Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung gilt für Sie, wenn Sie sich am oder nach dem 28. Februar 2022 und vor dem 1. Januar 2024 für die Services von MessageBird (einschließlich über seine Tochtergesellschaften) angemeldet haben. Gültig ab dem 15. April 2022, gilt diese Datenverarbeitungsvereinbarung auch für Kunden, die sich vor dem 28. Februar 2022 für die Services von MessageBird angemeldet haben. Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Dokumente
Inhalte
Diese Datenverarbeitungsvereinbarung einschließlich der Anhänge (die „DPA“) ist Teil der Vereinbarung zwischen Kunde und der in Abschnitt 15 (Vertragsschließende Einheit) der Allgemeinen Geschäftsbedingungen aufgeführten vertragsschließenden Einheit, sofern auf Ihrem Bestellformular nicht anders angegeben. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“, oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns.
1. Scope, Customer Affiliates and Term
1.1 Geltungsbereich. Diese DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Verbundenheiten. Der Kunde tritt in diese DPA im Namen von sich selbst und, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbundenheiten (wie in den Bedingungen definiert) ein, wenn und soweit Sie diesen Verbundenheiten Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die solche Verbundenheiten als Datenverantwortlicher qualifiziert sind (“Kunden-Verbundenheiten”). Für die Zwecke dieser DPA gelten nur, und außer wenn anders angegeben, die Begriffe “Kunde” und “Sie” als einschließlich Kunde und Verbundenheiten.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange MessageBird Kundendaten verarbeitet, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die im Vertrag angegebene Bedeutung. Die folgenden definierten Begriffe werden in dieser DPA verwendet:
2.1 „CCPA“ bezeichnet den California Consumer Privacy Act von 2018 und alle diesbezüglich erlassenen Vorschriften, jeweils in der von Zeit zu Zeit geänderten Fassung.
2.2 „Kundendaten“ bezeichnet alle Daten und andere Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) gemäß dem Vertrag übermittelt und von den Diensten verarbeitet oder gespeichert werden.
2.3 „Kunden-Personendaten“ bezeichnet personenbezogene Daten, die in Kundendaten enthalten sind. Kontodaten sind keine Kunden-Personendaten. Kontodaten sind alle Daten, die von oder für Sie an MessageBird im Zusammenhang mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktdaten, Kundenabrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung des Vertrags.
2.4 „Datenschutzgesetzgebung“ bezeichnet alle Gesetze und Vorschriften in jedem Rechtsgebiet, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten nach dem Vertrag anwendbar sind, einschließlich, soweit anwendbar, der DSGVO, des CCPA und aller anderen Gesetze und Vorschriften im Zusammenhang mit Datenschutz, Direktmarketing oder Datenschutz.
2.5 „EWR“ bezeichnet, für die Zwecke dieser DPA, den Europäischen Wirtschaftsraum und die Schweiz.
2.6 „EU Controller-to-Processor Standard Contractual Clauses“ bezeichnet die “Controller to Processor” (Modul 2) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß DSGVO und dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021.
2.7 „EU Processor-to-Subprocessor Standard Contractual Clauses“ bezeichnet die “Processor to Processor” (Modul 3) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß DSGVO und dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021.
2.8 „GDPR“ bezeichnet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) ausschließlich im Vereinigten Königreich das Data Protection Act 2018.
2.9 „LGPD“ bezeichnet das Lei Geral de Proteção de Dados von 2018 und alle diesbezüglich erlassenen Vorschriften, jeweils in der von Zeit zu Zeit geänderten Fassung.
2.10 „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen.
2.11 „PDPA“ bezeichnet das Personal Data Protection Act von 2012 und alle diesbezüglich erlassenen Vorschriften, jeweils in der von Zeit zu Zeit geänderten Fassung.
2.12 „Privacy Statement“ bezeichnet die jeweils aktuelle Privacy Statement für die Dienste, verfügbar unter https://bird.com/legal/privacy.
2.13 „Verletzung personenbezogener Daten“ bezeichnet jede versehentliche, unbefugte oder rechtswidrige Zerstörung, Verlust, Veränderung, Offenlegung von oder Zugriff auf Kunden-Personendaten.
2.14 „Dienste“ bezeichnet alle Produkte und Dienste, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden und die (a) von Ihnen im Rahmen eines Bestellformulars bestellt werden; oder (b) von Ihnen genutzt werden.
