Data Processing Agreement Februar 2024
Diese Datenverarbeitungsvereinbarung gilt für Sie, wenn Sie sich vor, am oder nach dem 1. Februar 2024 um 13:00 Uhr MEZ für unsere Dienstleistungen (einschließlich über einen unserer Partner) angemeldet haben. Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung, einschließlich der Anhänge, („DPA“) ist Teil der Vereinbarung zwischen uns und dem Kunden über den Kauf von (Online-) Kommunikationsdiensten von uns, um die Vereinbarung der Parteien bezüglich der Verarbeitung von Kundendaten widerzuspiegeln. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“ oder „Kunde“ auf Sie als unseren Kunden (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“ oder „unser“ beziehen sich auf uns als Anbieter (wie unten definiert). In dieser DPA verwendete, aber unten nicht definierte Begriffe sind in unseren Allgemeinen Geschäftsbedingungen oder anderen mit uns getroffenen Vereinbarungen, die Ihre Nutzung der Dienste regeln, definiert.
1.1 Geltungsbereich
Diese DPA regelt die Verarbeitung von Kundendaten durch uns als Auftragsverarbeiter.
1.2 Customer Affiliates
Kunde schließt diese DPA in seinem eigenen Namen und, soweit nach Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner verbundenen Unternehmen (wie in den Bedingungen definiert) ab, sofern und soweit Sie diesen verbundenen Unternehmen Zugang zu den Dienstleistungen gewähren und wir Kunden-Personendaten verarbeiten, für die solche verbundenen Unternehmen als Datenverantwortliche gelten („Kundenverbundene Unternehmen“). Für die Zwecke dieser DPA und außer wenn anders angegeben, bedeuten die Begriffe „Kunde“ und „Sie“ sowohl den Kunden als auch die verbundenen Unternehmen des Kunden.
1.3 Bedingungen
Diese DPA bleibt so lange in Kraft, wie wir Kunden-Personenbezogene Daten verarbeiten, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung der Vereinbarung.
2. Definitions
Account Data
„Account Data“ sind alle personenbezogenen Daten, die von Ihnen oder für Sie in Verbindung mit dem Abschluss und der Verwaltung der Vereinbarung und Ihres Kontos zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf Kontaktdaten, Rechnungsdetails und Korrespondenz bezüglich des Abschlusses und der Verwaltung der Vereinbarung und der zugehörigen Dienstleistungen.
CCPA
„CCPA“ bedeutet den California Consumer Privacy Act von 2018 und alle darin erlassenen Vorschriften, in jedem Fall in der jeweils aktuellen Fassung.
Customer Data
„Customer Data“ bezeichnet alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder durch einen Benutzer Ihrer Kundensoftware) im Rahmen der Vereinbarung eingereicht und durch die Dienstleistungen verarbeitet oder gespeichert werden.
Customer Personal Data
„Customer Personal Data“ bedeutet personenbezogene Daten, die in den Kunden-Daten enthalten sind und von uns als Verarbeiter verarbeitet werden, sofern in dieser DPA nicht anders angegeben.
Data Protection Laws
„Data Protection Laws“ bezeichnet alle Gesetze und Vorschriften jeder Gerichtsbarkeit, die für die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, einschließlich beispielsweise und sofern zutreffend der GDPR oder des CCPA.
EEA
„EEA“ bedeutet für die Zwecke dieser DPA den Europäischen Wirtschaftsraum und die Schweiz.
GDPR
„GDPR“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich, den Data Protection Act 2018.
Personal Data
„Personal Data“ bedeutet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen, sei es allein oder in Kombination mit anderen Informationen.
Personal Data Breach
„Personal Data Breach“ bedeutet jede unbeabsichtigte, unbefugte oder rechtswidrige Zerstörung, Verlust, Veränderung, Offenlegung oder Zugänglichkeit von Customer Personal Data und jeden anderen ähnlichen Begriff gemäß den anwendbaren Datenschutzgesetzen wie „Sicherheitsverletzung“.
Services
„Services“ bezieht sich auf alle Produkte und Dienstleistungen, die von uns oder unseren verbundenen Unternehmen bereitgestellt werden und die (a) von Ihnen gemäß einem Bestellformular bestellt werden; oder (b) von Ihnen genutzt werden.
Provider
„Provider“ meint die Vertragspartei unserer Vertragsentität, die Teil dieser DPA ist, die im Abschnitt 15 der Allgemeinen Geschäftsbedingungen aufgeführt ist, es sei denn, auf Ihrem Bestellformular ist etwas anderes angegeben. Sie oder der Provider können auch einzeln als „Partei“ und zusammen als „Parteien“ in dieser DPA bezeichnet werden.
Standard Contractual Clauses
„Standard Contractual Clauses“ bedeutet Controller zu Verarbeiter (Modul Zwei) oder Verarbeiter zu Verarbeiter (Modul Drei), je nach Anwendbarkeit, der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, genehmigt durch den Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021, wie derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj zu finden.
Sub-processor
„Sub-processor“ bedeutet eine dritte Partei, die Customer Personal Data im Auftrag des Providers verarbeitet, wobei der Provider als Datenverarbeiter oder Unterverarbeiter agiert.
UK Standard Contractual Clauses
„UK Standard Contractual Clauses“ bezeichnet eine oder alle der folgenden: (i) internationales Datenübertragungsabkommen, herausgegeben von der britischen Datenschutzbehörde gemäß Abschnitt 119A des DPA 2018; (ii) das internationale Datenübertragungs-Addendum zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen, herausgegeben von der britischen Datenschutzbehörde gemäß Abschnitt 119A des DPA 2018; oder (iii) solche Standardvertragsbestimmungen, die von der britischen Datenschutzbehörde oder der Europäischen Kommission herausgegeben wurden und diese von Zeit zu Zeit ersetzen können. Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die Bedeutung, die ihnen im Rahmen der GDPR zugewiesen wird. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verbraucher“, „Kontroller“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstanbieter“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Individuum“; und „Personal Data“ umfasst „persönliche Informationen“, jeweils wie im CCPA und anderen anwendbaren Datenschutzgesetzen definiert. Die Begriffe „geschäftlicher Zweck“, „kommerzieller Zweck“, „verkaufen“ und „teilen“ haben die gleiche Bedeutung wie in den anwendbaren Datenschutzgesetzen und ihre damit verbundenen Begriffe sind entsprechend auszulegen.
