Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung gilt für Sie, wenn Sie sich am oder nach dem 28. Februar 2022 und vor dem 1. Januar 2024 für die Services von MessageBird (einschließlich über seine Tochtergesellschaften) angemeldet haben. Gültig ab dem 15. April 2022, gilt diese Datenverarbeitungsvereinbarung auch für Kunden, die sich vor dem 28. Februar 2022 für die Services von MessageBird angemeldet haben. Unsere archivierte Datenverarbeitungsvereinbarung ist hier verfügbar.
Diese Datenverarbeitungsvereinbarung einschließlich der Anhänge (die „DPA“) ist Teil der Vereinbarung zwischen Kunde und der in Abschnitt 15 (Vertragsschließende Einheit) der Allgemeinen Geschäftsbedingungen aufgeführten vertragsschließenden Einheit, sofern auf Ihrem Bestellformular nicht anders angegeben. In dieser DPA beziehen sich die Begriffe „Sie“, „Ihr“, oder „Kunde“ auf Sie (vorbehaltlich Abschnitt 1.2 unten), und die Begriffe „wir“, „uns“, „unser“ oder „MessageBird“ beziehen sich auf uns.
1. Scope, Customer Affiliates and Term
1.1 Geltungsbereich. Diese DPA regelt die Verarbeitung von Kundendaten durch MessageBird als Auftragsverarbeiter.
1.2 Kunden-Verbundenheiten. Der Kunde tritt in diese DPA im Namen von sich selbst und, soweit nach den Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner Verbundenheiten (wie in den Bedingungen definiert) ein, wenn und soweit Sie diesen Verbundenheiten Zugang zu den Diensten gewähren und wir Kundendaten verarbeiten, für die solche Verbundenheiten als Datenverantwortlicher qualifiziert sind (“Kunden-Verbundenheiten”). Für die Zwecke dieser DPA gelten nur, und außer wenn anders angegeben, die Begriffe “Kunde” und “Sie” als einschließlich Kunde und Verbundenheiten.
1.3 Laufzeit. Diese DPA bleibt in Kraft, solange MessageBird Kundendaten verarbeitet, die dieser DPA unterliegen, ungeachtet des Ablaufs oder der Beendigung des Vertrags.
2. Definitionen
Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die ihnen im Vereinbarung gegeben wird. Die folgenden definierten Begriffe werden in diesem DPA verwendet:
2.1 „CCPA“ bedeutet den California Consumer Privacy Act von 2018 und alle daraufhin erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.2 „Kundendaten“ bedeutet alle Daten und sonstigen Informationen oder Inhalte, die von Ihnen oder für Sie (oder durch einen Benutzer Ihrer Kundenanwendung) im Rahmen der Vereinbarung eingereicht und von den Diensten verarbeitet oder gespeichert werden.
2.3 „Kundenbezogene persönliche Daten“ bedeutet personenbezogene Daten, die in Kundendaten enthalten sind. Kontodaten sind keine kundenbezogenen persönlichen Daten. Kontodaten sind alle Daten, die von oder für Sie an MessageBird in Verbindung mit dem Abschluss und der Verwaltung der Vereinbarung und Ihres Kontos bereitgestellt werden, einschließlich, aber nicht beschränkt auf Kontaktinformationen, Kundenabrechnungsdetails und Korrespondenz über den Abschluss und die Verwaltung der Vereinbarung.
2.4 „Datenschutzgesetze“ bedeutet alle Gesetze und Vorschriften aller Rechtsordnungen, die auf die Vertraulichkeit, den Datenschutz, die Sicherheit oder die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, einschließlich, soweit anwendbar, der GDPR, des CCPA und aller anderen Gesetze und Vorschriften in Bezug auf Datenschutz, Direktmarketing oder Datenschutz.
2.5 „EEA“ bedeutet für die Zwecke dieses DPA den Europäischen Wirtschaftsraum und die Schweiz.
2.6 „EU-Controller-to-Processor-Standardvertragsklauseln“ bedeutet die „Controller to Processor“ (Modul 2) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß GDPR und dem Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.7 „EU-Processor-to-Subprocessor-Standardvertragsklauseln“ bedeutet die „Processor to Processor“ (Modul 3) Module der Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß GDPR und dem Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021.
2.8 „GDPR“ bedeutet entweder (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) oder (ii) ausschließlich für das Vereinigte Königreich das Data Protection Act 2018.
2.9 „LGPD“ bedeutet das Lei Geral de Proteção de Dados von 2018 und alle daraufhin erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.10 „Persönliche Daten“ bedeutet alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen.
2.11 „PDPA“ bedeutet das Personal Data Protection Act von 2012 und alle daraufhin erlassenen Vorschriften, jeweils in der geänderten Fassung.
2.12 „Datenschutzerklärung“ bedeutet die jeweils aktuelle Datenschutzerklärung für die Dienste, verfügbar unter https://bird.com/legal/privacy.
2.13 „Verletzung personenbezogener Daten“ bedeutet jede zufällige, unbefugte oder rechtswidrige Zerstörung, jeden Verlust, jede Veränderung, Offenlegung von oder Zugriff auf Kundenbezogene persönliche Daten.
2.14 „Dienstleistungen“ bedeutet alle Produkte und Dienstleistungen, die von uns oder unseren Partnern bereitgestellt werden und die (a) von Ihnen unter einem Bestellformular bestellt oder (b) von Ihnen verwendet werden.
2.15 „Standardvertragsklauseln“ bedeutet entweder (i) die EU-Controller-to-Processor-Standardvertragsklauseln oder (ii) die EU-Processor-to-Subprocessor-Standardvertragsklauseln, einzeln oder zusammen, wie anwendbar.
2.16 „Subprozessor“ bedeutet die Entität, die Kundenbezogene persönliche Daten im Auftrag einer als Datenverarbeiter oder Subprozessor handelnden Entität verarbeitet.
2.17 „UK-Controller-to-Processor-Standardvertragsklauseln“ bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern ansässige Verarbeiter in der in der Entscheidung der Europäischen Kommission 2010/87/EU festgelegten Form, die von der Europäischen Kommission geändert, modifiziert oder ersetzt werden kann.
Begriffe wie „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ usw. haben die im GDPR angegebenen Bedeutungen. Die Definition von „Datenverantwortlicher“ umfasst „Unternehmen“, „Verantwortlicher“ und „Organisation“; „Datenverarbeiter“ umfasst „Dienstleister“, „Verarbeiter“ und „Datenvermittler“; „betroffene Person“ umfasst „Verbraucher“ und „Einzelperson“; und „persönliche Daten“ umfasst „persönliche Informationen“, jeweils wie unter CCPA, LGPD oder PDPA definiert.