2.15 „Standardvertragsklauseln“ bezeichnet entweder (i) die EU Controller-to-Processor Standardvertragsklauseln; oder (ii) die EU Processor-to-Subprocessor Standardvertragsklauseln, jeweils einzeln oder zusammen, je nach Anwendbarkeit.
2.16 „Sub-Processor“ bezeichnet die Stelle, die im Auftrag einer als Datenverarbeiter oder Subprozessor handelnden Stelle Kunden-Personendaten verarbeitet.
2.17 „UK Controller-to-Processor Standard Contractual Clauses“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter in Drittländern in der von der Europäischen Kommission festgelegten Form, die durch den Beschluss 2010/87/EU der Europäischen Kommission festgelegt wurde, wie sie von der Europäischen Kommission geändert, modifiziert oder ersetzt werden können.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die ihnen unter der DSGVO zugewiesene Bedeutung. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „verantwortliche Person“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstleister“, „Verarbeiter“ und „Datenvermittler“; „Betroffene Person“ umfasst „Verbraucher“ und „Individuum“; und „Personenbezogene Daten“ umfasst „persönliche Informationen“, jeweils wie im CCPA, LGPD oder PDPA definiert.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir verarbeiten die persönlichen Daten des Kunden nur insoweit, als dies erforderlich ist (i) um die Dienste bereitzustellen, einschließlich der Übertragung von Kommunikationen, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung von technischen und Lieferberichten, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, und (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben. Wir verkaufen keine persönlichen Daten, einschließlich der persönlichen Daten des Kunden, und geben persönliche Daten nicht an Dritte für Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
3.2 Anweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung vereinbar.
3.3 Details der Verarbeitung. Anhang I, Teil B. (Beschreibung der Übertragung) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten persönlicher Daten und Kategorien von betroffenen Personen durch uns als Datenverarbeiter oder Subunternehmer.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir die persönlichen Daten des Kunden als unabhängiger Datenverantwortlicher insoweit verarbeiten, als dies für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Prävention von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Ertragsplanung, Produktstrategie), Betrugsbekämpfung, Spam und Missbrauchsverhütung und -erkennung, Produktverbesserung und um unseren rechtlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtsgültigkeit. Wenn Sie als Datenverantwortlicher für persönliche Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten gesetzlich zulässig sind, einen bestimmten Zweck haben und alle erforderlichen Mitteilungen sowie Einwilligungen oder eine andere angemessene rechtliche Grundlage vorhanden sind, um die gesetzmäßige Übertragung der persönlichen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall handeln wir als Unterauftragnehmer), stellen Sie sicher, dass der betreffende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die auf Ihre Nutzung der Dienste und auf Ihre eigene Verarbeitung der persönlichen Daten des Kunden anwendbare Datenschutzgesetze einhalten, (b) die unabhängige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Umsetzung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Widerstandsfähigkeit und Vertraulichkeit der Kundendaten, die unsere Systeme zur Verarbeitung von Kundendaten nutzen, zu wahren. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zu den Sicherheitsmaßnahmen für personenbezogene Daten der Kunden zu überprüfen und eine eigenständige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und den gesetzlichen Verpflichtungen aus dem Datenschutzrecht entsprechen. Sie bestätigen, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir von Zeit zu Zeit unsere Sicherheitsmaßnahmen aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Abwertung der Gesamtsicherheit der personenbezogenen Daten der Kunden führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien „Need to know“ und minimalen Privilegien an.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten der Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragsverarbeiter), über die vertrauliche Natur solcher personenbezogenen Daten der Kunden informiert ist und einer angemessenen Vertraulichkeitsverpflichtung (ob vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Tätigkeit hinaus besteht.
5.5 Reaktion auf Datenverletzungen und Benachrichtigung. Sobald wir von einer Datenverletzung erfahren, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen über die Datenschutzverletzung bereitstellen, sobald sie bekannt wird oder auf vernünftige Anfrage von Ihnen, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mindern und eine Wiederholung der Datenschutzverletzung zu verhindern.
