Datenverarbeitungsvereinbarung Mai 2023
Diese Datenverarbeitungsvereinbarung gilt für Sie, wenn Sie sich für die Dienste von MessageBird (einschließlich über einen seiner Affiliates) vor, am oder nach dem 3. Mai 2023 angemeldet haben. Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge („DPA“), bildet einen Teil der Vereinbarung zwischen MessageBird und dem Kunden für den Kauf von (Online-) Kommunikationsdiensten von MessageBird, um die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Kundendaten widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns. In dieser DPA verwendete, aber nicht unten definierte Begriffe sind in den Allgemeinen Geschäftsbedingungen von MessageBird oder einer anderen Vereinbarung mit uns definiert, die Ihre Nutzung der Dienste regelt.
Die Parteien vereinbaren, dass diese DPA jegliches bestehendes Datenschutz-Addendum oder ähnliche Vereinbarung ersetzt, die die Parteien möglicherweise zuvor in Verbindung mit den Diensten abgeschlossen haben.
1. Scope, Customer Affiliates and Term
1.1 Umfang. Dieses DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Partnerunternehmen. Der Kunde schließt dieses DPA in eigenem Namen und, soweit nach Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Partnerunternehmen (wie in den Bedingungen definiert) ab, sofern und soweit Sie solchen Partnerunternehmen Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die diese Partnerunternehmen als Datenverantwortliche qualifizieren (“Kunden-Partnerunternehmen”). Für die Zwecke dieses DPA und außer dort, wo anders angegeben, schließen die Begriffe „Kunde“ und „Sie“ den Kunden und die Kunden-Partnerunternehmen ein.
2. Definitions
„Account Data“ sind alle persönlichen Daten, die von Ihnen oder für Sie an MessageBird im Zusammenhang mit dem Abschluss und der Verwaltung der Vereinbarung und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Rechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung der Vereinbarung und der damit verbundenen Dienste.
„CCPA“ bezeichnet den California Consumer Privacy Act von 2018 und alle daraufhin erlassenen Vorschriften, jeweils in der von Zeit zu Zeit geänderten Fassung.
„Customer Data“ sind alle Daten und anderen Informationen oder Inhalte, die von Ihnen oder für Sie (oder von einem Benutzer Ihrer Kundenanwendung) im Rahmen der Vereinbarung eingereicht und von den Diensten verarbeitet oder gespeichert werden.
„Customer Personal Data“ sind persönliche Daten, die in Kunden-Daten enthalten sind und von MessageBird als Auftragsverarbeiter verarbeitet werden, es sei denn, im DPA ist etwas anderes angegeben.
„Data Protection Laws“ bezeichnet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die für die Vertraulichkeit, den Schutz der Privatsphäre, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, soweit zutreffend, der DSGVO oder des CCPA.
„EEA“ bezeichnet für die Zwecke dieses DPA den Europäischen Wirtschaftsraum und die Schweiz.
„GDPR“ bezeichnet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) oder (ii) in Bezug auf das Vereinigte Königreich das Datenschutzgesetz 2018.
„MessageBird“ bezeichnet die MessageBird-Einheit, die Partei dieses DPA ist und das vertragsschließende Unternehmen darstellt, das in Abschnitt 15 in den Allgemeinen Geschäftsbedingungen (Contracting Entity) aufgeführt ist, sofern nicht anders in Ihrem Bestellformular angegeben. Sie oder MessageBird können auch einzeln als „Partei“ und zusammen als „Parteien“ in diesem DPA bezeichnet werden.
„Personal Data“ bezeichnet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen, sei es allein oder in Kombination mit anderen Informationen.
„Personal Data Breach“ bedeutet jede zufällige, unbefugte oder unrechtmäßige Zerstörung, Verlust, Veränderung, Offenlegung von oder Zugriff auf Kunden-Personaldaten und jeden anderen ähnlichen Begriff nach geltenden Datenschutzgesetzen wie „Sicherheitsverletzung“.
„Services“ bezieht sich auf alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden, die (a) von Ihnen unter einem Bestellformular bestellt oder (b) von Ihnen genutzt werden.
„Standard Contractual Clauses“ bezeichnet Controller zu Processor (Modul Zwei) oder Processor zu Processor (Modul Drei), je nach Anwendbarkeit, der Standardvertragsklauseln für die Übertragung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats, genehmigt durch die Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj festgelegt.
„Sub-processor“ bezeichnet eine externe Stelle, die Kunden-Personaldaten im Auftrag der MessageBird-Einheit, die als Datenverarbeiter oder Unterauftragsverarbeiter tätig ist, verarbeitet.
