Datenverarbeitungsvereinbarung
Diese Datenschutzvereinbarung gilt für Sie, wenn Sie sich ab dem 28. Februar 2022 und vor dem 1. Januar 2024 für die Dienste von MessageBird (einschließlich über eines seiner Tochterunternehmen) angemeldet haben. Gültig ab dem 15. April 2022, wird diese Datenschutzvereinbarung auch für Kunden gelten, die sich vor dem 28. Februar 2022 für die Dienste von MessageBird angemeldet haben. Unsere archivierte Datenschutzvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung einschließlich der Anhänge (die „DPA“) ist Teil der Vereinbarung zwischen dem Kunden und der im Abschnitt 15 (Vertragspartner) der Allgemeinen Geschäftsbedingungen aufgeführten Vertragspartei, sofern auf Ihrem Bestellformular nicht anders angegeben. In dieser DPA beziehen sich die Begriffe „Sie”, “Ihr”, oder „Kunde” auf Sie (unterliegt Abschnitt 1.2 unten), und die Begriffe “wir”, “uns,” “unser” oder “MessageBird” beziehen sich auf uns.
1. Scope, Customer Affiliates and Term
1.1 Geltungsbereich. Diese DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Verbundenheiten. Der Kunde tritt in diese DPA im Namen von sich selbst und, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbundenheiten (wie in den Bedingungen definiert) ein, wenn und soweit Sie diesen Verbundenheiten Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die solche Verbundenheiten als Datenverantwortlicher qualifiziert sind (“Kunden-Verbundenheiten”). Für die Zwecke dieser DPA gelten nur, und außer wenn anders angegeben, die Begriffe “Kunde” und “Sie” als einschließlich Kunde und Verbundenheiten.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange MessageBird Kundendaten verarbeitet, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
Begrifflichkeiten, die in diesem DPA verwendet, aber nicht definiert sind, haben die Bedeutung, die ihnen im Vertrag gegeben wird. Die folgenden definierten Begriffe werden in diesem DPA verwendet:
2.1 “CCPA” bedeutet das California Consumer Privacy Act von 2018 und alle dazu erlassenen Vorschriften, in jedem Fall, wie es von Zeit zu Zeit geändert wird.
2.2 “Kundendaten” bedeutet alle Daten und anderen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) gemäß dem Vertrag eingereicht und von den Dienstleistungen verarbeitet oder gespeichert werden.
2.3 “Kundenpersonenbezogene Daten” bedeutet personenbezogene Daten, die in den Kundendaten enthalten sind. Kontodaten sind keine Kundenpersonenbezogenen Daten. Kontodaten sind alle Daten, die von oder für Sie an MessageBird im Zusammenhang mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktdaten, Kundenabrechnungsinformationen und Korrespondenz über den Abschluss und die Verwaltung des Vertrags.
2.4 “Datenschutzgesetzgebung” bedeutet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die bezüglich der Vertraulichkeit, Privatsphäre, Sicherheit oder Verarbeitung von personenbezogenen Daten gemäß dem Vertrag gelten, einschließlich, soweit anwendbar, der DSGVO, dem CCPA und allen anderen Gesetzen und Vorschriften, die sich auf Datenschutz, Direktmarketing oder Datenschutz beziehen.
2.5 “EEA” bedeutet für die Zwecke dieses DPA den Europäischen Wirtschaftsraum und die Schweiz.
2.6 “EU Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Drittländer” bedeutet die Module „Verantwortlicher zu Auftragsverarbeiter“ (Modul 2) der Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Drittländer gemäß der DSGVO und der Durchführungsentscheidung der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.7 “EU Standardvertragsklauseln für Unterauftragsverarbeiter” bedeutet die Module „Auftragsverarbeiter zu Auftragsverarbeiter“ (Modul 3) der Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Drittländer gemäß der DSGVO und der Durchführungsentscheidung der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.8 “DSGVO” bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich das Datenschutzgesetz 2018.
2.9 “LGPD” bedeutet das Lei Geral de Proteção de Dados von 2018 und alle dazu erlassenen Vorschriften, in jedem Fall, wie es von Zeit zu Zeit geändert wird.
2.10 “Personenbezogene Daten” bedeutet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen.
2.11 “PDPA” bedeutet das Gesetz über den Schutz personenbezogener Daten von 2012 und alle dazu erlassenen Vorschriften, in jedem Fall, wie es von Zeit zu Zeit geändert wird.
2.12 “Datenschutzerklärung” bedeutet die jeweils aktuelle Datenschutzerklärung für die Dienstleistungen, die unter https://bird.com/legal/privacy verfügbar ist.
