Datenverarbeitungsvereinbarung
Diese Vereinbarung zur Datenverarbeitung gilt für Sie, wenn Sie sich für MessageBird’s Services (einschließlich über einen seiner Affiliates) am oder nach dem 28. Februar 2022 und vor dem 1. Januar 2024 angemeldet haben. Gültig ab dem 15. April 2022, gilt diese Vereinbarung zur Datenverarbeitung auch für Kunden, die sich vor dem 28. Februar 2022 für MessageBird's Services angemeldet haben. Unsere archivierte Vereinbarung zur Datenverarbeitung ist in unserem Archiv der Vereinbarungen zur Datenverarbeitung verfügbar.
Dokumente
Inhalte
Diese Datenverarbeitungsvereinbarung einschließlich der Anhänge (die „DPA“) ist Teil der Vereinbarung zwischen Kunde und der in Abschnitt 15 (Vertragsschließende Einheit) der Allgemeinen Geschäftsbedingungen aufgeführten vertragsschließenden Einheit, sofern auf Ihrem Bestellformular nicht anders angegeben. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“, oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns.
1. Scope, Customer Affiliates and Term
1.1 Geltungsbereich. Diese DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Verbundenheiten. Der Kunde tritt in diese DPA im Namen von sich selbst und, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbundenheiten (wie in den Bedingungen definiert) ein, wenn und soweit Sie diesen Verbundenheiten Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die solche Verbundenheiten als Datenverantwortlicher qualifiziert sind (“Kunden-Verbundenheiten”). Für die Zwecke dieser DPA gelten nur, und außer wenn anders angegeben, die Begriffe “Kunde” und “Sie” als einschließlich Kunde und Verbundenheiten.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange MessageBird Kundendaten verarbeitet, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
In diesem DPA verwendete, aber nicht definierte Großbuchstabenbegriffe haben die Bedeutung, die ihnen im Vertrag gegeben ist. Die folgenden definierten Begriffe werden in diesem DPA verwendet:
2.1 „CCPA“ bedeutet das California Consumer Privacy Act von 2018 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.2 „Customer Data“ bezeichnet alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) gemäß dem Vertrag übermittelt und von den Services verarbeitet oder gespeichert werden.
2.3 „Customer Personal Data“ bedeutet personenbezogene Daten, die in den Kundendaten enthalten sind. Kontodaten sind keine Customer Personal Data. Kontodaten sind alle Daten, die von Ihnen oder für Sie an MessageBird im Zusammenhang mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Kundenabrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung des Vertrags.
2.4 „Datenschutzgesetze“ bedeutet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gelten, einschließlich, soweit zutreffend, der GDPR, der CCPA und aller anderer Gesetze und Vorschriften in Bezug auf Datenschutz, Direktmarketing oder Datenschutz.
2.5 „EEA“ bedeutet im Rahmen dieses DPA den Europäischen Wirtschaftsraum und die Schweiz.
2.6 „EU Controller-to-Processor Standard Contractual Clauses“ bedeutet die „Controller to Processor“ (Modul 2) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß GDPR und der Durchführungsentscheidung (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021.
2.7 „EU Processor-to-Subprocessor Standard Contractual Clauses“ bedeutet die „Processor to Processor“ (Modul 3) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß GDPR und der Durchführungsentscheidung (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021.
2.8 „GDPR“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) allein im Vereinigten Königreich, das Data Protection Act 2018.
2.9 „LGPD“ bedeutet das Lei Geral de Proteção de Dados von 2018 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.10 „Personenbezogene Daten“ meint alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen.
2.11 „PDPA“ bedeutet das Personal Data Protection Act von 2012 und alle darunter erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.12 „Privacy Statement“ bedeutet die jeweils aktuelle Datenschutzrichtlinie für die Services, verfügbar unter https://bird.com/legal/privacy.
2.13 „Personal Data Breach“ bedeutet jede versehentliche, unbefugte oder unrechtmäßige Zerstörung, Verlust, Veränderung, Offenlegung oder das Zugreifen auf Customer Personal Data.