3. Processing of Customer Personal Data
3.1 Zwecke
Wir werden Kunden-Personaldaten nur in dem Umfang verarbeiten, der notwendig ist, (i) um die Services bereitzustellen, einschließlich der Übertragung von Kommunikation, der Sicherstellung der Sicherheit der Services, der Bereitstellung technischer und Zustellberichte, der Bereitstellung von Support sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihrer dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieses DPA angegeben, (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieses DPA als Datenverantwortlicher angegeben, und (iii) wie anderweitig nach geltendem Recht erforderlich.
3.2 Kundenanweisungen
Die Vereinbarung und dieses DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieses DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, dass diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen.
3.3 Einzelheiten zur Verarbeitung
Anhang I, Teil B (Beschreibung der Übertragung) von Anhang I zu diesem DPA spezifiziert die Art und den Zweck der Verarbeitung durch uns als Datenverarbeiter oder Sub-Prozessor, die Verarbeitungstätigkeiten, die Dauer der Verarbeitung, die Arten von Personaldaten und die Kategorien von betroffenen Personen.
3.4 Legitime Geschäftszwecke
Sie erkennen an, dass wir Kunden-Personaldaten als eigenständiger Datenverantwortlicher in dem Umfang verarbeiten, der für die folgenden legitimen Geschäftszwecke notwendig ist: Abrechnung, Kontenverwaltung, finanzielle und interne Berichterstattung, Bekämpfung und Verhinderung von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die Sie, uns oder unsere Services betreffen könnten, Geschäftsmodellierung (z.B. Prognose, Kapazitäts- und Umsatzplanung, und Produktstrategie), Betrug, Spam und Missbrauchsverhinderung und -erkennung, Verbesserung unseres Produkts- und Serviceangebots und um unseren gesetzlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtmäßigkeit
Wenn Sie als Datenverantwortlicher von Customer Personal Data auftreten, garantieren Sie, dass alle Verarbeitungstätigkeiten rechtmäßig sind, einen spezifischen Zweck haben und alle erforderlichen Mitteilungen und Zustimmungen oder andere geeignete Rechtsgrundlagen vorhanden sind, um den rechtmäßigen Transfer der Customer Personal Data zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall werden wir als Unterauftragsverarbeiter fungieren), stellen Sie sicher, dass der relevante Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Einhaltung
Sie sind allein verantwortlich für (a) die Sicherstellung, dass Sie die für Ihre Nutzung der Services und Ihre eigene Verarbeitung der Customer Personal Data geltenden Datenschutzgesetze einhalten, (b) die unabhängige Bewertung, ob die technischen und organisatorischen Maßnahmen der Services Ihren Anforderungen entsprechen, und (c) die Implementierung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Services und Customer Applications verwendet werden).
5. Security
5.1 Sicherheitsmaßnahmen
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeiten und Schweregrade für die Rechte und Freiheiten natürlicher Personen werden wir geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, um Daten zu schützen Kundenpersonenbezogene Daten vor Datenschutzverletzungen und um die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der Kundendaten zu erhalten, die unsere Systeme zur Verarbeitung von Kundenpersonenbezogenen Daten verwenden. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen
Sie sind dafür verantwortlich, die von uns bereitgestellten Informationen zu überprüfen, die sich auf die Sicherheit von Kundenpersonenbezogenen Daten beziehen, und eine unabhängige Bewertung darüber vorzunehmen, ob diese Informationen Ihren Anforderungen und gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen entsprechen. Sie erkennen an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir unsere Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern können, sofern diese Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Kundenpersonenbezogenen Daten führen.
5.3 Zugangskontrollen
Wir wenden die Prinzipien des „Need to Know“ und des „Least Privilege“ an, um sicherzustellen, dass der Zugang zu Kundenpersonenbezogenen Daten auf die Personen beschränkt ist, die für die Bereitstellung der Dienste erforderlich sind und im Einklang mit der Vereinbarung, einschließlich dieser DPA, stehen.
5.4 Vertraulichkeit der Verarbeitung
Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, Kundenpersonenbezogene Daten zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterverarbeiter), über die vertrauliche Natur solcher Kundenpersonenbezogenen Daten informiert ist und eine entsprechende Vertraulichkeitsverpflichtung (sei es eine vertragliche oder gesetzliche Pflicht) besteht, die über das Ende ihres Engagements hinaus fortbesteht.
5.5 Reaktion und Benachrichtigung bei Datenschutzverletzungen
Sobald wir von einer Datenschutzverletzung Kenntnis erlangen, werden wir unverzüglich
(i) Sie benachrichtigen,
(ii) die Datenschutzverletzung untersuchen,
(iii) rechtzeitig Informationen zu der Datenschutzverletzung bereitstellen, sobald sie bekannt werden oder von Ihnen vernünftigerweise angefordert werden, und (iv) wirtschaftlich angemessene Maßnahmen ergreifen, um die Auswirkungen abzumildern und die Wiederholung der Datenschutzverletzung zu verhindern.
6. Assistance
6.1 Unterstützung beim Datenschutz
Wir werden Ihnen die angemessen angeforderte Unterstützung bereitstellen, um Ihnen die Einhaltung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen zu ermöglichen, einschließlich der Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer entsprechenden Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei den Rechten der betroffenen Personen
Wir werden Ihnen angemessene Unterstützung gewähren, um Ihnen die Einhaltung Ihrer Verpflichtungen gegenüber betroffenen Personen zu ermöglichen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben, indem wir technische und organisatorische Maßnahmen über Ihr Konto verfügbar machen. Zur Vermeidung von Zweifeln sind Sie als Datenverantwortlicher für die Bearbeitung jeder Anfrage oder Beschwerde von betroffenen Personen in Bezug auf die persönlichen Kundendaten einer betroffenen Person verantwortlich.