6. Hilfe
6.1 Daten schutz hilfe. Wir werden Ihnen auf angemessene Anfrage Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Meldung einer Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei Anfragen von Betroffenen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zur Vermeidung von Zweifel sind Sie als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei Offenlegung und Zugriff. Wir werden keinen Zugang zu oder die Offenlegung von Customer Personal Data gewähren, außer (i) wenn Sie es anweisen, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wenn es gesetzlich erforderlich ist.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde zur Offenlegung von Customer Personal Data erhalten, es sei denn, eine solche Mitteilung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsanfragenrichtlinie bearbeiten, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Subprocessors
8.1 Aktuelle Subunternehmer. Sie stimmen dem Einsatz der unter https://www.bird.com/en/legal/privacy#processorList unter der Überschrift “End User Personal Data” aufgeführten Subunternehmern zu, die ein Verfahren zur Anmeldung für Benachrichtigungen über Änderungen bei der Nutzung unserer Subunternehmer enthalten. Wenn Sie sich für solche Benachrichtigungen anmelden und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Details zu jeder Änderung bei den Subunternehmern so schnell wie möglich mitteilen.
8.2 Einsatz von Subunternehmern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Autorisierung zur Beauftragung von Subunternehmern für die Verarbeitung von Kunden personenbezogener Daten, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
a. Wir werden den Zugang zu Kunden personenbezogenen Daten durch Subunternehmer beschränken, auf das, was strikt notwendig ist, um die im Subunternehmervertrag festgelegten Dienstleistungen zu erbringen;
b. Wir werden mit dem Subunternehmer Datenschutzverpflichtungen vereinbaren, die im Wesentlichen den Verpflichtungen dieser DPA entsprechen; und
c. Wir bleiben Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers verantwortlich.
8.3 Benachrichtigung über Änderungen bei Subunternehmern und Widerspruchsrecht. Bevor wir Subunternehmer ersetzen oder neue beauftragen („Wechsel des Subunternehmers“), geben wir Ihnen die Möglichkeit, dem Wechsel des Subunternehmers zu widersprechen.
Sie können dem Wechsel des Subunternehmers widersprechen, vorausgesetzt, (i) der Widerspruch erfolgt schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über den Wechsel des Subunternehmers und (ii) der Widerspruch basiert auf und erklärt klar die vernünftigen Gründe, die den Schutz von Kunden personenbezogenen Daten betreffen. Wenn Sie einem vorgeschlagenen Wechsel des Subunternehmers widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine kommerziell vernünftige Änderung bei der Bereitstellung der Dienstleistungen vorzunehmen, die die Nutzung des betreffenden Subunternehmers vermeidet. Wenn eine solche Änderung nicht vernünftigerweise innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsmitteilung vorgenommen werden kann oder wenn die Änderung für uns kommerziell unzumutbar ist, kann jede Partei die anwendbaren Funktionen der Dienstleistungen, die nicht ohne die Nutzung des betreffenden Subunternehmers erbracht werden können, kündigen. Dieses Kündigungsrecht ist Ihr einziges und exklusives Rechtsmittel, wenn Sie einem Wechsel des Subunternehmers widersprechen.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von personenbezogenen Daten von Kunden. Wir können personenbezogene Daten von Kunden übertragen, sofern alle angemessenen Schutzmaßnahmen, die durch die Datenschutzgesetzgebung erforderlich sind, vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Evaluierung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der Betroffenen und die Verfügbarkeit effektiver rechtlicher Schutzmaßnahmen für betroffene Personen umfassen.
9.2 Standardverträge für Subunternehmer. Sofern kein Angemessenheitsbeschluss oder alternatives Übertragungsmechanismus gilt, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten von Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten von Kunden rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Gerichtsbarkeit zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste personenbezogene Daten von Kunden, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Individuen unterliegen, das auf diese DPA anwendbar ist, an MessageBird übertragen werden, die in Ländern ansässig sind, die keinen angemessenen Schutz personenbezogener Daten im Sinne der Datenschutzgesetzgebung gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maß durchgesetzt werden, in dem solche Übertragungen der Datenschutzgesetzgebung unterliegen:
9.3.1 Die Parteien stimmen darin überein, dass die Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des EWR oder der Schweiz ansässig ist, das von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.1.1 Wenn Sie als Datencontroller handeln und MessageBird als Datenverarbeiter fungiert, gelten die Standardvertragsklauseln von EU-Controller zu -Prozessor für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR. Wenn Sie als Datenverarbeiter handeln und MessageBird als Subunternehmer fungiert, gelten die Standardvertragsklauseln von -Prozessor zu -Subunternehmer für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur angesehen und Sie werden unter den Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten von Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
Die optionale Klausel 7 „Docking-Klausel“ wird nicht übernommen.