3. Verarbeitung von Kundendaten
3.1 Zwecke. Wir verarbeiten die persönlichen Daten des Kunden nur insoweit, als dies erforderlich ist (i) um die Dienste bereitzustellen, einschließlich der Übertragung von Kommunikationen, der Gewährleistung der Sicherheit der Dienstleistungen, der Bereitstellung von technischen und Lieferberichten, der Bereitstellung von Unterstützung sowie der Entwicklung und Implementierung von Verbesserungen und Aktualisierungen gemäß Ihren dokumentierten Anweisungen an uns als Datenverarbeiter, wie in Abschnitt 3.2 dieser DPA angegeben, und (ii) für unsere legitimen Geschäftszwecke, wie in Abschnitt 3.4 dieser DPA als Datenverantwortlicher angegeben. Wir verkaufen keine persönlichen Daten, einschließlich der persönlichen Daten des Kunden, und geben persönliche Daten nicht an Dritte für Vergütung oder für die eigenen geschäftlichen Interessen dieser Dritten weiter.
3.2 Anweisungen. Die Vereinbarung und diese DPA stellen Ihre vollständigen Anweisungen an uns als Datenverarbeiter zum Zeitpunkt der Unterzeichnung dieser DPA dar. Wir werden anderen angemessen dokumentierten Anweisungen nachkommen, vorausgesetzt, diese Anweisungen sind mit den Bedingungen der Vereinbarung vereinbar.
3.3 Details der Verarbeitung. Anhang I, Teil B. (Beschreibung der Übertragung) dieser DPA spezifiziert weiter die Art und den Zweck der Verarbeitung, die Verarbeitungsaktivitäten, die Dauer der Verarbeitung, die Arten persönlicher Daten und Kategorien von betroffenen Personen durch uns als Datenverarbeiter oder Subunternehmer.
3.4 Legitime Geschäftszwecke. Sie erkennen an, dass wir die persönlichen Daten des Kunden als unabhängiger Datenverantwortlicher insoweit verarbeiten, als dies für die folgenden legitimen Geschäftszwecke erforderlich ist: Abrechnung, Kontoverwaltung, Finanz- und interne Berichterstattung, Bekämpfung und Prävention von Sicherheitsbedrohungen, Cyberangriffen und Cyberkriminalität, die uns oder unsere Dienstleistungen betreffen könnten, Geschäftsmodellierung (z. B. Prognosen, Kapazitäts- und Ertragsplanung, Produktstrategie), Betrugsbekämpfung, Spam und Missbrauchsverhütung und -erkennung, Produktverbesserung und um unseren rechtlichen Verpflichtungen nachzukommen.
4. Customer Obligations
4.1 Rechtsgültigkeit. Wenn Sie als Datenverantwortlicher für persönliche Daten des Kunden handeln, garantieren Sie, dass alle Verarbeitungstätigkeiten gesetzlich zulässig sind, einen bestimmten Zweck haben und alle erforderlichen Mitteilungen sowie Einwilligungen oder eine andere angemessene rechtliche Grundlage vorhanden sind, um die gesetzmäßige Übertragung der persönlichen Daten des Kunden zu ermöglichen. Wenn Sie ein Datenverarbeiter sind (in diesem Fall handeln wir als Unterauftragnehmer), stellen Sie sicher, dass der betreffende Datenverantwortliche garantiert, dass die in diesem Abschnitt 4.1 aufgeführten Bedingungen erfüllt sind.
4.2 Compliance. Sie sind allein verantwortlich für (a) die Gewährleistung, dass Sie die auf Ihre Nutzung der Dienste und auf Ihre eigene Verarbeitung der persönlichen Daten des Kunden anwendbare Datenschutzgesetze einhalten, (b) die unabhängige Beurteilung, ob die technischen und organisatorischen Maßnahmen der Dienste Ihren Anforderungen entsprechen, und (c) die Umsetzung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen für Komponenten, die Sie bereitstellen oder kontrollieren (einschließlich, aber nicht beschränkt auf Passwörter, Geräte, die mit den Diensten verwendet werden, und Kundenanwendungen).
5. Sicherheit
5.1 Sicherheitsmaßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden wir angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten der Kunden vor Datenverletzungen zu schützen und die Sicherheit, Integrität, Verfügbarkeit, Widerstandsfähigkeit und Vertraulichkeit der Kundendaten, die unsere Systeme zur Verarbeitung von Kundendaten nutzen, zu wahren. Die von uns angewendeten Sicherheitsmaßnahmen sind in Anhang II beschrieben.
5.2 Aktualisierungen der Sicherheitsmaßnahmen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zu den Sicherheitsmaßnahmen für personenbezogene Daten der Kunden zu überprüfen und eine eigenständige Bewertung vorzunehmen, ob diese Informationen Ihren Anforderungen und den gesetzlichen Verpflichtungen aus dem Datenschutzrecht entsprechen. Sie bestätigen, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass wir von Zeit zu Zeit unsere Sicherheitsmaßnahmen aktualisieren oder ändern können, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Abwertung der Gesamtsicherheit der personenbezogenen Daten der Kunden führen.
5.3 Zugriffskontrollen. Wir wenden die Prinzipien „Need to know“ und minimalen Privilegien an.
5.4 Vertraulichkeit der Verarbeitung. Wir werden sicherstellen, dass jede Person oder Partei, die von uns autorisiert ist, personenbezogene Daten der Kunden zu verarbeiten (einschließlich unseres Personals, unserer Agenten und Unterauftragsverarbeiter), über die vertrauliche Natur solcher personenbezogenen Daten der Kunden informiert ist und einer angemessenen Vertraulichkeitsverpflichtung (ob vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Tätigkeit hinaus besteht.
5.5 Reaktion auf Datenverletzungen und Benachrichtigung. Sobald wir von einer Datenverletzung erfahren, werden wir ohne unangemessene Verzögerung (i) Sie benachrichtigen, (ii) die Datenschutzverletzung untersuchen, (iii) rechtzeitig Informationen über die Datenschutzverletzung bereitstellen, sobald sie bekannt wird oder auf vernünftige Anfrage von Ihnen, und (iv) angemessene kommerzielle Schritte unternehmen, um die Auswirkungen zu mindern und eine Wiederholung der Datenschutzverletzung zu verhindern.