2.13 “Verletzung personenbezogener Daten” bedeutet jede zufällige, unbefugte oder unrechtmäßige Vernichtung, Verlust, Veränderung, Offenlegung oder den Zugang zu Kundenpersonenbezogenen Daten.
2.14 “Dienstleistungen” bedeutet alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden und die (a) von Ihnen unter einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
2.15 “Standardvertragsklauseln” bedeutet entweder (i) die EU Standardvertragsklauseln für Verantwortliche zu Auftragsverarbeitern; oder (ii) die EU Standardvertragsklauseln für Auftragsverarbeiter zu Unterauftragsverarbeitern, entweder einzeln oder kollektiv, je nach Anwendbarkeit.
2.16 “Unterauftragsverarbeiter” bedeutet die Stelle, die kundenpersonenbezogene Daten im Auftrag einer Stelle verarbeitet, die als Auftragsverarbeiter oder Unterauftragsverarbeiter tätig ist.
2.17 “UK Standardvertragsklauseln für Verantwortliche zu Auftragsverarbeitern” bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern in der von der Entscheidung 2010/87/EU der Europäischen Kommission festgelegten Form, die gegebenenfalls geändert, modifiziert oder ersetzt werden kann durch die Europäische Kommission.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen unter der DSGVO zugewiesen ist. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verantwortlicher“ und „Organisation“; "Datenverarbeiter" umfasst „Dienstleister“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Einzelperson“; und „personenbezogene Daten“ umfasst „personenbezogene Informationen“, jeweils wie unter der CCPA, LGPD oder PDPA definiert.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir verarbeiten die persönlichen Daten des Kunden nur insoweit, als dies erforderlich ist (i) um die Dienste bereitzustellen, einschließlich der Übertragung von Kommunikationen, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung von technischen und Lieferberichten, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, und (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben. Wir verkaufen keine persönlichen Daten, einschließlich der persönlichen Daten des Kunden, und geben persönliche Daten nicht an Dritte für Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
3.2 Anweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung vereinbar.
3.3 Details der Verarbeitung. Anhang I, Teil B. (Beschreibung der Übertragung) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten persönlicher Daten und Kategorien von betroffenen Personen durch uns als Datenverarbeiter oder Subunternehmer.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir die persönlichen Daten des Kunden als unabhängiger Datenverantwortlicher insoweit verarbeiten, als dies für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Prävention von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Ertragsplanung, Produktstrategie), Betrugsbekämpfung, Spam und Missbrauchsverhütung und -erkennung, Produktverbesserung und um unseren rechtlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtsgültigkeit. Wenn Sie als Datenverantwortlicher für persönliche Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten gesetzlich zulässig sind, einen bestimmten Zweck haben und alle erforderlichen Mitteilungen sowie Einwilligungen oder eine andere angemessene rechtliche Grundlage vorhanden sind, um die gesetzmäßige Übertragung der persönlichen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall handeln wir als Unterauftragnehmer), stellen Sie sicher, dass der betreffende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die auf Ihre Nutzung der Dienste und auf Ihre eigene Verarbeitung der persönlichen Daten des Kunden anwendbare Datenschutzgesetze einhalten, (b) die unabhängige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Umsetzung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Widerstandsfähigkeit und Vertraulichkeit der Kundendaten, die unsere Systeme zur Verarbeitung von Kundendaten nutzen, zu wahren. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zu den Sicherheitsmaßnahmen für personenbezogene Daten der Kunden zu überprüfen und eine eigenständige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und den gesetzlichen Verpflichtungen aus dem Datenschutzrecht entsprechen. Sie bestätigen, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir von Zeit zu Zeit unsere Sicherheitsmaßnahmen aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Abwertung der Gesamtsicherheit der personenbezogenen Daten der Kunden führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien „Need to know“ und minimalen Privilegien an.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten der Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragsverarbeiter), über die vertrauliche Natur solcher personenbezogenen Daten der Kunden informiert ist und einer angemessenen Vertraulichkeitsverpflichtung (ob vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Tätigkeit hinaus besteht.
5.5 Reaktion auf Datenverletzungen und Benachrichtigung. Sobald wir von einer Datenverletzung erfahren, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen über die Datenschutzverletzung bereitstellen, sobald sie bekannt wird oder auf vernünftige Anfrage von Ihnen, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mindern und eine Wiederholung der Datenschutzverletzung zu verhindern.
