Allgemeine Geschäftsbedingungen

Auftragsverarbeitungsvereinbarung

Veröffentlicht am 21.08.2023. Siehe vorherige Versionen (https://www.codetwo.de/regulations/dpa#vorherige-versionen)

Diese Auftragsverarbeitungsvereinbarung („DPA“) wird zum Datum des Inkrafttretens abgeschlossen zwischen CodeTwo spółka z ograniczoną odpowiedzialnością sp. k., einer Kommanditgesellschaft des Rechts der Republik Polen (Mitgliedstaat der Europäischen Union), mit eingetragener Sitz in Jelenia Góra, ul. Wolności 16 („CodeTwo“ oder einfach „wir“), EU-Umsatzsteuer-Identifikationsnummer PL6112622141, eingetragen im Unternehmensregister des polnischen Landesgerichtsregisters, das vom Amtsgericht für Wrocław-Fabryczna in Wrocław, Polen, IX. Handelsabteilung, unter der KRS-Nummer 0000438398 geführt wird, und der auf der letzten Seite dieser Vereinbarung angegebenen Einheit bzw. Person („Kunde“ oder einfach „Sie“). CodeTwo und der Kunde werden manchmal einzeln als „Partei“ oder gemeinsam als „Parteien“ bezeichnet.

Diese DPA ist integraler Bestandteil und wird vorbehaltlich der Allgemeinen Geschäftsbedingungen für Vertrieb und Dienstleistungen (https://www.codetwo.de/regulations/sales-and-services/) geschlossen.

In der Erwägung, dass:

  1. der Kunde ist daran interessiert, CodeTwo Email Signatures 365 (vorher: CodeTwo Email Signatures for Office 365) zu nutzen - eine Software zur zentralen Verwaltung von E-Mail-Signaturen, die auf Microsoft Azure in einer Region seiner Wahl gehostet wird (die Software und die damit verbundenen Dienstleistungen werden gemeinsam als „Dienste“ bezeichnet);
  2. die Nutzung der Dienste durch den Kunden erfordert, dass Kundendaten (wie unten definiert) von CodeTwo verarbeitet werden;
  3. die Parteien ihre gegenseitigen Verpflichtungen bezüglich der Verarbeitung von Kundendaten (wie unten definiert) durch CodeTwo festlegen wollen;

Haben sich die Parteien wie folgt geeinigt:

1. Definitionen

  1. Alle in dieser DPA verwendeten Begriffe in Großbuchstaben haben, sofern sie nicht an anderer Stelle in der DPA definiert sind, die folgende Bedeutung:
    1. Anwendbare Datenschutzvorschriften“ bedeutet die DSGVO und - wenn die Verarbeitung dem CCPA oder den Datenschutzgesetzen der US-Bundesstaaten (wie in Anhang 3 zu dieser DPA definiert) unterliegt - das CCPA und die Datenschutzgesetze der US-Bundesstaaten;
    2. Outlook (Client-side) Mode“ bezeichnet eine Konfiguration der Dienste, bei der die E-Mail-Signatur zu den Ausgehenden Kunden-E-Mails hinzugefügt wird, ohne dass die Ausgehenden Kunden-E-Mails über die Dienste weitergeleitet werden müssen;
    3. Combo Mode“ bezeichnet eine Konfiguration der Dienste, in der sowohl der Outlook (Client-side) Mode als auch der Cloud (Server-side) Mode zur Verwaltung von E-Mail-Signaturen in Ausgehenden Kunden-E-Mails verwendet werden;
    4. Kundendaten“ bedeutet Kundennutzerdaten, Kunden-E-Mail-Daten und Kunden-E-Mails;
    5. Kunden-E-Mail-Daten“ bezeichnet alle personenbezogenen Daten, die in Eingehenden und Ausgehenden Kunden-E-Mails enthalten sind; ob CodeTwo Kunden-E-Mail-Daten verarbeitet und/oder anderweitig Zugriff darauf erhält, hängt davon ab, wie der Kunde die Dienste konfiguriert - siehe Anhang 1 zu dieser DPA für Einzelheiten;
    6. Kunden-E-Mails“ bedeutet Eingehende Kunden-E-Mails und Ausgehende Kunden-E-Mails;
    7. Eingehende Kunden-E-Mails“ sind E-Mails, die an Mailboxen im Microsoft 365-Tenant des Kunden gesendet werden; ob CodeTwo Eingehende Kunden-E-Mails verarbeitet und/oder anderweitig Zugriff darauf erhält, hängt davon ab, wie der Kunde die Dienste konfiguriert - siehe Anhang 1 zu dieser DPA für Einzelheiten;
    8. Ausgehende Kunden-E-Mails“ sind E-Mails, die aus den Mailboxen im Microsoft 365-Tenant des Kunden gesendet werden; ob CodeTwo Ausgehende Kunden-E-Mails verarbeitet und/oder anderweitig Zugriff darauf erhält, hängt davon ab, wie der Kunde die Dienste konfiguriert - siehe Anhang 1 zu dieser DPA für Details;
    9. Kundennutzerdaten“ sind personenbezogenen Daten, einschließlich insbesondere einiger Azure Active Directory-Benutzerattribute und Gruppenmitgliedschaften von Personen, die über Konten im Microsoft 365-Tenant des Kunden verfügen, die der Kunde CodeTwo in Verbindung mit der Nutzung der Dienste durch den Kunden zur Verfügung stellt; der detaillierte Umfang und die Kategorien der Kundennutzerdaten, die von CodeTwo auf der Grundlage dieser DPA verarbeitet werden, hängen davon ab, wie der Kunde die Dienste konfiguriert, und sind in Anhang 1 dieser DPA ausführlich beschrieben;
    10. Datum des Inkrafttretens“ bedeutet das Datum, an dem der Kunde sein Einverständnis erklärt, an die Bestimmungen der DPA gebunden zu sein, entweder durch Ankreuzen des entsprechenden Kästchens auf den Websiten von CodeTwo, das bestätigt, dass er die Bedingungen der DPA gelesen und akzeptiert hat, oder durch Unterzeichnung einer per E-Mail erhaltenen Kopie dieser DPA;
    11. DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
    12. Cloud (Server-side) Mode“ bezeichnet eine Konfiguration der Dienste, in der Ausgehende Kunden-E-Mails über die Dienste weitergeleitet werden, um E-Mail-Signaturen hinzuzufügen.

