Datenschutzvereinbarung SparkPost
Im Zuge der Bereitstellung des SparkPost-Dienstes für unsere Kunden kann SparkPost personenbezogene Daten im Auftrag unserer Kunden verarbeiten, wenn solche personenbezogenen Daten den EU-Datenschutzgesetzen wie der DSGVO unterliegen. Zu diesem Zweck bieten wir ein Datenschutzaddendum (DPA) wie unten angegeben an. Das DPA ist nur rechtsverbindlich und wirksam, wenn: (1) es hier ausgeführt wird; und (2) Sie am Tag der vollen Ausführung SparkPost-Kunde sind. Bitte beachten Sie, dass wir aufgrund der vielen Kunden nicht in der Lage sind, das DPA für einen bestimmten Kunden zu ändern. Wenn Sie jedoch Fragen zum DPA haben, kontaktieren Sie uns bitte unter privacy@sparkpost.com.
Definitionen
„Affiliate“ bezeichnet jede Einheit, die direkt oder indirekt das Subjekt kontrolliert, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit dem Subjekt steht. „Kontrolle“ bedeutet für die Zwecke dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50 % der Stimmrechte des Subjekts.
„Vereinbarung“ bezeichnet die Nutzungsbedingungen und die zugehörige Bestellung, die zusammen die Bereitstellung und Verwendung des Dienstes regeln.
„CCPA“ bezeichnet das kalifornische Gesetz über den Datenschutz für Verbraucher von 2018 und alle Vorschriften, die darunter erlassen wurden, jeweils in der Fassung, die von Zeit zu Zeit geändert wird.
„Controller/Processor Standardvertragsklauseln“ bezeichnet die Module „Controller zu Processor“ (Modul 2) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO und dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die auf Vertraulichkeit, Datenschutz, Sicherheit oder Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, einschließlich, wo zutreffend, der DSGVO, der CCPA und aller anderen Gesetze und Vorschriften, die sich auf Datenschutz, Direktwerbung oder Datenschutz beziehen. „Datenverantwortlicher“ bezeichnet eine Einheit, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
„Datenverarbeiter“ bezeichnet eine Einheit, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. „Betroffene Person“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen.
„Anfrage der betroffenen Person“ bezeichnet die Anfrage einer betroffenen Person, ihre Rechte gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten dieser Person auszuüben, einschließlich, aber nicht beschränkt auf das Recht auf Zugriff, Berichtigung, Änderung, Übertragung, Erhalt einer Kopie, Widerspruch gegen die Verarbeitung, Sperrung, Löschung oder Widerspruch gegen den Verkauf solcher personenbezogenen Daten. „EU/EWR“ bezeichnet den Europäischen Wirtschaftsraum und die Schweiz.
„DSGVO“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich das Datenschutzgesetz von 2018.
„Personenbezogene Daten“ bezeichnet alle Informationen, die eine identifizierte oder identifizierbare natürliche Person oder einen Haushalt identifizieren, damit in Beziehung stehen, beschreiben oder vernünftigerweise damit in Verbindung gebracht werden können.
„Verarbeitung“ bedeutet jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisiert erfolgt, wie Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder eine andere Verfügung, Angleichung oder Kombination, Einschränkung, Löschung oder Zerstörung.
„Processor/Sub-Processor Standardvertragsklauseln“ bezeichnet die Module „Processor zu Processor“ (Modul 3) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO und dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
„Regulierungsbehörde“ bezeichnet die europäische Datenschutzbehörde oder eine andere Regulierungs-, Regierungs- oder Überwachungsbehörde, die über einen Teil oder das gesamte (a) die Bereitstellung oder den Empfang des Dienstes; (b) die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst; oder (c) SparkPost's Geschäft oder Personal in Bezug auf den Dienst befugt ist.
„Sicherheitsvorfall“ bezeichnet jede versehentliche, unbefugte oder rechtswidrige Zerstörung, Verlust, Veränderung, Offenlegung, Zugriff oder Verschlüsselung personenbezogener Daten.
„Dienst“ bezeichnet jedes Produkt oder jede Dienstleistung, die SparkPost dem Kunden gemäß der Vereinbarung bereitstellt.
„EWR-Standardvertragsklauseln“ bezeichnet entweder (i) die Controller/Processor Standardvertragsklauseln; oder (ii) die Processor/Sub-Processor Standardvertragsklauseln, entweder einzeln oder kollektiv, je nach Anwendbarkeit.
„Sub-Processor“ bezeichnet die Einheit, die personenbezogene Daten im Auftrag einer Einheit verarbeitet, die als Processor oder Sub-Processor agiert.
„UK Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind, in der von der Europäischen Kommission festgelegten Form gemäß dem Beschluss 2010/87/EU der Europäischen Kommission, wie er möglicherweise geändert, modifiziert oder ersetzt wurde.
Beziehung mit der Vereinbarung
Die Parteien vereinbaren, dass diese DPA jegliches bestehendes Datenschutzzusatzabkommen oder ähnliche Vereinbarungen ersetzt, die die Parteien möglicherweise zuvor im Zusammenhang mit den Dienstleistungen abgeschlossen haben.
Diese DPA gilt, wenn und nur soweit SparkPost personenbezogene Daten verarbeitet, die im Rahmen der Bereitstellung des Dienstes gemäß der Vereinbarung den Datenschutzgesetzen unterliegen.
Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft. Sollte ein Konflikt zwischen den Bedingungen dieser DPA und den Bedingungen der Vereinbarung bestehen, hat diese DPA Vorrang, soweit der Konflikt reicht. In Fällen, in denen SparkPost auf die EWR-Standardvertragsklauseln oder die britischen Standardvertragsklauseln (zusammen „Standardvertragsklauseln“) angewiesen ist, um personenbezogene Daten zu übertragen, haben die geltenden Standardvertragsklauseln im Falle eines Konflikts mit dieser DPA Vorrang.