6. Hilfe
6.1 Daten schutz hilfe. Wir werden Ihnen auf angemessene Anfrage Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Meldung einer Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei Anfragen von Betroffenen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zur Vermeidung von Zweifel sind Sie als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei der Offenlegung und dem Zugriff. Wir werden keinen Zugriff auf oder die Offenlegung von Kundendaten zulassen, außer (i) wie von Ihnen angewiesen, (ii) wie im Vertrag und in diesem DPA festgelegt, oder (iii) wie gesetzlich erforderlich.
7.2 Anfragen zur Offenlegung. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Regulierungsbehörde zur Offenlegung von Kundendaten erhalten, es sei denn, eine solche Benachrichtigung ist gesetzlich untersagt. Wir werden Anfragen zur Offenlegung gemäß der Offenlegungsanfragenrichtlinie behandeln, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Subprocessors
8.1 Aktuelle Subunternehmer. Sie stimmen der Beauftragung der in https://www.bird.com/en/legal/privacy#processorList unter dem Titel „Endbenutzerpersonen-Daten“ aufgeführten Subunternehmer zu, die ein Verfahren enthält, mit dem Sie sich für Benachrichtigungen über Änderungen in unserer Nutzung von Subunternehmern anmelden können. Wenn Sie sich für solche Benachrichtigungen anmelden und § 8.3 dieser DPA berücksichtigen, werden wir die Einzelheiten einer Änderung der Subunternehmer so schnell wie möglich mitteilen.
8.2 Verwendung von Subunternehmern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung, Subunternehmer für die Verarbeitung von Kundendaten zu beauftragen, vorbehaltlich § 8.3 dieser DPA und der folgenden Anforderungen:
a. Wir werden den Zugriff auf Kundendaten durch Subunternehmer auf das beschränken, was unbedingt notwendig ist, um die in der Subunternehmervereinbarung angegebenen Dienstleistungen bereitzustellen;
b. Wir werden Vereinbarungen über den Datenschutz mit dem Subunternehmer treffen, die im Wesentlichen den Verpflichtungen aus dieser DPA entsprechen; und
c. Wir haften Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers.
8.3 Benachrichtigung über Änderungen der Subunternehmer und Widerspruchsrecht. Bevor wir neue Subunternehmer ersetzen oder beauftragen („Änderung des Subunternehmers“), bieten wir Ihnen die Möglichkeit, der Änderung des Subunternehmers zu widersprechen.
Sie können einer Änderung des Subunternehmers widersprechen, vorausgesetzt, (i) der Widerspruch erfolgt schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über die Änderung des Subunternehmers und (ii) der Widerspruch basiert auf und erklärt klar die vernünftigen Gründe, die den Schutz der Kundendaten betreffen. Wenn Sie einem vorgeschlagenen Wechsel des Subunternehmers widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine angemessene Änderung bei der Bereitstellung der Dienste vorzunehmen, die die Nutzung des betreffenden Subunternehmers vermeidet. Wenn eine solche Änderung innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsmitteilung nicht angemessen vorgenommen werden kann oder wenn die Änderung für uns kommerziell unvertretbar ist, kann jede Partei die betreffenden Merkmale der Dienste kündigen, die ohne die Nutzung des betreffenden Subunternehmers nicht bereitgestellt werden können. Dieses Kündigungsrecht ist Ihr einziges und ausschließliches Rechtsmittel, wenn Sie einer Änderung des Subunternehmers widersprechen.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von personenbezogenen Daten von Kunden. Wir können personenbezogene Daten von Kunden übertragen, sofern alle angemessenen Schutzmaßnahmen, die durch die Datenschutzgesetzgebung erforderlich sind, vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Evaluierung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der Betroffenen und die Verfügbarkeit effektiver rechtlicher Schutzmaßnahmen für betroffene Personen umfassen.
9.2 Standardverträge für Subunternehmer. Sofern kein Angemessenheitsbeschluss oder alternatives Übertragungsmechanismus gilt, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten von Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten von Kunden rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Gerichtsbarkeit zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste personenbezogene Daten von Kunden, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Individuen unterliegen, das auf diese DPA anwendbar ist, an MessageBird übertragen werden, die in Ländern ansässig sind, die keinen angemessenen Schutz personenbezogener Daten im Sinne der Datenschutzgesetzgebung gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maß durchgesetzt werden, in dem solche Übertragungen der Datenschutzgesetzgebung unterliegen:
9.3.1 Die Parteien stimmen darin überein, dass die Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des EWR oder der Schweiz ansässig ist, das von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.1.1 Wenn Sie als Datencontroller handeln und MessageBird als Datenverarbeiter fungiert, gelten die Standardvertragsklauseln von EU-Controller zu -Prozessor für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR. Wenn Sie als Datenverarbeiter handeln und MessageBird als Subunternehmer fungiert, gelten die Standardvertragsklauseln von -Prozessor zu -Subunternehmer für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur angesehen und Sie werden unter den Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten von Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
Die optionale Klausel 7 „Docking-Klausel“ wird nicht übernommen.
