Datenverarbeitungsvereinbarung Mai 2023
Dokumente
Inhalte
Diese Datenverarbeitungsvereinbarung gilt für Sie, wenn Sie sich vor, am oder nach dem 3. Mai 2023 für die Dienste von MessageBird (einschließlich über seine Tochtergesellschaften) angemeldet haben. Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge, („DPA“) ist Teil der Vereinbarung zwischen MessageBird und Kunden für den Kauf von (Online-)Kommunikationsdiensten von MessageBird, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Kundendaten widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns. In dieser DPA verwendete, aber unten nicht definierte Begriffe sind in den MessageBird Allgemeine Geschäftsbedingungen oder einer anderen Vereinbarung mit uns, die Ihre Nutzung der Dienste regelt, definiert.
Die Parteien sind sich einig, dass diese DPA jede bestehende Datenschutzergänzung oder ähnliche Vereinbarung ersetzt, die die Parteien möglicherweise zuvor im Zusammenhang mit den Diensten getroffen haben.
Einführung
1. Scope, Customer Affiliates and Term
1.1 Umfang. Dieses DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Partnerunternehmen. Der Kunde schließt dieses DPA in eigenem Namen und, soweit nach Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Partnerunternehmen (wie in den Bedingungen definiert) ab, sofern und soweit Sie solchen Partnerunternehmen Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die diese Partnerunternehmen als Datenverantwortliche qualifizieren (“Kunden-Partnerunternehmen”). Für die Zwecke dieses DPA und außer dort, wo anders angegeben, schließen die Begriffe „Kunde“ und „Sie“ den Kunden und die Kunden-Partnerunternehmen ein.
2. Definitionen
„Kontodaten” sind alle personenbezogenen Daten, die von Ihnen oder für Sie an MessageBird in Verbindung mit dem Abschluss und der Verwaltung des Vertrags und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Abrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung des Vertrags und die damit verbundenen Dienstleistungen.
„CCPA” bezeichnet den California Consumer Privacy Act von 2018 und alle daraufhin erlassenen Vorschriften, jeweils in ihrer geänderten Fassung.
„Kundendaten” bezeichnet alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) im Rahmen des Vertrags übermittelt und von den Diensten verarbeitet oder gespeichert werden.
„Kunden-Personendaten” sind die in den Kundendaten enthaltenen personenbezogenen Daten, die von MessageBird als Verarbeiter verarbeitet werden, sofern in dieser DPA nicht anders angegeben.
„Datenschutzgesetze” bezeichnet alle Gesetze und Vorschriften aller Zuständigkeiten, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gelten, einschließlich, beispielsweise und wo anwendbar, die GDPR oder die CCPA. .
„EEA” bedeutet, für die Zwecke dieser DPA, den Europäischen Wirtschaftsraum und die Schweiz.
„GDPR” bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) ausschließlich im Vereinigten Königreich, das Datenschutzgesetz 2018.
„MessageBird” bezeichnet die MessageBird-Einheit, die Vertragspartei dieser DPA ist, und die im Abschnitt 15 der Allgemeinen Geschäftsbedingungen (Vertragsschließende Einheit) aufgeführt ist, sofern auf Ihrem Bestellformular nicht anders angegeben. Sie oder MessageBird können in dieser DPA auch einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet werden.
„Personenbezogene Daten” sind alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen, sei es für sich allein oder in Kombination mit anderen Informationen.
„Verletzung des Schutzes personenbezogener Daten” bedeutet jeden zufälligen, unbefugten oder rechtswidrigen Verlust, die Änderung, Offenlegung von oder Zugang zu Kunden personenbezogener Daten und jede andere ähnliche Bedingung gemäß den geltenden Datenschutzgesetzen wie „Sicherheitsverletzung“.
„Dienste” bezeichnet alle Produkte und Dienstleistungen, die von uns oder unseren Partnern bereitgestellt werden und die (a) von Ihnen gemäß einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
„Standardvertragsklauseln“ bedeutet Controller zu Prozessor (Modul Zwei) oder Prozessor zu Prozessor (Modul Drei), je nachdem, welche auf die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates anwendbar sind, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden und derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj aufgeführt sind,.
„Sub-Prozessor“ bezeichnet eine Drittpartei, die Kunden personenbezogene Daten im Namen der als Datenverarbeiter oder Sub-Prozessor handelnden MessageBird-Einheit verarbeitet.