Jegliche Ansprüche, die im Rahmen oder in Verbindung mit dieser DPA geltend gemacht werden, unterliegen den Bedingungen, einschließlich, aber nicht beschränkt auf, die in der Vereinbarung festgelegten Ausschlüsse und Einschränkungen. Die Parteien stimmen zu, dass keine in der Vereinbarung festgelegten Haftungsbeschränkungen auf die Haftung einer Partei gegenüber den betroffenen Personen aus den Drittbegünstigungsvorschriften der Standardvertragsklauseln Anwendung finden, soweit die Beschränkung einer solchen Haftung durch Datenschutzgesetze untersagt ist.
Diese DPA wird durch die Rechtswahl- und Gerichtsstandsklauseln in der Vereinbarung geregelt und ausgelegt, es sei denn, durch geltende Datenschutzgesetze wird etwas anderes vorgeschrieben. Diese DPA bleibt in Kraft, solange SparkPost personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Beendigung der Vereinbarung. ROLLEN UND UMFANG DER VERARBEITUNG.
Rolle der Parteien.
Die Parteien erkennen an und stimmen zu, dass, zwischen SparkPost und dem Kunden: In Bezug auf die personenbezogenen Daten jeder Person, die den Dienst über das Konto des Kunden aufruft und/oder nutzt („Benutzer“), der Kunde der Verantwortliche und SparkPost der Auftragsverarbeiter der personenbezogenen Benutzerdaten ist; und in Bezug auf die personenbezogenen Daten jeder Person: (i) deren E-Mail-Adresse in der Empfängerliste(n) des Kunden enthalten ist; (ii) deren Informationen über den Dienst gespeichert oder erfasst werden, oder (ii) an die Benutzer E-Mails senden oder anderweitig über den Dienst engagieren oder kommunizieren (zusammen "Empfänger“), der Kunde der Auftragsverarbeiter und SparkPost der Unterverarbeiter der personenbezogenen Empfängerdaten ist.
Verarbeitung personenbezogener Daten durch den Kunden.
Der Kunde stimmt zu, dass er seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf seine Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst und in Bezug auf jegliche dokumentierten Verarbeitungsanweisungen, die er an SparkPost gibt, einhält.
Verarbeitung personenbezogener Daten durch SparkPost. Der Kunde instruiert SparkPost, personenbezogene Daten gemäß der Vereinbarung zu verarbeiten (einschließlich, aber nicht darauf beschränkt, seiner sonstigen Verpflichtungen nachzukommen und seine Rechte gemäß der Vereinbarung auszuüben) und den anderen angemessenen Anweisungen des Kunden zu folgen (z. B. per E-Mail), sofern diese Anweisungen mit der Vereinbarung übereinstimmen. SparkPost wird: (i) personenbezogene Daten nur im Namen des Kunden und gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden verarbeiten und die personenbezogenen Daten als vertrauliche Informationen behandeln, die den Vertraulichkeitsbestimmungen der Vereinbarung unterliegen; (ii) den Kunden schriftlich unverzüglich benachrichtigen, wenn SparkPost nach seinem vernünftigen Ermessen der Meinung ist, dass eine vom Kunden erteilte Anweisung gegen Datenschutzgesetze verstößt; (iii) den Dienst erbringen und personenbezogene Daten in Übereinstimmung mit den Datenschutzgesetzen und der Vereinbarung verarbeiten; (iv) den Kunden unverzüglich über jeden Verstoß gegen diese DPA benachrichtigen. Die Parteien stimmen zu, dass diese DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Kunden an SparkPost in Bezug auf die Verarbeitung personenbezogener Daten festlegen und die Verarbeitung außerhalb des Umfangs dieser Anweisungen (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und SparkPost erfordert.
Details der Datenverarbeitung.
Gegenstand: Der Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die personenbezogenen Daten.Dauer: Zwischen SparkPost und dem Kunden ist die Dauer der Datenverarbeitung im Rahmen dieser DPA bis zur Beendigung der Vereinbarung gemäß ihren Bedingungen.
Zweck: Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung des Dienstes für den Kunden und die Erfüllung von SparkPost gemäß der Vereinbarung (einschließlich dieser DPA) oder wie anderweitig von den Parteien vereinbart.
Art der Verarbeitung: SparkPost bietet einen E-Mail-Zustellungs-, Analytik- und Intelligenz-Dienst und andere verwandte Dienstleistungen, wie in der Vereinbarung beschrieben. Kategorien der betroffenen Personen: Benutzer und Empfänger.
Arten von personenbezogenen Daten:
Kunde und Benutzer: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzinformationen (Kontodetails, Zahlungsinformationen); Beschäftigungsdetails (Arbeitgeber, Berufsbezeichnung, geografische Lage, Zuständigkeitsbereich);
Empfänger: Identifikations- und Kontaktdaten (Name, E-Mail-Adresse und andere vom Kunden bereitgestellte demografische und Segmentdaten); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten).
California Consumer Privacy Act.