6. Hilfe
6.1 Daten schutz hilfe. Wir werden Ihnen auf angemessene Anfrage Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gemäß der Datenschutzgesetzgebung nachzukommen, einschließlich der Meldung einer Verletzung personenbezogener Daten, der Bewertung des angemessenen Sicherheitsniveaus der Verarbeitung und der Unterstützung bei der Durchführung einer relevanten Datenschutz-Folgenabschätzung.
6.2 Unterstützung bei Anfragen von Betroffenen. Wir werden Ihnen angemessene Unterstützung bieten, um Ihnen zu ermöglichen, Ihren Verpflichtungen gegenüber den Betroffenen, die ihre Rechte gemäß der Datenschutzgesetzgebung ausüben, nachzukommen, indem wir technische und organisatorische Maßnahmen über Ihr Konto bereitstellen. Zur Vermeidung von Zweifel sind Sie als Datenverantwortlicher verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von Betroffenen bezüglich der Kundendaten einer betroffenen Person.
7. Offenlegung und Offenlegungsanfragen
7.1 Einschränkungen bei Offenlegung und Zugriff. Wir werden keinen Zugang zu oder die Offenlegung von Customer Personal Data gewähren, außer (i) wenn Sie es anweisen, (ii) wie im Vertrag und dieser DPA festgelegt, oder (iii) wenn es gesetzlich erforderlich ist.
7.2 Offenlegungsanfragen. Wir werden Sie so schnell wie möglich benachrichtigen, wenn wir eine Anfrage von einer Regierungs- oder Aufsichtsbehörde zur Offenlegung von Customer Personal Data erhalten, es sei denn, eine solche Mitteilung ist gesetzlich verboten. Wir werden Offenlegungsanfragen gemäß der Offenlegungsanfragenrichtlinie bearbeiten, die unter https://bird.com/legal/disclosure-requests verfügbar ist.
8. Subprocessors
8.1 Aktuelle Subunternehmer. Sie stimmen dem Einsatz der unter https://www.bird.com/en/legal/privacy#processorList unter der Überschrift “End User Personal Data” aufgeführten Subunternehmern zu, die ein Verfahren zur Anmeldung für Benachrichtigungen über Änderungen bei der Nutzung unserer Subunternehmer enthalten. Wenn Sie sich für solche Benachrichtigungen anmelden und unter Berücksichtigung von Abschnitt 8.3 dieser DPA, werden wir Ihnen Details zu jeder Änderung bei den Subunternehmern so schnell wie möglich mitteilen.
8.2 Einsatz von Subunternehmern. Durch diese DPA erteilen Sie uns eine allgemeine schriftliche Autorisierung zur Beauftragung von Subunternehmern für die Verarbeitung von Kunden personenbezogener Daten, vorbehaltlich Abschnitt 8.3 dieser DPA und der folgenden Anforderungen:
a. Wir werden den Zugang zu Kunden personenbezogenen Daten durch Subunternehmer beschränken, auf das, was strikt notwendig ist, um die im Subunternehmervertrag festgelegten Dienstleistungen zu erbringen;
b. Wir werden mit dem Subunternehmer Datenschutzverpflichtungen vereinbaren, die im Wesentlichen den Verpflichtungen dieser DPA entsprechen; und
c. Wir bleiben Ihnen gegenüber gemäß dieser DPA für die Erfüllung der Datenschutzverpflichtungen des Subunternehmers verantwortlich.
8.3 Benachrichtigung über Änderungen bei Subunternehmern und Widerspruchsrecht. Bevor wir Subunternehmer ersetzen oder neue beauftragen („Wechsel des Subunternehmers“), geben wir Ihnen die Möglichkeit, dem Wechsel des Subunternehmers zu widersprechen.
Sie können dem Wechsel des Subunternehmers widersprechen, vorausgesetzt, (i) der Widerspruch erfolgt schriftlich innerhalb von zehn (10) Geschäftstagen nach unserer Mitteilung über den Wechsel des Subunternehmers und (ii) der Widerspruch basiert auf und erklärt klar die vernünftigen Gründe, die den Schutz von Kunden personenbezogenen Daten betreffen. Wenn Sie einem vorgeschlagenen Wechsel des Subunternehmers widersprechen, werden wir in gutem Glauben mit Ihnen zusammenarbeiten, um eine kommerziell vernünftige Änderung bei der Bereitstellung der Dienstleistungen vorzunehmen, die die Nutzung des betreffenden Subunternehmers vermeidet. Wenn eine solche Änderung nicht vernünftigerweise innerhalb von dreißig (30) Geschäftstagen nach Erhalt Ihrer Widerspruchsmitteilung vorgenommen werden kann oder wenn die Änderung für uns kommerziell unzumutbar ist, kann jede Partei die anwendbaren Funktionen der Dienstleistungen, die nicht ohne die Nutzung des betreffenden Subunternehmers erbracht werden können, kündigen. Dieses Kündigungsrecht ist Ihr einziges und exklusives Rechtsmittel, wenn Sie einem Wechsel des Subunternehmers widersprechen.
9. Grenzüberschreitende Übertragungen von Kundendaten
9.1 Übertragungen von personenbezogenen Daten von Kunden. Wir können personenbezogene Daten von Kunden übertragen, sofern alle angemessenen Schutzmaßnahmen, die durch die Datenschutzgesetzgebung erforderlich sind, vorhanden sind. Dies kann eine vorherige Bewertung der Auswirkungen der Datenübertragung, die Annahme, Überwachung und Evaluierung zusätzlicher technischer, organisatorischer und rechtlicher Maßnahmen, durchsetzbare Rechte der Betroffenen und die Verfügbarkeit effektiver rechtlicher Schutzmaßnahmen für betroffene Personen umfassen.
9.2 Standardverträge für Subunternehmer. Sofern kein Angemessenheitsbeschluss oder alternatives Übertragungsmechanismus gilt, haben wir Standardvertragsklauseln mit Subunternehmern (einschließlich unserer Tochtergesellschaften), die außerhalb des EWR ansässig sind, abgeschlossen und werden diese aufrechterhalten, vorbehaltlich der in Abschnitt 9.1 dieser DPA festgelegten Bedingungen.