2.14 „Services“ bedeutet alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden und die (a) von Ihnen gemäß einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
2.15 „Standard Contractual Clauses“ bedeutet entweder (i) die EU Controller-to-Processor Standard Contractual Clauses; oder (ii) die EU Processor-to-Subprocessor Standard Contractual Clauses, entweder einzeln oder gemeinsam, je nach Anwendbarkeit.
2.16 „Subprocessor“ bedeutet die Einheit, die Customer Personal Data im Auftrag einer als Datenverarbeiter oder Subprocessor agierenden Einheit verarbeitet.
2.17 „UK Controller-to-Processor Standard Contractual Clauses“ bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind, in der Form, die durch den Beschluss der Europäischen Kommission 2010/87/EU festgelegt wurde, in der geänderten, modifizierten oder von der Europäischen Kommission ersetzten Form.
Begriffe wie „processing“, „data controller“, „data processor“, „data subject“ usw. haben die im Rahmen der GDPR zugewiesene Bedeutung. Die Definition des „data controller“ umfasst „business“, „controller“ und „organization“; „data processor“ umfasst „service provider“, „processor“ und „data intermediary“; „data subject“ umfasst „consumer“ und „individual“; und „Personal Data“ umfasst „personal information“, in jedem Fall wie im CCPA, LGPD oder PDPA definiert.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir verarbeiten die persönlichen Daten des Kunden nur insoweit, als dies erforderlich ist (i) um die Dienste bereitzustellen, einschließlich der Übertragung von Kommunikationen, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung von technischen und Lieferberichten, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, und (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben. Wir verkaufen keine persönlichen Daten, einschließlich der persönlichen Daten des Kunden, und geben persönliche Daten nicht an Dritte für Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
3.2 Anweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung vereinbar.
3.3 Details der Verarbeitung. Anhang I, Teil B. (Beschreibung der Übertragung) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten persönlicher Daten und Kategorien von betroffenen Personen durch uns als Datenverarbeiter oder Subunternehmer.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir die persönlichen Daten des Kunden als unabhängiger Datenverantwortlicher insoweit verarbeiten, als dies für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Prävention von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Ertragsplanung, Produktstrategie), Betrugsbekämpfung, Spam und Missbrauchsverhütung und -erkennung, Produktverbesserung und um unseren rechtlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtsgültigkeit. Wenn Sie als Datenverantwortlicher für persönliche Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten gesetzlich zulässig sind, einen bestimmten Zweck haben und alle erforderlichen Mitteilungen sowie Einwilligungen oder eine andere angemessene rechtliche Grundlage vorhanden sind, um die gesetzmäßige Übertragung der persönlichen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall handeln wir als Unterauftragnehmer), stellen Sie sicher, dass der betreffende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die auf Ihre Nutzung der Dienste und auf Ihre eigene Verarbeitung der persönlichen Daten des Kunden anwendbare Datenschutzgesetze einhalten, (b) die unabhängige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Umsetzung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Widerstandsfähigkeit und Vertraulichkeit der Kundendaten, die unsere Systeme zur Verarbeitung von Kundendaten nutzen, zu wahren. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zu den Sicherheitsmaßnahmen für personenbezogene Daten der Kunden zu überprüfen und eine eigenständige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und den gesetzlichen Verpflichtungen aus dem Datenschutzrecht entsprechen. Sie bestätigen, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir von Zeit zu Zeit unsere Sicherheitsmaßnahmen aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Abwertung der Gesamtsicherheit der personenbezogenen Daten der Kunden führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien „Need to know“ und minimalen Privilegien an.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten der Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragsverarbeiter), über die vertrauliche Natur solcher personenbezogenen Daten der Kunden informiert ist und einer angemessenen Vertraulichkeitsverpflichtung (ob vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Tätigkeit hinaus besteht.
5.5 Reaktion auf Datenverletzungen und Benachrichtigung. Sobald wir von einer Datenverletzung erfahren, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen über die Datenschutzverletzung bereitstellen, sobald sie bekannt wird oder auf vernünftige Anfrage von Ihnen, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mindern und eine Wiederholung der Datenschutzverletzung zu verhindern.