„UK Standard Contractual Clauses“ bezeichnet einen oder alle der folgenden Punkte: (i) internationales Datenübertragungsabkommen, das vom UK Information Commissioner gemäß Abschnitt 119A des Datenschutzgesetzes 2018 herausgegeben wurde; (ii) das internationale Datenübertragungs-Addendum zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, herausgegeben vom UK Information Commissioner gemäß Abschnitt 119A des Datenschutzgesetzes 2018; oder (iii) solche Standardvertragsbestimmungen, die vom UK Information Commissioner oder der Europäischen Kommission erlassen wurden und diese gegebenenfalls ersetzen.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen in der DSGVO zugewiesen wird. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verbraucher“, „Controller“ und „Organisation“; "Datenverarbeiter",
3. Processing of Customer Personal Data
3.1 Zwecke. Wir werden Kunden-Personaldaten nur insoweit verarbeiten, wie es erforderlich ist (i) um die Dienstleistungen bereitzustellen, einschließlich der Übermittlung von Kommunikation, Sicherstellung der Sicherheit der Dienste, Bereitstellung von technischen und Zustellberichten, Bereitstellung von Support und Entwicklung und Implementierung von Verbesserungen und Updates gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben, und (iii) wie anderweitig nach geltendem Recht erforderlich.
3.2 Kundenanweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden andere angemessen dokumentierte Anweisungen befolgen, sofern diese Anweisungen im Einklang mit den Bedingungen der Vereinbarung stehen.
3.3 Details der Verarbeitung. Anhang I, Teil B (Beschreibung der Übertragung) von Anhang I zu dieser DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Unterverarbeiter, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir Kunden-Personaldaten als unabhängiger Datenverantwortlicher insoweit verarbeiten, wie es für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die Sie, uns oder unsere Dienste betreffen können, Geschäftsmodellierung (z.B. Prognosen, Kapazitäts- und Umsatzplanung und Produktstrategie), Betrug, Spam und Missbrauchsprävention und -erkennung, Verbesserung von Produkten oder Dienstleistungen in der MessageBird-Suite und um unseren gesetzlichen Verpflichtungen nachzukommen.
4. Kundenpflichten
4.1 Rechtmäßigkeit. Wenn Sie als Datenverantwortlicher für Kundendaten agieren, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen bestimmten Zweck haben und alle erforderlichen Benachrichtigungen und Einwilligungen oder sonstige geeignete rechtliche Grundlagen vorhanden sind, um den rechtmäßigen Transfer der Kundendaten zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall werden wir als Unterverarbeiter agieren), stellen Sie sicher, dass der relevante Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Einhaltung. Sie sind allein verantwortlich dafür, (a) sicherzustellen, dass Sie die Datenschutzgesetze einhalten, die für Ihre Nutzung der Services und Ihre eigene Verarbeitung von Kundendaten gelten, (b) unabhängig zu beurteilen, ob die technischen und organisatorischen Maßnahmen der Services Ihren Anforderungen entsprechen, und (c) Datenschutz- und Sicherheitsmaßnahmen für Komponenten zu implementieren und aufrechtzuerhalten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter und Geräte, die mit den Services und Kundenanwendungen verwendet werden).
5. Security
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um Kundendaten vor Datenschutzverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der von unseren Systemen verwendeten Kundendaten zur Verarbeitung dieser Daten zu gewährleisten. Die von uns angewandten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns bereitgestellten Informationen zur Sicherheit der Kundendaten zu überprüfen und eine unabhängige Bewertung vorzunehmen, ob diese Informationen Ihre Anforderungen und gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen erfüllen. Sie erkennen an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, vorausgesetzt, dass solche Updates und Änderungen nicht zu einer Verschlechterung der gesamten Sicherheit der Kundendaten führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien des "Need to Know" und des "Least Privilege" an, um sicherzustellen, dass der Zugriff auf Kundendaten auf das Personal beschränkt ist, das für die Bereitstellung der Dienste erforderlich ist und im Einklang mit der Vereinbarung, einschließlich dieser DPA, steht.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert wurde, Kundendaten zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Subprozessoren), über die vertrauliche Natur solcher Kundendaten informiert ist und einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es vertraglich oder gesetzlich), die auch nach Beendigung ihres Engagements fortbesteht.
5.5 Reaktion und Benachrichtigung bei Datenschutzverletzungen. Sobald wir von einer Datenschutzverletzung Kenntnis erlangen, werden wir Sie unverzüglich (i) benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen zur Datenschutzverletzung bereitstellen, soweit sie bekannt werden oder vernünftigerweise von Ihnen angefordert werden, und (iv) wirtschaftlich vertretbare Schritte unternehmen, um die Auswirkungen zu mindern und ein erneutes Auftreten der Datenschutzverletzung zu verhindern.