Für Klausel 9 „Einsatz von Subunternehmern“ wählen die Parteien die folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: der Datenimporteur hat die allgemeine Genehmigung des Datencontrollers für die Einbeziehung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur hat den Datencontroller spezifisch schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmern mindestens 10 Werktage im Voraus zu informieren, wodurch dem Datencontroller ausreichend Zeit eingeräumt wird, um solchen Änderungen vor der Einbeziehung der Subunternehmer zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen bereitstellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbeziehung der Subunternehmer informieren.“
Für Klausel 11 (a) „Abhilfe“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern solches Recht das Recht auf drittseitige Begünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein wird.“
Für Klausel 18 (b) „Wahl des Gerichtsstands und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden.“
9.3.2 Die Parteien stimmen darin überein, dass die UK-Controller-zu-Prozessor-Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom Vereinigten Königreich, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des Vereinigten Königreichs ansässig ist, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1 MessageBird wird als Datenimporteur angesehen und Sie werden unter den UK-Controller-zu-Prozessor-Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK-Controller-zu-Prozessor-Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der UK-Controller-zu-Prozessor-Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den UK-Controller-zu-Prozessor-Standardvertragsklauseln haben die UK-Controller-zu-Prozessor-Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Prüfbericht. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013-Standard (oder einem gleichwertigen Standard) auditiert. Die Prüfung kann nach unserem Ermessen eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung der Prüfberichte („Prüfbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Prüfberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundenanfragen zu Informationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen von Ihnen bereitstellen, einschließlich Antworten auf Fragen zur Informationssicherheit und Prüfungsfragebögen, die im Umfang angemessen und zur Bestätigung der Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen von uns bereitgestellten oder veröffentlichten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten in Bezug auf die Dienste erfordern die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns bereitgestellter Prüfbericht Ihnen begründete Gründe gibt zu glauben, dass wir unsere Verpflichtungen aus dieser DPA, die sich auf die von Ihnen bereitgestellten Kunden personenbezogenen Daten beziehen, verletzen, gestatten wir einem unabhängigen und qualifizierten dritten Prüfer, den Sie ernennen und der von uns genehmigt wird, die relevanten anwendbaren Aktivitäten zur Verarbeitung personenbezogener Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:
a. Sie müssen uns mindestens sechzig (60) Tage im Voraus mittels einer angemessenen Mitteilung vor der Ausübung des Rechts auf Prüfung informieren;
b. Der Prüfer erklärt sich bereit, marktübliche Vertraulichkeitsverpflichtungen mit uns einzugehen;
c. Sie und der Prüfer ergreifen Maßnahmen, um Störungen des Geschäftsbetriebs zu minimieren;
d. Die Prüfung wird während der üblichen Geschäftszeiten durchgeführt;
e. Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Dienste beteiligt sind, zu gewähren; und
f. Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und im Auftrag eines Kundenverbunds wie in Abschnitt 1.2 dargelegt, stellt einen separaten DPA zwischen uns und diesem Kundenverbund dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, im Namen seiner Kundenverbünde jegliche Kommunikation in Bezug auf dieses DPA zu tätigen und zu empfangen.
12.2 Rechte der Kundenverbünde. Wenn ein Kundenverbund eine Partei in den DPA mit uns wird, ist er, soweit erforderlich, nach den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze den Kundenverbund nicht dazu verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen MessageBird selbst geltend zu machen, sind sich die Parteien einig, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenverbunds suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solchen Rechte im Rahmen dieses DPA nicht separat für jeden Kundenverbund einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenverbünde zusammen ausüben soll.
(ii) Die Parteien sind sich einig, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die den Schutz von Kundendaten betreffen, in seinem Auftrag durchgeführt wird, wie in Abschnitt 10.3 dieses DPA dargelegt, alle angemessenen Maßnahmen ergreifen soll, um etwaige Auswirkungen auf uns zu minimieren, indem er, soweit dies angemessen möglich ist, mehrere Prüfungsanfragen, die im Auftrag von ihm und all seinen Kundenverbünden durchgeführt werden, in einer einzigen Prüfung zusammenfasst.
Zum Klarstellen, ein Kundenverbund wird keine vertragliche Partei des Vertrags.
