Datenschutzvereinbarung SparkPost
Dokumente
Inhalte
Im Zuge der Bereitstellung des SparkPost-Dienstes für unsere Kunden kann SparkPost personenbezogene Daten im Auftrag unserer Kunden verarbeiten, wenn solche personenbezogenen Daten den EU-Datenschutzgesetzen wie der DSGVO unterliegen. Zu diesem Zweck bieten wir ein Datenschutzaddendum (DPA) wie unten angegeben an. Das DPA ist nur rechtsverbindlich und wirksam, wenn: (1) es hier ausgeführt wird; und (2) Sie am Tag der vollen Ausführung SparkPost-Kunde sind. Bitte beachten Sie, dass wir aufgrund der vielen Kunden nicht in der Lage sind, das DPA für einen bestimmten Kunden zu ändern. Wenn Sie jedoch Fragen zum DPA haben, kontaktieren Sie uns bitte unter privacy@sparkpost.com.
Definitionen
„Affiliate“ bezeichnet jede Einheit, die direkt oder indirekt das Subjekt kontrolliert, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit dem Subjekt steht. „Kontrolle“ bedeutet für die Zwecke dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50 % der Stimmrechte des Subjekts.
„Vereinbarung“ bezeichnet die Nutzungsbedingungen und die zugehörige Bestellung, die zusammen die Bereitstellung und Verwendung des Dienstes regeln.
„CCPA“ bezeichnet das kalifornische Gesetz über den Datenschutz für Verbraucher von 2018 und alle Vorschriften, die darunter erlassen wurden, jeweils in der Fassung, die von Zeit zu Zeit geändert wird.
„Controller/Processor Standardvertragsklauseln“ bezeichnet die Module „Controller zu Processor“ (Modul 2) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO und dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften einer Gerichtsbarkeit, die auf Vertraulichkeit, Datenschutz, Sicherheit oder Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, einschließlich, wo zutreffend, der DSGVO, der CCPA und aller anderen Gesetze und Vorschriften, die sich auf Datenschutz, Direktwerbung oder Datenschutz beziehen. „Datenverantwortlicher“ bezeichnet eine Einheit, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
„Datenverarbeiter“ bezeichnet eine Einheit, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. „Betroffene Person“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen.
„Anfrage der betroffenen Person“ bezeichnet die Anfrage einer betroffenen Person, ihre Rechte gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten dieser Person auszuüben, einschließlich, aber nicht beschränkt auf das Recht auf Zugriff, Berichtigung, Änderung, Übertragung, Erhalt einer Kopie, Widerspruch gegen die Verarbeitung, Sperrung, Löschung oder Widerspruch gegen den Verkauf solcher personenbezogenen Daten. „EU/EWR“ bezeichnet den Europäischen Wirtschaftsraum und die Schweiz.
„DSGVO“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Allgemeine Datenschutzverordnung); oder (ii) ausschließlich in Bezug auf das Vereinigte Königreich das Datenschutzgesetz von 2018.
„Personenbezogene Daten“ bezeichnet alle Informationen, die eine identifizierte oder identifizierbare natürliche Person oder einen Haushalt identifizieren, damit in Beziehung stehen, beschreiben oder vernünftigerweise damit in Verbindung gebracht werden können.
„Verarbeitung“ bedeutet jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Gruppen von personenbezogenen Daten durchgeführt wird, unabhängig davon, ob sie automatisiert erfolgt, wie Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder eine andere Verfügung, Angleichung oder Kombination, Einschränkung, Löschung oder Zerstörung.
„Processor/Sub-Processor Standardvertragsklauseln“ bezeichnet die Module „Processor zu Processor“ (Modul 3) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der DSGVO und dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
„Regulierungsbehörde“ bezeichnet die europäische Datenschutzbehörde oder eine andere Regulierungs-, Regierungs- oder Überwachungsbehörde, die über einen Teil oder das gesamte (a) die Bereitstellung oder den Empfang des Dienstes; (b) die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst; oder (c) SparkPost's Geschäft oder Personal in Bezug auf den Dienst befugt ist.
„Sicherheitsvorfall“ bezeichnet jede versehentliche, unbefugte oder rechtswidrige Zerstörung, Verlust, Veränderung, Offenlegung, Zugriff oder Verschlüsselung personenbezogener Daten.
„Dienst“ bezeichnet jedes Produkt oder jede Dienstleistung, die SparkPost dem Kunden gemäß der Vereinbarung bereitstellt.
„EWR-Standardvertragsklauseln“ bezeichnet entweder (i) die Controller/Processor Standardvertragsklauseln; oder (ii) die Processor/Sub-Processor Standardvertragsklauseln, entweder einzeln oder kollektiv, je nach Anwendbarkeit.
„Sub-Processor“ bezeichnet die Einheit, die personenbezogene Daten im Auftrag einer Einheit verarbeitet, die als Processor oder Sub-Processor agiert.
„UK Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind, in der von der Europäischen Kommission festgelegten Form gemäß dem Beschluss 2010/87/EU der Europäischen Kommission, wie er möglicherweise geändert, modifiziert oder ersetzt wurde.
Beziehung mit der Vereinbarung
Die Parteien vereinbaren, dass diese DPA jede vorhandene Vereinbarung zur Datenverarbeitung oder eine ähnliche Vereinbarung ersetzt, die die Parteien zuvor im Zusammenhang mit den Services geschlossen haben könnten.
Diese DPA gilt, wenn und nur soweit SparkPost Personenbezogene Daten verarbeitet, die den Datenschutzgesetzen unterliegen, im Rahmen der Erbringung des Service gemäß der Vereinbarung.
Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und voll wirksam. Sollte es zu einem Konflikt zwischen den Bedingungen dieser DPA und den Bedingungen der Vereinbarung kommen, hat die DPA Vorrang, soweit der Konflikt reicht. In Fällen, in denen sich SparkPost auf die EWR-Standardvertragsklauseln oder die britischen Standardvertragsklauseln (zusammen „Standardvertragsklauseln“) stützt, um Personenbezogene Daten zu übertragen, haben die anwendbaren Standardvertragsklauseln im Falle eines Konflikts mit dieser DPA Vorrang.
Alle im Rahmen oder im Zusammenhang mit dieser DPA geltend gemachten Ansprüche unterliegen den Bedingungen und Konditionen, einschließlich, aber nicht beschränkt auf, die in der Vereinbarung festgelegten Ausschlüsse und Beschränkungen. Die Parteien vereinbaren, dass keine in der Vereinbarung festgelegten Haftungsbeschränkungen auf die Haftung einer der Parteien gegenüber den betroffenen Personen gemäß den Drittbegünstigungsbestimmungen der Standardvertragsklauseln angewendet werden, soweit eine solche Haftungsbeschränkung durch Datenschutzgesetze verboten ist.
Diese DPA unterliegt den geltenden Rechtsvorschriften und Gerichtsstandsklauseln der Vereinbarung, es sei denn, die geltenden Datenschutzgesetze schreiben etwas anderes vor. Diese DPA bleibt so lange in Kraft, wie SparkPost Personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Kündigung der Vereinbarung.ROLLE UND UMFANG DER VERARBEITUNG.
Rolle der Parteien.
Die Parteien erkennen an und stimmen zu, dass im Verhältnis zwischen SparkPost und dem Kunden: In Bezug auf die Persönlichen Daten jeder Person, die den Service über das Konto des Kunden nutzt („Benutzer“), der Kunde der Verantwortliche und SparkPost der Auftragsverarbeiter der Persönlichen Benutzerdaten ist; und in Bezug auf die Persönlichen Daten jeder Person: (i) deren E-Mail-Adresse in der Empfängerliste(n) des Kunden enthalten ist; (ii) deren Informationen über den Service gespeichert oder gesammelt werden, oder (iii) an die Benutzer E-Mails senden oder anderweitig über den Service kommunizieren (zusammen „Empfänger“), der Kunde der Auftragsverarbeiter und SparkPost der Unterauftragsverarbeiter der persönlichen Daten der Empfänger ist.
Verarbeitung personenbezogener Daten durch den Kunden.
Der Kunde erklärt sich bereit, seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Service und in Bezug auf alle dokumentierten Verarbeitungsanweisungen, die er SparkPost gibt, einzuhalten.
Verarbeitung personenbezogener Daten durch SparkPost. Der Kunde weist SparkPost an, Persönliche Daten gemäß der Vereinbarung zu verarbeiten (einschließlich, aber nicht beschränkt auf, die Erfüllung anderer Verpflichtungen und die Wahrnehmung der Rechte gemäß der Vereinbarung) und die anderen angemessenen Anweisungen des Kunden (z.B. per E-Mail) zu befolgen, sofern diese Anweisungen mit der Vereinbarung übereinstimmen. SparkPost wird: (i) Persönliche Daten nur im Auftrag des Kunden und gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden verarbeiten und Persönliche Daten als vertrauliche Informationen behandeln, die den Vertraulichkeitsbestimmungen der Vereinbarung unterliegen; (ii) den Kunden unverzüglich schriftlich benachrichtigen, wenn SparkPost der Meinung ist, dass eine vom Kunden gegebene Anweisung gegen Datenschutzgesetze verstößt; (iii) den Service erbringen und Persönliche Daten in Übereinstimmung mit den Datenschutzgesetzen und der Vereinbarung verarbeiten; (iv) den Kunden unverzüglich über etwaige Nichteinhaltung dieser DPA informieren. Die Parteien sind sich einig, dass diese DPA und die Vereinbarung die vollständigen und abschließenden Anweisungen des Kunden an SparkPost in Bezug auf die Verarbeitung personenbezogener Daten festlegen und dass jede Verarbeitung außerhalb des Umfangs dieser Anweisungen (falls vorhanden) die vorherige schriftliche Zustimmung zwischen dem Kunden und SparkPost erfordert.
Details der Datenverarbeitung.
Gegenstand: Der Gegenstand der Datenverarbeitung gemäß dieser DPA sind die Persönlichen Daten.Dauer: Zwischen SparkPost und dem Kunden läuft die Datenverarbeitung gemäß dieser DPA bis zur Kündigung der Vereinbarung gemäß ihren Bedingungen.
Zweck: Der Zweck der Datenverarbeitung gemäß dieser DPA ist die Bereitstellung des Service an den Kunden und die Leistung von SparkPost gemäß der Vereinbarung (einschließlich dieser DPA) oder wie anderweitig von den Parteien vereinbart.
Art der Verarbeitung: SparkPost bietet einen E-Mail-Zustellungs- und Analysedienst sowie andere damit verbundene Dienstleistungen, wie in der Vereinbarung beschrieben.Kategorien betroffener Personen: Benutzer und Empfänger.
Arten von persönlichen Daten:
Kunden und Benutzer: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzinformationen (Kontodaten, Zahlungsinformationen); Beschäftigungsdetails (Arbeitgeber, Position, geografischer Standort, Verantwortungsbereich);
Empfänger: Identifikations- und Kontaktdaten (Name, E-Mail-Adresse und andere vom Kunden bereitgestellte demografische und segmentierte Daten); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookies-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten).
California Consumer Privacy Act.