7. Disclosure and Disclosure Requests
7.1 Einschränkungen bei Offenlegung und Zugriff
Wir werden keinen Zugriff auf Kunden-Personaldaten gewähren oder diese offenlegen, außer (i) auf Ihre Anweisung, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wie gesetzlich vorgeschrieben.
7.2 Offenlegungsanfragen
Wir werden Sie so bald wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Regulierungsbehörde zur Offenlegung von Kunden-Personaldaten erhalten, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsanfragenrichtlinie bearbeiten, die auf unserer Website hier verfügbar ist.
8. Unterauftragsverarbeiter
8.1 Liste der aktuellen Subunternehmer
Sie stimmen dem Einsatz der Subunternehmer im Zusammenhang mit den Dienstleistungen zu, die in unserer Übersicht der Subunternehmer aufgeführt sind, welche auch ein Verfahren enthält, um sich für Benachrichtigungen über Änderungen in der Nutzung von Subunternehmern zu abonnieren. Wenn Sie solche Benachrichtigungen abonnieren und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen so schnell wie möglich Einzelheiten zu Änderungen der Subunternehmer mitteilen.
8.2 Ernennung von Subunternehmern
Durch dieses DPA erteilen Sie uns eine allgemeine schriftliche Genehmigung zur Beauftragung von Subunternehmern für die Verarbeitung von Kundenpersonenbezogenen Daten, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
Wir werden den Zugriff von Subunternehmern auf Kundenpersonenbezogene Daten auf das strikt Notwendige begrenzen, um die im Subunternehmervertrag festgelegten Dienstleistungen zu erbringen;
Wir werden mit dem Subunternehmer Datenschutzverpflichtungen vereinbaren, die im Wesentlichen dieselben sind wie die Verpflichtungen gemäß dieser DPA; und
Wir bleiben Ihnen gegenüber nach dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers haftbar.
8.3 Benachrichtigung über Änderungen bei Subunternehmern und Widerspruchsrecht
Bevor wir neue Subunternehmer einsetzen oder bestehende ersetzen („Subunternehmeränderung“), geben wir Ihnen die Möglichkeit, der Subunternehmeränderung zu widersprechen. Sie können einer Subunternehmeränderung widersprechen, vorausgesetzt, dass (i) der Widerspruch schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über die Subunternehmeränderung erfolgt und (ii) der Widerspruch auf vernünftigen Gründen basiert und diese klar im Hinblick auf den Schutz von Kundenpersonenbezogenen Daten erläutert. Wenn Sie einer vorgeschlagenen Subunternehmeränderung widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine kommerziell angemessene Änderung in der Bereitstellung der Dienste zu ermöglichen, die die Verwendung des betreffenden Subunternehmers vermeidet. Wenn eine solche Änderung nicht innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsbenachrichtigung vernünftigerweise vorgenommen werden kann oder wenn die Änderung für uns kommerziell unzumutbar ist, kann jede Partei die anwendbaren Funktionen der Dienste kündigen, die ohne die Nutzung des betreffenden Subunternehmers nicht bereitgestellt werden können. Dieses Kündigungsrecht stellt Ihr einziges und ausschließliches Rechtsmittel dar, wenn Sie einer Subunternehmeränderung widersprechen.
9. Cross Border Transfers of Customer Personal Data
9.1 Übertragungen von Kunden-Personaldaten
Wir dürfen Kunden-Personaldaten unter der Bedingung übermitteln, dass alle erforderlichen Schutzmaßnahmen gemäß den Datenschutzgesetzen vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkung der Datenübertragung, die Annahme, Überwachung und Bewertung ergänzender technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der betroffenen Personen und die Verfügbarkeit wirksamer Rechtsmittel für betroffene Personen umfassen.
9.2 Subprozessor Standardvertragsklauseln
Sofern keine Angemessenheitsentscheidung oder alternativer Übertragungsmechanismus vorliegt, wie etwa der EU-US-Datenschutzrahmen, haben wir Standardvertragsklauseln mit Subprozessoren (einschließlich unserer verbundenen Unternehmen), die außerhalb des EWR ansässig sind, nach den in Abschnitt 9.1 dieser DPA festgelegten Bedingungen abgeschlossen und beizubehalten.
9.3 Übertragungsmechanismen für die Übertragung von Kunden-Personaldaten
Sofern Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um Kunden-Personaldaten rechtmäßig aus einer Rechtsordnung (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Rechtsordnung zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Dienste Kunden-Personaldaten, die der DSGVO oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Personen unterliegen, das auf diese DPA Anwendung findet, an eine Anbieter-Entität übermittelt werden, die sich in Ländern befindet, die kein ausreichendes Schutzniveau für personenbezogene Daten im Sinne der Datenschutzgesetze gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien unmittelbar durchgesetzt werden, soweit solche Übertragungen den Datenschutzgesetzen unterliegen.
9.3.1
Die Parteien stimmen zu, dass die Standardvertragsklauseln für Kunden-Personaldaten gelten, die über die Dienste aus dem EWR oder der Schweiz direkt oder im Rahmen einer Weiterübertragung an eine Anbieter-Entität in einem Land außerhalb des EWR oder der Schweiz übermittelt werden, das nicht von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde der Schweiz) als ausreichend für den Schutz personenbezogener Daten anerkannt wird.
9.3.1.1
Wenn Sie als Verantwortlicher und wir als Auftragsverarbeiter agieren, gelten die EU-Controller-to-Processor (Modul Zwei) der Standardvertragsklauseln für jede solche Übermittlung von Kunden-Personaldaten aus dem EWR. Wenn Sie als Auftragsverarbeiter und wir als Subprozessor agieren, gelten die Processor-to-Processor (Modul Drei) der Standardvertragsklauseln für jede solche Übermittlung von Kunden-Personaldaten aus dem EWR.