9.3 Übertragungsmechanismen für Übertragungen personenbezogener Daten von Kunden. Soweit Ihre Nutzung der Dienste einen grenzüberschreitenden Datenübertragungsmechanismus erfordert, um personenbezogene Daten von Kunden rechtmäßig aus einer Gerichtsbarkeit (z. B. dem EWR, Kalifornien, Singapur, der Schweiz oder dem Vereinigten Königreich) an uns außerhalb dieser Gerichtsbarkeit zu exportieren, gilt dieser Abschnitt. Wenn im Rahmen der Erbringung der Dienste personenbezogene Daten von Kunden, die dem GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Individuen unterliegen, das auf diese DPA anwendbar ist, an MessageBird übertragen werden, die in Ländern ansässig sind, die keinen angemessenen Schutz personenbezogener Daten im Sinne der Datenschutzgesetzgebung gewährleisten, gelten die unten aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien in dem Maß durchgesetzt werden, in dem solche Übertragungen der Datenschutzgesetzgebung unterliegen:
9.3.1 Die Parteien stimmen darin überein, dass die Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom EWR oder der Schweiz, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des EWR oder der Schweiz ansässig ist, das von der Europäischen Kommission (oder im Falle von Übertragungen aus der Schweiz, der zuständigen Behörde für die Schweiz) nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.1.1 Wenn Sie als Datencontroller handeln und MessageBird als Datenverarbeiter fungiert, gelten die Standardvertragsklauseln von EU-Controller zu -Prozessor für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR. Wenn Sie als Datenverarbeiter handeln und MessageBird als Subunternehmer fungiert, gelten die Standardvertragsklauseln von -Prozessor zu -Subunternehmer für jede solche Übertragung personenbezogener Daten von Kunden aus dem EWR.
9.3.1.2 MessageBird wird als Datenimporteur angesehen und Sie werden unter den Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der anwendbaren Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln nur in Bezug auf eine Übertragung personenbezogener Daten von Kunden aus dem EWR Vorrang.
9.3.1.3 Wenn die Standardvertragsklauseln die Parteien auffordern, zwischen optionalen Klauseln zu wählen und Informationen einzugeben, haben die Parteien dies wie unten aufgeführt getan:
Die optionale Klausel 7 „Docking-Klausel“ wird nicht übernommen.
Für Klausel 9 „Einsatz von Subunternehmern“ wählen die Parteien die folgende Option: „Option 2 Allgemeine schriftliche Genehmigung: der Datenimporteur hat die allgemeine Genehmigung des Datencontrollers für die Einbeziehung von Subunternehmer(n) aus einer vereinbarten Liste. Der Datenimporteur hat den Datencontroller spezifisch schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subunternehmern mindestens 10 Werktage im Voraus zu informieren, wodurch dem Datencontroller ausreichend Zeit eingeräumt wird, um solchen Änderungen vor der Einbeziehung der Subunternehmer zu widersprechen. Der Datenimporteur muss dem Datenexporteur die Informationen bereitstellen, die erforderlich sind, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Der Datenimporteur muss den Datenexporteur über die Einbeziehung der Subunternehmer informieren.“
Für Klausel 11 (a) „Abhilfe“ nehmen die Parteien die Option nicht an.
Für Klausel 17 „Anwendbares Recht“ wählen die Parteien die folgende Option: „Option 1. Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern solches Recht das Recht auf drittseitige Begünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein wird.“
Für Klausel 18 (b) „Wahl des Gerichtsstands und der Gerichtsbarkeit“: „Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein werden.“
9.3.2 Die Parteien stimmen darin überein, dass die UK-Controller-zu-Prozessor-Standardvertragsklauseln auf personenbezogene Daten von Kunden Anwendung finden, die über die Dienste vom Vereinigten Königreich, entweder direkt oder durch Weiterübertragung, an eine MessageBird-Einheit übertragen werden, die in einem Land außerhalb des Vereinigten Königreichs ansässig ist, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
9.3.2.1 MessageBird wird als Datenimporteur angesehen und Sie werden unter den UK-Controller-zu-Prozessor-Standardvertragsklauseln als Datenexporteur angesehen. Die Unterzeichnung dieser DPA durch jede Partei wird als Unterzeichnung der UK-Controller-zu-Prozessor-Standardvertragsklauseln betrachtet, die als Bestandteil dieser DPA gelten. Die in Anhang 1 und Anhang 2 der UK-Controller-zu-Prozessor-Standardvertragsklauseln erforderlichen Details sind in Anhang I und Anhang II dieser DPA verfügbar. Im Falle von Konflikten oder Inkonsistenzen zwischen dieser DPA und den UK-Controller-zu-Prozessor-Standardvertragsklauseln haben die UK-Controller-zu-Prozessor-Standardvertragsklauseln nur in Bezug auf die Übertragung personenbezogener Daten von Kunden aus dem Vereinigten Königreich Vorrang.
10. Audit
10.1 Prüfbericht. Unsere Kommunikationsplattform wird regelmäßig nach dem ISO 27001:2013-Standard (oder einem gleichwertigen Standard) auditiert. Die Prüfung kann nach unserem Ermessen eine interne Prüfung oder eine von einem Dritten durchgeführte Prüfung sein. Auf schriftliche Anfrage stellen wir Ihnen eine Zusammenfassung der Prüfberichte („Prüfbericht“) zur Verfügung, damit Sie unsere Einhaltung der Prüfungsstandards und dieser DPA überprüfen können. Solche Prüfberichte sowie alle darin angegebenen Schlussfolgerungen oder Ergebnisse sind unsere vertraulichen Informationen.
10.2 Kundenanfragen zu Informationen. Wir werden Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen. Wir werden schriftliche Antworten auf angemessene Informationsanfragen von Ihnen bereitstellen, einschließlich Antworten auf Fragen zur Informationssicherheit und Prüfungsfragebögen, die im Umfang angemessen und zur Bestätigung der Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie (i) zuerst angemessene Anstrengungen unternommen haben, um die angeforderten Informationen aus der Dokumentation, den Prüfberichten und anderen von uns bereitgestellten oder veröffentlichten Informationen zu erhalten, und (ii) dieses Recht nicht mehr als einmal pro Jahr ausüben, es sei denn, ein Vorfall mit personenbezogenen Daten oder eine wesentliche Änderung in unseren Verarbeitungstätigkeiten in Bezug auf die Dienste erfordern die Durchführung eines zusätzlichen Fragebogens. Alle bereitgestellten Antworten sind unsere vertraulichen Informationen.