13. Gesetz über den Datenschutz der Verbraucher von Kalifornien
Wir verpflichten uns Ihnen gegenüber zu den folgenden zusätzlichen Verpflichtungen bezüglich der Verarbeitung von Kundendaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen. Wir werden den CCPA einhalten und alle Kundendaten, die dem CCPA unterliegen („CCPA-Kundendaten“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA-Kundendaten sind wir ein Dienstanbieter nach dem CCPA. Wir werden (a) CCPA-Kundendaten nicht verkaufen; (b) keine CCPA-Kundendaten für einen anderen Zweck als den spezifischen Zweck der Bereitstellung der Dienstleistungen speichern, verwenden oder offenlegen, einschließlich der Speicherung, Verwendung oder Offenlegung von CCPA-Kundendaten für kommerzielle Zwecke, die nicht die Bereitstellung der Dienstleistungen betreffen; oder (c) CCPA-Kundendaten außerhalb unserer direkten Geschäftsbeziehung zu Ihnen speichern, verwenden oder offenlegen. Die Verarbeitung von CCPA-Kundendaten, die durch Ihre Anweisungen in den Bedingungen und diesem DPA autorisiert ist, ist integraler Bestandteil unserer Bereitstellung der Dienstleistungen. Sie erkennen an und stimmen zu, dass unser Zugriff auf Kundendaten nicht Teil der im Vertrag ausgetauschten Gegenleistung ist. Soweit Nutzungsdaten als CCPA-Kundendaten angesehen werden, sind wir das Unternehmen in Bezug auf solche Daten und werden diese Daten gemäß unserer Datenschutzerklärung verarbeiten. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstanbieter“ und „verkaufen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA zugewiesen werden. Beide Parteien bestätigen, dass sie die Verpflichtungen und Einschränkungen verstanden haben und diese gemäß dem CCPA einhalten werden, wie in diesem DPA und dem Vertrag festgelegt.
13.2 Kundenverpflichtungen. Sie erklären und garantieren, dass Sie den Endnutzer darüber informiert haben, dass die personenbezogenen Daten gemäß den in Abschnitt 1798.140(t)(2)(C)(i) des CCPA vorgesehenen Bedingungen verwendet oder geteilt werden. Sie sind verantwortlich für die Einhaltung der Anforderungen des CCPA, die auf Sie als Datenverantwortlicher zutreffen.
14. Anwendbares Recht und Streitbeilegung
Abschnitt 13 der Bedingungen gilt für alle Streitigkeiten, die aus oder im Zusammenhang mit diesem DPA entstehen, es sei denn, die Datenschutzgesetzgebung schreibt etwas anderes vor.
ANHANG I - DETAILS DER VERARBEITUNG
Sofern zutreffend, dient dieser Anhang 1 als Anhang I zu den EWR-Standardvertragsklauseln.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktinformationen des Datenexporteurs: Die Adresse, die im Konto des Kunden aufgeführt ist, oder die E-Mail-Adresse des Kontoinhabers des Kunden oder die E-Mail-Adresse(n), unter denen der Kunde Benachrichtigungen gemäß dem Vertrag erhalten möchte.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum: Sofern und wenn zutreffend, gilt der Datenexporteur als die Standardvertragsklauseln, die hierin enthalten sind, zum Zeitpunkt des Inkrafttretens der DPA unterschrieben zu haben.
Datenimporteur: MessageBird B.V.
Kontaktinformationen des Datenimporteurs: Trompenburgstraat 2-C, 1079TX, Amsterdam, Niederlande, Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur handelt als Datenverarbeiter.
Unterschrift und Datum: Sofern und wenn zutreffend, gilt der Datenimporteur als die Standardvertragsklauseln, die hierin enthalten sind, zum Zeitpunkt des Inkrafttretens der DPA unterschrieben zu haben.
Anhang I, Teil B. Beschreibung des Transfers
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Benutzer. Kontaktpersonen des Kunden (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemalig), die die Dienste über das Konto des Kunden nutzen („Benutzer“);Endbenutzer. Jede Einzelperson (i), deren Kontaktdaten in der Kontaktliste(n) des Kunden enthalten sind; (ii) deren Informationen in den Diensten gespeichert oder über die Dienste gesammelt werden, oder (ii) an die der Kunde Mitteilungen sendet oder auf andere Weise interagiert oder kommuniziert über die Dienste (gemeinsam „Endbenutzer“). Sie als Kunde bestimmen ausschließlich die Kategorien von betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Mitteilung enthalten sind.