6. Assistance
6.1 Unterstützung beim Datenschutz. Wir werden Ihnen die angemessen angeforderte Unterstützung leisten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich der Benachrichtigung über eine Verletzung personenbezogener Daten, der Bewertung der angemessenen Sicherheit der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten von betroffenen Personen. Wir werden Ihnen angemessene Unterstützung leisten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den betroffenen Personen nachzukommen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, indem wir Ihnen technische und organisatorische Maßnahmen über Ihr Konto zur Verfügung stellen. Um Missverständnisse zu vermeiden, sind Sie als der für die Verarbeitung Verantwortliche für die Bearbeitung von Anfragen oder Beschwerden von betroffenen Personen in Bezug auf die Kunden-Personaldaten eines Betroffenen verantwortlich.
7. Disclosure and Disclosure Requests
7.1 Beschränkungen zur Offenlegung und zum Zugang. Wir werden keinen Zugang zu Kunden-Personaldaten gewähren oder diese offenlegen, außer (i) nach Ihrer Anweisung, (ii) wie im Vertrag und in diesem DPA festgelegt, oder (iii) wie gesetzlich vorgeschrieben.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einem Regierungs- oder Aufsichtsorgan erhalten, Kunden-Personaldaten offenzulegen, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Anfragen zur Offenlegung gemäß der Offenlegungsrichtlinie bearbeiten, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Sub-processors
8.1 Liste der aktuellen Unterauftragsverarbeiter. Sie stimmen der Beauftragung der im MessageBird-Überblick über Prozessoren und Unterauftragsverarbeiter unter der Überschrift „End User Personal Data“ aufgeführten Unterauftragsverarbeiter zu, die ein Verfahren enthält, wie Sie Benachrichtigungen über Änderungen unserer Nutzung von Unterauftragsverarbeitern abonnieren können. Wenn Sie solche Benachrichtigungen abonnieren und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Einzelheiten zu Änderungen bei Unterauftragsverarbeitern so schnell wie möglich mitteilen.
8.2 Bestellung von Unterauftragsverarbeitern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung von Customer Personal Data, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugriff der Unterauftragsverarbeiter auf Customer Personal Data auf das beschränken, was für die Bereitstellung der im Unterauftragsverarbeitervertrag angegebenen Dienste unbedingt erforderlich ist;
Wir werden mit dem Unterauftragsverarbeiter Datenschutzverpflichtungen vereinbaren, die im Wesentlichen den Verpflichtungen dieser DPA entsprechen; und
Wir bleiben Ihnen gegenüber im Rahmen dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Unterauftragsverarbeiters verantwortlich.
9. Cross Border Transfers of Customer Personal Data
9.1 Übertragungen von Kundenpersonenbezogenen Daten. Wir können Kundenpersonenbezogene Daten übertragen, sofern alle geeigneten Schutzmaßnahmen gemäß den Datenschutzgesetzen vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Bewertung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen und wirksame rechtliche Abhilfen für betroffene Personen umfassen.
9.2 Standardvertragsklauseln für Unterauftragsverarbeiter. Sofern kein Angemessenheitsbeschluss oder ein alternatives Übertragungsinstrument gilt, haben wir Standardvertragsklauseln mit Unterauftragsverarbeitern (einschließlich unserer verbundenen Unternehmen) abgeschlossen und werden diese beibehalten, die sich außerhalb des EWR befinden, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen von Kundenpersonenbezogenen Daten. Soweit Ihre Nutzung der Services einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um Kundenpersonenbezogene Daten rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns zu exportieren, die sich außerhalb dieser Gerichtsbarkeit befindet, gilt dieser Abschnitt. Wenn bei der Erbringung der Services Kundenpersonenbezogene Daten, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Einzelpersonen unterliegen, die auf diese DPA anwendbar ist, an MessageBird in Länder übertragen werden, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien direkt durchgesetzt werden, soweit solche Übertragungen den Datenschutzgesetzen unterliegen.
9.3.1 Die Parteien vereinbaren, dass die Standardvertragsklauseln auf Kundenpersonenbezogene Daten anwendbar sind, die über die Services vom EWR oder der Schweiz entweder direkt oder über eine Weiterübertragung an eine MessageBird-Einheit übertragen werden, die sich in einem Land außerhalb des EWR oder der Schweiz befindet, das nicht von der Europäischen Kommission (oder im Falle von Transfers aus der Schweiz von der zuständigen Behörde für die Schweiz) als ausreichendes Datenschutzniveau anerkannt ist.