10.3 Kundenprüfung. Wenn ein von uns bereitgestellter Prüfbericht Ihnen begründete Gründe gibt zu glauben, dass wir unsere Verpflichtungen aus dieser DPA, die sich auf die von Ihnen bereitgestellten Kunden personenbezogenen Daten beziehen, verletzen, gestatten wir einem unabhängigen und qualifizierten dritten Prüfer, den Sie ernennen und der von uns genehmigt wird, die relevanten anwendbaren Aktivitäten zur Verarbeitung personenbezogener Daten zu prüfen, vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:
a. Sie müssen uns mindestens sechzig (60) Tage im Voraus mittels einer angemessenen Mitteilung vor der Ausübung des Rechts auf Prüfung informieren;
b. Der Prüfer erklärt sich bereit, marktübliche Vertraulichkeitsverpflichtungen mit uns einzugehen;
c. Sie und der Prüfer ergreifen Maßnahmen, um Störungen des Geschäftsbetriebs zu minimieren;
d. Die Prüfung wird während der üblichen Geschäftszeiten durchgeführt;
e. Wir sind nicht verpflichtet, Zugriff auf Kundendaten anderer Kunden oder Systeme, die nicht an der Bereitstellung der Dienste beteiligt sind, zu gewähren; und
f. Sie tragen alle Kosten der Prüfung.
11. Löschung und Rückgabe von Kundendaten
Bei Beendigung oder Ablauf des Vertrags werden wir (nach Ihrer Wahl) alle Kundendaten (einschließlich Kopien), die sich in unserem Besitz oder unter unserer Kontrolle befinden, löschen oder an Sie zurückgeben, es sei denn, diese Anforderung gilt nicht, soweit wir gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren. Wenn Sie uns anweisen, Kundendaten zu löschen, werden die im Backup-System archivierten Kundendaten vor weiterer Verarbeitung geschützt und gelöscht, wenn die erforderliche Aufbewahrungsfrist abgelaufen ist.
12. Kundenpartnerkommunikation und Rechte
Der Abschluss dieses DPA im Namen und im Auftrag eines Kundenverbunds wie in Abschnitt 1.2 dargelegt, stellt einen separaten DPA zwischen uns und diesem Kundenverbund dar, vorbehaltlich des Folgenden:
12.1. Kommunikation. Der Kunde, der die vertragliche Partei des Vertrags ist, bleibt verantwortlich für die Koordination aller Kommunikation mit uns im Rahmen dieses DPA und ist berechtigt, im Namen seiner Kundenverbünde jegliche Kommunikation in Bezug auf dieses DPA zu tätigen und zu empfangen.
12.2 Rechte der Kundenverbünde. Wenn ein Kundenverbund eine Partei in den DPA mit uns wird, ist er, soweit erforderlich, nach den Datenschutzgesetzen berechtigt, die Rechte auszuüben und Rechtsmittel im Rahmen dieses DPA zu suchen, vorbehaltlich des Folgenden:
(i) Sofern die Datenschutzgesetze den Kundenverbund nicht dazu verpflichten, ein Recht oder ein Rechtsmittel im Rahmen dieses DPA direkt gegen MessageBird selbst geltend zu machen, sind sich die Parteien einig, dass (i) ausschließlich der Kunde, der die vertragliche Partei des Vertrags ist, ein solches Recht ausüben oder ein solches Rechtsmittel im Namen des Kundenverbunds suchen soll, und (ii) der Kunde, der die vertragliche Partei des Vertrags ist, alle solchen Rechte im Rahmen dieses DPA nicht separat für jeden Kundenverbund einzeln, sondern in kombinierter Weise für sich selbst und alle seine Kundenverbünde zusammen ausüben soll.
(ii) Die Parteien sind sich einig, dass der Kunde, der die vertragliche Partei des Vertrags ist, wenn eine Vor-Ort-Prüfung der Verfahren, die den Schutz von Kundendaten betreffen, in seinem Auftrag durchgeführt wird, wie in Abschnitt 10.3 dieses DPA dargelegt, alle angemessenen Maßnahmen ergreifen soll, um etwaige Auswirkungen auf uns zu minimieren, indem er, soweit dies angemessen möglich ist, mehrere Prüfungsanfragen, die im Auftrag von ihm und all seinen Kundenverbünden durchgeführt werden, in einer einzigen Prüfung zusammenfasst.
Zum Klarstellen, ein Kundenverbund wird keine vertragliche Partei des Vertrags.
13. Gesetz über den Datenschutz der Verbraucher von Kalifornien
Wir machen Ihnen gegenüber die folgenden zusätzlichen Verpflichtungen im Hinblick auf die Verarbeitung von Kundenpersonenbezogenen Daten im Rahmen des CCPA.
13.1 Unsere Verpflichtungen. Wir werden den CCPA einhalten und alle Kundenpersonenbezogenen Daten, die dem CCPA unterliegen („CCPA Personal Data“), gemäß den Bestimmungen des CCPA behandeln. In Bezug auf CCPA Personal Data sind wir ein Dienstanbieter im Sinne des CCPA. Wir werden (a) keine CCPA Personal Data verkaufen; (b) keine CCPA Personal Data für andere Zwecke aufbewahren, verwenden oder offenlegen als für den spezifischen Zweck der Bereitstellung der Dienstleistungen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von CCPA Personal Data für einen kommerziellen Zweck, der nicht der Bereitstellung der Dienstleistungen dient; oder (c) keine CCPA Personal Data außerhalb unserer direkten Geschäftsbeziehung mit Ihnen aufbewahren, verwenden oder offenlegen. Die Verarbeitung von CCPA Personal Data, die durch Ihre Anweisungen in den Bedingungen und diesem DPA autorisiert ist, ist integraler Bestandteil unserer Dienstleistungsbereitstellung. Sie erkennen an und stimmen zu, dass unser Zugang zu Kundendaten nicht Teil der im Rahmen der Vereinbarung ausgetauschten Gegenleistung darstellt. Soweit jegliche Nutzungsdaten als CCPA Personal Data betrachtet werden, sind wir das Unternehmen in Bezug auf solche Daten und werden diese Daten gemäß unserer Datenschutzerklärung verarbeiten. Die Begriffe „Unternehmen“, „kommerzieller Zweck“, „Dienstanbieter“ und „verkaufen“, wie in diesem Abschnitt 13.1 verwendet, haben die Bedeutungen, die ihnen im CCPA gegeben werden. Beide Parteien bestätigen, dass sie die im DPA und in der Vereinbarung festgelegten Verpflichtungen und Einschränkungen verstanden haben und einhalten werden, wie es der CCPA verlangt.