2. Kategorien personenbezogener Daten, die übertragen werden: Personenbezogene Daten des Kunden, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthalten sind. Kommunikationsinhalte, die personenbezogene Daten oder andere personalisierte Merkmale enthalten können, je nach den Kommunikationsinhalten, die von Ihnen als Kunde bestimmt werden. Verkehrsdaten, die personenbezogene Daten des Kunden über das Routing, die Dauer oder den Zeitpunkt einer Kommunikation wie Sprachanruf, SMS oder E-Mail enthalten können, unabhängig davon, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen. Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung. Nutzungsdaten des Kunden können Daten enthalten, die mit Ihnen als Einzelperson in Zusammenhang gebracht werden können, und statistische Daten sowie Informationen, die sich auf Ihr Konto und Ihre Serviceaktivitäten beziehen, servicebezogene Einblicke und Analyseberichte über die gesendete Kommunikation und den Kundensupport.
3. Sensible Daten, die übertragen werden (sofern zutreffend) und angewendete Beschränkungen oder Sicherheitsvorkehrungen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zwecksbestimmung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezialisierte Schulung durchlaufen haben), Protokollierung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
(a) Kommunikationsinhalte. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer entscheiden, sensible Daten in den Mitteilungen, die über die Dienste übertragen werden, zu inkludieren. Sie sind verantwortlich dafür, geeignete Sicherheitsvorkehrungen zu treffen, bevor Sie sensible Daten über die Dienste übertragen oder verarbeiten oder bevor Sie Ihren Endbenutzern das Übertragen oder Verarbeiten sensibler Daten über die Dienste gestatten, gemäß Abschnitt 3.2 des Vertrags.
(b) Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Es sind keine sensiblen Daten in Verkehrsdaten, Endbenutzerdaten oder Nutzungsdaten des Kunden enthalten.
4. Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden während der Laufzeit des Vertrags kontinuierlich übertragen.
5. Art der Verarbeitung: Wir werden personenbezogene Daten des Kunden in dem erforderlichen Umfang verarbeiten, um die Dienste gemäß dem Vertrag bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich personenbezogener Daten des Kunden, und geben keine personenbezogenen Daten an Dritte zur Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
6. Zweck(e) der Datenübertragung und weiteren Verarbeitung: Wir werden personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, wie in dieser DPA festgelegt, verarbeiten, es sei denn, die Verarbeitung ist notwendig, um einer rechtlichen Verpflichtung nachzukommen, der wir unterliegen, in diesem Fall klassifizieren wir als Datenverantwortlicher.
Kommunikationsinhalt, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Nutzungsdaten des Kunden enthalten sind, unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:
(a) Kommunikationsinhalt. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienste, die in Form von Anwendungsprogrammierschnittstellen (APIs) oder über das Dashboard angeboten werden, an den Kunden, einschließlich der Übertragung an oder von der Softwareanwendung des Kunden zu oder von unserer Kommunikationsplattform und anderen Kommunikationsnetzwerken.
(b) Verkehrsdaten. Verkehrsdaten werden verarbeitet, um die Kommunikation in einem elektronischen Kommunikationsnetz zu übertragen oder zum Abrechnungszweck für diese Kommunikation. Dies kann personenbezogene Daten des Kunden über das Routing, die Dauer oder den Zeitpunkt einer Kommunikation wie Sprachanruf, SMS oder E-Mail umfassen, unabhängig davon, ob sie sich auf eine Einzelperson oder ein Unternehmen beziehen.
(c) Endbenutzerdaten. Personenbezogene Daten von Endbenutzern sind erforderlich, um die Dienste bereitzustellen, und werden nur zu den Zwecken der Kommunikationsübertragung, des Kundensupports und zur Gewährleistung der Einhaltung rechtlicher Verpflichtungen von MessageBird verarbeitet.
(d) Nutzungsdaten des Kunden. Personenbezogene Daten, die in den Nutzungsdaten des Kunden enthalten sind unterliegen den Verarbeitungsaktivitäten der Bereitstellung der Dienste gemäß dem Vertrag, mit dem Ziel, dem Kunden Dienste verwandte Einblicke und Analyseberichte über die gesendete Kommunikation, den Kundensupport und die kontinuierliche Verbesserung der Dienste bereitzustellen.
7. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:
(a) Kommunikationsinhalt und Verkehrsdaten. Für den Kundeninhalt und die Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für die Dienste von 24sessions werden die Kundeninhalte und Verkehrsdaten für mindestens 30 Tage bis zur Dauer aufbewahrt, die mit Ihnen vereinbart wurde;
Für alle anderen Dienste werden Kundeninhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen Kundeninhalte oder Verkehrsdaten über die Ihnen über die Dienste zur Verfügung gestellten technischen und organisatorischen Maßnahmen.