„UK-Standardvertragsklauseln“ bezeichnet alle oder einen der folgenden Punkte: (i) internationales Datenübertragungsabkommen, das vom UK Information Commissioner gemäß Abschnitt 119A des DPA 2018 ausgestellt wurde; (ii) der internationale Datenübertragungszusatz zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, die vom UK Information Commissioner gemäß Abschnitt 119A des DPA 2018 ausgestellt wurden; oder (iii) solche Standardvertragsbestimmungen, die vom UK Information Commissioner oder der Europäischen Kommission ausgestellt werden und diese von Zeit zu Zeit ersetzen können.
Begriffe wie „Verarbeitung”, „Datenverantwortlicher”, „Datenverarbeiter”, „betroffene Person” usw. haben die ihnen im Rahmen der GDPR zugewiesene Bedeutung. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verbraucher“, „Verantwortlicher“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstanbieter“, „Prozessor“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Einzelperson“; und „personenbezogene Daten“ umfasst „persönliche Informationen“, jeweils wie im CCPA und den anderen anwendbaren Datenschutzgesetzen definiert. Die Begriffe „Geschäftszweck“, „kommerzieller Zweck“, „verkaufen“ und „teilen“ haben die gleiche Bedeutung wie in den anwendbaren Datenschutzgesetzen, und in jedem Fall sind ihre verwandten Begriffe entsprechend auszulegen.
3. Verarbeitung von Kunden-Personaldaten
3.1 Zwecke. Wir werden Kunden-Personaldaten nur insoweit verarbeiten, wie es erforderlich ist (i) um die Dienstleistungen bereitzustellen, einschließlich der Übermittlung von Kommunikation, Sicherstellung der Sicherheit der Dienste, Bereitstellung von technischen und Zustellberichten, Bereitstellung von Support und Entwicklung und Implementierung von Verbesserungen und Updates gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben, und (iii) wie anderweitig nach geltendem Recht erforderlich.
3.2 Kundenanweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden andere angemessen dokumentierte Anweisungen befolgen, sofern diese Anweisungen im Einklang mit den Bedingungen der Vereinbarung stehen.
3.3 Details der Verarbeitung. Anhang I, Teil B (Beschreibung der Übertragung) von Anhang I zu dieser DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Unterverarbeiter, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir Kunden-Personaldaten als unabhängiger Datenverantwortlicher insoweit verarbeiten, wie es für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die Sie, uns oder unsere Dienste betreffen können, Geschäftsmodellierung (z.B. Prognosen, Kapazitäts- und Umsatzplanung und Produktstrategie), Betrug, Spam und Missbrauchsprävention und -erkennung, Verbesserung von Produkten oder Dienstleistungen in der MessageBird-Suite und um unseren gesetzlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtmäßigkeit. Wenn Sie als Datenverantwortlicher für Kundendaten agieren, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen bestimmten Zweck haben und alle erforderlichen Benachrichtigungen und Einwilligungen oder sonstige geeignete rechtliche Grundlagen vorhanden sind, um den rechtmäßigen Transfer der Kundendaten zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall werden wir als Unterverarbeiter agieren), stellen Sie sicher, dass der relevante Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Einhaltung. Sie sind allein verantwortlich dafür, (a) sicherzustellen, dass Sie die Datenschutzgesetze einhalten, die für Ihre Nutzung der Services und Ihre eigene Verarbeitung von Kundendaten gelten, (b) unabhängig zu beurteilen, ob die technischen und organisatorischen Maßnahmen der Services Ihren Anforderungen entsprechen, und (c) Datenschutz- und Sicherheitsmaßnahmen für Komponenten zu implementieren und aufrechtzuerhalten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter und Geräte, die mit den Services und Kundenanwendungen verwendet werden).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um Kundendaten vor Datenschutzverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der von unseren Systemen verwendeten Kundendaten zur Verarbeitung dieser Daten zu gewährleisten. Die von uns angewandten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns bereitgestellten Informationen zur Sicherheit der Kundendaten zu überprüfen und eine unabhängige Bewertung vorzunehmen, ob diese Informationen Ihre Anforderungen und gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen erfüllen. Sie erkennen an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, vorausgesetzt, dass solche Updates und Änderungen nicht zu einer Verschlechterung der gesamten Sicherheit der Kundendaten führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien des "Need to Know" und des "Least Privilege" an, um sicherzustellen, dass der Zugriff auf Kundendaten auf das Personal beschränkt ist, das für die Bereitstellung der Dienste erforderlich ist und im Einklang mit der Vereinbarung, einschließlich dieser DPA, steht.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert wurde, Kundendaten zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Subprozessoren), über die vertrauliche Natur solcher Kundendaten informiert ist und einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es vertraglich oder gesetzlich), die auch nach Beendigung ihres Engagements fortbesteht.