6. Hilfe
6.1 Daten schutz hilfe. Wir werden Ihnen auf angemessene Anfrage Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Meldung einer Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei Anfragen von Betroffenen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zur Vermeidung von Zweifel sind Sie als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei Offenlegung und Zugriff. Wir werden keinen Zugang zu oder die Offenlegung von Customer Personal Data gewähren, außer (i) wenn Sie es anweisen, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wenn es gesetzlich erforderlich ist.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde zur Offenlegung von Customer Personal Data erhalten, es sei denn, eine solche Mitteilung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsanfragenrichtlinie bearbeiten, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Subprocessors
8.1 Aktuelle Subunternehmer. Sie stimmen dem Einsatz der unter https://www.bird.com/en/legal/privacy#processorList unter der Überschrift “End User Personal Data” aufgeführten Subunternehmern zu, die ein Verfahren zur Anmeldung für Benachrichtigungen über Änderungen bei der Nutzung unserer Subunternehmer enthalten. Wenn Sie sich für solche Benachrichtigungen anmelden und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Details zu jeder Änderung bei den Subunternehmern so schnell wie möglich mitteilen.
8.2 Einsatz von Subunternehmern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Autorisierung zur Beauftragung von Subunternehmern für die Verarbeitung von Kunden personenbezogener Daten, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
a. Wir werden den Zugang zu Kunden personenbezogenen Daten durch Subunternehmer beschränken, auf das, was strikt notwendig ist, um die im Subunternehmervertrag festgelegten Dienstleistungen zu erbringen;
b. Wir werden mit dem Subunternehmer Datenschutzverpflichtungen vereinbaren, die im Wesentlichen den Verpflichtungen dieser DPA entsprechen; und
c. Wir bleiben Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers verantwortlich.
8.3 Benachrichtigung über Änderungen bei Subunternehmern und Widerspruchsrecht. Bevor wir Subunternehmer ersetzen oder neue beauftragen („Wechsel des Subunternehmers“), geben wir Ihnen die Möglichkeit, dem Wechsel des Subunternehmers zu widersprechen.
Sie können dem Wechsel des Subunternehmers widersprechen, vorausgesetzt, (i) der Widerspruch erfolgt schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über den Wechsel des Subunternehmers und (ii) der Widerspruch basiert auf und erklärt klar die vernünftigen Gründe, die den Schutz von Kunden personenbezogenen Daten betreffen. Wenn Sie einem vorgeschlagenen Wechsel des Subunternehmers widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine kommerziell vernünftige Änderung bei der Bereitstellung der Dienstleistungen vorzunehmen, die die Nutzung des betreffenden Subunternehmers vermeidet. Wenn eine solche Änderung nicht vernünftigerweise innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsmitteilung vorgenommen werden kann oder wenn die Änderung für uns kommerziell unzumutbar ist, kann jede Partei die anwendbaren Funktionen der Dienstleistungen, die nicht ohne die Nutzung des betreffenden Subunternehmers erbracht werden können, kündigen. Dieses Kündigungsrecht ist Ihr einziges und exklusives Rechtsmittel, wenn Sie einem Wechsel des Subunternehmers widersprechen.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von personenbezogenen Daten von Kunden. Wir können personenbezogene Daten von Kunden übertragen, sofern alle angemessenen Schutzmaßnahmen, die durch die Datenschutzgesetzgebung erforderlich sind, vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Evaluierung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der Betroffenen und die Verfügbarkeit effektiver rechtlicher Schutzmaßnahmen für betroffene Personen umfassen.
9.2 Standardverträge für Subunternehmer. Sofern kein Angemessenheitsbeschluss oder alternatives Übertragungsmechanismus gilt, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten von Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten von Kunden rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Gerichtsbarkeit zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste personenbezogene Daten von Kunden, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Individuen unterliegen, das auf diese DPA anwendbar ist, an MessageBird übertragen werden, die in Ländern ansässig sind, die keinen angemessenen Schutz personenbezogener Daten im Sinne der Datenschutzgesetzgebung gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maß durchgesetzt werden, in dem solche Übertragungen der Datenschutzgesetzgebung unterliegen:
9.3.1 Die Parteien stimmen darin überein, dass die Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des EWR oder der Schweiz ansässig ist, das von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.1.1 Wenn Sie als Datencontroller handeln und MessageBird als Datenverarbeiter fungiert, gelten die Standardvertragsklauseln von EU-Controller zu -Prozessor für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR. Wenn Sie als Datenverarbeiter handeln und MessageBird als Subunternehmer fungiert, gelten die Standardvertragsklauseln von -Prozessor zu -Subunternehmer für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur angesehen und Sie werden unter den Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten von Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
Die optionale Klausel 7 „Docking-Klausel“ wird nicht übernommen.