SparkPost wird den CCPA einhalten und alle dem CCPA unterliegenden Persönlichen Daten („CCPA Persönliche Daten“) gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA Persönliche Daten ist SparkPost gemäß dem CCPA ein Dienstleister. SparkPost wird keine CCPA Persönlichen Daten (a) verkaufen; (b) verwenden oder offenlegen für einen anderen Zweck als die spezifischen Dienstleistungen bereitzustellen, einschließlich jegliches Aufbewahren, Verwenden oder Offenlegen von CCPA Persönlichen Daten für einen kommerziellen Zweck, der nicht mit der Bereitstellung der Dienstleistungen zu tun hat; oder (c) verwenden oder offenlegen, die außerhalb der direkten geschäftlichen Vereinbarung zwischen SparkPost und dem Kunden liegen. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung von CCPA Persönlichen Daten auf Anweisung des Kunden, wie in der Vereinbarung und dieser DPA beschrieben, ein integraler Bestandteil der Bereitstellung der Dienstleistungen durch SparkPost und der direkten Geschäftsbeziehung zwischen den Parteien ist. Die Parteien erkennen an, dass der Zugang von SparkPost zu den Daten des Kunden nicht Teil der im Rahmen der Vereinbarung ausgetauschten Gegenleistung darstellt. Soweit Nutzungsdaten als CCPA Persönliche Daten angesehen werden, ist SparkPost das Unternehmen in Bezug auf diese Daten und wird diese Daten gemäß seiner Datenschutzrichtlinie verarbeiten, die unter https://www.sparkpost.com/policies/privacy/ eingesehen werden kann. Die Begriffe „Geschäft“, „kommerzieller Zweck“, „Dienstleister“ und „verkaufen“, die in diesem Abschnitt verwendet werden, haben die im CCPA angegebenen Bedeutungen. SparkPost und der Kunde bestätigen, dass sie die in dieser DPA und der Vereinbarung festgelegten Verpflichtungen und Einschränkungen gemäß den Anforderungen des CCPA verstehen und einhalten werden.
Berechtigte Interessen.
Der Kunde erkennt an, dass SparkPost das Recht hat, Daten bezüglich Betrieb, Support und/oder Nutzung des Service für seine berechtigten geschäftlichen Zwecke, wie Abrechnung, Kontoverwaltung, technischen Support und Produktentwicklung zu verwenden und offenzulegen. Soweit solche Daten als Persönliche Daten gemäß den Datenschutzgesetzen angesehen werden, ist SparkPost der Verantwortliche dieser Daten und wird diese Daten entsprechend der Datenschutzrichtlinie von SparkPost und den Datenschutzgesetzen verarbeiten.
Tracking-Technologien.
Der Kunde erkennt an, dass im Zusammenhang mit der Erbringung des Service SparkPost den Einsatz von Web-Beacons, Tracking-Pixeln und ähnlichen Tracking-Technologien („Tracking-Technologien“) verwendet. Der Kunde wird eine angemessene rechtliche Grundlage für die Verarbeitung beibehalten, wie von den Datenschutzgesetzen verlangt, um SparkPost zu ermöglichen, Tracking-Technologien rechtmäßig auf den Geräten der Empfänger einzusetzen und Daten von diesen zu sammeln, in Übereinstimmung und wie in der SparkPost-Datenschutzrichtlinie beschrieben.
Unterauftragsvergabe
Autorisierte Subunternehmer. Der Kunde stimmt zu, dass SparkPost Subunternehmer beauftragen kann, um Kundendaten im Auftrag des Kunden zu verarbeiten. Die von SparkPost beauftragten und vom Kunden zum Stichtag autorisierten Subunternehmer sind unter: https://www.sparkpost.com/policies/subprocessors aufgeführt. Verpflichtungen der Subunternehmer. SparkPost wird: (i) eine schriftliche Vereinbarung mit dem Subunternehmer abschließen, die Datenschutzbedingungen auferlegt, die den Subunternehmer verpflichten, die Kundendaten nach dem durch Datenschutzgesetze erforderlichen Standard zu schützen; und (ii) für die Einhaltung der Verpflichtungen dieser DPA und für Handlungen oder Unterlassungen des Subunternehmers verantwortlich bleiben, die dazu führen, dass SparkPost gegen eine seiner Verpflichtungen gemäß dieser DPA verstößt.
Benachrichtigung. SparkPost wird: (i) auf schriftliche Anfrage des Kunden eine aktuelle Liste der beauftragten Subunternehmer zur Verfügung stellen; und (ii) den Kunden benachrichtigen (wobei eine E-Mail ausreicht), wenn ein Subunternehmer hinzugefügt wird, mindestens zehn (10) Tage vor solchen Änderungen.
Einspruch. Der Kunde kann schriftlich der Ernennung eines neuen Subunternehmers durch SparkPost innerhalb von fünf (5) Tagen nach einer solchen Benachrichtigung widersprechen, vorausgesetzt, dass dieser Einspruch auf berechtigten Gründen im Zusammenhang mit dem Datenschutz beruht. In einem solchen Fall werden die Parteien solche Bedenken im guten Glauben besprechen, um eine Lösung zu erzielen. Wird innerhalb eines angemessenen Zeitraums keine Lösung erreicht, kann der Kunde die entsprechenden Bestellungen nur in Bezug auf den spezifischen Dienst kündigen, der von SparkPost nicht ohne den Einsatz des abgelehnten neuen Subunternehmers erbracht werden kann, indem er SparkPost eine schriftliche Mitteilung zukommen lässt.
Sicherheit
Sicherheitsrichtlinie.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird SparkPost geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um personenbezogene Daten vor Sicherheitsvorfällen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Belastbarkeit und Vertraulichkeit der personenbezogenen Daten und der von SparkPost für die Verarbeitung personenbezogener Daten verwendeten Systeme zu wahren.
Aktualisierungen der Sicherheitsmaßnahmen.
Der Kunde ist dafür verantwortlich, die von SparkPost bereitgestellten Informationen zur Datensicherheit zu überprüfen und eigenständig zu bestimmen, ob diese Informationen die Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den Datenschutzgesetzen erfüllen. Der Kunde erkennt an, dass die Sicherheitsrichtlinie dem technischen Fortschritt und der Entwicklung unterliegt und dass SparkPost die Sicherheitsrichtlinie von Zeit zu Zeit aktualisieren oder ändern kann, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit des vom Kunden erworbenen Dienstes führen.