SparkPost wird den CCPA einhalten und alle personenbezogenen Daten, die dem CCPA unterliegen („CCPA-Personenbezogene Daten“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA-Personenbezogene Daten ist SparkPost ein Dienstleister gemäß dem CCPA. SparkPost wird (a) keine CCPA-Personenbezogenen Daten verkaufen; (b) keine CCPA-Personenbezogenen Daten für einen anderen Zweck als für den spezifischen Zweck der Erbringung der Dienstleistungen verwenden oder offenlegen, einschließlich der Verwendung oder Offenlegung von CCPA-Personenbezogenen Daten für einen kommerziellen Zweck, der über die Bereitstellung der Dienstleistungen hinausgeht; oder (c) keine CCPA-Personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen SparkPost und dem Kunden verwenden oder offenlegen. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung von CCPA-Personenbezogenen Daten, die durch die Anweisungen des Kunden gemäß der Vereinbarung und dieser DPA beschrieben wurde, integraler Bestandteil von und durch die Erbringung der Dienstleistungen von SparkPost und die direkte Geschäftsbeziehung zwischen den Parteien umfasst ist. Die Parteien erkennen an und stimmen zu, dass der Zugriff von SparkPost auf Kundendaten nicht Teil der im Rahmen der Vereinbarung zwischen den Parteien ausgetauschten Gegenleistung darstellt. Soweit Nutzungsdaten als CCPA-Personenbezogene Daten betrachtet werden, ist SparkPost das Unternehmen in Bezug auf diese Daten und wird solche Daten gemäß seiner Datenschutzrichtlinie verarbeiten, die unter https://www.sparkpost.com/policies/privacy/ zu finden ist. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstleister“ und „verkaufen“ haben in diesem Abschnitt die Bedeutungen, die ihnen im CCPA gegeben werden. SparkPost und der Kunde erklären, dass sie die in dieser DPA und der Vereinbarung festgelegten Verpflichtungen und Einschränkungen verstehen und einhalten werden, wie durch den CCPA erforderlich.
Legitime Interessen.
Der Kunde erkennt an, dass SparkPost das Recht hat, Daten im Zusammenhang mit dem Betrieb, der Unterstützung und/oder der Nutzung des Dienstes zu seinen legitimen Geschäftszwecken, wie Abrechnung, Kontoverwaltung, technischer Support und Produktentwicklung, zu verwenden und offenzulegen. Soweit solche Daten als personenbezogene Daten gemäß den Datenschutzgesetzen betrachtet werden, ist SparkPost der Datenverantwortliche solcher Daten und wird diese Daten entsprechend der SparkPost-Datenschutzrichtlinie und den Datenschutzgesetzen verarbeiten.
Tracking-Technologien.
Der Kunde erkennt an, dass SparkPost im Zusammenhang mit der Erbringung des Dienstes Web-Beacons, Tracking-Pixel und ähnliche Tracking-Technologien („Tracking-Technologien“) einsetzt. Der Kunde wird eine angemessene rechtliche Grundlage der Verarbeitung gemäß den Datenschutzgesetzen aufrechterhalten, um es SparkPost zu ermöglichen, Tracking-Technologien rechtmäßig auf den Geräten der Empfänger zu implementieren und Daten von diesen zu sammeln, in Übereinstimmung mit und wie in der SparkPost-Datenschutzrichtlinie beschrieben.
Unterauftragsvergabe
Autorisierte Subprozessoren. Der Kunde stimmt zu, dass SparkPost Subprozessoren beauftragen darf, um Kundendaten im Auftrag des Kunden zu verarbeiten. Die von SparkPost beauftragten und vom Kunden ab dem Wirksamkeitsdatum genehmigten Subprozessoren sind aufgeführt unter: https://www.sparkpost.com/policies/subprocessors. Verpflichtungen des Subprozessors. SparkPost wird: (i) eine schriftliche Vereinbarung mit dem Subprozessor eingehen, die Datenschutzbestimmungen auferlegt, die den Subprozessor verpflichtet, die Kundendaten gemäß den von den Datenschutzgesetzen geforderten Standards zu schützen; und (ii) verantwortlich bleiben für die Einhaltung der Verpflichtungen dieser DPA und für alle Handlungen oder Unterlassungen des Subprozessors, die dazu führen, dass SparkPost gegen eine ihrer Verpflichtungen aus dieser DPA verstößt.
Benachrichtigung. SparkPost wird (i) eine aktuelle Liste der von SparkPost ernannten Subprozessoren auf Anfrage des Kunden schriftlich zur Verfügung stellen; und (ii) den Kunden benachrichtigen (wobei eine E-Mail ausreicht), wenn es mindestens zehn (10) Tage vor solchen Änderungen einen Subprozessor hinzufügt.
Widerspruch. Der Kunde kann SparkPost innerhalb von fünf (5) Tagen nach einer solchen Mitteilung schriftlich gegen die Ernennung eines neuen Subprozessors widersprechen, sofern dieser Widerspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz basiert. In diesem Fall werden die Parteien solche Bedenken in gutem Glauben erörtern, um eine Lösung zu erreichen. Wenn keine Lösung innerhalb eines angemessenen Zeitraums erreicht wird, kann der Kunde die anwendbaren Bestellungen ausschließlich in Bezug auf den spezifischen Dienst, der nicht von SparkPost ohne die Nutzung des neuen beanstandeten Subprozessors erbracht werden kann, durch schriftliche Mitteilung an SparkPost kündigen.
Sicherheit
Sicherheitsrichtlinie.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird SparkPost geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um personenbezogene Daten vor Sicherheitsvorfällen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der personenbezogenen Daten und der von SparkPost für die Verarbeitung personenbezogener Daten verwendeten Systeme zu wahren.
Aktualisierungen der Sicherheitsmaßnahmen.
Der Kunde ist dafür verantwortlich, die von SparkPost bereitgestellten Informationen zur Datensicherheit zu überprüfen und eigenständig zu bestimmen, ob diese Informationen die Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den Datenschutzgesetzen erfüllen. Der Kunde erkennt an, dass die Sicherheitsrichtlinie dem technischen Fortschritt und der Entwicklung unterliegt und dass SparkPost die Sicherheitsrichtlinie von Zeit zu Zeit aktualisieren oder ändern kann, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit des vom Kunden erworbenen Dienstes führen.
Kundenverantwortlichkeiten.