9.3.1.2
Wir gelten als Datenimporteur und Sie als Datenexporteur gemäß den Standardvertragsklauseln. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die in diese DPA aufgenommen werden. Die gemäß Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Angaben sind in Anhang I und Anhang II dieser DPA vorhanden. Im Falle eines Widerspruchs oder einer Inkonsistenz zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln allein in Bezug auf die Übertragung von Kunden-Personaldaten aus dem EWR Vorrang.
9.3.1.3
Wo die Standardvertragsklauseln den Parteien die Wahl zwischen optionalen Klauseln überlassen und Informationen eingefügt werden müssen, haben die Parteien dies wie folgt festgelegt:
i. Die optionale Klausel 7 „Andockklausel“ wird nicht angenommen.
ii. Für Klausel 9 „Einsatz von Subprozessoren“ wählen die Parteien folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen für die Einbindung von Subprozessor(en) aus einer vereinbarten Liste. Der Datenimporteur muss den Verantwortlichen schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersatz von Subprozessoren mindestens 10 Geschäftstage im Voraus informieren, um dem Verantwortlichen genügend Zeit zu geben, sich vor der Einbindung der Subprozessoren gegen solche Änderungen zu wehren. Der Datenimporteur muss dem Datenexporteur die Informationen zur Verfügung stellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbindung der Subprozessoren informieren.“
iii. Für Klausel 11 (a) „Abhilfe“ wird die Option nicht übernommen.
iv. Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte Dritter als Begünstigter zulässt. Die Parteien vereinbaren, dass es das Recht der Niederlande sein soll.“
v. Für Klausel 18 (b) „Wahl des Forums und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass die Gerichte der Niederlande zuständig sein sollen.“
9.3.2
Die Parteien stimmen zu, dass die britischen Standardvertragsklauseln für Kunden-Personaldaten gelten, die über die Dienste aus dem Vereinigten Königreich entweder direkt oder im Rahmen einer Weiterübertragung an eine Anbieter-Entität in einem Land außerhalb des Vereinigten Königreichs übermittelt werden, das nicht von der zuständigen britischen Aufsichtsbehörde oder einem Regierungsorgan für das Vereinigte Königreich als ausreichend für den Schutz personenbezogener Daten anerkannt wird.
9.3.2.1
Wir gelten als Datenimporteur und Sie als Datenexporteur gemäß den britischen Standardvertragsklauseln. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der britischen Standardvertragsklauseln betrachtet, die in diese DPA aufgenommen werden. Die gemäß den britischen Standardvertragsklauseln erforderlichen Angaben sind in Anhang I und Anhang II dieser DPA vorhanden. Im Falle eines Widerspruchs oder einer Inkonsistenz zwischen dieser DPA und den britischen Standardvertragsklauseln haben die britischen Standardvertragsklauseln allein in Bezug auf die Übertragung von Kunden-Personaldaten aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Audit-Bericht
Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001-Standard (oder einem gleichwertigen) auditiert. Das Audit kann nach unserem alleinigen Ermessen eine interne Prüfung oder eine von einer dritten Partei durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung des Auditberichts („Audit-Bericht“) zur Verfügung, damit Sie unsere Einhaltung der Audit-Standards und dieses DPA überprüfen können. Solche Audit-Berichte sowie alle darin spezifizierten Schlussfolgerungen oder Feststellungen sind unsere vertraulichen Informationen.
10.2 Kundeninformationsanfragen
Wir stellen Ihnen alle Informationen zur Verfügung, die vernünftigerweise notwendig sind, um die Einhaltung der in diesem DPA festgelegten Verpflichtungen nachzuweisen. Wir werden auf angemessene Informationsanfragen Ihrerseits schriftlich antworten, einschließlich Antworten auf Informationssicherheits- und Auditfragebögen, die in ihrem Umfang angemessen und erforderlich sind, um die Einhaltung dieses DPA zu bestätigen, vorausgesetzt, dass Sie (i) zunächst eine angemessene Anstrengung unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Audit-Berichten und anderen von uns bereitgestellten oder öffentlich gemachten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Verstoß gegen personenbezogene Daten oder eine wesentliche Änderung unserer Verarbeitungstätigkeiten in Bezug auf die Dienste erfordert die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenaudit
Wenn ein von uns bereitgestellter Audit-Bericht Ihnen nachvollziehbare Gründe gibt, zu glauben, dass wir gegen unsere Verpflichtungen aus diesem DPA in Bezug auf die von Ihnen bereitgestellten Kunden-Personendaten verstoßen, gestatten wir einem von Ihnen ernannten und von uns genehmigten unabhängigen und qualifizierten Auditor, die relevanten, anwendbaren Verarbeitungstätigkeiten personenbezogener Daten zu prüfen, vorausgesetzt, dass im größtmöglichen rechtlich zulässigen Umfang, die folgenden Anforderungen erfüllt sind:
a) Sie müssen uns mindestens sechzig (60) Tage im Voraus eine angemessene Ankündigung vor dem Ausüben des Prüfrechts geben;
b) Der Auditor stimmt marktüblichen Geheimhaltungsverpflichtungen mit uns zu;
c) Sie und der Auditor ergreifen Maßnahmen, um Störungen unserer Geschäftstätigkeiten zu minimieren;
d) Die Prüfung wird während der regulären Geschäftszeiten durchgeführt;
e) Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme zu gewähren, die nicht an der Bereitstellung der Dienstleistungen beteiligt sind;
f) und Sie müssen alle Kosten des Audits tragen.