Für Klausel 9 „Einsatz von Subunternehmern“ wählen die Parteien die folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: der Datenimporteur hat die allgemeine Genehmigung des Datencontrollers für die Einbeziehung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur hat den Datencontroller spezifisch schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmern mindestens 10 Werktage im Voraus zu informieren, wodurch dem Datencontroller ausreichend Zeit eingeräumt wird, um solchen Änderungen vor der Einbeziehung der Subunternehmer zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen bereitstellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbeziehung der Subunternehmer informieren.“
Für Klausel 11 (a) „Abhilfe“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern solches Recht das Recht auf drittseitige Begünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein wird.“
Für Klausel 18 (b) „Wahl des Gerichtsstands und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden.“
9.3.2 Die Parteien stimmen darin überein, dass die UK-Controller-zu-Prozessor-Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom Vereinigten Königreich, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des Vereinigten Königreichs ansässig ist, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1 MessageBird wird als Datenimporteur angesehen und Sie werden unter den UK-Controller-zu-Prozessor-Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK-Controller-zu-Prozessor-Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der UK-Controller-zu-Prozessor-Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den UK-Controller-zu-Prozessor-Standardvertragsklauseln haben die UK-Controller-zu-Prozessor-Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Prüfbericht. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013-Standard (oder einem gleichwertigen Standard) auditiert. Die Prüfung kann nach unserem Ermessen eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung der Prüfberichte („Prüfbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Prüfberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundenanfragen zu Informationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen von Ihnen bereitstellen, einschließlich Antworten auf Fragen zur Informationssicherheit und Prüfungsfragebögen, die im Umfang angemessen und zur Bestätigung der Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen von uns bereitgestellten oder veröffentlichten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten in Bezug auf die Dienste erfordern die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns bereitgestellter Prüfbericht Ihnen begründete Gründe gibt zu glauben, dass wir unsere Verpflichtungen aus dieser DPA, die sich auf die von Ihnen bereitgestellten Kunden personenbezogenen Daten beziehen, verletzen, gestatten wir einem unabhängigen und qualifizierten dritten Prüfer, den Sie ernennen und der von uns genehmigt wird, die relevanten anwendbaren Aktivitäten zur Verarbeitung personenbezogener Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:
a. Sie müssen uns mindestens sechzig (60) Tage im Voraus mittels einer angemessenen Mitteilung vor der Ausübung des Rechts auf Prüfung informieren;
b. Der Prüfer erklärt sich bereit, marktübliche Vertraulichkeitsverpflichtungen mit uns einzugehen;
c. Sie und der Prüfer ergreifen Maßnahmen, um Störungen des Geschäftsbetriebs zu minimieren;
d. Die Prüfung wird während der üblichen Geschäftszeiten durchgeführt;
e. Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Dienste beteiligt sind, zu gewähren; und
f. Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und im Auftrag eines Kundenverbunds wie in Abschnitt 1.2 dargelegt, stellt einen separaten DPA zwischen uns und diesem Kundenverbund dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, im Namen seiner Kundenverbünde jegliche Kommunikation in Bezug auf dieses DPA zu tätigen und zu empfangen.
12.2 Rechte der Kundenverbünde. Wenn ein Kundenverbund eine Partei in den DPA mit uns wird, ist er, soweit erforderlich, nach den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze den Kundenverbund nicht dazu verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen MessageBird selbst geltend zu machen, sind sich die Parteien einig, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenverbunds suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solchen Rechte im Rahmen dieses DPA nicht separat für jeden Kundenverbund einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenverbünde zusammen ausüben soll.
(ii) Die Parteien sind sich einig, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die den Schutz von Kundendaten betreffen, in seinem Auftrag durchgeführt wird, wie in Abschnitt 10.3 dieses DPA dargelegt, alle angemessenen Maßnahmen ergreifen soll, um etwaige Auswirkungen auf uns zu minimieren, indem er, soweit dies angemessen möglich ist, mehrere Prüfungsanfragen, die im Auftrag von ihm und all seinen Kundenverbünden durchgeführt werden, in einer einzigen Prüfung zusammenfasst.