9.3.1.1 Wenn Sie als Datenverantwortlicher und MessageBird als Datenverarbeiter agieren, gelten die EU Controller-to-Processor (Modul Zwei) der Standardvertragsklauseln für solche Übertragungen von Kundenpersonenbezogenen Daten aus dem EWR. Wenn Sie als Datenverarbeiter agieren und MessageBird als Unterauftragsverarbeiter, gelten die Processor-to-Processor (Modul Drei) der Standardvertragsklauseln für solche Übertragungen von Kundenpersonenbezogenen Daten aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur und Sie als Datenexporteur gemäß den Standardvertragsklauseln angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als in diese DPA integriert angesehen werden. Die gemäß Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang, ausschließlich in Bezug auf eine Übertragung von Kundenpersonenbezogenen Daten aus dem EWR.
9.3.1.3 Wo die Standardvertragsklauseln den Parteien die Wahl zwischen optionalen Klauseln und der Eingabe von Informationen vorschreiben, haben die Parteien wie folgt gewählt:
i. Die Optionale Klausel 7 „Docking-Klausel“ wird nicht angenommen.
ii. Für Klausel 9 „Einsatz von Unterauftragsverarbeitern“, wählen die Parteien folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur verfügt über die allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern von einer vereinbarten Liste. Der Datenimporteur informiert den Verantwortlichen schriftlich über jede beabsichtigte Änderung dieser Liste durch das Hinzufügen oder den Ersatz von Unterauftragsverarbeitern mindestens 10 Geschäftstage im Voraus, damit der Verantwortliche ausreichend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Widerspruch einzulegen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Recht auf Widerspruch ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).“
iii. Für Klausel 11 (a) „Rechtsbehelfe“ wird die Option nicht angenommen.
iv. Für Klausel 17 „Anwendbares Recht“, wählen die Parteien folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, vorausgesetzt, dass dieses Recht den Rechten von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein soll.“
v. Für Klausel 18 (b) „Wahl des Gerichtsstands und Gerichts“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein sollen.“
9.3.2 Die Parteien vereinbaren, dass die UK Standardvertragsklauseln auf Kundenpersonenbezogene Daten anwendbar sind, die über die Services aus dem Vereinigten Königreich entweder direkt oder über eine Weiterübertragung an eine MessageBird-Einheit übertragen werden, die sich in einem Land außerhalb des Vereinigten Königreichs befindet, das nicht von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle als ausreichendes Datenschutzniveau anerkannt wird.
10. Audit
10.1 Audit Report. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013 Standard (oder einem gleichwertigen) geprüft. Die Prüfung kann nach unserem alleinigen Ermessen eine interne Prüfung sein oder von einer dritten Partei durchgeführt werden. Auf schriftliche Anfrage werden wir Ihnen eine Zusammenfassung des Prüfberichts („Audit Report“) zur Verfügung stellen, damit Sie unsere Einhaltung der Prüfstandards und dieser DPA überprüfen können. Solche Audit-Berichte sowie alle darin angegebenen Schlussfolgerungen oder Feststellungen sind unsere vertraulichen Informationen.
10.2 Anfragen von Kundeninformationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf vernünftige Informationsanfragen von Ihnen geben, einschließlich Antworten auf Sicherheits- und Prüfungsfragebögen, die in einem angemessenen Umfang notwendig sind, um die Einhaltung dieser DPA zu bestätigen, vorausgesetzt, dass Sie (i) zunächst einen angemessenen Versuch unternommen haben, die angeforderten Informationen aus der Dokumentation, den Audit-Berichten und anderen von uns bereitgestellten oder öffentlich gemachten Informationen zu erhalten, und (ii) dieses Recht nicht öfter als einmal pro Jahr ausüben werden, es sei denn, ein Persönlicher Datenverstoß oder eine wesentliche Änderung unserer Verarbeitungstätigkeiten in Bezug auf die Dienstleistungen erfordert einen zusätzlichen Fragebogen. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns an Sie bereitgestellter Audit-Bericht Ihnen begründete Gründe gibt anzunehmen, dass wir unsere Verpflichtungen gemäß dieser DPA in Bezug auf die von Ihnen bereitgestellten Kunden-Personendaten verletzen, werden wir einem von Ihnen ernannten und von uns genehmigten unabhängigen und qualifizierten Dritten Prüfer erlauben, die relevanten anwendbaren Verarbeitungstätigkeiten für Persönliche Daten zu prüfen, vorausgesetzt, dass im größtmöglichen gesetzlich zulässigen Umfang die folgenden Anforderungen erfüllt sind:
Sie müssen uns mindestens sechzig (60) Tage im Voraus eine angemessene schriftliche Benachrichtigung vor der Ausübung des Prüfungsrechts geben;
Der Prüfer stimmt mit uns marktüblichen Vertraulichkeitsverpflichtungen zu;
Sie und der Prüfer ergreifen Maßnahmen, um die Störung unseres Geschäftsbetriebs zu minimieren;
Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
Wir sind nicht verpflichtet, Zugang zu Kundendaten anderer Kunden oder Systeme, die nicht in die Erbringung der Dienstleistungen einbezogen sind, zu gewähren; und
Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kunden-Personaldaten
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Kundenaffiliate-Kommunikation und Rechte
Der Abschluss dieser DPA im Namen und im Auftrag eines Kunden-Affiliates, wie in Abschnitt 1.2 dargelegt, stellt eine separate DPA zwischen uns und diesem Kunden-Affiliate dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der Vertragspartei der Vereinbarung ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieser DPA und ist berechtigt, jegliche Kommunikation im Zusammenhang mit dieser DPA im Namen seiner Kunden-Affiliates zu tätigen und zu empfangen.