11. Löschung und Rückgabe von Customer Personal Data
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Kunden-Partner-Kommunikation und Rechte
Der Abschluss dieser DPA im Namen und im Auftrag eines Kundenpartners, wie in Abschnitt 1.2 dargelegt, stellt eine separate DPA zwischen uns und dem Kundenpartner dar, vorbehaltlich der folgenden Bedingungen:
12.1. Kommunikation
Der Kunde, der Vertragspartei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieser DPA und ist berechtigt, jegliche Kommunikation im Zusammenhang mit dieser DPA im Namen seiner Kundenpartner zu führen und entgegenzunehmen.
12.2 Rechte der Kundenpartner
Wenn ein Kundenpartner Vertragspartei der DPA mit uns wird, ist er in dem nach den Datenschutzgesetzen erforderlichen Umfang berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieser DPA zu beantragen, vorbehaltlich der folgenden Bedingungen: (i) Sofern die Datenschutzgesetze nicht verlangen, dass der Kundenpartner ein Recht ausübt oder ein Rechtsmittel im Rahmen dieser DPA direkt gegen uns geltend macht, vereinbaren die Parteien, dass
(i) ausschließlich der Kunde, der Vertragspartei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenpartners geltend machen darf, und
(ii) der Kunde, der Vertragspartei des Vertrags ist, diese Rechte im Rahmen dieser DPA nicht separat für jeden Kundenpartner individuell, sondern in kombinierter Weise für sich und alle seine Kundenpartner zusammen ausüben darf (ii) Die Parteien vereinbaren, dass der Kunde, der Vertragspartei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die für den Schutz der Kundenpersonaldaten relevant sind, wie in Abschnitt 10.3 dieser DPA festgelegt, durchgeführt wird, sämtliche zumutbaren Maßnahmen ergreifen wird, um die Auswirkungen auf uns zu minimieren, indem er, soweit möglich, mehrere Prüfungsanfragen im Namen von sich selbst und all seiner Kundenpartner zu einer einzigen Prüfung kombiniert.
Zur Klarstellung: Ein Kundenpartner wird nicht Vertragspartei des Vertrags.
13. California Consumer Privacy Act
Soweit anwendbar, machen wir Ihnen gegenüber die folgenden zusätzlichen Verpflichtungen in Bezug auf die Verarbeitung von Kunden-Personaldaten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen unter U.S. Datenschutzgesetzen
Die Begriffe „business purpose“, „commercial purpose“, „consumer“, „sell“ und „share“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die im CCPA festgelegten Bedeutungen. Soweit anwendbar, werden wir den CCPA einhalten und alle Kunden-Personaldaten, die dem CCPA und anderen anwendbaren U.S. Datenschutzgesetzen unterliegen („U.S. Personal Data“), gemäß den Bestimmungen des CCPA und anderer U.S. Datenschutzgesetze behandeln. Hinsichtlich U.S. Personal Data sind wir ein Dienstleister unter dem CCPA und ein Datenverarbeiter unter anderen U.S. Datenschutzgesetzen. Wir werden keine U.S. Personal Data verkaufen. Wir werden keine U.S. Personal Data (i) für einen anderen Zweck als die im Vertrag angegebenen Geschäftszwecke aufbewahren, verwenden oder offenlegen (einschließlich der Aufbewahrung, Verwendung oder Offenlegung von U.S. Personal Data für einen kommerziellen Zweck, der von den im Vertrag angegebenen Geschäftszwecken oder wie sonst vom CCPA oder anwendbaren Gesetzen erlaubt abweicht); oder (ii) außerhalb der direkten Geschäftsbeziehung mit Ihnen und uns aufbewahren, verwenden oder offenlegen.
13.2 Kundenpflichten
Sie erklären und gewährleisten, dass Sie dem Endbenutzer mitgeteilt haben, dass die personenbezogenen Daten in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verwendet oder geteilt werden. Sie sind dafür verantwortlich, die Anforderungen der Datenschutzgesetze einzuhalten, soweit diese auf Sie als Datenverantwortlicher anwendbar sind.
14. Geltendes Recht und Streitbeilegung
Jeder Streit, Anspruch oder jede Kontroverse („Streitigkeiten“), die sich aus oder im Zusammenhang mit dieser DPA ergeben, unterliegt den Gesetzen der Niederlande und wird gemäß diesen ausgelegt. Jede Partei stimmt zu, dass die zuständigen Gerichte in Amsterdam die ausschließliche Zuständigkeit haben, um alle Streitigkeiten im Zusammenhang mit dieser DPA beizulegen.
13.1 Unsere Verpflichtungen gemäß den Datenschutzgesetzen der USA
Die Begriffe „business purpose,“ „commercial purpose,“ „consumer,“ „sell,“ und „share“, wie sie in diesem Abschnitt 13.1 verwendet werden, haben die Bedeutungen, die ihnen im CCPA zugewiesen werden. Soweit zutreffend, werden wir den CCPA einhalten und alle Kundendaten, die dem CCPA und anderen anwendbaren US-Datenschutzgesetzen („US-Personenbezogene Daten“) unterliegen, gemäß den Bestimmungen des CCPA und anderer US-Datenschutzgesetze behandeln. In Bezug auf US-Personenbezogene Daten sind wir ein Dienstleister gemäß dem CCPA und ein Datenverarbeiter gemäß anderen US-Datenschutzgesetzen. Wir werden US-Personenbezogene Daten nicht verkaufen. Wir werden keine US-Personenbezogene Daten (i) zu einem anderen Zweck als dem im Vertrag festgelegten geschäftlichen Zweck (einschließlich der Aufbewahrung, Verwendung oder Offenlegung von US-Personenbezogenen Daten für einen kommerziellen Zweck, der nicht der im Vertrag festgelegte geschäftliche Zweck ist, oder wie es anderweitig durch den CCPA oder anwendbare Gesetze erlaubt ist) oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen Ihnen und uns aufbewahren, verwenden oder offenlegen.
ANHANG I - DETAILS OF PROCESSING
Wo zutreffend, dient dieser Anhang I als Anhang I zu den EWR-Standardvertragsklauseln.