Kundenverantwortlichkeiten.
Ungeachtet des Vorstehenden stimmt der Kunde zu, dass der Kunde dafür verantwortlich ist, die Authentifizierungsdaten seines Kontos, die sich im Besitz oder unter Kontrolle des Kunden befinden, zu sichern und die Sicherheit der personenbezogenen Daten während der Übermittlung von und zum Dienst zu schützen, soweit sich diese personenbezogenen Daten im Besitz oder unter der Kontrolle des Kunden befinden.
SparkPost Personal.
SparkPost stellt sicher, dass seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die vertrauliche Natur der personenbezogenen Daten informiert sind, eine angemessene Schulung in Bezug auf ihre Verantwortlichkeiten erhalten haben und schriftliche Vertraulichkeitsvereinbarungen in Bezug auf die personenbezogenen Daten unterzeichnet haben, die die Beendigung der Mitarbeitereinbindung überdauern.
Prüfungsberichte und Audits
Auditbericht.
SparkPost wird regelmäßig von unabhängigen Drittprüfern nach SOC 2 Typ II Kontrollen (oder gleichwertigen) geprüft. Auf Anfrage stellt SparkPost dem Kunden eine Zusammenfassung seines Prüfberichts („Audit Report“) zur Verfügung, damit der Kunde die Einhaltung der Auditstandards, gegen die SparkPost bewertet wurde, und dieses DPA überprüfen kann. Solche Auditberichte sowie alle darin aufgeführten Schlussfolgerungen oder Feststellungen sind vertrauliche Informationen von SparkPost.
Audit.
SparkPost wird dem Kunden alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der Verpflichtungen von Datenverarbeitern gemäß Artikel 28 der DSGVO („Anforderungen nach Artikel 28“) nachzuweisen. Zu diesem Zweck wird SparkPost schriftliche Antworten auf alle angemessenen Informationsanfragen des Kunden bereitstellen, einschließlich Antworten auf Informationssicherheits- und Audit-Fragebögen, die erforderlich sind, um die Einhaltung von SparkPost mit den Anforderungen nach Artikel 28 zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal jährlich ausübt. Solche Antworten sind vertrauliche Informationen von SparkPost. Sollte SparkPost nicht in der Lage sein, alle Informationen bereitzustellen, die erforderlich sind, um die Einhaltung der Anforderungen nach Artikel 28 nachzuweisen, wird SparkPost Audits ermöglichen und dazu beitragen, einschließlich Inspektionen, die vom Kunden oder einem anderen den Kunden vertretenden Prüfer durchgeführt werden. Alle während eines solchen Audits oder einer Inspektion von SparkPost erhaltenen Informationen sind vertrauliche Informationen von SparkPost.
Internationale Überweisungen
Verarbeitungsstandorte.
SparkPost kann Kundendaten weltweit dort übertragen und verarbeiten, wo SparkPost, seine Tochtergesellschaften oder seine Unterauftragsverarbeiter Datenverarbeitungsoperationen aufrechterhalten. SparkPost wird jederzeit ein angemessenes Schutzniveau für die verarbeiteten Kundendaten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze bieten.
Standard-Vertragsklauseln.
Soweit SparkPost im Rahmen der Vereinbarung personenbezogene Daten verarbeitet, die einen Mechanismus zur Weitergabe erfordern, um personenbezogene Daten aus dem EWR oder dem Vereinigten Königreich (dem „UK“) rechtmäßig in ein anderes Land oder Gebiet zu übertragen, das nicht als ausreichender Schutz für die Rechte und Freiheiten der betroffenen Personen von der Europäischen Kommission (oder, im speziellen Fall des Vereinigten Königreichs, von der zuständigen britischen Regulierungsbehörde) anerkannt wurde (ein „eingeschränkter Transfer“), vereinbaren die Parteien Folgendes:
EEA Standard-Vertragsklauseln.
Die Parteien verpflichten sich, die EEA Standard-Vertragsklauseln für jeden eingeschränkten Transfer aus dem EWR (einen „EEA eingeschränkten Transfer“) einzuhalten. Wenn der Kunde ein Verantwortlicher und SparkPost ein Auftragsverarbeiter ist, wie in Abschnitt 3.1 weiter beschrieben, gelten die Standard-Vertragsklauseln für Verantwortliche/Auftragsverarbeiter für jeden solchen EEA eingeschränkten Transfer. Wenn der Kunde ein Auftragsverarbeiter und SparkPost ein Unterauftragsverarbeiter ist, wie in Abschnitt 3.1 weiter beschrieben, gelten die Standard-Vertragsklauseln für Auftragsverarbeiter/Unterauftragsverarbeiter für jeden solchen EEA eingeschränkten Transfer. SparkPost wird unter den EEA Standard-Vertragsklauseln als Datenimporteur und der Kunde als Datenexporteur angesehen. Jede Unterzeichnung dieser DPA durch eine Partei wird als Unterzeichnung der geltenden EEA Standard-Vertragsklauseln angesehen, die in diese DPA aufgenommen werden. Die in Anhang 1 und Anhang 2 der EEA Standard-Vertragsklauseln erforderlichen Einzelheiten sind in Anhang 1 und Anhang 2 dieser DPA verfügbar. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den EEA Standard-Vertragsklauseln haben die EEA Standard-Vertragsklauseln ausschließlich in Bezug auf die EEA eingeschränkten Transfers Vorrang. Wenn die EEA Standard-Vertragsklauseln von den Parteien verlangen, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, erfolgt dies wie folgt:
Die optionale Klausel 7 „Andockklausel“ wird nicht übernommen.