Ungeachtet des Vorstehenden stimmt der Kunde zu, dass der Kunde dafür verantwortlich ist, die Authentifizierungsdaten seines Kontos, die sich im Besitz oder unter Kontrolle des Kunden befinden, zu sichern und die Sicherheit der personenbezogenen Daten während der Übermittlung von und zum Dienst zu schützen, soweit sich diese personenbezogenen Daten im Besitz oder unter der Kontrolle des Kunden befinden.
SparkPost Personal.
SparkPost stellt sicher, dass seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die vertrauliche Natur der personenbezogenen Daten informiert sind, eine angemessene Schulung in Bezug auf ihre Verantwortlichkeiten erhalten haben und schriftliche Vertraulichkeitsvereinbarungen in Bezug auf die personenbezogenen Daten unterzeichnet haben, die die Beendigung der Mitarbeitereinbindung überdauern.
Prüfungsberichte und Audits
Auditbericht.
SparkPost wird regelmäßig von unabhängigen Drittprüfern nach SOC 2 Typ II Kontrollen (oder gleichwertigen) geprüft. Auf Anfrage stellt SparkPost dem Kunden eine Zusammenfassung seines Prüfberichts („Audit Report“) zur Verfügung, damit der Kunde die Einhaltung der Auditstandards, gegen die SparkPost bewertet wurde, und dieses DPA überprüfen kann. Solche Auditberichte sowie alle darin aufgeführten Schlussfolgerungen oder Feststellungen sind vertrauliche Informationen von SparkPost.
Audit.
SparkPost wird dem Kunden alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der Verpflichtungen von Datenverarbeitern gemäß Artikel 28 der DSGVO („Anforderungen nach Artikel 28“) nachzuweisen. Zu diesem Zweck wird SparkPost schriftliche Antworten auf alle angemessenen Informationsanfragen des Kunden bereitstellen, einschließlich Antworten auf Informationssicherheits- und Audit-Fragebögen, die erforderlich sind, um die Einhaltung von SparkPost mit den Anforderungen nach Artikel 28 zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal jährlich ausübt. Solche Antworten sind vertrauliche Informationen von SparkPost. Sollte SparkPost nicht in der Lage sein, alle Informationen bereitzustellen, die erforderlich sind, um die Einhaltung der Anforderungen nach Artikel 28 nachzuweisen, wird SparkPost Audits ermöglichen und dazu beitragen, einschließlich Inspektionen, die vom Kunden oder einem anderen den Kunden vertretenden Prüfer durchgeführt werden. Alle während eines solchen Audits oder einer Inspektion von SparkPost erhaltenen Informationen sind vertrauliche Informationen von SparkPost.
Internationale Überweisungen
Verarbeitungsstandorte.
SparkPost kann Kundendaten weltweit dort übertragen und verarbeiten, wo SparkPost, seine Tochtergesellschaften oder seine Unterauftragsverarbeiter Datenverarbeitungsoperationen aufrechterhalten. SparkPost wird jederzeit ein angemessenes Schutzniveau für die verarbeiteten Kundendaten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze bieten.
Standard-Vertragsklauseln.
Soweit SparkPost im Rahmen der Vereinbarung personenbezogene Daten verarbeitet, die einen Mechanismus zur Weitergabe erfordern, um personenbezogene Daten aus dem EWR oder dem Vereinigten Königreich (dem „UK“) rechtmäßig in ein anderes Land oder Gebiet zu übertragen, das nicht als ausreichender Schutz für die Rechte und Freiheiten der betroffenen Personen von der Europäischen Kommission (oder, im speziellen Fall des Vereinigten Königreichs, von der zuständigen britischen Regulierungsbehörde) anerkannt wurde (ein „eingeschränkter Transfer“), vereinbaren die Parteien Folgendes:
EEA Standard-Vertragsklauseln.
Die Parteien verpflichten sich, die EEA Standard-Vertragsklauseln für jeden eingeschränkten Transfer aus dem EWR (einen „EEA eingeschränkten Transfer“) einzuhalten. Wenn der Kunde ein Verantwortlicher und SparkPost ein Auftragsverarbeiter ist, wie in Abschnitt 3.1 weiter beschrieben, gelten die Standard-Vertragsklauseln für Verantwortliche/Auftragsverarbeiter für jeden solchen EEA eingeschränkten Transfer. Wenn der Kunde ein Auftragsverarbeiter und SparkPost ein Unterauftragsverarbeiter ist, wie in Abschnitt 3.1 weiter beschrieben, gelten die Standard-Vertragsklauseln für Auftragsverarbeiter/Unterauftragsverarbeiter für jeden solchen EEA eingeschränkten Transfer. SparkPost wird unter den EEA Standard-Vertragsklauseln als Datenimporteur und der Kunde als Datenexporteur angesehen. Jede Unterzeichnung dieser DPA durch eine Partei wird als Unterzeichnung der geltenden EEA Standard-Vertragsklauseln angesehen, die in diese DPA aufgenommen werden. Die in Anhang 1 und Anhang 2 der EEA Standard-Vertragsklauseln erforderlichen Einzelheiten sind in Anhang 1 und Anhang 2 dieser DPA verfügbar. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den EEA Standard-Vertragsklauseln haben die EEA Standard-Vertragsklauseln ausschließlich in Bezug auf die EEA eingeschränkten Transfers Vorrang. Wenn die EEA Standard-Vertragsklauseln von den Parteien verlangen, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, erfolgt dies wie folgt:
Die optionale Klausel 7 „Andockklausel“ wird nicht übernommen.
Für Klausel 9 „Verwendung von Unterauftragsverarbeitern“ wählen die Parteien folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern von einer vereinbarten Liste. Der Datenimporteur hat den Verantwortlichen schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersatz von Unterauftragsverarbeitern mindestens 30 Kalendertage im Voraus zu informieren und ihm damit ausreichend Zeit zu geben, Einwände gegen solche Änderungen vor der Beauftragung der Unterauftragsverarbeiter zu erheben. Der Datenimporteur hat dem Verantwortlichen die notwendigen Informationen zur Verfügung zu stellen, die erforderlich sind, um das Recht auf Einwand auszuüben. Der Datenimporteur hat den Datenexporteur über die Beauftragung der Unterauftragsverarbeiter zu informieren.