Zum Klarstellen, ein Kundenverbund wird keine vertragliche Partei des Vertrags.
13. Gesetz über den Datenschutz der Verbraucher von Kalifornien
Wir machen Ihnen gegenüber die folgenden zusätzlichen Verpflichtungen im Hinblick auf die Verarbeitung von Kundenpersonenbezogenen Daten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen. Wir werden den CCPA einhalten und alle Kundenpersonenbezogenen Daten, die dem CCPA unterliegen („CCPA Personal Data“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA Personal Data sind wir ein Dienstanbieter im Sinne des CCPA. Wir werden (a) keine CCPA Personal Data verkaufen; (b) keine CCPA Personal Data für andere Zwecke aufbewahren, verwenden oder offenlegen als für den spezifischen Zweck der Bereitstellung der Dienstleistungen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von CCPA Personal Data für einen kommerziellen Zweck, der nicht der Bereitstellung der Dienstleistungen dient; oder (c) keine CCPA Personal Data außerhalb unserer direkten Geschäftsbeziehung mit Ihnen aufbewahren, verwenden oder offenlegen. Die Verarbeitung von CCPA Personal Data, die durch Ihre Anweisungen in den Bedingungen und diesem DPA autorisiert ist, ist integraler Bestandteil unserer Dienstleistungsbereitstellung. Sie erkennen an und stimmen zu, dass unser Zugang zu Kundendaten nicht Teil der im Rahmen der Vereinbarung ausgetauschten Gegenleistung darstellt. Soweit jegliche Nutzungsdaten als CCPA Personal Data betrachtet werden, sind wir das Unternehmen in Bezug auf solche Daten und werden diese Daten gemäß unserer Datenschutzerklärung verarbeiten. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstanbieter“ und „verkaufen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Beide Parteien bestätigen, dass sie die im DPA und in der Vereinbarung festgelegten Verpflichtungen und Einschränkungen verstanden haben und einhalten werden, wie es der CCPA verlangt.
13.2 Kundenverpflichtungen. Sie erklären und gewährleisten, dass Sie dem Endnutzer mitgeteilt haben, dass die personenbezogenen Daten gemäß den in Abschnitt 1798.140(t)(2)(C)(i) des CCPA vorgesehenen Bedingungen verwendet oder geteilt werden. Sie sind für die Einhaltung der für Sie als Datenverantwortlicher geltenden Anforderungen des CCPA verantwortlich.
14. Anwendbares Recht und Streitbeilegung
Abschnitt 13 der Bedingungen gilt für alle Streitigkeiten, die aus dieser DPA entstehen oder damit in Zusammenhang stehen, es sei denn, die Datenschutzgesetze verlangen etwas anderes.
ANHANG I - DETAILS DER VERARBEITUNG
Wo zutreffend, wird dieses Anhang 1 als Anhang I zu den EWR-Standardvertragsklauseln dienen.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Konto des Kunden hinterlegte Adresse oder die E-Mail-Adresse des Inhabers des Kundenkontos oder die E-Mail-Adresse(n), die der Kunde für die Kommunikation gemäß der Vereinbarung gewählt hat.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 4 der DPA umrissen.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenexporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Datenimporteur: MessageBird B.V.
Kontaktdaten des Datenimporteurs: Trompenburgstraat 2-C, 1079TX, Amsterdam, Niederlande, Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur fungiert als Datenverarbeiter.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenimporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Benutzer. Kontaktpersonen des Kunden (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemalig), die die Dienste über das Kundenkonto nutzen („Benutzer“); Endbenutzer. Jede Person, (i) deren Kontaktdaten in den Kontaktlisten des Kunden enthalten sind; (ii) deren Informationen über die Dienste gespeichert oder gesammelt werden oder (ii) an die der Kunde Kommunikationen sendet oder mit denen er anderweitig kommuniziert oder über die Dienste interagiert (insgesamt „Endbenutzer“). Sie als Kunde bestimmen allein die Kategorien der betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Mitteilung enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten: Personenbezogene Daten des Kunden, enthalten in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Kommunikationsinhalte, die je nach Kommunikationsinhalt von Ihnen als Kunde, personenbezogene Daten oder andere personalisierte Merkmale enthalten können. Verkehrsdaten, die personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail enthalten können, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen. Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung. Kundennutzungsdaten können Daten enthalten, die mit Ihnen als Individuum in Verbindung gebracht werden können und umfassen statistische Daten und Informationen im Zusammenhang mit Ihren Konten und Dienstaktivitäten, servicebezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen und Kundensupport.
3. Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strikte Zweckbeschränkungen, Zugriffsbegrenzungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung eines Zugriffsprotokolls, Einschränkungen für Weiterleitungen oder zusätzliche Sicherheitsmaßnahmen.
(a) Kommunikationsinhalte. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer sich entscheiden, sensible Daten in die über die Dienste übermittelte Kommunikation aufzunehmen. Sie sind dafür verantwortlich, dass geeignete Sicherheitsmaßnahmen vorhanden sind, bevor Sie oder Ihre Endbenutzer sensible Daten über die Dienste übermitteln oder verarbeiten, in Übereinstimmung mit Abschnitt 3.2 der Vereinbarung.
(b) Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. In Verkehrsdaten, Endbenutzerdaten oder Kundennutzungsdaten sind keine sensiblen Daten enthalten.
4. Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden für die Dauer der Vereinbarung kontinuierlich übertragen.
5. Art der Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden, soweit dies erforderlich ist, um die Dienste gemäß der Vereinbarung bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich personenbezogener Daten des Kunden, und teilen keine personenbezogenen Daten mit Dritten für eine Entschädigung oder für die eigenen geschäftlichen Interessen dieser Dritten.
6. Zweck(e) der Datenübertragung und der Weiterverarbeitung: Wir werden personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, die in dieser DPA festgelegt sind, verarbeiten, es sei denn, die Verarbeitung ist notwendig, um eine rechtliche Verpflichtung zu erfüllen, der wir unterliegen, in diesem Fall werden wir als Datenverantwortlicher auftreten.
Kommunikationsinhalte, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten enthalten sind, werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen:
(a) Kommunikationsinhalte. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienste, angeboten in Form von Programmierschnittstellen (APIs) oder über das Dashboard, für Kunden, einschließlich Übermittlung zu oder von der Softwareanwendung des Kunden von oder zu unserer Kommunikationsplattform und anderen Kommunikationsnetzen.
(b) Verkehrsdaten. Verkehrsdaten werden verarbeitet, um die Kommunikation über ein elektronisches Kommunikationsnetz zu übertragen oder die Abrechnung in Bezug auf diese Kommunikation durchzuführen. Dazu können personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail gehören, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen.
(c) Endbenutzerdaten. Die Verarbeitung der personenbezogenen Daten von Endbenutzern ist erforderlich, um die Dienste auszuführen und wird nur zu den Zwecken der Kommunikationsübertragung, des Kundensupports und zur Einhaltung der gesetzlichen Verpflichtungen von MessageBird verarbeitet.
(d) Kundennutzungsdaten. Personenbezogene Daten, die in Kundennutzungsdaten enthalten sind , werden den Verarbeitungstätigkeiten unterzogen, um die Dienste gemäß der Vereinbarung bereitzustellen, mit dem Ziel, dem Kunden dienstbezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen, Kundensupport und die kontinuierliche Verbesserung der Dienste bereitzustellen.
7. Dauer der Aufbewahrung der personenbezogenen Daten, oder, falls das nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer:
(a) Kommunikationsinhalte und Verkehrsdaten. Für Kundeninhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für die Dienste von 24sessions werden Kundeninhalte und Verkehrsdaten für mindestens 30 Tage bis zu der mit Ihnen vereinbarten Dauer aufbewahrt;
Für alle anderen Dienste werden Kundeninhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen Kundeninhalte oder Verkehrsdaten über die technischen und organisatorischen Maßnahmen, die Ihnen über die Dienste zur Verfügung gestellt werden.
(b) Endbenutzerdaten. Endbenutzerdaten werden für die vom Kunden bestimmte Dauer verarbeitet, wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die Standardaufbewahrungsfrist die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
(c) Kundennutzungsdaten. Nach Beendigung der Vereinbarung können wir Kundennutzungsdaten für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke benötigen.