Für Klausel 9 „Verwendung von Unterauftragsverarbeitern“ wählen die Parteien folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: Der Datenimporteur hat die allgemeine Genehmigung des Verantwortlichen zur Beauftragung von Unterauftragsverarbeitern von einer vereinbarten Liste. Der Datenimporteur hat den Verantwortlichen schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersatz von Unterauftragsverarbeitern mindestens 30 Kalendertage im Voraus zu informieren und ihm damit ausreichend Zeit zu geben, Einwände gegen solche Änderungen vor der Beauftragung der Unterauftragsverarbeiter zu erheben. Der Datenimporteur hat dem Verantwortlichen die notwendigen Informationen zur Verfügung zu stellen, die erforderlich sind, um das Recht auf Einwand auszuüben. Der Datenimporteur hat den Datenexporteur über die Beauftragung der Unterauftragsverarbeiter zu informieren.
“Für Klausel 11 (a) „Rechtsmittel“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Geltendes Recht“ wählen die Parteien folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines Mitgliedstaats der EU, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien stimmen zu, dass dies das Recht der Niederlande sein soll.
“Für Klausel 18 (b) „Wahl des Gerichtsstandes und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein sollen.
“UK Standard-Vertragsklauseln. Die Parteien verpflichten sich, die UK Standard-Vertragsklauseln für jeden eingeschränkten Transfer aus dem Vereinigten Königreich (einen „UK eingeschränkten Transfer“) einzuhalten. SparkPost wird unter den UK Standard-Vertragsklauseln als Datenimporteur und der Kunde als Datenexporteur angesehen. Jede Unterzeichnung dieser DPA durch eine Partei wird als Unterzeichnung der UK Standard-Vertragsklauseln angesehen, die in diese DPA aufgenommen werden. Die in Anhang 1 und Anhang 2 der UK Standard-Vertragsklauseln erforderlichen Einzelheiten sind in Anhang 1 und Anhang 2 dieser DPA verfügbar. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den UK Standard-Vertragsklauseln haben die UK Standard-Vertragsklauseln ausschließlich in Bezug auf die UK eingeschränkten Transfers Vorrang.
Zusammenarbeit.
Wenn SparkPost nicht in der Lage ist, diese Anforderung zu erfüllen, oder wenn die zuständigen Behörden oder Gerichte die EEA Standard-Vertragsklauseln oder die UK Standard-Vertragsklauseln, wie anwendbar, nicht mehr als ausreichenden Schutz anerkennen, wird SparkPost den Kunden informieren und vernünftigerweise mit dem Kunden zusammenarbeiten, um sicherzustellen, dass jede Verarbeitung personenbezogener Daten den Datenschutzgesetzen und deren Übertragungsbeschränkungen entspricht, einschließlich der Erreichung alternativer Zertifizierungen, wenn anwendbar und erforderlich.
Alternativer Übertragungsmechanismus.
Die Parteien stimmen zu, dass die in Abschnitt 7.2 (Standard-Vertragsklauseln) genannte Datenexportlösung nicht gilt, wenn und soweit SparkPost einen alternativen Datenexportmechanismus für die rechtmäßige Übertragung personenbezogener Daten (wie nach den Datenschutzgesetzen anerkannt) außerhalb des EWR und/oder UK annimmt oder beibehält und der Kunde diesen schriftlich vor jeder Übertragung oder sonstigen Verarbeitung personenbezogener Daten („alternativer Übertragungsmechanismus“) genehmigt hat. In diesem Fall gilt der alternative Übertragungsmechanismus stattdessen (jedoch nur insoweit, als sich dieser alternative Übertragungsmechanismus auf die Gebiete erstreckt, in die personenbezogene Daten übertragen werden).
Zusätzliche Sicherheit
Vertraulichkeit der Verarbeitung.
SparkPost wird sicherstellen, dass jede Person, die von SparkPost autorisiert ist, personenbezogene Daten zu verarbeiten (einschließlich ihres Personals, ihrer Agenten und Subunternehmer), einer entsprechenden Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Pflicht).
Sicherheitsvorfallreaktion und -benachrichtigung.
Bei Bekanntwerden eines Sicherheitsvorfalls wird SparkPost den Kunden unverzüglich benachrichtigen und zeitnah Informationen zum Sicherheitsvorfall bereitstellen, sobald sie bekannt werden oder nach vernünftigen Ermessen des Kunden angefordert werden.
Rückgabe oder Löschung von Daten
Bei Beendigung oder Ablauf des Vertrags wird SparkPost alle personenbezogenen Daten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, nach Wahl des Kunden löschen oder zurückgeben, es sei denn, diese Anforderung ist insoweit nicht anzuwenden, als SparkPost gemäß geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, oder auf personenbezogene Daten, die es in Backup-Systemen archiviert hat, wobei SparkPost diese personenbezogenen Daten sicher isolieren und vor weiterverarbeitender Verarbeitung schützen wird, es sei denn, dies ist durch geltendes Recht erforderlich. ZUSAMMENARBEIT.
Schadloshaltung.
Beide Parteien verpflichten sich, die jeweils andere (einschließlich ihrer Direktoren, leitenden Angestellten, Mitarbeiter und Vertreter) gegen etwaige Drittansprüche (einschließlich von Regierungsbehörden und Empfängern) und damit verbundene Gebühren und Kosten (einschließlich angemessener Anwaltsgebühren) zu verteidigen und schadlos zu halten, die aus einer tatsächlichen oder vermeintlichen Verletzung dieser DPA resultieren.
Anfragen von betroffenen Personen.
Der Service stellt dem Kunden eine Reihe von Steuerungen zur Verfügung, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, die dem Kunden helfen, seinen Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen, einschließlich z.B. seiner Verpflichtungen zur Beantwortung von Anfragen von betroffenen Personen. Sofern der Kunde nicht in der Lage ist, die entsprechenden Kundendaten im Service unabhängig abzurufen, wird SparkPost angemessene Unterstützung anbieten, um dem Kunden zu helfen, fristgerecht auf Anfragen von betroffenen Personen zu antworten, die sich auf die Verarbeitung personenbezogener Daten gemäß dem Vertrag beziehen, innerhalb der von den Datenschutzgesetzen festgelegten Fristen. Sollte eine solche Anfrage direkt an SparkPost gerichtet werden, wird SparkPost den Kunden umgehend schriftlich über diese Anfrage informieren.