Anhang I, Teil A. Liste der Parteien
Die Begriffe "Geschäftszweck", "kommerzieller Zweck", "Verbraucher", "verkaufen" und "teilen", wie in diesem Abschnitt 13.1 verwendet, haben die im CCPA festgelegten Bedeutungen. Soweit anwendbar, werden wir den CCPA einhalten und alle Kundenpersonaldaten, die dem CCPA und anderen anwendbaren US-amerikanischen Datenschutzgesetzen unterliegen ("US-Personaldaten") gemäß den Bestimmungen des CCPA und anderer US-amerikanischer Datenschutzgesetze behandeln. In Bezug auf US-Personaldaten sind wir ein Dienstleister gemäß CCPA und ein Datenverarbeiter gemäß anderen US-Datenschutzgesetzen. Wir werden keine US-Personaldaten verkaufen. Wir werden keine US-Personaldaten (i) für einen anderen Zweck als die im Vertrag festgelegten Geschäftszwecke (einschließlich Speicherung, Verwendung oder Offenlegung von US-Personaldaten zu einem kommerziellen Zweck, der von dem im Vertrag festgelegten Geschäftszweck abweicht oder wie anderweitig durch den CCPA oder geltende Gesetze zugelassen) verwenden oder offenlegen; oder (ii) außerhalb der direkten Geschäftsbeziehung mit Ihnen und uns verwenden.
Datenexporteur
Kunde
Kontaktdaten des Datenexporteurs
Die in dem Konto des Kunden angegebene Adresse oder die E-Mail-Adresse des Kontoinhabers des Kunden oder die E-Mail-Adresse(n), unter der(en) der Kunde Benachrichtigungen gemäß dem Vertrag erhalten möchte.
Rolle des Datenexporteurs
Die Rolle des Datenexporteurs wird in Abschnitt 4 der DPA beschrieben.
Unterschrift und Datum
Falls zutreffend, gilt der Datenexporteur als Unterzeichner der hierin aufgenommenen Standardvertragsklauseln zum Wirksamkeitsdatum der DPA.
Datenimporteur
Anbieter
Kontaktdaten des Datenimporteurs
Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs
Der Datenimporteur tritt als Datenverarbeiter auf.
Unterschrift und Datum
Falls zutreffend, gilt der Datenimporteur als Unterzeichner der hierin aufgenommenen Standardvertragsklauseln zum Wirksamkeitsdatum der DPA.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden.
Nutzer. Kontaktpersonen (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeitnehmer (aktuelle, potenzielle, ehemalige) von Kunden, die die Dienste nutzen („Nutzer“);
Endnutzer. Jede Person (i) deren Kontaktdaten in der Kontaktliste des Kunden enthalten sind; (ii) deren Informationen über die Dienste gespeichert oder gesammelt werden, oder (ii) an die der Kunde Mitteilungen sendet oder über die Dienste anderweitig interagiert oder kommuniziert (zusammenfassend „Endnutzer“). Sie als Kunde bestimmen ausschließlich die Kategorien von betroffenen Personen, die in der über unsere Kommunikationsplattform versendeten Kommunikation enthalten sind.
2. Kategorien von übertragenen personenbezogenen Daten
Kundenpersonaldaten, die in, Kommunikationsinhalten, Verkehrsdaten, Endnutzerdaten und Kundennutzungsdaten enthalten sind.
Kommunikationsinhalte, die personenbezogene Daten oder andere persönliche Merkmale enthalten können, je nach Kommunikationsinhalt, wie vom Kunden bestimmt.
Verkehrsdaten, die Kundenpersonaldaten über die Route, Dauer oder den Zeitpunkt einer Kommunikation wie Anruf, SMS oder E-Mail enthalten können, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen.
Endnutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennzeichnung.
Kundennutzungsdaten können Daten enthalten, die einer Person zugeordnet werden können und in statistischen Daten und Informationen zu Ihren Konten- und Dienstaktivitäten, dienstbezogenen Einsichten und Analysen über die gesendete Kommunikation und den Kundensupport enthalten sind.
3. Übertragene sensible Daten
Sensible Daten, die übertragen werden (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken berücksichtigen, wie beispielsweise strikte Zweckbeschränkung, Zugriffsbeschränkungen (einschließlich Zugriff nur für geschultes Personal), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
a) Kommunikationsinhalte. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endnutzer sich entscheiden, sensible Daten in die Kommunikation einzuschließen, die über die Dienste übertragen wird. Sie sind dafür verantwortlich, sicherzustellen, dass geeignete Schutzmaßnahmen vorhanden sind, bevor sensible Daten über die Dienste übertragen oder verarbeitet werden dürfen, gemäß Abschnitt 3.2 der Vereinbarung.
b) Verkehrsdaten, Endnutzerdaten und Kundennutzungsdaten: In den Verkehrsdaten, Endnutzerdaten oder Kundennutzungsdaten sind keine sensiblen Daten enthalten.
4. Häufigkeit der Übertragung
Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kundenpersonaldaten werden kontinuierlich während der Dauer des Vertrages übertragen.
5. Art der Verarbeitung
Wir werden die Kundenpersonaldaten in dem Umfang verarbeiten, der zur Bereitstellung der Dienste gemäß dem Vertrag erforderlich ist. Wir verkaufen keine personenbezogenen Daten, einschließlich Kundenpersonaldaten, und teilen keine personenbezogenen Daten mit Dritten gegen Entgelt oder zu den eigenen Geschäftszwecken dieser Dritten.
6. Zweck(e) der Datenübertragung und Weiterverarbeitung
Wir werden die Kundenpersonaldaten als Datenverarbeiter gemäß den Anweisungen des Kunden, wie in dieser DPA festgelegt, verarbeiten, es sei denn, die Verarbeitung ist zur Einhaltung einer gesetzlichen Verpflichtung, der wir unterliegen, erforderlich, in welchem Fall wir als Datenverantwortlicher auftreten.