8. Für Übertragungen an (Unter-)Verarbeiter, geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Für Übertragungen an Unterverarbeiter sind der Gegenstand und die Art der Verarbeitung unter https://www.bird.com/legal/privacy#processorList beschrieben und die Dauer ist die Dauer der Vereinbarung.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Wo zutreffend, dient diese Anlage II als Anhang II zu den Standardvertragsklauseln. Im Folgenden werden weitere Informationen zu unseren unten dargelegten technischen und organisatorischen Sicherheitsmaßnahmen bereitgestellt.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz von Persönlichen Daten in Speicherung und Übertragung: Alle persönlichen Daten werden während der Übertragung und im Ruhezustand verschlüsselt und, soweit aus Sicherheitssicht relevant, so behandelt, als wären sie als sensible Daten eingestuft. Informationen werden standardmäßig immer über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität sowie Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsklauseln mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Subprozessoren ab. Unsere Geschäftskontinuitätspolitik besteht darin, unser Geschäft und unsere Dienstleistungen im Falle längerer Ausfälle, die durch Faktoren außerhalb unserer Kontrolle verursacht werden, vorzubereiten und Dienste so weit wie möglich in kürzester Zeit wiederherzustellen. Wir verstehen, dass die von uns bereitgestellten Dienstleistungen für unsere Kunden entscheidend sind und daher nur sehr wenig Toleranz für Dienstunterbrechungen besteht. Unsere Zeitrahmen für die Wiederherstellung sind darauf ausgelegt, sicherzustellen, dass wir unseren Verpflichtungen gegenüber all unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Information Security Management System (ISMS) besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden durch die Verhinderung von Sicherheitsvorfällen und das Management von Bedrohungen und Schwachstellen zu minimieren. Unser Rechtsteam, Datenschutzbeauftragter und Sicherheits- und Konformitätsteam stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmen einbezogen werden.
Maßnahmen zur Benutzeridentifizierung und -autorisierung: Wir folgen den Prinzipien des „Need to Know“ und „Least Privilege“. Wir fördern die Verwendung rollenbasierter Zugriffskontrollen. Die Bereitstellung und Außerbetriebnahme wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA standardmäßig. Für jedes Informationsasset wurden Verantwortliche definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Wann immer wir mit sensiblen Informationen umgehen oder kritische Aktionen durchführen, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Gewährleistung der Ereignisprotokollierung: Audit-Logs werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sind sicher verwahrt, um das Risiko einer Manipulation zu vermeiden. Die Vorfallsmanagement-Richtlinie erzwingt den Vorfallsreaktionsplan und seine Verfahren. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall eintritt. Im Falle von Sicherheitsvorfällen werden diese regelmäßig vom Sicherheitslenkungsausschuss überprüft, der aus leitenden Interessensvertretern aus dem gesamten Unternehmen besteht.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich Standardkonfiguration: Wir folgen einem konsistenten Change-Management-Prozess für alle Änderungen an der Produktionsumgebung der Communication Platform as a Service. Um weiter zu erläutern, müssen alle Änderungsanforderungen (RFC) von einer bestimmten Partei genehmigt und gemäß dem formellen Change-Control-Prozess durchgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und in einer kontrollierten Weise freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurations-Baselines werden befolgt, um die Systeme sicher gemäß Best Practices zu konfigurieren. Auch wird im Bereich Engineering ein Tech-Radar verwendet, um festzulegen, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung übernommen oder vermieden werden sollen.
Maßnahme für physische Sicherheit: Wir fördern aktiv eine „Arbeit von überall“-Politik, damit unsere Mitarbeiter von jedem Ort aus arbeiten können, den sie möchten. Wir haben jedoch immer noch unsere Bürogebäude. Da wir ein vollständig cloudbasiertes Unternehmen sind, haben wir keine sicheren Bereiche/Rechenzentren auf unserem Gelände. Unsere Büroetagen sind durch physische Zugangskontrollen, Überwachungskameras und Sicherheitsdienst geschützt.