Für Klausel 9 „Einsatz von Subunternehmern“ wählen die Parteien die folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: der Datenimporteur hat die allgemeine Genehmigung des Datencontrollers für die Einbeziehung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur hat den Datencontroller spezifisch schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmern mindestens 10 Werktage im Voraus zu informieren, wodurch dem Datencontroller ausreichend Zeit eingeräumt wird, um solchen Änderungen vor der Einbeziehung der Subunternehmer zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen bereitstellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbeziehung der Subunternehmer informieren.“
Für Klausel 11 (a) „Abhilfe“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern solches Recht das Recht auf drittseitige Begünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein wird.“
Für Klausel 18 (b) „Wahl des Gerichtsstands und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden.“
9.3.2 Die Parteien stimmen darin überein, dass die UK-Controller-zu-Prozessor-Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom Vereinigten Königreich, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des Vereinigten Königreichs ansässig ist, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1 MessageBird wird als Datenimporteur angesehen und Sie werden unter den UK-Controller-zu-Prozessor-Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK-Controller-zu-Prozessor-Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der UK-Controller-zu-Prozessor-Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den UK-Controller-zu-Prozessor-Standardvertragsklauseln haben die UK-Controller-zu-Prozessor-Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Prüfbericht. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013-Standard (oder einem gleichwertigen Standard) auditiert. Die Prüfung kann nach unserem Ermessen eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung der Prüfberichte („Prüfbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Prüfberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundenanfragen zu Informationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen von Ihnen bereitstellen, einschließlich Antworten auf Fragen zur Informationssicherheit und Prüfungsfragebögen, die im Umfang angemessen und zur Bestätigung der Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen von uns bereitgestellten oder veröffentlichten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten in Bezug auf die Dienste erfordern die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns bereitgestellter Prüfbericht Ihnen begründete Gründe gibt zu glauben, dass wir unsere Verpflichtungen aus dieser DPA, die sich auf die von Ihnen bereitgestellten Kunden personenbezogenen Daten beziehen, verletzen, gestatten wir einem unabhängigen und qualifizierten dritten Prüfer, den Sie ernennen und der von uns genehmigt wird, die relevanten anwendbaren Aktivitäten zur Verarbeitung personenbezogener Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:
a. Sie müssen uns mindestens sechzig (60) Tage im Voraus mittels einer angemessenen Mitteilung vor der Ausübung des Rechts auf Prüfung informieren;
b. Der Prüfer erklärt sich bereit, marktübliche Vertraulichkeitsverpflichtungen mit uns einzugehen;
c. Sie und der Prüfer ergreifen Maßnahmen, um Störungen des Geschäftsbetriebs zu minimieren;
d. Die Prüfung wird während der üblichen Geschäftszeiten durchgeführt;
e. Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Dienste beteiligt sind, zu gewähren; und
f. Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und im Auftrag eines Kundenverbunds wie in Abschnitt 1.2 dargelegt, stellt einen separaten DPA zwischen uns und diesem Kundenverbund dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, im Namen seiner Kundenverbünde jegliche Kommunikation in Bezug auf dieses DPA zu tätigen und zu empfangen.
12.2 Rechte der Kundenverbünde. Wenn ein Kundenverbund eine Partei in den DPA mit uns wird, ist er, soweit erforderlich, nach den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze den Kundenverbund nicht dazu verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen MessageBird selbst geltend zu machen, sind sich die Parteien einig, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenverbunds suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solchen Rechte im Rahmen dieses DPA nicht separat für jeden Kundenverbund einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenverbünde zusammen ausüben soll.
(ii) Die Parteien sind sich einig, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die den Schutz von Kundendaten betreffen, in seinem Auftrag durchgeführt wird, wie in Abschnitt 10.3 dieses DPA dargelegt, alle angemessenen Maßnahmen ergreifen soll, um etwaige Auswirkungen auf uns zu minimieren, indem er, soweit dies angemessen möglich ist, mehrere Prüfungsanfragen, die im Auftrag von ihm und all seinen Kundenverbünden durchgeführt werden, in einer einzigen Prüfung zusammenfasst.