Kommunikationsinhalte, Verkehrsdaten, Endnutzerdaten und Kundennutzungsdaten. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endnutzerdaten und Kundennutzungsdaten enthalten sind, unterliegen den folgenden grundlegenden Verarbeitungstätigkeiten:
a) Kommunikationsinhalte. Bereitstellung von programmierbaren Kommunikationsprodukten und -diensten in Form von Programmierschnittstellen (APIs) oder über das Dashboard an den Kunden, einschließlich Übertragung zu oder von der Softwareanwendung des Kunden von oder zu unserer Kommunikationsplattform und anderen Kommunikationsnetzwerken.
b) Verkehrsdaten. Verkehrsdaten werden zum Zweck der Übertragung von Kommunikation über ein elektronisches Kommunikationsnetzwerk oder zu Abrechnungszwecken in Bezug auf diese Kommunikation verarbeitet. Dies kann Kundenpersonaldaten über die Route, Dauer oder den Zeitpunkt einer Kommunikation wie Anruf, SMS oder E-Mail umfassen, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen.
c) Endnutzerdaten. Personenbezogene Daten von Endnutzern sind erforderlich, um die Dienste auszuführen und werden nur zum Zwecke der Kommunikationsübertragung, des Kundensupports und zur Einhaltung unserer gesetzlichen Verpflichtungen verarbeitet.
d) Kundennutzungsdaten. Personenbezogene Daten, die in Kundennutzungsdaten enthalten sind, unterliegen den Verarbeitungstätigkeiten zur Bereitstellung der Dienste gemäß dem Vertrag mit dem Ziel, dem Kunden dienstbezogene Einsichten und Analysen zu der gesendeten Kommunikation, dem Kundensupport und der kontinuierlichen Verbesserung der Dienste zu bieten.
7. Speicherdauer der personenbezogenen Daten
Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer: Kommunikationsinhalte und Verkehrsdaten. Für Kommunikationsinhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten; Für Kommunikationsinhalte und Verkehrsdaten in Videoservices wird von mindestens 30 Tagen bis zur Dauer, die mit Ihnen vereinbart wurde, aufbewahrt; Für E-Mail-Dienste werden Kommunikationsinhalte und Verkehrsdaten 72 Stunden lang aufbewahrt; Für alle anderen Dienstleistungen werden Kommunikationsinhalte und Verkehrsdaten so lange aufbewahrt, wie die Dienste dauern, außer wenn Kommunikationsinhalte oder Verkehrsdaten über die Ihnen zur Verfügung gestellten technischen und organisatorischen Maßnahmen gelöscht werden. Endnutzerdaten. Endnutzerdaten werden für die Dauer verarbeitet, die vom Kunden festgelegt wird. Wenn Endnutzerdaten in Ihre Kontaktprofile aufgenommen werden, gilt standardmäßig eine Aufbewahrungsfrist für die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B. Kundennutzungsdaten. Nach Beendigung des Vertrages können wir Kundennutzungsdaten speichern, verwenden und offenlegen für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke, vorbehaltlich der im Vertrag festgelegten Vertraulichkeitsverpflichtungen. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn sie für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke nicht mehr benötigt werden.
7. Aufbewahrung personenbezogener Daten
Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer:
Kommunikationsinhalte und Verkehrsdaten;
Für Kommunikationsinhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für Kommunikationsinhalte und Verkehrsdaten in Videoservices wird von mindestens 30 Tagen bis zur Dauer, die mit Ihnen vereinbart wurde, aufbewahrt;
Für E-Mail-Dienste werden Kommunikationsinhalte und Verkehrsdaten 72 Stunden lang aufbewahrt;
Für alle anderen Dienste werden Kommunikationsinhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, wenn Sie die Kommunikationsinhalte oder Verkehrsdaten nicht über die Ihnen zur Verfügung gestellten technischen und organisatorischen Maßnahmen löschen.
Endnutzerdaten werden für die Dauer verarbeitet, die vom Kunden festgelegt wird. Wenn Endnutzerdaten in Ihre Kontaktprofile aufgenommen werden, gilt standardmäßig eine Aufbewahrungsfrist für die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
Kundennutzungsdaten: Nach Beendigung des Vertrages können wir Kundennutzungsdaten speichern, verwenden und offenlegen für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke, vorbehaltlich der im Vertrag festgelegten Vertraulichkeitsverpflichtungen. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn sie für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke nicht mehr benötigt werden.
8. Für Übertragungen an (Sub-)Verarbeiter
Für Übertragungen an (Sub-)Verarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an: Für Übertragungen an Sub-Verarbeiter werden Gegenstand und Art der Verarbeitung in unserem Überblick über Sub-Verarbeiter beschrieben und die Dauer entspricht der Dauer des Vertrags.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
ANHANG II - Technische und organisatorische Sicherheitsmaßnahmen
Wo anwendbar, dient dieser Anhang II als Anhang II zu den Standardvertragsklauseln. Im Folgenden erhalten Sie weitere Informationen zu unseren unten aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen.
Technische und organisatorische Sicherheitsmaßnahmen
Maßnahmen zur Pseudonymisierung und Schutz personenbezogener Daten bei Speicherung und Übertragung:
Alle personenbezogenen Daten werden bei der Übertragung und im Ruhezustand verschlüsselt und, soweit aus Sicherheitssicht relevant, behandelt, als ob sie als sensible Daten eingestuft wären. Informationen werden standardmäßig immer über TLS mit aktuellen Verschlüsselungsmethoden übertragen.
Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität und Verfügbarkeit sowie Belastbarkeit von Verarbeitungssystemen und -diensten:
Wir schließen Vereinbarungen mit Vertraulichkeitsklauseln mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Subprozessoren ab. Unsere Geschäftskontinuitätsrichtlinie besteht darin, unser Geschäft und unsere Dienstleistungen im Falle längerer Ausfälle durch Faktoren außerhalb unserer Kontrolle vorzubereiten und die Dienste im größtmöglichen Umfang in kürzester Zeit wiederherzustellen. Wir wissen, dass die von uns erbrachten Dienstleistungen für unsere Kunden von entscheidender Bedeutung sind und haben daher nur sehr wenig Toleranz für Serviceunterbrechungen. Unsere Wiederherstellungszeiträume sind so konzipiert, dass wir unsere Verpflichtungen gegenüber allen unseren Kunden erfüllen können.
Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung:
Ziel der Informationssicherheit und unseres Informationssicherheits-Managementsystems (ISMS) ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden zu minimieren, indem Sicherheitsvorfälle verhindert und Sicherheitsbedrohungen und Schwachstellen verwaltet werden. Unser Rechtsteam, Datenschutzbeauftragter und Sicherheitsteam sorgen dafür, dass anwendbare Vorschriften und Standards in unsere Sicherheitsstrukturen einfließen.
Maßnahmen zur Benutzeridentifikation und Autorisierung:
Wir folgen den Prinzipien des „Need to Know“ und „Least Privilege“. Wir fördern die Verwendung von rollenbasierter Zugriffskontrolle. Bereitstellung und Entzug von Berechtigungen werden vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA standardmäßig. Für jedes Informationsvermögen wurden Eigentümer definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugang zu ihren Systemen angemessen ist und regelmäßig überprüft wird. Wann immer wir mit sensiblen Informationen umgehen oder kritische Aktionen durchführen, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Ereignisprotokollierung:
Prüfprotokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und werden gesichert aufbewahrt, um das Risiko einer Manipulation zu vermeiden. Die Incident-Management-Policy erzwingt den Incident-Response-Plan und seine Verfahren. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall jeglicher Art eintritt.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration:
Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen in der Produktionsumgebung der Communication Platform as a Service. Um weiter auszuführen, müssen alle Änderungsanfragen (RFC) von einer bestimmten Partei genehmigt und gemäß dem formalen Änderungssteuerungsprozess ausgeführt werden. Der Kontrollprozess gewährleistet, dass vorgeschlagene Änderungen überprüft, genehmigt, getestet, implementiert und auf kontrollierte Weise freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden befolgt, um die Systeme durch Befolgung von Best Practices sicher zu konfigurieren. Innerhalb der Engineering-Abteilung wird auch ein Tech-Radar verwendet, um zu definieren, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenverwaltungstools) während der Entwicklung übernommen oder vermieden werden sollen.
Maßnahmen zur physischen Sicherheit
Wir fördern aktiv eine „Work from Anywhere“-Politik, damit unsere Mitarbeiter von jedem Ort arbeiten können, den sie möchten. Dennoch haben wir noch unser Büro. Wir haben keine sicheren Bereiche/Data Center in unseren Räumlichkeiten, da wir ein vollständig cloudbasiertes Unternehmen sind. Unsere Büroetagen sind durch physische Zugangskontrollen, CCTV und Bewachung geschützt.
Maßnahmen zur internen IT- und IT-Sicherheitsführung und -Management:
Wir unterhalten ein sicherheitsprogramm basierend auf Risikobewertung, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die darauf ausgelegt sind, die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert eingerichtet. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unsere Informationssicherheitsrichtlinien, -verfahren und -richtlinien übersetzt. Wir haben ein Sicherheitslenkungskomitee, das für die taktische Ebene der Informationssicherheit verantwortlich ist. Dies schließt die Koordinierung von Informationssicherheitsaktivitäten und die Übersetzung von strategischen Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der Einhaltung gesetzlicher Vorschriften ein. Alle Mitarbeiter sind dafür verantwortlich, die Vermögenswerte des Unternehmens zu schützen. Alle unsere Mitarbeiter werden auf Fachkenntnisse, Erfahrung und Integrität überprüft. Mitarbeiter werden über Sicherheit und Datenschutz bei der Einarbeitung sowie durch regelmäßige team-/abteilungsspezifische Schulungen und andere unternehmensweite Meetings zur Bedeutung von Datenschutz und Sicherheitskonformität informiert. Wir sind nach ISO 27001 zertifiziert, dem weltweit anerkannten Informationssicherheitsstandard für Informationssicherheits-Managementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind nach ISO 27001 zertifiziert.
Wir sind auch bei der niederländischen Verbraucher- und Marktaufsichtsbehörde registriert. Das bedeutet, dass wir immer rechenschaftspflichtig und unseren Kunden gegenüber vollständig transparent sind.
Wir sind ein assoziiertes Mitglied der Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen der Mobilfunkbetreiber weltweit.
Wir halten uns stets auf dem neuesten Stand mit allen anwendbaren Gesetzen und Vorschriften, einschließlich der Datenschutz-Grundverordnung und des EU-US-Datenschutzrahmens.
Maßnahmen für Zertifizierungen/Versicherung von Prozessen und Produkten:
Wir unterziehen uns einer rigorosen Überwachung sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001-Konformität und führen regelmäßig Schwachstellen- und Penetrationstests durch.
Maßnahmen zur Gewährleistung der Verantwortlichkeit:
Wir implementieren Informationssicherheits- und Datenschutzrichtlinien gemäß den anwendbaren Gesetzen und veröffentlichen eine Übersicht über unsere relevanten ISMS-Informationen (Link). Wir haben einen dedizierten Sicherheitsdirektor, Informationssicherheitsbeauftragten, Compliance-Beauftragten und Datenschutzbeauftragten ernannt und dokumentieren unsere Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen mit personenbezogenen Daten, wo dies zutreffend ist.
Maßnahmen zur Datenlöschung:
Wir gewährleisten die Datenlöschung durch einen automatisierten Löschprozess innerhalb unserer Kommunikations- und Infrastrukturumgebung. Dieser Datenlöschprozess stellt sicher, dass alle Daten, die nicht mehr benötigt werden, um einen bestimmten Zweck zu erfüllen, nach der Verarbeitung aus unseren Systemen entfernt werden.