Aufzeichnungen der Verarbeitung.
Auf Anfrage des Kunden wird SparkPost in angemessener Frist die Informationen bereitstellen, die der Kunde benötigt, um die Einhaltung der Verpflichtungen von SparkPost gemäß den Datenschutzgesetzen und dieser DPA nachzuweisen.
Regierungsanfragen.
Wenn eine Strafverfolgungsbehörde SparkPost eine Aufforderung zur Bereitstellung personenbezogener Daten (zum Beispiel durch eine Vorladung oder einen Gerichtsbeschluss) zusendet, wird SparkPost versuchen, die Strafverfolgungsbehörde aufzufordern, diese Daten direkt beim Kunden anzufordern. Im Rahmen dieses Bemühens kann SparkPost die grundlegenden Kontaktdaten des Kunden der Strafverfolgungsbehörde mitteilen. Wenn SparkPost gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde offenzulegen, wird SparkPost dem Kunden angemessene Vorankündigung der Aufforderung geben, damit der Kunde eine Schutzanordnung oder ein anderes angemessenes Rechtsmittel anstreben kann, es sei denn, SparkPost ist rechtlich daran gehindert.
Datenschutz-Folgenabschätzungen.
Sofern SparkPost gemäß geltenden Datenschutzgesetzen dazu verpflichtet ist, wird SparkPost angemessen angeforderte Informationen zum Service bereitstellen, um dem Kunden zu ermöglichen, Datenschutz-Folgenabschätzungen durchzuführen oder vorherige Konsultationen mit den Datenschutzbehörden wie gesetzlich oder gemäß den Artikeln 35 und 36 der DSGVO erforderlich zu führen.
***
PLAN 1
ANHANG I DER EWR-STANDARDVERTRAGSKLAUSELN
Sofern zutreffend, dient dieser Anhang 1 als Anhang I der EWR-Standardvertragsklauseln.
ANHANG 1, TEIL A: PARTEIENLISTE
Datenexporteur: Kunde
Datenexporteur Kontaktinformationen: Die im Unterschriftenblock des Kunden oben angegebene Adresse oder die E-Mail-Adresse des Kontoinhabers des Kunden oder an die E-Mail-Adresse(n), für die der Kunde den Erhalt von Mitteilungen im Rahmen der Vereinbarung wählt.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 3 der DPA beschrieben.
Unterschrift & Datum: Der Datenexporteur gilt als Unterzeichner der hier enthaltenen EWR-Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
Datenimporteur: Message Systems, Inc. (dba SparkPost)
Datenimporteur Kontaktinformationen: SparkPost Data Protection Officer – privacy@sparkpost.com
Rolle des Datenimporteurs: Die Rolle des Datenimporteurs ist in Abschnitt 3 der DPA beschrieben.
Unterschrift & Datum: Der Datenimporteur gilt als Unterzeichner der hier enthaltenen EWR-Standardvertragsklauseln ab dem Wirksamkeitsdatum der DPA.
ANHANG 1, TEIL B: BESCHREIBUNG DER ÜBERMITTLUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden, sind in Abschnitt 3.4 der DPA beschrieben. Kategorien von übermittelten personenbezogenen Daten sind in Abschnitt 3.4 der DPA beschrieben. Übermittelte sensitive Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugang nur für Mitarbeiter mit spezialisierter Schulung), Aufbewahrung eines Zugriffsprotokolls der Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen:
KeineDie Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden): Daten werden während der Dauer der Vereinbarung kontinuierlich übermittelt.
Die Art der Verarbeitung ist in Abschnitt 3.4 der DPA beschrieben. Der/die Zweck(e) der Datenübermittlung und der weiteren Verarbeitung ist/sind in Abschnitt 3.4 der DPA beschrieben.
Die Dauer, für die die personenbezogenen Daten aufbewahrt werden, oder, wenn dies nicht möglich ist, die Kriterien, die für die Festlegung dieser Dauer verwendet werden:
Für die Dauer der Vereinbarung oder länger, wie nach geltendem Recht erforderlich und im Rahmen der Vereinbarung erlaubt.
Geben Sie bei Übermittlungen an Unterauftragsverarbeiter auch den Gegenstand, die Art und Dauer der Verarbeitung an:
Bei Übermittlungen an Unterauftragsverarbeiter sind der Gegenstand und die Art der Verarbeitung auf https://www.sparkpost.com/policies/subprocessors/ beschrieben und die Dauer beträgt die Dauer der Vereinbarung.
ANHANG 1, TEIL C: ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
***
ANHANG II ZU DEN EWR STANDARDVERTRAGSKLAUSELN
Wo zutreffend, dient dieser Anhang 2 als Anhang II zu den Standardvertragsklauseln. Im Folgenden finden Sie weitere Informationen zu SparkPost's technischen und organisatorischen Sicherheitsmaßnahmen, die unten aufgeführt sind.
Weitere Informationen zu SparkPost's technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz von Kundendaten, eine Zusammenfassung davon ist verfügbar unter: https://www.sparkpost.com/policies/security/ („Sicherheitsrichtlinie“).
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten: SparkPost speichert Kundendaten in einem verschlüsselten Format, sowohl im Ruhezustand als auch während der Übertragung, unter Verwendung von SSL, HTTPS und opportunistischem TLS, sofern zutreffend.
Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Verarbeitungsanlagen und -diensten: SparkPost verpflichtet sich zur Vertraulichkeit in seinen Vereinbarungen mit seinen Kunden. SparkPost schließt auch Vereinbarungen mit Mitarbeitern, Auftragnehmern, Anbietern und Unterverarbeitern ab, die substantiv ähnliche Vertraulichkeitsbestimmungen enthalten. SparkPost gewährleistet hohe Verfügbarkeit und Resilienz der Systeme und Dienste durch mehrere fehlertolerante Rechenzentrums-Verfügbarkeitszonen. Zusätzlich hat SparkPost einen Business Continuity und Disaster Recovery Plan implementiert und beibehalten, um sicherzustellen, dass Kundendaten erhalten bleiben und die Dienste weiter bereitgestellt werden können.
Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Vorfall in angemessener Zeit wiederherzustellen: Kundendaten werden von Amazon Web Services („AWS“) gehostet, das Redundanz über mehrere Verfügbarkeitszonen bietet. Wie oben beschrieben, hat SparkPost auch einen Business Continuity und Disaster Recovery Plan implementiert und beibehalten.
Prozesse zur regelmäßigen Prüfung, Bewertung und Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: SparkPost unterhält ein schriftliches und umfassendes Informationssicherheitsprogramm, das geeignete physische, technische und administrative Kontrollen umfasst, um die Sicherheit, Integrität, Vertraulichkeit und Verfügbarkeit von Kundendaten zu schützen, einschließlich, jedoch nicht darauf beschränkt, den Schutz von Kundendaten vor unbefugter oder unrechtmäßiger Erfassung, Zugang, Verwendung, Offenlegung oder Zerstörung. Dieses Sicherheitsprogramm wurde unter Berücksichtigung der Art der von SparkPost angebotenen Dienste und der Größe und Komplexität des SparkPost-Geschäfts entworfen. Zusätzlich zu unserem internen Sicherheitsteam, das unsere Sicherheit intern kontinuierlich überwacht, nutzt SparkPost einen Drittanbieter, um regelmäßige interne und externe Schwachstellen- und Penetrationstests durchzuführen, um die Perimeter- und interne Abwehrhaltung regelmäßig zu validieren.
Maßnahmen zur Benutzeridentifikation und -authentifizierung: SparkPost-Mitarbeiter sind verpflichtet, eindeutige Benutzerzugangs-Credentials und Passwörter zur Autorisierung zu verwenden. SparkPost verwendet das Prinzip der minimalen Privilegienzuteilung bei der Bereitstellung des Systemzugangs, wobei die jeweilige Funktion, Rolle und Verantwortung eines Mitarbeiters bei der Bestimmung des angemessenen Zugangspegels und der Dauer berücksichtigt wird. Zugriff erfordert vor der Bereitstellung eine Genehmigung und wird unverzüglich nach einem Rollenwechsel oder einer Beendigung entfernt.
Maßnahmen zum Schutz von Daten während der Übertragung: Kundendaten werden verschlüsselt, wenn sie zwischen dem Kunden und den SparkPost-Diensten unter Verwendung von HTTPS übertragen werden. Kundendaten werden verschlüsselt, wenn sie zwischen SparkPost und Empfängern unter Verwendung von opportunistischem TLS übertragen werden. Maßnahmen zum Schutz von Daten während der Speicherung: Kundendaten werden verschlüsselt gespeichert unter Verwendung des Advanced Encryption Standard.
Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden: Der Hauptsitz und die Büroflächen von SparkPost verfügen über (i) physische Sicherheitsüberwachung und Überwachung; (ii) Zugangskontrollen zur Begrenzung des physischen Zugangs; und (iii) Besucherprotokolle. Alle Auftragnehmer und Besucher sind verpflichtet, ihren Eintritt und Austritt aus den Büros zu protokollieren. Die Dienste laufen auf AWS und werden durch die physischen, technischen, organisatorischen und administrativen Kontrollen von Amazon geschützt. Detaillierte Informationen über AWS-Sicherheit sind verfügbar unter https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ und https://aws.amazon.com/compliance/iso-27001-faqs/. Für AWS SOC-Berichte siehe https://aws.amazon.com/compliance/soc-faqs/.
Maßnahmen zur Gewährleistung der Ereignisprotokollierung: Die Produktionsinfrastruktur-Log-Aktivitäten von SparkPost werden zentral gesammelt und gesichert, um Manipulationen zu verhindern, und werden von einem geschulten Sicherheitsteam auf Anomalien überwacht.
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration: SparkPost bewertet Änderungen an seiner Plattform, Anwendungen und Produktionsinfrastruktur in einer Art und Weise, die das Risiko minimiert, und solche Änderungen werden nur gemäß der Sicherheitsrichtlinie implementiert. SparkPost führt zahlreiche sicherheitsbezogene Aktivitäten für die Dienste über verschiedene Phasen des Produktentwicklungslebenszyklus hinweg durch, von der Erstellung von Anforderungsdokumentationen und Produktdesign bis hin zur Live-Schaltung. Diese Aktivitäten umfassen die Durchführung von (i) internen Sicherheitsüberprüfungen, bevor neue Dienste bereitgestellt werden; (ii) jährlichen Penetrationstests durch unabhängige Dritte; und (iii) Bedrohungsanalysen für neue Dienste, um potenzielle Sicherheitsbedrohungen und Schwachstellen zu erkennen. SparkPost hält sich an einen Änderungsverwaltungsprozess zur Verwaltung von Änderungen an der Produktionsumgebung für die Dienste, einschließlich Änderungen an der zugrundeliegenden Software, Anwendungen und Systeme. Überwachung ist vorhanden, um das Sicherheitsteam über Änderungen an kritischer Infrastruktur und Dienste zu benachrichtigen, die nicht den Änderungsmanagementprozessen entsprechen.