Zum Klarstellen, ein Kundenverbund wird keine vertragliche Partei des Vertrags.
13. Gesetz über den Datenschutz der Verbraucher von Kalifornien
Wir machen Ihnen gegenüber die folgenden zusätzlichen Verpflichtungen im Hinblick auf die Verarbeitung von Kundenpersonenbezogenen Daten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen. Wir werden den CCPA einhalten und alle Kundenpersonenbezogenen Daten, die dem CCPA unterliegen („CCPA Personal Data“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA Personal Data sind wir ein Dienstanbieter im Sinne des CCPA. Wir werden (a) keine CCPA Personal Data verkaufen; (b) keine CCPA Personal Data für andere Zwecke aufbewahren, verwenden oder offenlegen als für den spezifischen Zweck der Bereitstellung der Dienstleistungen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von CCPA Personal Data für einen kommerziellen Zweck, der nicht der Bereitstellung der Dienstleistungen dient; oder (c) keine CCPA Personal Data außerhalb unserer direkten Geschäftsbeziehung mit Ihnen aufbewahren, verwenden oder offenlegen. Die Verarbeitung von CCPA Personal Data, die durch Ihre Anweisungen in den Bedingungen und diesem DPA autorisiert ist, ist integraler Bestandteil unserer Dienstleistungsbereitstellung. Sie erkennen an und stimmen zu, dass unser Zugang zu Kundendaten nicht Teil der im Rahmen der Vereinbarung ausgetauschten Gegenleistung darstellt. Soweit jegliche Nutzungsdaten als CCPA Personal Data betrachtet werden, sind wir das Unternehmen in Bezug auf solche Daten und werden diese Daten gemäß unserer Datenschutzerklärung verarbeiten. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstanbieter“ und „verkaufen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Beide Parteien bestätigen, dass sie die im DPA und in der Vereinbarung festgelegten Verpflichtungen und Einschränkungen verstanden haben und einhalten werden, wie es der CCPA verlangt.
13.2 Kundenverpflichtungen. Sie erklären und gewährleisten, dass Sie dem Endnutzer mitgeteilt haben, dass die personenbezogenen Daten gemäß den in Abschnitt 1798.140(t)(2)(C)(i) des CCPA vorgesehenen Bedingungen verwendet oder geteilt werden. Sie sind für die Einhaltung der für Sie als Datenverantwortlicher geltenden Anforderungen des CCPA verantwortlich.
14. Anwendbares Recht und Streitbeilegung
Abschnitt 13 der Bedingungen gilt für alle Streitigkeiten, die aus dieser DPA entstehen oder damit in Zusammenhang stehen, es sei denn, die Datenschutzgesetze verlangen etwas anderes.
ANHANG I - DETAILS DER VERARBEITUNG
Wo zutreffend, wird dieses Anhang 1 als Anhang I zu den EWR-Standardvertragsklauseln dienen.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Konto des Kunden hinterlegte Adresse oder die E-Mail-Adresse des Inhabers des Kundenkontos oder die E-Mail-Adresse(n), die der Kunde für die Kommunikation gemäß der Vereinbarung gewählt hat.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 4 der DPA umrissen.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenexporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Datenimporteur: MessageBird B.V.
Kontaktdaten des Datenimporteurs: Trompenburgstraat 2-C, 1079TX, Amsterdam, Niederlande, Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur fungiert als Datenverarbeiter.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenimporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Benutzer. Kontaktpersonen des Kunden (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemalig), die die Dienste über das Kundenkonto nutzen („Benutzer“); Endbenutzer. Jede Person, (i) deren Kontaktdaten in den Kontaktlisten des Kunden enthalten sind; (ii) deren Informationen über die Dienste gespeichert oder gesammelt werden oder (ii) an die der Kunde Kommunikationen sendet oder mit denen er anderweitig kommuniziert oder über die Dienste interagiert (insgesamt „Endbenutzer“). Sie als Kunde bestimmen allein die Kategorien der betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Mitteilung enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten: Personenbezogene Daten des Kunden, enthalten in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Kommunikationsinhalte, die je nach Kommunikationsinhalt von Ihnen als Kunde, personenbezogene Daten oder andere personalisierte Merkmale enthalten können. Verkehrsdaten, die personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail enthalten können, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen. Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung. Kundennutzungsdaten können Daten enthalten, die mit Ihnen als Individuum in Verbindung gebracht werden können und umfassen statistische Daten und Informationen im Zusammenhang mit Ihren Konten und Dienstaktivitäten, servicebezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen und Kundensupport.
3. Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strikte Zweckbeschränkungen, Zugriffsbegrenzungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung eines Zugriffsprotokolls, Einschränkungen für Weiterleitungen oder zusätzliche Sicherheitsmaßnahmen.
(a) Kommunikationsinhalte. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer sich entscheiden, sensible Daten in die über die Dienste übermittelte Kommunikation aufzunehmen. Sie sind dafür verantwortlich, dass geeignete Sicherheitsmaßnahmen vorhanden sind, bevor Sie oder Ihre Endbenutzer sensible Daten über die Dienste übermitteln oder verarbeiten, in Übereinstimmung mit Abschnitt 3.2 der Vereinbarung.
(b) Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. In Verkehrsdaten, Endbenutzerdaten oder Kundennutzungsdaten sind keine sensiblen Daten enthalten.
4. Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden für die Dauer der Vereinbarung kontinuierlich übertragen.
5. Art der Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden, soweit dies erforderlich ist, um die Dienste gemäß der Vereinbarung bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich personenbezogener Daten des Kunden, und teilen keine personenbezogenen Daten mit Dritten für eine Entschädigung oder für die eigenen geschäftlichen Interessen dieser Dritten.
6. Zweck(e) der Datenübertragung und der Weiterverarbeitung: Wir werden personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, die in dieser DPA festgelegt sind, verarbeiten, es sei denn, die Verarbeitung ist notwendig, um eine rechtliche Verpflichtung zu erfüllen, der wir unterliegen, in diesem Fall werden wir als Datenverantwortlicher auftreten.
Kommunikationsinhalte, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten enthalten sind, werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen:
(a) Kommunikationsinhalte. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienste, angeboten in Form von Programmierschnittstellen (APIs) oder über das Dashboard, für Kunden, einschließlich Übermittlung zu oder von der Softwareanwendung des Kunden von oder zu unserer Kommunikationsplattform und anderen Kommunikationsnetzen.
(b) Verkehrsdaten. Verkehrsdaten werden verarbeitet, um die Kommunikation über ein elektronisches Kommunikationsnetz zu übertragen oder die Abrechnung in Bezug auf diese Kommunikation durchzuführen. Dazu können personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail gehören, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen.
(c) Endbenutzerdaten. Die Verarbeitung der personenbezogenen Daten von Endbenutzern ist erforderlich, um die Dienste auszuführen und wird nur zu den Zwecken der Kommunikationsübertragung, des Kundensupports und zur Einhaltung der gesetzlichen Verpflichtungen von MessageBird verarbeitet.
(d) Kundennutzungsdaten. Personenbezogene Daten, die in Kundennutzungsdaten enthalten sind , werden den Verarbeitungstätigkeiten unterzogen, um die Dienste gemäß der Vereinbarung bereitzustellen, mit dem Ziel, dem Kunden dienstbezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen, Kundensupport und die kontinuierliche Verbesserung der Dienste bereitzustellen.
7. Dauer der Aufbewahrung der personenbezogenen Daten, oder, falls das nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer:
(a) Kommunikationsinhalte und Verkehrsdaten. Für Kundeninhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für die Dienste von 24sessions werden Kundeninhalte und Verkehrsdaten für mindestens 30 Tage bis zu der mit Ihnen vereinbarten Dauer aufbewahrt;
Für alle anderen Dienste werden Kundeninhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen Kundeninhalte oder Verkehrsdaten über die technischen und organisatorischen Maßnahmen, die Ihnen über die Dienste zur Verfügung gestellt werden.
(b) Endbenutzerdaten. Endbenutzerdaten werden für die vom Kunden bestimmte Dauer verarbeitet, wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die Standardaufbewahrungsfrist die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
(c) Kundennutzungsdaten. Nach Beendigung der Vereinbarung können wir Kundennutzungsdaten für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke benötigen.