2. Allgemeines

  1. Als der für die Datenverarbeitung Verantwortliche erkennen Sie an und verstehen, dass unter den in Anhang 1 zu dieser DPA beschriebenen Umständen und in dem dort beschriebenen Umfang:
    1. die Nutzung der Dienste erfordert, dass die Kundennutzerdaten innerhalb der Dienste verarbeitet werden;
    2. die Nutzung der Dienste im Cloud (Server-side) Mode oder Combo Mode erfordert, dass Ausgehende Kunden-E-Mails über die Dienste weitergeleitet werden;
    3. die Nutzung einiger zusätzlicher Funktionen der Dienste kann erfordern, dass der Kunde den Diensten erweiterte Zugriffsrechte gewährt, einschließlich des Zugriffs auf Eingehende Kunden-E-Mails, Ausgehende Kunden-E-Mails des Kunden oder Kunden-E-Mail-Daten.
  2. Als der für die Datenverarbeitung Verantwortliche bestätigen Sie, dass:
    1. diese DPA zusammen mit Ihrer Nutzung und Konfiguration der Dienste und ihrer einzelnen Funktionen Ihre vollständigen und endgültigen Anweisungen an uns für die Verarbeitung von Kundendaten sind. Wir werden Sie unverzüglich informieren, wenn Ihre Anweisungen unserer Meinung nach gegen Anwendbare Datenschutzvorschriften verstoßen könnten;
    2. Kundendaten in Übereinstimmung mit Anwendbaren Datenschutzvorschriften erhoben wurden und werden und dass alle erforderlichen Einwilligungen (falls erforderlich) von Personen, deren personenbezogene Daten mit den Diensten verarbeitet werden, eingeholt und alle Informationspflichten erfüllt wurden.
  3. Wir, als Auftragsverarbeiter, verpflichten uns:
    1. Kundendaten nur zu verarbeiten, um Ihnen die Nutzung der Dienste und ihrer einzelnen Funktionen zu ermöglichen, und zwar ausschließlich auf der Grundlage und unter den Bedingungen, die in dieser DPA und den Anwendbaren Datenschutzvorschriften festgelegt sind;
    2. den Inhalt von Kunden-E-Mails nicht aufzuzeichnen, zu registrieren, zu speichern, zu sichern oder physisch darauf zuzugreifen, außer unter den Umständen und in dem Umfang, die in Anhang 1 zu dieser DPA beschrieben sind, wenn dies erforderlich ist, um die Dienste für Sie bereitzustellen.
  4. Der Umfang der personenbezogenen Daten, die Gegenstand der Verarbeitung auf der Grundlage dieser DPA sind, sowie die Kategorien der von der Verarbeitung betroffenen Personen sind in Anhang 1 zu dieser DPA detailliert beschrieben.
  5. Um einige der zusätzlichen Funktionen von CodeTwo Email Signatures 365 (z.B. Autoresponder, Sent Items Update oder One-click surveys) nutzen zu können, müssen Sie den Diensten einige zusätzliche Zugriffsrechte auf ausgewählte Ressourcen in Ihrem Microsoft-365-Tenant gewähren. Der Umfang der erforderlichen Berechtigungen wird Ihnen bei der Konfiguration solcher Funktionen im CodeTwo Email Signatures 365 Admin-Panel angezeigt. Diese Berechtigungen variieren zwischen den einzelnen Funktionen und können unter anderem die Berechtigung zum Lesen aller Benutzerprofile in Ihrem Microsoft 365-Tenant ohne angemeldeten Benutzer sowie die Berechtigung zum Lesen von E-Mails in allen Postfächern ohne angemeldeten Benutzer oder als angemeldeter Benutzer umfassen. Diese Berechtigungen sind erforderlich, um Regeln anzuwenden und Aktionen durchzuführen, die Sie beim Einrichten dieser zusätzlichen Funktionen konfigurieren. Alle zusätzlichen Funktionen sind standardmäßig ausgeschaltet. Alle Zugriffsrechte, die Sie den Diensten gewähren, sind technischer und funktioneller Natur.
  6. Ungeachtet der obigen Klausel 2.5. hat CodeTwo Email Signatures 365 keinen Zugang zu den Schlüsseln, die zur Entschlüsselung von verschlüsselten Kunden-E-Mails erforderlich sind, und daher kann die Nutzung der zusätzlichen Funktionen in Bezug auf verschlüsselte Kunden-E-Mails eingeschränkt oder gar nicht möglich sein.