13.2 Kundenverpflichtungen. Sie erklären und gewährleisten, dass Sie dem Endnutzer mitgeteilt haben, dass die personenbezogenen Daten gemäß den in Abschnitt 1798.140(t)(2)(C)(i) des CCPA vorgesehenen Bedingungen verwendet oder geteilt werden. Sie sind für die Einhaltung der für Sie als Datenverantwortlicher geltenden Anforderungen des CCPA verantwortlich.
14. Anwendbares Recht und Streitbeilegung
Abschnitt 13 der Bedingungen gilt für alle Streitigkeiten, die aus dieser DPA entstehen oder damit in Zusammenhang stehen, es sei denn, die Datenschutzgesetze verlangen etwas anderes.
ANHANG I - DETAILS DER VERARBEITUNG
Wo zutreffend, wird dieses Anhang 1 als Anhang I zu den EWR-Standardvertragsklauseln dienen.
Anhang I, Teil A. Liste der Parteien
Datenexporteur: Kunde
Kontaktdaten des Datenexporteurs: Die in dem Konto des Kunden hinterlegte Adresse oder die E-Mail-Adresse des Inhabers des Kundenkontos oder die E-Mail-Adresse(n), die der Kunde für die Kommunikation gemäß der Vereinbarung gewählt hat.
Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Abschnitt 4 der DPA umrissen.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenexporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Datenimporteur: MessageBird B.V.
Kontaktdaten des Datenimporteurs: Trompenburgstraat 2-C, 1079TX, Amsterdam, Niederlande, Datenschutzbeauftragter - privacy@bird.com
Rolle des Datenimporteurs: Der Datenimporteur fungiert als Datenverarbeiter.
Unterschrift und Datum: Gegebenenfalls wird davon ausgegangen, dass der Datenimporteur die hierin aufgenommenen Standardvertragsklauseln ab dem Inkrafttretensdatum der DPA unterzeichnet hat.
Anhang I, Teil B. Beschreibung der Übertragung
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Benutzer. Kontaktpersonen des Kunden (natürliche Personen) oder Mitarbeiter, Auftragnehmer oder Zeitarbeiter (aktuell, potenziell, ehemalig), die die Dienste über das Kundenkonto nutzen („Benutzer“); Endbenutzer. Jede Person, (i) deren Kontaktdaten in den Kontaktlisten des Kunden enthalten sind; (ii) deren Informationen über die Dienste gespeichert oder gesammelt werden oder (ii) an die der Kunde Kommunikationen sendet oder mit denen er anderweitig kommuniziert oder über die Dienste interagiert (insgesamt „Endbenutzer“). Sie als Kunde bestimmen allein die Kategorien der betroffenen Personen, die in der über unsere Kommunikationsplattform gesendeten Mitteilung enthalten sind.
2. Kategorien der übertragenen personenbezogenen Daten: Personenbezogene Daten des Kunden, enthalten in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Kommunikationsinhalte, die je nach Kommunikationsinhalt von Ihnen als Kunde, personenbezogene Daten oder andere personalisierte Merkmale enthalten können. Verkehrsdaten, die personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail enthalten können, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen. Endbenutzerdaten, wie Telefonnummer, E-Mail-Adresse, Vorname, Nachname, Profilname, Land, Kanalkennung. Kundennutzungsdaten können Daten enthalten, die mit Ihnen als Individuum in Verbindung gebracht werden können und umfassen statistische Daten und Informationen im Zusammenhang mit Ihren Konten und Dienstaktivitäten, servicebezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen und Kundensupport.
3. Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strikte Zweckbeschränkungen, Zugriffsbegrenzungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung eines Zugriffsprotokolls, Einschränkungen für Weiterleitungen oder zusätzliche Sicherheitsmaßnahmen.
(a) Kommunikationsinhalte. Sensible Daten können von Zeit zu Zeit über die Dienste verarbeitet werden, wenn Sie oder Ihre Endbenutzer sich entscheiden, sensible Daten in die über die Dienste übermittelte Kommunikation aufzunehmen. Sie sind dafür verantwortlich, dass geeignete Sicherheitsmaßnahmen vorhanden sind, bevor Sie oder Ihre Endbenutzer sensible Daten über die Dienste übermitteln oder verarbeiten, in Übereinstimmung mit Abschnitt 3.2 der Vereinbarung.
(b) Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. In Verkehrsdaten, Endbenutzerdaten oder Kundennutzungsdaten sind keine sensiblen Daten enthalten.
4. Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden): Personenbezogene Daten des Kunden werden für die Dauer der Vereinbarung kontinuierlich übertragen.
5. Art der Verarbeitung: Wir verarbeiten personenbezogene Daten des Kunden, soweit dies erforderlich ist, um die Dienste gemäß der Vereinbarung bereitzustellen. Wir verkaufen keine personenbezogenen Daten, einschließlich personenbezogener Daten des Kunden, und teilen keine personenbezogenen Daten mit Dritten für eine Entschädigung oder für die eigenen geschäftlichen Interessen dieser Dritten.
6. Zweck(e) der Datenübertragung und der Weiterverarbeitung: Wir werden personenbezogene Daten des Kunden als Datenverarbeiter gemäß den Anweisungen des Kunden, die in dieser DPA festgelegt sind, verarbeiten, es sei denn, die Verarbeitung ist notwendig, um eine rechtliche Verpflichtung zu erfüllen, der wir unterliegen, in diesem Fall werden wir als Datenverantwortlicher auftreten.
Kommunikationsinhalte, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten. Personenbezogene Daten, die in Kommunikationsinhalten, Verkehrsdaten, Endbenutzerdaten und Kundennutzungsdaten enthalten sind, werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen:
(a) Kommunikationsinhalte. Die Bereitstellung programmierbarer Kommunikationsprodukte und -dienste, angeboten in Form von Programmierschnittstellen (APIs) oder über das Dashboard, für Kunden, einschließlich Übermittlung zu oder von der Softwareanwendung des Kunden von oder zu unserer Kommunikationsplattform und anderen Kommunikationsnetzen.
(b) Verkehrsdaten. Verkehrsdaten werden verarbeitet, um die Kommunikation über ein elektronisches Kommunikationsnetz zu übertragen oder die Abrechnung in Bezug auf diese Kommunikation durchzuführen. Dazu können personenbezogene Daten des Kunden über die Leitung, Dauer oder den Zeitpunkt einer Kommunikation wie ein Telefongespräch, SMS oder E-Mail gehören, unabhängig davon, ob sie sich auf eine Person oder ein Unternehmen beziehen.