“Für Klausel 11 (a) „Rechtsmittel“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Geltendes Recht“ wählen die Parteien folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines Mitgliedstaats der EU, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien stimmen zu, dass dies das Recht der Niederlande sein soll.
“Für Klausel 18 (b) „Wahl des Gerichtsstandes und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein sollen.
“UK Standard-Vertragsklauseln. Die Parteien verpflichten sich, die UK Standard-Vertragsklauseln für jeden eingeschränkten Transfer aus dem Vereinigten Königreich (einen „UK eingeschränkten Transfer“) einzuhalten. SparkPost wird unter den UK Standard-Vertragsklauseln als Datenimporteur und der Kunde als Datenexporteur angesehen. Jede Unterzeichnung dieser DPA durch eine Partei wird als Unterzeichnung der UK Standard-Vertragsklauseln angesehen, die in diese DPA aufgenommen werden. Die in Anhang 1 und Anhang 2 der UK Standard-Vertragsklauseln erforderlichen Einzelheiten sind in Anhang 1 und Anhang 2 dieser DPA verfügbar. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den UK Standard-Vertragsklauseln haben die UK Standard-Vertragsklauseln ausschließlich in Bezug auf die UK eingeschränkten Transfers Vorrang.
Zusammenarbeit.
Wenn SparkPost nicht in der Lage ist, diese Anforderung zu erfüllen, oder wenn die zuständigen Behörden oder Gerichte die EEA Standard-Vertragsklauseln oder die UK Standard-Vertragsklauseln, wie anwendbar, nicht mehr als ausreichenden Schutz anerkennen, wird SparkPost den Kunden informieren und vernünftigerweise mit dem Kunden zusammenarbeiten, um sicherzustellen, dass jede Verarbeitung personenbezogener Daten den Datenschutzgesetzen und deren Übertragungsbeschränkungen entspricht, einschließlich der Erreichung alternativer Zertifizierungen, wenn anwendbar und erforderlich.
Alternativer Übertragungsmechanismus.
Die Parteien stimmen zu, dass die in Abschnitt 7.2 (Standard-Vertragsklauseln) genannte Datenexportlösung nicht gilt, wenn und soweit SparkPost einen alternativen Datenexportmechanismus für die rechtmäßige Übertragung personenbezogener Daten (wie nach den Datenschutzgesetzen anerkannt) außerhalb des EWR und/oder UK annimmt oder beibehält und der Kunde diesen schriftlich vor jeder Übertragung oder sonstigen Verarbeitung personenbezogener Daten („alternativer Übertragungsmechanismus“) genehmigt hat. In diesem Fall gilt der alternative Übertragungsmechanismus stattdessen (jedoch nur insoweit, als sich dieser alternative Übertragungsmechanismus auf die Gebiete erstreckt, in die personenbezogene Daten übertragen werden).
Zusätzliche Sicherheit
Vertraulichkeit der Verarbeitung.
SparkPost wird sicherstellen, dass jede Person, die von SparkPost autorisiert ist, personenbezogene Daten zu verarbeiten (einschließlich ihres Personals, ihrer Agenten und Subunternehmer), einer entsprechenden Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Pflicht).
Sicherheitsvorfallreaktion und -benachrichtigung.
Bei Bekanntwerden eines Sicherheitsvorfalls wird SparkPost den Kunden unverzüglich benachrichtigen und zeitnah Informationen zum Sicherheitsvorfall bereitstellen, sobald sie bekannt werden oder nach vernünftigen Ermessen des Kunden angefordert werden.
Rückgabe oder Löschung von Daten
Bei Beendigung oder Ablauf des Vertrags wird SparkPost alle personenbezogenen Daten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, nach Wahl des Kunden löschen oder zurückgeben, es sei denn, diese Anforderung ist insoweit nicht anzuwenden, als SparkPost gemäß geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, oder auf personenbezogene Daten, die es in Backup-Systemen archiviert hat, wobei SparkPost diese personenbezogenen Daten sicher isolieren und vor weiterverarbeitender Verarbeitung schützen wird, es sei denn, dies ist durch geltendes Recht erforderlich. ZUSAMMENARBEIT.
Schadloshaltung.
Beide Parteien verpflichten sich, die jeweils andere (einschließlich ihrer Direktoren, leitenden Angestellten, Mitarbeiter und Vertreter) gegen etwaige Drittansprüche (einschließlich von Regierungsbehörden und Empfängern) und damit verbundene Gebühren und Kosten (einschließlich angemessener Anwaltsgebühren) zu verteidigen und schadlos zu halten, die aus einer tatsächlichen oder vermeintlichen Verletzung dieser DPA resultieren.
Anfragen von betroffenen Personen.
Der Service stellt dem Kunden eine Reihe von Steuerungen zur Verfügung, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, die dem Kunden helfen, seinen Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich z.B. seiner Verpflichtungen zur Beantwortung von Anfragen von betroffenen Personen. Sofern der Kunde nicht in der Lage ist, die entsprechenden Kundendaten im Service unabhängig abzurufen, wird SparkPost angemessene Unterstützung anbieten, um dem Kunden zu helfen, fristgerecht auf Anfragen von betroffenen Personen zu antworten, die sich auf die Verarbeitung personenbezogener Daten gemäß dem Vertrag beziehen, innerhalb der von den Datenschutzgesetzen festgelegten Fristen. Sollte eine solche Anfrage direkt an SparkPost gerichtet werden, wird SparkPost den Kunden umgehend schriftlich über diese Anfrage informieren.