Maßnahmen für interne IT- und IT-Sicherheitsführung und -management: Wir unterhalten ein risikobasiertes Bewertungssicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen beinhaltet, die darauf ausgelegt sind, die Dienste und die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert eingerichtet. Zusätzlich gelten gesetzliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All diese werden in unsere Informationssicherheitspolitiken, -verfahren und -richtlinien übersetzt. Wir haben einen Sicherheits-Lenkungsausschuss, der für das taktische Niveau der Informationssicherheit verantwortlich ist. Dies beinhaltet die Koordinierung von Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der Einhaltung von Vorschriften. Alle Mitarbeiter sind für die Sicherung der Unternehmenswerte verantwortlich. Alle unsere Mitarbeiter werden auf Fachwissen, Erfahrung und Integrität überprüft. Mitarbeiter werden während der Einführung und durch regelmäßige, team-spezifische Schulungen sowie andere unternehmensweite Präsentationen über die Bedeutung des Datenschutzes und der Einhaltung der Sicherheitsvorschriften informiert. MessageBird ist nach ISO/IEC 27001:2013 zertifiziert, den weltweit anerkannten Informationssicherheitsstandards für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Dienstleister sind ISO/IEC 27001:2013 konform.
Wir sind auch bei der niederländischen Behörde für Verbraucher und Märkte registriert. Das bedeutet, dass wir unseren Kunden immer rechenschaftspflichtig und völlig transparent sind.
Wir sind assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen der Mobilfunkbetreiber weltweit. Wir sind immer auf dem neuesten Stand aller geltenden Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung.
Maßnahmen für Zertifizierungen/Sicherstellungen von Prozessen und Produkten: Wir unterziehen uns strengen Überwachungen sowie Zertifizierungsaudits als Teil unserer ISO/IEC 27001:2013-Konformität und führen regelmäßig Anwendungsverletzlichkeits- und Penetrationstests durch. MessageBird verfolgt einen einheitlichen Ansatz für Patch- und Schwachstellenmanagement, um sicherzustellen, dass unsere Standard-SLA-Zeitleisten eingehalten werden, unabhängig davon, ob Schwachstellen in unserer zugrunde liegenden Infrastruktur, Betriebsplattformen oder dem Quellcode bestehen.
Maßnahmen zur Anwendungssicherheit: Wir gewährleisten die Sicherheit unserer Anwendungen in der Entwurfs- und Entwicklungsphase basierend auf den MessageBird Secure Code Guidelines.
Angemessene Korrekturen werden vor der Freigabe implementiert.
Code-Änderungen werden von qualifizierten Personen (die mit Code-Überprüfung und sicherer Entwicklung vertraut sind) überprüft, die nicht die ursprünglichen Entwickler sind.
Anwendungen unterliegen strengen Anwendungssicherheitstests, um mindestens jährlich (in Übereinstimmung mit Branchenstandards und Best Practices) neue Bedrohungen und Schwachstellen zu identifizieren.
Alle Code-Änderungen für Anwendungen, die in Produktionsumgebungen übertragen werden, werden mit manuellen und/oder automatisierten Prozessen überprüft.
Penetrationstests werden jährlich und fallweise bei neuen Produkten/Funktionen durchgeführt. Automatisierte Quellcode-Analysetools werden verwendet, um Sicherheitsdefekte im Code vor der Bereitstellung zu erkennen, basierend auf der Sprache.
Maßnahmen zur Offenlegung von Schwachstellen: Wir schätzen Sicherheitsforscher, die Schwachstellen auf unserer Plattform gefunden haben, sich mit uns in Verbindung zu setzen und ihre Ergebnisse an security@bird.com zu senden. Wir haben ein engagiertes Sicherheitsteam, das die Ermittlungen durchführt und Einladungen zu unserem Bug-Bounty-Programm sendet, um bei Bedarf zu untersuchen und zu beheben.
Maßnahmen zur Sicherstellung von Verantwortung: Wir implementieren Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen und veröffentlichen einen Überblick über unsere für den ISMS relevanten Informationen in unserer Bird documentation. Wir haben einen engagierten Vizepräsidenten für Compliance und Informationssicherheit und einen Datenschutzbeauftragten ernannt und führen Dokumentationen unserer Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen, die Persönliche Daten betreffen, wo zutreffend.