(c) Endbenutzerdaten. Die Verarbeitung der personenbezogenen Daten von Endbenutzern ist erforderlich, um die Dienste auszuführen und wird nur zu den Zwecken der Kommunikationsübertragung, des Kundensupports und zur Einhaltung der gesetzlichen Verpflichtungen von MessageBird verarbeitet.
(d) Kundennutzungsdaten. Personenbezogene Daten, die in Kundennutzungsdaten enthalten sind , werden den Verarbeitungstätigkeiten unterzogen, um die Dienste gemäß der Vereinbarung bereitzustellen, mit dem Ziel, dem Kunden dienstbezogene Erkenntnisse und Analyseberichte über gesendete Kommunikationen, Kundensupport und die kontinuierliche Verbesserung der Dienste bereitzustellen.
7. Dauer der Aufbewahrung der personenbezogenen Daten, oder, falls das nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer:
(a) Kommunikationsinhalte und Verkehrsdaten. Für Kundeninhalte und Verkehrsdaten, die in den SMS- und Sprachdiensten enthalten sind, gilt eine Aufbewahrungsfrist von sechs Monaten;
Für die Dienste von 24sessions werden Kundeninhalte und Verkehrsdaten für mindestens 30 Tage bis zu der mit Ihnen vereinbarten Dauer aufbewahrt;
Für alle anderen Dienste werden Kundeninhalte und Verkehrsdaten für die Dauer der Dienste aufbewahrt, es sei denn, Sie löschen Kundeninhalte oder Verkehrsdaten über die technischen und organisatorischen Maßnahmen, die Ihnen über die Dienste zur Verfügung gestellt werden.
(b) Endbenutzerdaten. Endbenutzerdaten werden für die vom Kunden bestimmte Dauer verarbeitet, wenn Endbenutzerdaten in Ihren Kontaktprofilen enthalten sind, beträgt die Standardaufbewahrungsfrist die Dauer der Dienste, vorbehaltlich Abschnitt 6(c) dieses Anhangs I, Teil B.
(c) Kundennutzungsdaten. Nach Beendigung der Vereinbarung können wir Kundennutzungsdaten für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke aufbewahren, verwenden und offenlegen, vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen. Wir werden Kundennutzungsdaten anonymisieren oder löschen, wenn wir sie nicht mehr für die in Abschnitt 6(d) dieses Anhangs I, Teil B festgelegten Zwecke benötigen.
8. Für Übertragungen an (Unter-)Verarbeiter, geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Für Übertragungen an Unterverarbeiter sind der Gegenstand und die Art der Verarbeitung unter https://www.bird.com/legal/privacy#processorList beschrieben und die Dauer ist die Dauer der Vereinbarung.
Anhang I, Teil C. Zuständige Aufsichtsbehörde
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wird die zuständige Aufsichtsbehörde sein.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Sofern anwendbar, dient dieses Anhang II als Annex II zu den Standardvertragsklauseln. Im Folgenden finden Sie weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen, die im Folgenden dargelegt sind.
Technische und organisatorische Sicherheitsmaßnahmen:
Maßnahmen zur Pseudonymisierung und zum Schutz von personenbezogenen Daten in Speicherung und Übertragung: Alle personenbezogenen Daten sind während der Übertragung und im Ruhezustand verschlüsselt und, soweit relevant aus sicherheitstechnischer Sicht, behandelt, als ob sie als sensible Daten klassifiziert wären. Informationen werden grundsätzlich immer über TLS mit aktueller Verschlüsselungstechnologie übertragen.
Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz von Verarbeitungssystemen und -diensten: Wir schließen Vereinbarungen mit Vertraulichkeitsbestimmungen mit unseren Mitarbeitern, Auftragnehmern, Anbietern und Unterauftragsverarbeitern ab. Unsere Richtlinie zur Geschäftskontinuität besteht darin, unser Geschäft und unsere Dienstleistungen für den Fall längerer Ausfälle, die durch Faktoren, die nicht in unserer Kontrolle stehen, verursacht werden, vorzubereiten und die Dienstleistungen so weit wie möglich innerhalb kürzester Zeit wiederherzustellen. Wir verstehen, dass die von uns erbrachten Dienstleistungen für unsere Kunden von entscheidender Bedeutung sind und haben daher sehr wenig Toleranz gegenüber Serviceunterbrechungen. Unsere Zeitrahmen für die Wiederherstellung sind darauf ausgelegt, sicherzustellen, dass wir unseren Verpflichtungen gegenüber all unseren Kunden nachkommen können.
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Das Ziel der Informationssicherheit und unseres Informationssicherheitsmanagementsystems (ISMS) besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner, Kunden und die (autorisierten) Informationssysteme zu schützen und das Risiko von Schäden durch die Verhinderung von Sicherheitsvorfällen sowie das Management von Sicherheitsbedrohungen und -anfälligkeiten zu minimieren. Unser Rechtsteam, der Datenschutzbeauftragte und das Sicherheits- und Compliance-Team stellen sicher, dass anwendbare Vorschriften und Standards in unsere Sicherheitsrahmenbedingungen einfließen.
Maßnahmen zur Benutzeridentifizierung und -autorisierung: Wir folgen den Grundsätzen „need to know“ und „least privilege“. Wir fördern die Nutzung von rollenbasierter Zugriffskontrolle. Bereitstellung und Entzug von Zugriffsrechten wird vom Sicherheitsteam überwacht, mit Single-Sign-On und 2FA standardmäßig. Für jedes Informationsasset wurden Verantwortliche definiert, die dafür verantwortlich sind, sicherzustellen, dass der Zugriff auf ihre Systeme angemessen ist und regelmäßig überprüft wird. Wenn sensible Informationen bearbeitet oder kritische Maßnahmen ergriffen werden, verwenden wir das Vier-Augen-Prinzip.