5.5 Reaktion und Benachrichtigung bei Datenschutzverletzungen. Sobald wir von einer Datenschutzverletzung Kenntnis erlangen, werden wir Sie unverzüglich (i) benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen zur Datenschutzverletzung bereitstellen, soweit sie bekannt werden oder vernünftigerweise von Ihnen angefordert werden, und (iv) wirtschaftlich vertretbare Schritte unternehmen, um die Auswirkungen zu mindern und ein erneutes Auftreten der Datenschutzverletzung zu verhindern.
6. Unterstützung
6.1 Unterstützung beim Datenschutz. Wir werden Ihnen die angemessen angeforderte Unterstützung leisten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich der Benachrichtigung über eine Verletzung personenbezogener Daten, der Bewertung der angemessenen Sicherheit der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten von betroffenen Personen. Wir werden Ihnen angemessene Unterstützung leisten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den betroffenen Personen nachzukommen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, indem wir Ihnen technische und organisatorische Maßnahmen über Ihr Konto zur Verfügung stellen. Um Missverständnisse zu vermeiden, sind Sie als der für die Verarbeitung Verantwortliche für die Bearbeitung von Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die Kunden-Personaldaten eines Betroffenen verantwortlich.
7. Offenlegung und Offenlegungsanforderungen
7.1 Einschränkungen bei der Offenlegung und dem Zugriff. Wir werden keinen Zugriff auf Kunden-Personendaten gewähren oder diese offenlegen, außer (i) auf Ihre Anweisung, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wenn es gesetzlich vorgeschrieben ist.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde zur Offenlegung von Kunden-Personendaten erhalten, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsanfragen-Richtlinie behandeln, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Sub-processors
8.1 Liste der aktuellen Unterauftragsverarbeiter. Sie stimmen der Beauftragung der Unterauftragsverarbeiter zu, die unter MessageBird's Übersicht über Prozessoren und Unterauftragsverarbeiter unter der Überschrift „Endnutzer-Personendaten“ aufgeführt sind. Diese enthält ein Verfahren, mit dem Sie sich für Benachrichtigungen über Änderungen in der Nutzung von Unterauftragsverarbeitern anmelden können. Wenn Sie sich für solche Benachrichtigungen anmelden und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Details zu Änderungen bei Unterauftragsverarbeitern so bald wie möglich mitteilen.
8.2 Ernennung von Unterauftragsverarbeitern. Im Rahmen dieser DPA erteilen Sie uns eine allgemeine Zustimmung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung von Kundendaten, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugang zu Kundendaten durch Unterauftragsverarbeiter auf das unbedingt Notwendige beschränken, um die im Unterauftragsverarbeitervertrag festgelegten Dienstleistungen zu erbringen;
Wir werden mit dem Unterauftragsverarbeiter Datenschutzverpflichtungen vereinbaren, die im Wesentlichen den Verpflichtungen aus dieser DPA entsprechen; und
Wir bleiben Ihnen gegenüber im Rahmen dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Unterauftragsverarbeiters haftbar.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von Kundenpersonenbezogenen Daten. Wir können Kundenpersonenbezogene Daten übertragen, sofern alle geeigneten Schutzmaßnahmen gemäß den Datenschutzgesetzen vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Bewertung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen und wirksame rechtliche Abhilfen für betroffene Personen umfassen.
9.2 Standardvertragsklauseln für Unterauftragsverarbeiter. Sofern kein Angemessenheitsbeschluss oder ein alternatives Übertragungsinstrument gilt, haben wir Standardvertragsklauseln mit Unterauftragsverarbeitern (einschließlich unserer verbundenen Unternehmen) abgeschlossen und werden diese beibehalten, die sich außerhalb des EWR befinden, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen von Kundenpersonenbezogenen Daten. Soweit Ihre Nutzung der Services einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um Kundenpersonenbezogene Daten rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns zu exportieren, die sich außerhalb dieser Gerichtsbarkeit befindet, gilt dieser Abschnitt. Wenn bei der Erbringung der Services Kundenpersonenbezogene Daten, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Einzelpersonen unterliegen, die auf diese DPA anwendbar ist, an MessageBird in Länder übertragen werden, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien direkt durchgesetzt werden, soweit solche Übertragungen den Datenschutzgesetzen unterliegen.
9.3.1 Die Parteien vereinbaren, dass die Standardvertragsklauseln auf Kundenpersonenbezogene Daten anwendbar sind, die über die Services vom EWR oder der Schweiz entweder direkt oder über eine Weiterübertragung an eine MessageBird-Einheit übertragen werden, die sich in einem Land außerhalb des EWR oder der Schweiz befindet, das nicht von der Europäischen Kommission (oder im Falle von Transfers aus der Schweiz von der zuständigen Behörde für die Schweiz) als ausreichendes Datenschutzniveau anerkannt ist.