12.2 Rechte der Kunden-Affiliates. Wenn ein Kunden-Affiliate eine Partei der DPA mit uns wird, ist es soweit erforderlich gemäß den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsbehelfe gemäß dieser DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze nicht verlangen, dass der Kunden-Affiliate ein Recht ausübt oder einen Rechtsbehelf gemäß dieser DPA direkt gegen MessageBird einlegt, stimmen die Parteien zu, dass (i) ausschließlich der Kunde, der Vertragspartei der Vereinbarung ist, ein solches Recht im Namen des Kunden-Affiliates ausübt oder einen solchen Rechtsbehelf sucht, und (ii) der Kunde, der Vertragspartei der Vereinbarung ist, solche Rechte im Rahmen dieser DPA nicht separat für jeden Kunden-Affiliate individuell, sondern kombiniert im Namen von sich selbst und all seinen Kunden-Affiliates zusammen ausübt.
(ii) Die Parteien stimmen zu, dass der Kunde, der Vertragspartei der Vereinbarung ist, wenn eine Vor-Ort-Prüfung der für den Schutz der Kundendaten relevanten Verfahren in seinem Namen gemäß Abschnitt 10.3 dieser DPA durchgeführt wird, alle angemessenen Maßnahmen ergreift, um jegliche Auswirkungen auf uns zu minimieren, indem er, soweit praktikabel, mehrere Prüfungsanforderungen im Namen von sich selbst und all seinen Kunden-Affiliates in einer einzigen Prüfung zusammenfasst.
Zur Klarstellung wird ein Kunden-Affiliate keine Vertragspartei der Vereinbarung.
13. California Consumer Privacy Act.
Soweit anwendbar, machen wir die folgenden zusätzlichen Zusagen an Sie in Bezug auf die Verarbeitung von Kunden-Personaldaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen gemäß US-Datenschutzgesetzen. Die Begriffe „geschäftlicher Zweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“ und „teilen“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Soweit anwendbar, werden wir den CCPA einhalten und alle Kunden-Personaldaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen unterliegen („US-Personaldaten“), gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personaldaten sind wir ein Dienstleister gemäß dem CCPA und ein Datenverarbeiter gemäß anderen US-Datenschutzgesetzen. Wir werden US-Personaldaten nicht verkaufen. Wir werden keine US-Personaldaten (i) für einen anderen Zweck als die im Vertrag angegebenen geschäftlichen Zwecke (einschließlich des Beibehaltens, der Nutzung oder Offenlegung von US-Personaldaten für einen kommerziellen Zweck, der nicht dem im Vertrag festgelegten geschäftlichen Zweck entspricht oder wie es sonst vom CCPA oder den anwendbaren Gesetzen erlaubt ist); oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns verwenden oder offenlegen.
13.2 Kundenpflichten. Sie versichern und gewährleisten, dass Sie den Endbenutzer darüber informiert haben, dass die Personaldaten in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verwendet oder geteilt werden. Sie sind verantwortlich für die Einhaltung der Anforderungen der Datenschutzgesetze, soweit sie auf Sie als Datenverantwortlicher anwendbar sind.
14. Anwendbares Recht und Streitbeilegung. Jeder Streit, Anspruch oder jede Kontroverse („Streitigkeiten“), die sich aus oder im Zusammenhang mit dieser DPA ergeben, unterliegt den Gesetzen der Niederlande und ist entsprechend auszulegen. Jede Partei stimmt zu, dass die zuständigen Gerichte von Amsterdam die ausschließliche Zuständigkeit haben, um alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, beizulegen.