Aufzeichnungen der Verarbeitung.
Auf Anfrage des Kunden wird SparkPost in angemessener Frist die Informationen bereitstellen, die der Kunde benötigt, um die Einhaltung der Verpflichtungen von SparkPost gemäß den Datenschutzgesetzen und dieser DPA nachzuweisen.
Regierungsanfragen.
Wenn eine Strafverfolgungsbehörde SparkPost eine Aufforderung zur Bereitstellung personenbezogener Daten (zum Beispiel durch eine Vorladung oder einen Gerichtsbeschluss) zusendet, wird SparkPost versuchen, die Strafverfolgungsbehörde aufzufordern, diese Daten direkt beim Kunden anzufordern. Im Rahmen dieses Bemühens kann SparkPost die grundlegenden Kontaktdaten des Kunden der Strafverfolgungsbehörde mitteilen. Wenn SparkPost gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde offenzulegen, wird SparkPost dem Kunden angemessene Vorankündigung der Aufforderung geben, damit der Kunde eine Schutzanordnung oder ein anderes angemessenes Rechtsmittel anstreben kann, es sei denn, SparkPost ist rechtlich daran gehindert.
Datenschutz-Folgenabschätzungen.
Sofern SparkPost gemäß geltenden Datenschutzgesetzen dazu verpflichtet ist, wird SparkPost angemessen angeforderte Informationen zum Service bereitstellen, um dem Kunden zu ermöglichen, Datenschutz-Folgenabschätzungen durchzuführen oder vorherige Konsultationen mit den Datenschutzbehörden wie gesetzlich oder gemäß den Artikeln 35 und 36 der DSGVO erforderlich zu führen.
***
PLAN 1
ANHANG I ZU DEN EWR STANDARDVERTRAGSKLAUSELN
Sofern zutreffend, dient dieser Anhang 1 als Anhang I zu den EWR Standardvertragsklauseln.
ANHANG 1, TEIL A: LISTE DER PARTEIEN
Datenexporteur: Kunde
Kontaktangaben des Datenexporteurs: Die oben im Unterschriftenblock des Kunden angegebene Adresse, oder die E-Mail-Adresse des Kundenkontoinhabers, oder an die E-Mail-Adresse(n), an die der Kunde Benachrichtigungen gemäß dem Vertrag erhalten möchte.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 3 der DPA beschrieben.
Unterschrift & Datum: Der Datenexporteur gilt als unterzeichnet, die hierin enthaltenen EWR Standardvertragsklauseln bestehen seit dem Wirksamkeitsdatum der DPA.
Datenimporteure: Message Systems, Inc. (dba SparkPost)
Kontaktangaben des Datenimporteurs: SparkPost Datenschutzbeauftragter – privacy@sparkpost.com
Rolle des Datenimporteurs: Die Rolle des Datenimporteurs ist in Abschnitt 3 der DPA beschrieben.
Unterschrift & Datum: Der Datenimporteur gilt als unterzeichnet, die hierin enthaltenen EWR Standardvertragsklauseln bestehen seit dem Wirksamkeitsdatum der DPA.
ANHANG 1, TEIL B: BESCHREIBUNG DES ÜBERTRAGS
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden, sind in Abschnitt 3.4 der DPA beschrieben. Kategorien von übermittelten personenbezogenen Daten sind in Abschnitt 3.4 der DPA beschrieben. Übertragene sensible Daten (sofern zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie etwa strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen:
KeineDie Häufigkeit des Transfers (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Daten werden kontinuierlich für die Dauer des Vertrags übertragen.
Die Art der Verarbeitung wird in Abschnitt 3.4 der DPA beschrieben. Zweck(e) des Datenübertrags und der weiteren Verarbeitung sind in Abschnitt 3.4 der DPA beschrieben.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums:
Für die Dauer des Vertrages oder länger, wie es das anwendbare Recht erfordert und wie es durch den Vertrag erlaubt ist.
Für Übertragungen an Unterverarbeiter auch Gegenstand, Art und Dauer der Verarbeitung angeben:
Für Übertragungen an Unterverarbeiter sind der Gegenstand und die Art der Verarbeitung unter https://www.sparkpost.com/policies/subprocessors/ aufgeführt und die Dauer beträgt die Dauer des Vertrages.
ANHANG 1, TEIL C: ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
***
ANHANG II ZU DEN EWR STANDARDVERTRAGSKLAUSELN
Wo zutreffend, wird dieser Anhang 2 als Anhang II zu den Standardvertragsklauseln dienen. Die folgenden Informationen geben mehr Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen von SparkPost, die unten aufgeführt sind.
Weitere Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen von SparkPost zum Schutz von Kundendaten, eine Zusammenfassung davon ist verfügbar unter: https://www.sparkpost.com/policies/security/ („Sicherheitspolitik“).
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten: SparkPost speichert Kundendaten in verschlüsselter Form im Ruhezustand und während der Übertragung unter Verwendung von SSL, HTTPS und opportunistischem TLS, wenn anwendbar.
Maßnahmen zur Gewährleistung anhaltender Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz der Verarbeitungssysteme und -dienste: SparkPost verpflichtet sich in seinen Vereinbarungen mit seinen Kunden zu Vertraulichkeitsverpflichtungen. SparkPost schließt auch Vereinbarungen ab, die substantiell ähnliche Vertraulichkeitsbestimmungen mit den Mitarbeitern, Auftragnehmern, Anbietern und Subunternehmern von SparkPost enthalten. SparkPost gewährleistet eine hohe Verfügbarkeit und Resilienz der Systeme und Dienste durch mehrere störungsunabhängige Verfügbarkeitszonen in Rechenzentren. Darüber hinaus hat SparkPost einen Plan für Geschäftskontinuität und Notfallwiederherstellung implementiert und pflegt diesen, um sicherzustellen, dass Kundendaten erhalten bleiben und die Dienste weiterhin bereitgestellt werden können.