9.3.1.1 Wenn Sie als Datenverantwortlicher und MessageBird als Datenverarbeiter agieren, gelten die EU Controller-to-Processor (Modul Zwei) der Standardvertragsklauseln für solche Übertragungen von Kundenpersonenbezogenen Daten aus dem EWR. Wenn Sie als Datenverarbeiter agieren und MessageBird als Unterauftragsverarbeiter, gelten die Processor-to-Processor (Modul Drei) der Standardvertragsklauseln für solche Übertragungen von Kundenpersonenbezogenen Daten aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur und Sie als Datenexporteur gemäß den Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als in diese DPA integriert angesehen werden. Die gemäß Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang, ausschließlich in Bezug auf eine Übertragung von Kundenpersonenbezogenen Daten aus dem EWR.
9.3.1.3 Wo die Standardvertragsklauseln den Parteien die Wahl zwischen optionalen Klauseln und der Eingabe von Informationen vorschreiben, haben die Parteien wie folgt gewählt:
i. Die Optionale Klausel 7 „Docking-Klausel“ wird nicht angenommen.
ii. Für Klausel 9 „Einsatz von Unterauftragsverarbeitern“, wählen die Parteien folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur verfügt über die allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern von einer vereinbarten Liste. Der Datenimporteur informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch das Hinzufügen oder den Ersatz von Unterauftragsverarbeitern mindestens 10 Geschäftstage im Voraus, damit der Verantwortliche ausreichend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Widerspruch einzulegen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Recht auf Widerspruch ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).“
iii. Für Klausel 11 (a) „Rechtsbehelfe“ wird die Option nicht angenommen.
iv. Für Klausel 17 „Anwendbares Recht“, wählen die Parteien folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, vorausgesetzt, dass dieses Recht den Rechten von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein soll.“
v. Für Klausel 18 (b) „Wahl des Gerichtsstands und Gerichts“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein sollen.“
9.3.2 Die Parteien vereinbaren, dass die UK Standardvertragsklauseln auf Kundenpersonenbezogene Daten anwendbar sind, die über die Services aus dem Vereinigten Königreich entweder direkt oder über eine Weiterübertragung an eine MessageBird-Einheit übertragen werden, die sich in einem Land außerhalb des Vereinigten Königreichs befindet, das nicht von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle als ausreichendes Datenschutzniveau anerkannt wird.
10. Audit
10.1 Audit Report. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013 Standard (oder einem gleichwertigen) geprüft. Die Prüfung kann nach unserem alleinigen Ermessen eine interne Prüfung sein oder von einer dritten Partei durchgeführt werden. Auf schriftliche Anfrage werden wir Ihnen eine Zusammenfassung des Prüfberichts („Audit Report“) zur Verfügung stellen, damit Sie unsere Einhaltung der Prüfstandards und dieser DPA überprüfen können. Solche Audit-Berichte sowie alle darin angegebenen Schlussfolgerungen oder Feststellungen sind unsere vertraulichen Informationen.
10.2 Anfragen von Kundeninformationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf vernünftige Informationsanfragen von Ihnen geben, einschließlich Antworten auf Sicherheits- und Prüfungsfragebögen, die in einem angemessenen Umfang notwendig sind, um die Einhaltung dieser DPA zu bestätigen, vorausgesetzt, dass Sie (i) zunächst einen angemessenen Versuch unternommen haben, die angeforderten Informationen aus der Dokumentation, den Audit-Berichten und anderen von uns bereitgestellten oder öffentlich gemachten Informationen zu erhalten, und (ii) dieses Recht nicht öfter als einmal pro Jahr ausüben werden, es sei denn, ein Persönlicher Datenverstoß oder eine wesentliche Änderung unserer Verarbeitungstätigkeiten in Bezug auf die Dienstleistungen erfordert einen zusätzlichen Fragebogen. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns an Sie bereitgestellter Audit-Bericht Ihnen begründete Gründe gibt anzunehmen, dass wir unsere Verpflichtungen gemäß dieser DPA in Bezug auf die von Ihnen bereitgestellten Kunden-Personendaten verletzen, werden wir einem von Ihnen ernannten und von uns genehmigten unabhängigen und qualifizierten Dritten Prüfer erlauben, die relevanten anwendbaren Verarbeitungstätigkeiten für Persönliche Daten zu prüfen, vorausgesetzt, dass im größtmöglichen gesetzlich zulässigen Umfang die folgenden Anforderungen erfüllt sind:
Sie müssen uns mindestens sechzig (60) Tage im Voraus eine angemessene schriftliche Benachrichtigung vor der Ausübung des Prüfungsrechts geben;
Der Prüfer stimmt mit uns marktüblichen Vertraulichkeitsverpflichtungen zu;
Sie und der Prüfer ergreifen Maßnahmen, um die Störung unseres Geschäftsbetriebs zu minimieren;
Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
Wir sind nicht verpflichtet, Zugang zu Kundendaten anderer Kunden oder Systeme, die nicht in die Erbringung der Dienstleistungen einbezogen sind, zu gewähren; und
Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kunden-Personaldaten
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Kundenaffiliate-Kommunikation und Rechte
Der Abschluss dieser DPA im Namen und im Auftrag eines Kunden-Affiliates, wie in Abschnitt 1.2 dargelegt, stellt eine separate DPA zwischen uns und diesem Kunden-Affiliate dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der Vertragspartei der Vereinbarung ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieser DPA und ist berechtigt, jegliche Kommunikation im Zusammenhang mit dieser DPA im Namen seiner Kunden-Affiliates zu tätigen und zu empfangen.
