die Verwendung rollenbasierter Zugriffskontrollen. Die Bereitstellung und Außerbetriebnahme wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA standardmäßig. Für jedes Informationsasset wurden Verantwortliche definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Wann immer wir mit sensiblen Informationen umgehen oder kritische Aktionen durchführen, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Gewährleistung der Ereignisprotokollierung: Audit-Logs werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sind sicher verwahrt, um das Risiko einer Manipulation zu vermeiden. Die Vorfallsmanagement-Richtlinie erzwingt den Vorfallsreaktionsplan und seine Verfahren. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall eintritt. Im Falle von Sicherheitsvorfällen werden diese regelmäßig vom Sicherheitslenkungsausschuss überprüft, der aus leitenden Interessensvertretern aus dem gesamten Unternehmen besteht.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich Standardkonfiguration: Wir folgen einem konsistenten Change-Management-Prozess für alle Änderungen an der Produktionsumgebung der Communication Platform as a Service. Um weiter zu erläutern, müssen alle Änderungsanforderungen (RFC) von einer bestimmten Partei genehmigt und gemäß dem formellen Change-Control-Prozess durchgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und in einer kontrollierten Weise freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurations-Baselines werden befolgt, um die Systeme sicher gemäß Best Practices zu konfigurieren. Auch wird im Bereich Engineering ein Tech-Radar verwendet, um festzulegen, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung übernommen oder vermieden werden sollen.
Maßnahme für physische Sicherheit: Wir fördern aktiv eine „Arbeit von überall“-Politik, damit unsere Mitarbeiter von jedem Ort aus arbeiten können, den sie möchten. Wir haben jedoch immer noch unsere Bürogebäude. Da wir ein vollständig cloudbasiertes Unternehmen sind, haben wir keine sicheren Bereiche/Rechenzentren auf unserem Gelände. Unsere Büroetagen sind durch physische Zugangskontrollen, Überwachungskameras und Sicherheitsdienst geschützt.
Maßnahmen für interne IT- und IT-Sicherheitsführung und -management: Wir unterhalten ein risikobasiertes Bewertungssicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen beinhaltet, die darauf ausgelegt sind, die Dienste und die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert eingerichtet. Zusätzlich gelten gesetzliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All diese werden in unsere Informationssicherheitspolitiken, -verfahren und -richtlinien übersetzt. Wir haben einen Sicherheits-Lenkungsausschuss, der für das taktische Niveau der Informationssicherheit verantwortlich ist. Dies beinhaltet die Koordinierung von Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der Einhaltung von Vorschriften. Alle Mitarbeiter sind für die Sicherung der Unternehmenswerte verantwortlich. Alle unsere Mitarbeiter werden auf Fachwissen, Erfahrung und Integrität überprüft. Mitarbeiter werden während der Einführung und durch regelmäßige, team-spezifische Schulungen sowie andere unternehmensweite Präsentationen über die Bedeutung des Datenschutzes und der Einhaltung der Sicherheitsvorschriften informiert. MessageBird ist nach ISO/IEC 27001:2013 zertifiziert, den weltweit anerkannten Informationssicherheitsstandards für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Dienstleister sind ISO/IEC 27001:2013 konform.
Wir sind auch bei der niederländischen Behörde für Verbraucher und Märkte registriert. Das bedeutet, dass wir unseren Kunden immer rechenschaftspflichtig und völlig transparent sind.
Wir sind assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen der Mobilfunkbetreiber weltweit. Wir sind immer auf dem neuesten Stand aller geltenden Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung.
Maßnahmen für Zertifizierungen/Sicherstellungen von Prozessen und Produkten: Wir unterziehen uns strengen Überwachungen sowie Zertifizierungsaudits als Teil unserer ISO/IEC 27001:2013-Konformität und führen regelmäßig Anwendungsverletzlichkeits- und Penetrationstests durch. MessageBird verfolgt einen einheitlichen Ansatz für Patch- und Schwachstellenmanagement, um sicherzustellen, dass unsere Standard-SLA-Zeitleisten eingehalten werden, unabhängig davon, ob Schwachstellen in unserer zugrunde liegenden Infrastruktur, Betriebsplattformen oder dem Quellcode bestehen.
Maßnahmen zur Anwendungssicherheit: Wir gewährleisten die Sicherheit unserer Anwendungen in der Entwurfs- und Entwicklungsphase basierend auf den MessageBird Secure Code Guidelines.
Angemessene Korrekturen werden vor der Freigabe implementiert.
Code-Änderungen werden von qualifizierten Personen (die mit Code-Überprüfung und sicherer Entwicklung vertraut sind) überprüft, die nicht die ursprünglichen Entwickler sind.
Anwendungen unterliegen strengen Anwendungssicherheitstests, um mindestens jährlich (in Übereinstimmung mit Branchenstandards und Best Practices) neue Bedrohungen und Schwachstellen zu identifizieren.
Alle Code-Änderungen für Anwendungen, die in Produktionsumgebungen übertragen werden, werden mit manuellen und/oder automatisierten Prozessen überprüft.
Penetrationstests werden jährlich und fallweise bei neuen Produkten/Funktionen durchgeführt. Automatisierte Quellcode-Analysetools werden verwendet, um Sicherheitsdefekte im Code vor der Bereitstellung zu erkennen, basierend auf der Sprache.
Maßnahmen zur Offenlegung von Schwachstellen: Wir schätzen Sicherheitsforscher, die Schwachstellen auf unserer Plattform gefunden haben, sich mit uns in Verbindung zu setzen und ihre Ergebnisse an security@bird.com zu senden. Wir haben ein engagiertes Sicherheitsteam, das die Ermittlungen durchführt und Einladungen zu unserem Bug-Bounty-Programm sendet, um bei Bedarf zu untersuchen und zu beheben.
Maßnahmen zur Sicherstellung von Verantwortung: Wir implementieren Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen und veröffentlichen einen Überblick über unsere für den ISMS relevanten Informationen in unserer Bird documentation. Wir haben einen engagierten Vizepräsidenten für Compliance und Informationssicherheit und einen Datenschutzbeauftragten ernannt und führen Dokumentationen unserer Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen, die Persönliche Daten betreffen, wo zutreffend.