Maßnahmen zur internen IT- und IT-Sicherheitsführung und -verwaltung: SparkPost unterhält ein risikobasiertes Sicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die vernünftigerweise so gestaltet sind, dass sie die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten schützen. Das Sicherheitsprogramm von SparkPost wurde unter Berücksichtigung der Natur der Dienste und der Größe und Komplexität des SparkPost-Geschäfts entworfen. SparkPost verfügt über ein engagiertes Sicherheitsteam, das das Informationssicherheitsprogramm von SparkPost verwaltet und unabhängige Prüfungen und Bewertungen durch Dritte unterstützt. Das Sicherheitsframework von SparkPost basiert auf der SOC2 Type II-Bescheinigung und umfasst die folgenden Kriterien für Vertrauensdienste: Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz. Sicherheit wird auf höchster Unternehmensebene verwaltet, wobei der VP für Compliance und IT-Sicherheit regelmäßig mit dem Executive Management zusammentrifft, um Themen zu besprechen und unternehmensweite Sicherheits- und IT-Initiativen zu koordinieren. Informationssicherheitspolitiken und -standards werden mindestens jährlich von der Leitung genehmigt und allen relevanten SparkPost-Mitarbeitern zur Verfügung gestellt.
Maßnahmen für Zertifizierungen/Garantie von Prozessen und Produkten: SparkPost führt verschiedene Prüfungen durch Dritte durch, um Konformität mit verschiedenen Rahmenwerken zu belegen, einschließlich SOC 2 Type II und regelmäßiger Anwendungsschwachstellen- und Penetrationstests. Maßnahmen zur Sicherstellung der Datenminimierung: SparkPost speichert den Nachrichtentext einer E-Mail nicht, nachdem diese entweder an den Empfänger zugestellt wurde oder von dem Postfachanbieter zurückgewiesen oder anderweitig abgelehnt wurde, was in der Regel innerhalb von Sekunden geschieht. Im Falle einer Zurückweisung oder Bounce wird SparkPost den Nachrichtentext für einen begrenzten Zeitraum aufbewahren, um eine erneute Zustellung der E-Mail zu ermöglichen. Wenn die Zustellung weiterhin erfolglos bleibt, wird der Nachrichtentext dauerhaft gelöscht. SparkPost speichert die Empfänger-Personendaten nur für eine begrenzte Zeitspanne nach der Übermittlung einer E-Mail an einen Empfänger in Rohform. Nach der anfänglichen Aufbewahrungsfrist werden die Personendaten durch einen einseitigen Hash pseudonymisiert und nur in pseudonymisierter Form gespeichert. Für weitere Informationen über diesen Prozess besuchen Sie bitte unsere Daten-FAQs unter: https://www.sparkpost.com/policies/data-faq/. Zusätzlich hat SparkPost eine Selbstbedienungsfunktionalität in die Dienste integriert, die es Kunden ermöglicht, bestimmte Kundendaten wie Empfänger-E-Mail-Adressen und zugehörige Nachrichtenvorgänge auf Nachfrage zu löschen, welche Dokumentation für diese Funktionalität ist verfügbar unter: https://developers.sparkpost.com/api/data-privacy/.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht: SparkPost hat Maßnahmen zur Gewährleistung der Rechenschaftspflicht getroffen, einschließlich regelmäßiger Prüfungen durch Dritte, um die Einhaltung unserer Datenschutz- und Sicherheitsstandards sicherzustellen. SparkPost implementiert auch Datenschutzrichtlinien in Übereinstimmung mit dem geltenden Recht und veröffentlicht einen Überblick über die Sicherheitsrichtlinie (oben verlinkt). SparkPost hat einen Datenschutzbeauftragten ernannt und dokumentiert seine Verarbeitungstätigkeiten, einschließlich der Aufzeichnung und Meldung von Sicherheitsvorfällen, die personenbezogene Daten betreffen, sofern zutreffend.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und Sicherstellung der Löschung: Kunden haben direkte Beziehungen zu ihren Empfängern und sind dafür verantwortlich, auf Anfragen ihrer Endnutzer zu antworten, die ihre Rechte gemäß den Datenschutzgesetzen ausüben möchten. SparkPost hat eine Selbstbedienungsfunktionalität in die Dienste integriert, die es Kunden ermöglicht, bestimmte Kundendaten wie Empfänger-E-Mail-Adressen und zugehörige Nachrichtenvorgänge auf Nachfrage zu löschen, welche Dokumentation für diese Funktionalität ist verfügbar unter: https://developers.sparkpost.com/api/data-privacy/. Zusätzlich hat SparkPost eine Selbstbedienungsfunktionalität integriert, um zukünftige E-Mails an Empfänger (d.h. Abmeldungen) zu unterdrücken, welche Dokumentation für diese Funktionalität ist verfügbar unter https://developers.sparkpost.com/api/suppression-list/. Soweit ein Kunde nicht unabhängig auf die relevanten Kundendaten innerhalb des Dienstes zugreifen kann, wird SparkPost angemessene Unterstützung leisten, um dem Kunden zu helfen, rechtzeitig auf jede Anfrage einer betroffenen Person in Bezug auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung im Rahmen der Fristen zu antworten, die durch die Datenschutzgesetze auferlegt werden. Im Falle einer direkten Anfrage an SparkPost wird SparkPost die betroffene Person darauf hinweisen, ihre Anfrage an den Kunden zu richten, und der Kunde ist dafür verantwortlich, auf eine solche Anfrage zu antworten.
Für Übertragungen an [Sub]-Verarbeiter beschreiben Sie auch die spezifischen technischen und organisatorischen Maßnahmen, die vom [Sub]-Verarbeiter ergriffen werden müssen, um dem Verantwortlichen Unterstützung bieten zu können, und bei Übertragungen von einem Verarbeiter an einen [Sub]-Verarbeiter an den Datenexporteur: Wenn SparkPost einen Sub-Verarbeiter im Rahmen dieser DPA engagiert, schließen SparkPost und der Sub-Verarbeiter einen Vertrag mit Datenschutzbedingungen ab, die im Wesentlichen den hier enthaltenen ähnlich sind.
V2.0 2. November 2021