12.2 Rechte der Kunden-Affiliates. Wenn ein Kunden-Affiliate eine Partei der DPA mit uns wird, ist es soweit erforderlich gemäß den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsbehelfe gemäß dieser DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze nicht verlangen, dass der Kunden-Affiliate ein Recht ausübt oder einen Rechtsbehelf gemäß dieser DPA direkt gegen MessageBird einlegt, stimmen die Parteien zu, dass (i) ausschließlich der Kunde, der Vertragspartei der Vereinbarung ist, ein solches Recht im Namen des Kunden-Affiliates ausübt oder einen solchen Rechtsbehelf sucht, und (ii) der Kunde, der Vertragspartei der Vereinbarung ist, solche Rechte im Rahmen dieser DPA nicht separat für jeden Kunden-Affiliate individuell, sondern kombiniert im Namen von sich selbst und all seinen Kunden-Affiliates zusammen ausübt.
(ii) Die Parteien stimmen zu, dass der Kunde, der Vertragspartei der Vereinbarung ist, wenn eine Vor-Ort-Prüfung der für den Schutz der Kundendaten relevanten Verfahren in seinem Namen gemäß Abschnitt 10.3 dieser DPA durchgeführt wird, alle angemessenen Maßnahmen ergreift, um jegliche Auswirkungen auf uns zu minimieren, indem er, soweit praktikabel, mehrere Prüfungsanforderungen im Namen von sich selbst und all seinen Kunden-Affiliates in einer einzigen Prüfung zusammenfasst.
Zur Klarstellung wird ein Kunden-Affiliate keine Vertragspartei der Vereinbarung.
13. California Consumer Privacy Act.
Soweit anwendbar, machen wir die folgenden zusätzlichen Zusagen an Sie in Bezug auf die Verarbeitung von Kunden-Personaldaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen gemäß US-Datenschutzgesetzen. Die Begriffe „geschäftlicher Zweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Soweit anwendbar, werden wir den CCPA einhalten und alle Kunden-Personaldaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen unterliegen („US-Personaldaten“), gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personaldaten sind wir ein Dienstleister gemäß dem CCPA und ein Datenverarbeiter gemäß anderen US-Datenschutzgesetzen. Wir werden US-Personaldaten nicht verkaufen. Wir werden keine US-Personaldaten (i) für einen anderen Zweck als die im Vertrag angegebenen geschäftlichen Zwecke (einschließlich des Beibehaltens, der Nutzung oder Offenlegung von US-Personaldaten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten geschäftlichen Zweck entspricht oder wie es sonst vom CCPA oder den anwendbaren Gesetzen erlaubt ist); oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns verwenden oder offenlegen.
13.2 Kundenpflichten. Sie versichern und gewährleisten, dass Sie den Endbenutzer darüber informiert haben, dass die Personaldaten in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verwendet oder geteilt werden. Sie sind verantwortlich für die Einhaltung der Anforderungen der Datenschutzgesetze, soweit sie auf Sie als Datenverantwortlicher anwendbar sind.
14. Anwendbares Recht und Streitbeilegung. Jeder Streit, Anspruch oder jede Kontroverse („Streitigkeiten“), die sich aus oder im Zusammenhang mit dieser DPA ergeben, unterliegt den Gesetzen der Niederlande und ist entsprechend auszulegen. Jede Partei stimmt zu, dass die zuständigen Gerichte von Amsterdam die ausschließliche Zuständigkeit haben, um alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, beizulegen.