8. Für Übertragungen an (Unter-)Verarbeiter, geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Für Übertragungen an Unterverarbeiter sind der Gegenstand und die Art der Verarbeitung unter https://www.bird.com/legal/privacy#processorList beschrieben und die Dauer ist die Dauer der Vereinbarung.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Wo anwendbar, dient dieser Anhang II als Anhang II zu den Standardvertragsklauseln. Das Folgende bietet weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die im Folgenden dargelegt sind.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz personenbezogener Daten bei Speicherung und Übertragung: Alle personenbezogenen Daten werden während des Transports und im Ruhezustand verschlüsselt und, soweit sicherheitsrelevant, so behandelt, als ob sie als sensible Daten klassifiziert wären. Informationen werden standardmäßig immer über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und Dienstleistungen: Wir schließen Vereinbarungen ab, die Vertraulichkeitsbestimmungen mit unseren Mitarbeitern, Auftragnehmern, Lieferanten und Subprozessoren enthalten. Unsere Geschäftskontinuitätspolitik besteht darin, unser Geschäft und unsere Dienstleistungen für den Fall von längeren Ausfällen, die durch Faktoren außerhalb unserer Kontrolle verursacht werden, vorzubereiten und die Dienstleistungen in einem minimalen Zeitrahmen so weit wie möglich wiederherzustellen. Wir verstehen, dass die von uns angebotenen Dienstleistungen für unsere Kunden von entscheidender Bedeutung sind und daher eine sehr geringe Toleranz für Dienstunterbrechungen haben. Unsere Wiederherstellungszeiträume sind so gestaltet, dass wir unseren Verpflichtungen gegenüber all unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Sicherstellung der Verarbeitungssicherheit: Das Ziel der Informationssicherheit und unseres Information Security Management Systems (ISMS) ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme und die Minimierung des Schadensrisikos durch die Verhinderung von Sicherheitsvorfällen und die Verwaltung von Sicherheitsbedrohungen und Schwachstellen. Unser Rechtsteam, unser Datenschutzbeauftragter und unser Sicherheits- und Compliance-Team stellen sicher, dass geltende Vorschriften und Standards in unsere Sicherheitsrahmen einbezogen werden.
Maßnahmen zur Benutzeridentifikation und -autorisierung: Wir befolgen die Prinzipien „Need to know“ und „Least privilege“. Wir fördern die Verwendung von rollenbasierter Zugriffskontrolle. Bereitstellung und Entzug der Berechtigungen wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA als Standard. Für jedes Informationsasset wurden Verantwortliche definiert, die dafür sorgen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Wann immer mit sensiblen Informationen umgegangen oder kritische Maßnahmen ergriffen werden, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung: Audit-Logs werden zentral gespeichert und regelmäßig auf Sicherheitsevents überwacht und sicher aufbewahrt, um das Risiko von Manipulationen zu vermeiden. Die Vorfallmanagement-Richtlinie erzwingt den Vorfallaktionsplan und dessen Verfahren. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall auftritt. Bei Sicherheitsvorfällen werden diese regelmäßig vom Security Steering Committee überprüft, das aus hochrangigen Interessensvertretern aus dem gesamten Unternehmen besteht.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Wir befolgen einen konsistenten Änderungsmanagementprozess für alle Änderungen an der Produktionsumgebung der Communication Platform as a Service. Um weiter auszuführen, müssen alle Änderungsanträge (Request for Changes, RFC) von einer bestimmten Partei genehmigt und gemäß dem formellen Änderungssteuerungsprozess durchgeführt werden. Der Steuerungsprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und kontrolliert freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden eingehalten, um die Systeme durch die Einhaltung von Best Practices sicher zu konfigurieren. Außerdem wird innerhalb der technischen Abteilung ein Tech-Radar verwendet, um festzulegen, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung angenommen oder vermieden werden sollten.
Maßnahme für physische Sicherheit: Wir fördern aktiv eine „Work from Anywhere“-Politik, sodass unsere Mitarbeiter von jedem Ort aus arbeiten können, den sie möchten. Dennoch haben wir noch unsere Büroräume. Wir haben keine sicheren Bereiche/Rechenzentren in unseren Räumlichkeiten, da wir ein komplett cloudbasiertes Unternehmen sind. Unsere Büroböden sind durch physische Zugangskontrollen, CCTV und Wachschutz geschützt.