Maßnahmen zur Gewährleistung der Möglichkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten zeitnah wiederherzustellen, falls ein physisches oder technisches Ereignis eintritt: Kundendaten werden von Amazon Web Services ("AWS") gehostet, das Redundanz über mehrere Verfügbarkeitszonen bereitstellt. Wie oben erwähnt, hat SparkPost auch einen Plan für Geschäftskontinuität und Notfallwiederherstellung implementiert und pflegt diesen.
Prozesse für regelmäßige Tests, Bewertungen und Beurteilungen der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten: SparkPost pflegt ein schriftliches und umfassendes Informationssicherheitsprogramm, das geeignete physische, technische und administrative Kontrollen umfasst, um die Sicherheit, Integrität, Vertraulichkeit und Verfügbarkeit von Kundendaten zu schützen, einschließlich, aber nicht beschränkt auf, den Schutz von Kundendaten gegen unbefugte oder rechtswidrige Erwerb, Zugang, Nutzung, Offenlegung oder Zerstörung. Dieses Sicherheitsprogramm wurde unter Berücksichtigung der Art der von SparkPost bereitgestellten Dienstleistungen sowie der Größe und Komplexität des Unternehmens von SparkPost entworfen. Neben unserem internen Sicherheitsteam, das unsere Sicherheit intern kontinuierlich überwacht, beauftragt SparkPost ein Drittunternehmen, interne und externe Schwachstellen- und Penetrationstests durchzuführen, um die Perimeter- und interne Verteidigungsstruktur regelmäßig zu validieren.
Maßnahmen zur Benutzeridentifikation und -autorisierung: SparkPost-Mitarbeiter sind verpflichtet, eindeutige Benutzerzugangsberechtigungen und Passwörter zur Autorisierung zu verwenden. SparkPost verwendet die Prinzipien des geringsten Privilegs bei der Bereitstellung des Systemzugangs, was die Funktionsweise, Rolle und Verantwortlichkeiten jedes Mitarbeiters berücksichtigt, um das angemessene Maß und die Dauer des Zugangs zu bestimmen. Der Zugang erfordert eine Genehmigung vor der Bereitstellung, und der Zugang wird sofort bei Rollenänderungen oder Kündigungen entfernt.
Maßnahmen zum Schutz von Daten während der Übertragung: Kundendaten werden während der Übertragung zwischen dem Kunden und den SparkPost-Diensten mit HTTPS verschlüsselt. Kundendaten werden während der Übertragung zwischen SparkPost und dem Empfänger mit opportunistischem TLS verschlüsselt. Maßnahmen zum Schutz von Daten während der Speicherung: Kundendaten werden mithilfe des Advanced Encryption Standard verschlüsselt gespeichert.
Maßnahmen zur Gewährleistung der physischen Sicherheit an Orten, an denen personenbezogene Daten verarbeitet werden: Die Hauptverwaltung und die Büros von SparkPost haben (i) physische Sicherheitsüberwachung und -überwachung; (ii) Zutrittskontrollen zur Begrenzung des physischen Zugangs; und (iii) Besuchsprotokolle. Alle Auftragnehmer und Besucher müssen ihren Eintritt und Austritt in die Büros protokollieren. Die Dienste laufen auf AWS und sind durch die physischen, technischen, organisatorischen und administrativen Kontrollen von Amazon geschützt. Detaillierte Informationen über die AWS-Sicherheit sind verfügbar unter https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ und https://aws.amazon.com/compliance/iso-27001-faqs/. Für AWS SOC-Berichte siehe https://aws.amazon.com/compliance/soc-faqs/.
Maßnahmen zur Gewährleistung des Ereignisprotokollierens: Die Aktivitäten der Produktionsinfrastruktur von SparkPost werden zentral erfasst und sind gesichert, um Manipulationen zu verhindern, und werden von einem geschulten Sicherheitsteam auf Anomalien überwacht.
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration: SparkPost bewertet Änderungen an seiner Plattform, seinen Anwendungen und seiner Produktionsinfrastruktur auf eine Weise, die das Risiko minimiert, und solche Änderungen werden nur gemäß der Sicherheitsrichtlinie implementiert. SparkPost führt zahlreiche sicherheitsbezogene Aktivitäten für die Dienste in verschiedenen Phasen des Produktlebenszyklus durch, von der Erstellung von Anforderungsdokumenten und Produktdesign bis hin zur Inbetriebnahme. Diese Aktivitäten umfassen die Durchführung von (i) internen Sicherheitsüberprüfungen, bevor neue Dienste bereitgestellt werden; (ii) jährliche Penetrationstests durch unabhängige Dritte; und (iii) Bedrohungsanalysen für neue Dienste, um potenzielle Sicherheitsbedrohungen und -anfälligkeiten zu erkennen. SparkPost hält sich an einen Änderungsmanagementprozess, um Änderungen an der Produktionsumgebung für die Dienste zu administrieren, einschließlich Änderungen an der zugrunde liegenden Software, Anwendungen und Systeme. Es sind Überwachungsmaßnahmen implementiert, um das Sicherheitsteam über Änderungen an kritischer Infrastruktur und Diensten zu benachrichtigen, die nicht den Änderungsmanagementprozessen entsprechen.