Maßnahmen zur Protokollierung von Ereignissen: Prüfprotokolle werden zentral gespeichert und regelmäßig auf Sicherheitsereignisse überwacht und sicher aufbewahrt, um das Risiko einer Manipulation zu vermeiden. Die Richtlinie zum Vorfallmanagement setzt den Vorfallreaktionsplan und dessen Verfahren durch. Diese Richtlinien werden befolgt, wenn ein Sicherheits- oder technischer Vorfall auftritt. Im Falle von Sicherheitsvorfällen werden diese regelmäßig vom Sicherheitslenkungsausschuss überprüft, der aus hochrangigen Stakeholdern aus dem gesamten Unternehmen besteht.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Wir folgen einem konsistenten Änderungsmanagementprozess für alle Änderungen an der Produktionsumgebung der Kommunikationsplattform als Dienst. Um näher darauf einzugehen, müssen alle Änderungsanfragen (RFC) von einer zuständigen Partei genehmigt und gemäß dem formellen Änderungssteuerungsprozess durchgeführt werden. Der Kontrollprozess stellt sicher, dass vorgeschlagene Änderungen überprüft, autorisiert, getestet, implementiert und in kontrollierter Weise freigegeben werden; und dass der Status jeder vorgeschlagenen Änderung überwacht wird. Konfigurationsgrundlagen werden befolgt, um die Systeme sicher nach Best Practices zu konfigurieren. Außerdem wird innerhalb der Engineering-Abteilung ein Tech-Radar verwendet, um zu definieren, welche Technologien (Sprachen, Plattform-Tools, Datenbanken und Datenmanagement-Tools) während der Entwicklung angenommen oder vermieden werden sollen.
Maßnahme für physische Sicherheit: Wir fördern aktiv ein „Work from Anywhere“-Programm, sodass unsere Mitarbeiter frei sind, von jedem Ort aus zu arbeiten, den sie möchten. Dennoch haben wir auch unsere Büroräume. Wir haben in unseren Räumlichkeiten keine sicheren Bereiche/Rechenzentren, da wir ein vollständig cloudbasiertes Unternehmen sind. Unsere Büroetagen sind durch physische Zugangskontrollen, CCTV und persönliche Sicherheit geschützt.
Maßnahmen für interne IT- und IT-Sicherheitsgovernance und -management: Wir unterhalten ein risikobasiertes Bewertungssicherheitsprogramm, das administrative, organisatorische, technische und physische Schutzmaßnahmen umfasst, die dazu dienen, die Dienste sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Unser Informationssicherheitsprogramm ist systematisch und gut organisiert aufgebaut. Darüber hinaus gelten rechtliche und regulatorische Anforderungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für die Organisation, Mitarbeiter, Partner und Kunden sicherzustellen. All dies wird in unseren Informationssicherheitspolitiken, -verfahren und -richtlinien umgesetzt. Wir haben einen Sicherheitslenkungsausschuss, der für die taktische Ebene der Informationssicherheit verantwortlich ist. Dies umfasst die Koordination von Informationssicherheitsaktivitäten und die Übersetzung strategischer Aktivitäten in operative Aktivitäten für unsere Sicherheit sowie die kontinuierliche Aufrechterhaltung der regulatorischen Compliance. Alle Mitarbeiter sind verantwortlich für den Schutz der Unternehmensressourcen. Alle unsere Mitarbeiter werden auf Fachwissen, Erfahrung und Integrität überprüft. Mitarbeiter werden während der Einarbeitungsphase sowie durch regelmäßige team spezifische Schulungen und andere unternehmensweite Präsenzveranstaltungen über die Bedeutung von Datenschutz und Compliance in der Sicherheit informiert. MessageBird ist ISO/IEC 27001:2013 zertifiziert, die weltweit anerkannten Informationssicherheitsstandards für Informationssicherheitsmanagementsysteme (ISMS).
Alle unsere Hosting-Anbieter sind ISO/IEC 27001:2013-konform.
Wir sind auch beim niederländischen Amt für Verbraucher und Märkte registriert. Das bedeutet, dass wir immer rechenschaftspflichtig sind und unseren Kunden gegenüber voll transparent sind.
Wir sind assoziiertes Mitglied des Groupe Speciale Mobile Association (GSMA). Die GSMA vertritt die Interessen von Mobilfunkbetreibern weltweit. Wir sind immer auf dem neuesten Stand aller anwendbaren Gesetze und Vorschriften, einschließlich der Datenschutz-Grundverordnung.
Maßnahmen für Zertifizierungen/Versicherungen von Prozessen und Produkten: Wir unterziehen uns strenger Überwachung sowie Zertifizierungsaudits im Rahmen unserer ISO/IEC 27001:2013-Konformität und führen regelmäßig Schwachstellen- und Penetrationstests durch. MessageBird verfolgt einen einheitlichen Ansatz für Patch- und Schwachstellenmanagement, um sicherzustellen, dass unsere Standard-SLA-Fristen eingehalten werden, unabhängig davon, ob Schwachstellen in unserer zugrunde liegenden Infrastruktur, Betriebssystemen oder im Quellcode bestehen.
Maßnahmen für Anwendungssicherheit: Wir gewährleisten die Sicherheit unserer Anwendungen während der Design- und Entwicklungsphase basierend auf den Sicherheitsrichtlinien für sicheren Code von MessageBird.
Angemessene Korrekturen werden vor der Veröffentlichung umgesetzt.
Codeänderungen werden von qualifizierten Personen (die mit Codeüberprüfung und sicherer Entwicklung vertraut sind) überprüft, die nicht die ursprünglichen Entwickler sind.
Anwendungen werden mindestens einmal jährlich (entsprechend den Branchenstandards und bewährten Praktiken) rigorosen Tests zur Anwendungssicherheit unterzogen, um neue Bedrohungen und Schwachstellen zu identifizieren.
Alle Codeänderungen für Anwendungen, die in Produktionsumgebungen übergeben werden, werden mittels manueller und/oder automatisierter Prozesse überprüft.
Penetrationstests werden jährlich und fallweise für neue Produkte/Funktionen durchgeführt. Automatisierte Quellcode-Analysetools werden verwendet, um Sicherheitsdefekte im Code vor der Bereitstellung, basierend auf der Sprache, zu erkennen.
Maßnahmen zur Offenlegung von Schwachstellen: Wir schätzen Sicherheitsforscher, die Schwachstellen auf unserer Plattform gefunden haben, und bitten sie, uns zu kontaktieren und ihre Ergebnisse an security@bird.com zu senden. Wir haben ein engagiertes Sicherheitsteam, das Folgemaßnahmen durchführt und Einladungen zu unserem Bug-Bounty-Programm versendet, um nötigenfalls zu untersuchen und zu beheben.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht: Wir setzen Informationssicherheits- und Datenschutzrichtlinien gemäß den geltenden Gesetzen um und veröffentlichen einen Überblick über unsere ISMS-relevanten Informationen (link). Wir haben einen engagierten VP für Compliance und Informationssicherheit und einen Datenschutzbeauftragten ernannt und führen eine Dokumentation unserer Verarbeitungstätigkeiten, einschließlich der Dokumentation und Berichterstattung von Sicherheitsvorfällen, bei denen personenbezogene Daten betroffen sind, wo dies zutreffend ist.