(b) Endbenutzerdaten. Endbenutzerdaten werden während der Dauer verarbeitet, die von dem Kunden bestimmt wird, wenn Endbenutzerdaten in Ihre Kontaktprofile aufgenommen werden, beträgt der Standardaufbewahrungszeitraum die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
(c) Nutzungsdaten des Kunden. Nach Beendigung des Vertrags dürfen wir die Nutzungsdaten des Kunden für die in Abschnitt 6(d) dieses Anhangs I, Teil B, dargelegten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der Vertraulichkeitsverpflichtungen, die im Vertrag festgelegt sind. Wir werden die Nutzungsdaten des Kunden anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B, dargelegten Zwecke benötigen.
8. Für Übertragungen an (Unter)verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Für Übertragungen an Unterverarbeiter werden der Gegenstand und die Art der Verarbeitung unter https://www.bird.com/legal/privacy#processorList dargelegt und die Dauer entspricht der Dauer des Vertrags.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) ist die zuständige Aufsichtsbehörde.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Sofern anwendbar, dient dieses Anhang II als Annex II zu den Standardvertragsklauseln. Im Folgenden finden Sie weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die im Folgenden dargelegt sind.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz von personenbezogenen Daten in Speicherung und Übertragung: Alle personenbezogenen Daten sind während der Übertragung und im Ruhezustand verschlüsselt und, soweit relevant aus sicherheitstechnischer Sicht, behandelt, als ob sie als sensible Daten klassifiziert wären. Informationen werden grundsätzlich immer über TLS mit aktueller Verschlüsselungstechnologie übertragen.
Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsbestimmungen mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Unterauftragsverarbeitern ab. Unsere Richtlinie zur Geschäftskontinuität besteht darin, unser Geschäft und unsere Dienstleistungen für den Fall längerer Ausfälle, die durch Faktoren, die nicht in unserer Kontrolle stehen, verursacht werden, vorzubereiten und die Dienstleistungen so weit wie möglich innerhalb kürzester Zeit wiederherzustellen. Wir verstehen, dass die von uns erbrachten Dienstleistungen für unsere Kunden von entscheidender Bedeutung sind und haben daher sehr wenig Toleranz gegenüber Serviceunterbrechungen. Unsere Zeitrahmen für die Wiederherstellung sind darauf ausgelegt, sicherzustellen, dass wir unseren Verpflichtungen gegenüber all unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Informationssicherheitsmanagementsystems (ISMS) besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden durch die Verhinderung von Sicherheitsvorfällen sowie das Management von Sicherheitsbedrohungen und -anfälligkeiten zu minimieren. Unser Rechtsteam, der Datenschutzbeauftragte und das Sicherheits- und Compliance-Team stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmenbedingungen einfließen.
Maßnahmen zur Benutzeridentifizierung und -autorisierung: Wir folgen den Grundsätzen „need to know“ und „least privilege“. Wir fördern die Nutzung von rollenbasierter Zugriffskontrolle. Bereitstellung und Entzug von Zugriffsrechten wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA standardmäßig. Für jedes Informationsasset wurden Verantwortliche definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugriff auf ihre Systeme angemessen ist und regelmäßig überprüft wird. Wenn sensible Informationen bearbeitet oder kritische Maßnahmen ergriffen werden, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Protokollierung von Ereignissen: Prüfprotokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sicher aufbewahrt, um das Risiko einer Manipulation zu vermeiden. Die Richtlinie zum Vorfallmanagement setzt den Vorfallreaktionsplan und dessen Verfahren durch. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall auftritt. Im Falle von Sicherheitsvorfällen werden diese regelmäßig vom Sicherheitslenkungsausschuss überprüft, der aus hochrangigen Stakeholdern aus dem gesamten Unternehmen besteht.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen an der Produktionsumgebung der Kommunikationsplattform als Dienst. Um näher darauf einzugehen, müssen alle Änderungsanfragen (RFC) von einer zuständigen Partei genehmigt und gemäß dem formellen Änderungssteuerungsprozess durchgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und in kontrollierter Weise freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden befolgt, um die Systeme sicher nach Best Practices zu konfigurieren. Außerdem wird innerhalb der Engineering-Abteilung ein Tech-Radar verwendet, um zu definieren, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung angenommen oder vermieden werden sollen.