Maßnahmen für die interne IT- und IT-Sicherheitsgovernance und -verwaltung: SparkPost pflegt ein risikobasiertes Sicherheitsprogramm zur Bewertung, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die angemessen gestaltet sind, um die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Das Sicherheitsprogramm von SparkPost wurde unter Berücksichtigung der Art der Dienste sowie der Größe und Komplexität des Unternehmens von SparkPost entworfen. SparkPost hat ein dediziertes Sicherheitsteam, das das Informationssicherheitsprogramm von SparkPost verwaltet und unabhängige Prüfungen und Bewertungen, die von Dritten durchgeführt werden, erleichtert und unterstützt. Der Sicherheitsrahmen von SparkPost basiert auf der SOC2 Typ II-Bestätigung und umfasst die folgenden Vertrauensdienstkriterien: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz. Die Sicherheit wird auf höchster Ebene im Unternehmen verwaltet, wobei der VP für Compliance und IT-Sicherheit regelmäßig mit dem Management über Probleme spricht und initiativen zur Sicherheit und IT im gesamten Unternehmen koordiniert. Sicherheitsauditorien und -standards werden mindestens jährlich überprüft und genehmigt und allen relevanten SparkPost-Mitarbeitern zur Verfügung gestellt.
Maßnahmen zur Zertifizierung/Versicherung von Prozessen und Produkten: SparkPost führt verschiedene Drittanbieterprüfungen durch, um verschiedene Rahmenwerke, einschließlich SOC 2 Typ II, zu beglaubigen sowie regelmäßige Anwendungen von Schwachstellen- und Penetrationstests zu gewährleisten. Maßnahmen zur Gewährleistung der Datenminimierung: SparkPost speichert den Nachrichtentext einer E-Mail nicht, nachdem sie entweder an den Empfänger zugestellt oder abgelehnt oder aus anderen Gründen vom Postfachanbieter zurückgewiesen wurde, was normalerweise innerhalb von Sekunden geschieht. Im Falle einer Ablehnung oder Rückweisung speichert SparkPost den Nachrichtentext für eine kurze Zeit, um den E-Mail-Versand zu wiederholen. Wenn der Versand weiterhin erfolglos ist, wird der Nachrichtentext dauerhaft gelöscht. SparkPost speichert personenbezogene Daten von Empfängern nur für eine begrenzte Zeit in roher Form nach dem Versand einer E-Mail an einen Empfänger. Nach dem ersten Aufbewahrungszeitraum werden die personenbezogenen Daten durch einen eindirektionalen Hash pseudonymisiert und nur in pseudonymisierter Form gespeichert. Für weitere Informationen zu diesem Prozess siehe unsere Datenschutz-FAQs unter: https://www.sparkpost.com/policies/data-faq/. Darüber hinaus hat SparkPost eine Selbstbedienungsfunktionalität in die Dienste integriert, die es Kunden ermöglicht, bestimmte Kundendaten wie Empfänger-E-Mail-Adressen und zugehörige Nachrichtenereignisse nach Bedarf zu löschen, wobei die Dokumentation für diese Funktionalität unter https://developers.sparkpost.com/api/data-privacy/ verfügbar ist.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht: SparkPost hat Maßnahmen zur Gewährleistung der Rechenschaftspflicht ergriffen, einschließlich regelmäßiger unabhängiger Prüfungen durch Dritte, um die Einhaltung unserer Datenschutz- und Sicherheitsstandards sicherzustellen. SparkPost implementiert auch Datenschutzrichtlinien in Übereinstimmung mit dem anwendbaren Recht und veröffentlicht einen Überblick über die Sicherheitsrichtlinie (siehe oben verlinkt). SparkPost hat einen Datenschutzbeauftragten ernannt und dokumentiert seine Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Berichterstattung über Sicherheitsvorfälle, die personenbezogene Daten betreffen, sofern anwendbar.
Maßnahmen zur Gewährleistung der Datenportabilität und der Löschung: Kunden haben direkte Beziehungen zu ihren Empfängern und sind verantwortlich für die Beantwortung von Anfragen ihrer Endbenutzer, die ihre Rechte gemäß den Datenschutzgesetzen ausüben möchten. SparkPost hat eine Selbstbedienungsfunktionalität in die Dienste integriert, die es den Kunden ermöglicht, bestimmte Kundendaten wie Empfänger-E-Mail-Adressen und zugehörige Nachrichtenereignisse auf Anfrage zu löschen, wobei die Dokumentation für diese Funktionalität unter https://developers.sparkpost.com/api/data-privacy/ verfügbar ist. Darüber hinaus hat SparkPost eine Selbstbedienungsfunktionalität integriert, um zukünftige E-Mails an Empfänger zu unterdrücken (d.h. abmelden), deren Dokumentation für diese Funktionalität unter https://developers.sparkpost.com/api/suppression-list/ verfügbar ist. Soweit der Kunde nicht in der Lage ist, auf die relevanten Kundendaten innerhalb des Dienstes unabhängig zuzugreifen, wird SparkPost angemessene Kooperation anbieten, um dem Kunden zu helfen, umgehend auf jede Anfrage von betroffenen Personen zu antworten, die sich auf die Verarbeitung personenbezogener Daten unter der Vereinbarung beziehen, innerhalb der von den Datenschutzgesetzen auferlegten Fristen. Im Falle einer solchen Anfrage, die direkt an SparkPost gerichtet wird, wird SparkPost den betroffenen Personen raten, ihre Anfrage an den Kunden zu richten, und der Kunde ist dafür verantwortlich, auf alle solchen Anfragen zu antworten.
Bei Übertragungen an [Unter]-Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die vom [Unter]-Auftragsverarbeiter zu ergreifen sind, um dem Verantwortlichen Unterstützung bieten zu können, und bei Übertragungen von einem Auftragsverarbeiter an einen [Unter]-Auftragsverarbeiter, um den Datenexporteur: Wenn SparkPost einen Unterauftragsverarbeiter gemäß diesem DPA einsetzt, schließen SparkPost und der Unterauftragsverarbeiter einen Vertrag über Datenschutzbedingungen ab, die substantiell ähnlich wie die hierin enthaltenen sind.
V2.0 2. November 2021