Maßnahmen für das interne IT- und IT-Sicherheits-Governance und -Management: Wir unterhalten ein sicherheitsbewertungsbasiertes Sicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die darauf ausgelegt sind, die Dienste und die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unseren Informationssicherheitsrichtlinien, -verfahren und -richtlinien übersetzt. Wir haben ein Security Steering Committee, das für die taktische Ebene der Informationssicherheit verantwortlich ist. Dies beinhaltet die Koordination von Informationssicherheitsaktivitäten und die Übertragung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Einhaltung von Vorschriften. Alle Mitarbeiter sind dafür verantwortlich, die Werte des Unternehmens zu schützen. Alle unsere Mitarbeiter werden auf ihre Fachkenntnisse, Erfahrungen und Integrität hin überprüft. Mitarbeiter werden bereits während des Onboardings sowie durch regelmäßige teambezogene Schulungen und unternehmensweite Präsentationen über die Bedeutung des Datenschutzes und der Sicherheitskonformität informiert. MessageBird ist nach ISO/IEC 27001:2013 zertifiziert, dem weltweit anerkannten Informationssicherheitsstandard für Informationssicherheits-Managementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind ISO/IEC 27001:2013-konform.
Wir sind auch bei der niederländischen Behörde für Verbraucher und Märkte registriert. Das bedeutet, dass wir immer verantwortungsvoll und vollständig transparent gegenüber unseren Kunden sind.
Wir sind ein assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen von Mobilfunkbetreibern weltweit. Wir sind stets auf dem neuesten Stand sämtlicher anwendbarer Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung.
Maßnahmen für die Zertifizierung/Bestätigung von Prozessen und Produkten: Wir unterziehen uns intensiven Überwachungen sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001:2013-Konformität und führen regelmäßig Anwendungsanfälligkeits- und Penetrationstests durch. MessageBird verfolgt einen einheitlichen Ansatz im Patch- und Schwachstellenmanagement, um sicherzustellen, dass unsere Standard-SLA-Zeitpläne eingehalten werden, egal ob Schwachstellen in unserer zugrunde liegenden Infrastruktur, Betriebsplattformen oder dem Quellcode existieren.
Maßnahmen für die Anwendungssicherheit: Wir gewährleisten die Sicherheit unserer Anwendungen während der Gestaltungs- und Entwicklungsphase, basierend auf den MessageBird Secure Code Guidelines.
Geeignete Korrekturen werden vor der Freigabe implementiert.
Code-Änderungen werden von qualifizierten Personen, die mit Codeprüfung und sicherer Entwicklung vertraut sind, überprüft, außer von den ursprünglichen Entwicklern.
Anwendungen durchlaufen strenge Anwendungssicherheitstests, um mindestens jährlich (gemäß den Industriestandards und Best Practices) neue Bedrohungen und Schwachstellen zu identifizieren.
Alle Code-Änderungen für Anwendungen, die in Produktionsumgebungen überführt werden, werden unter Verwendung manueller und/oder automatisierter Prozesse überprüft.
Penetrationstests werden jährlich und fallweise bei neuen Produkten/Funktionen durchgeführt. Automatisierte Quellcode-Analysetools werden verwendet, um Sicherheitsdefekte im Code vor der Bereitstellung basierend auf der Sprache zu erkennen.
Maßnahmen zur Schwachstellenoffenlegung: Wir würdigen Sicherheitsforscher, die Schwachstellen auf unserer Plattform gefunden haben, uns zu kontaktieren und ihre Ergebnisse an security@bird.com zu senden. Wir haben ein dediziertes Sicherheitsteam, das Nachverfolgungen durchführt und Einladungen zu unserem Bug-Bounty-Programm sendet, um Untersuchungen durchzuführen und gegebenenfalls Abhilfe zu leisten.
Maßnahmen zur Gewährleistung von Verantwortlichkeit: Wir implementieren Informationssicherheits- und Datenschutzrichtlinien in Übereinstimmung mit den geltenden Gesetzen und veröffentlichen einen Überblick über unsere für das ISMS relevanten Informationen (link). Wir haben einen dedizierten VP, Compliance und Informationssicherheit, und einen Datenschutzbeauftragten ernannt und führen Dokumentationen unserer Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen, bei denen personenbezogene Daten betroffen sind, wo zutreffend.