Maßnahme für physische Sicherheit: Wir fördern aktiv ein „Work from Anywhere“-Programm, sodass unsere Mitarbeiter frei sind, von jedem Ort aus zu arbeiten, den sie möchten. Dennoch haben wir auch unsere Büroräume. Wir haben in unseren Räumlichkeiten keine sicheren Bereiche/Rechenzentren, da wir ein vollständig cloudbasiertes Unternehmen sind. Unsere Büroetagen sind durch physische Zugangskontrollen, CCTV und persönliche Sicherheit geschützt.
Maßnahmen für interne IT- und IT-Sicherheitsgovernance und -management: Wir unterhalten ein risikobasiertes Bewertungssicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die dazu dienen, die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert aufgebaut. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unseren Informationssicherheitspolitiken, -verfahren und -richtlinien umgesetzt. Wir haben einen Sicherheitslenkungsausschuss, der für die taktische Ebene der Informationssicherheit verantwortlich ist. Dies umfasst die Koordination von Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der regulatorischen Compliance. Alle Mitarbeiter sind verantwortlich für den Schutz der Unternehmensressourcen. Alle unsere Mitarbeiter werden auf Fachwissen, Erfahrung und Integrität überprüft. Mitarbeiter werden während der Einarbeitungsphase sowie durch regelmäßige team spezifische Schulungen und andere unternehmensweite Präsenzveranstaltungen über die Bedeutung von Datenschutz und Compliance in der Sicherheit informiert. MessageBird ist ISO/IEC 27001:2013 zertifiziert, die weltweit anerkannten Informationssicherheitsstandards für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind ISO/IEC 27001:2013-konform.
Wir sind auch beim niederländischen Amt für Verbraucher und Märkte registriert. Das bedeutet, dass wir immer rechenschaftspflichtig sind und unseren Kunden gegenüber voll transparent sind.
Wir sind assoziiertes Mitglied des Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen von Mobilfunkbetreibern weltweit. Wir sind immer auf dem neuesten Stand aller anwendbaren Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung.
Maßnahmen für Zertifizierungen/Versicherungen von Prozessen und Produkten: Wir unterziehen uns strenger Überwachung sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001:2013-Konformität und führen regelmäßig Schwachstellen- und Penetrationstests durch. MessageBird verfolgt einen einheitlichen Ansatz für Patch- und Schwachstellenmanagement, um sicherzustellen, dass unsere Standard-SLA-Fristen eingehalten werden, unabhängig davon, ob Schwachstellen in unserer zugrunde liegenden Infrastruktur, Betriebssystemen oder im Quellcode bestehen.
Maßnahmen für Anwendungssicherheit: Wir gewährleisten die Sicherheit unserer Anwendungen während der Design- und Entwicklungsphase basierend auf den Sicherheitsrichtlinien für sicheren Code von MessageBird.
Angemessene Korrekturen werden vor der Veröffentlichung umgesetzt.
Codeänderungen werden von qualifizierten Personen (die mit Codeüberprüfung und sicherer Entwicklung vertraut sind) überprüft, die nicht die ursprünglichen Entwickler sind.
Anwendungen werden mindestens einmal jährlich (entsprechend den Branchenstandards und bewährten Praktiken) rigorosen Tests zur Anwendungssicherheit unterzogen, um neue Bedrohungen und Schwachstellen zu identifizieren.
Alle Codeänderungen für Anwendungen, die in Produktionsumgebungen übergeben werden, werden mittels manueller und/oder automatisierter Prozesse überprüft.
Penetrationstests werden jährlich und fallweise für neue Produkte/Funktionen durchgeführt. Automatisierte Quellcode-Analysetools werden verwendet, um Sicherheitsdefekte im Code vor der Bereitstellung, basierend auf der Sprache, zu erkennen.
Maßnahmen zur Offenlegung von Schwachstellen: Wir schätzen Sicherheitsforscher, die Schwachstellen auf unserer Plattform gefunden haben, und bitten sie, uns zu kontaktieren und ihre Ergebnisse an security@bird.com zu senden. Wir haben ein engagiertes Sicherheitsteam, das Folgemaßnahmen durchführt und Einladungen zu unserem Bug-Bounty-Programm versendet, um nötigenfalls zu untersuchen und zu beheben.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht: Wir setzen Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen um und veröffentlichen einen Überblick über unsere ISMS-relevanten Informationen (link). Wir haben einen engagierten VP für Compliance und Informationssicherheit und einen Datenschutzbeauftragten ernannt und führen eine Dokumentation unserer Verarbeitungstätigkeiten, einschließlich der Dokumentation und Berichterstattung von Sicherheitsvorfällen, bei denen personenbezogene Daten betroffen sind, wo dies zutreffend ist.
Inhalte