3. Unterauftragsverarbeitung

  1. Wir verwenden Microsoft Azure, um Ihnen Dienste bereitzustellen. Dies bedeutet, dass Kundendaten in Microsoft-Azure-Rechenzentren in einer Region Ihrer Wahl verarbeitet werden. Eine Liste der derzeit verfügbaren Regionen finden Sie hier (https://www.codetwo.de/email-signatures/wie-funktioniert-das).
  2. Die Microsoft-Azure-Rechenzentren werden von der Microsoft Corporation und ihren Tochtergesellschaften verwaltet. Die Microsoft Corporation verwendet Unterauftragnehmer, um ihre Microsoft-Azure-Dienste bereitzustellen. Die Liste der Unterauftragnehmer finden Sie hier (https://www.codetwo.com/regulations/dpa/ms-subcontractors).
  3. Sie finden detaillierte AGB für Dienste, die von der Microsoft Corporation und ihren verbundenen Unternehmen erbracht werden, hier (https://www.codetwo.com/regulations/dpa/ms-terms-and-conditions). Diese Dokumente beschreiben die Verpflichtungen von Microsoft hinsichtlich der Sicherheit von Daten und Maßnahmen, die in Microsoft-Rechenzentren implementiert wurden, um die Vertraulichkeit von Kundendaten zu schützen. Informationen zur Azure-Sicherheit von Microsoft im Azure Trust Center finden Sie hier (https://www.codetwo.com/regulations/dpa/ms-azure-security).
  4. Wir bestätigen, dass wir eine Vereinbarung auf Grundlage von EU-Standardvertragsklauseln mit der Microsoft Corporation geschlossen haben. Mit dieser Vereinbarung soll sichergestellt werden, dass das Schutzniveau von Kundendaten, das dem von uns gewährleisteten Schutzniveau ähnlich ist, bei der Übermittlung von personenbezogenen Daten an Microsoft-Azure-Rechenzentren einschließlich solcher außerhalb des Europäischen Wirtschaftsraums (EWR) gewährleistet ist.
  5. Sie erkennen an und stimmen zu, dass wir die Microsoft Corporation, ihre Tochtergesellschaften und Unterauftragnehmer, wie oben beschrieben, als Unterauftragsverarbeiter einsetzen können, um Dienste für Sie zu erbringen. Diese Rechtsträger dürfen nur innerhalb der Grenzen und zum Zwecke der Erbringung der Dienste für Sie tätig werden. Der für diese Unterauftragsverarbeiter geltende Datenschutzstandard entspricht mindestens dem von uns vorgegebenen Datenschutzstandard.

4. Kopien von Daten und Vertraulichkeit von Informationen

  1. Wir werden keine Kopien oder Duplikate von etwaigen Daten ohne Ihr Wissen anfertigen, mit Ausnahme von Sicherungskopien für die folgenden Datentypen:
    1. die Einstellungen und Konfigurationsdetails der Dienste;
    2. Kundennutzerdaten.
  2. Diese Sicherungskopien sind notwendig, um reibungsloses Funktionieren von Diensten zu gewährleisten. Alle Sicherungskopien werden automatisch von Microsoft Azure erstellt und auf Microsoft Azure gespeichert, in derselben Region, die Sie beim Verbinden Ihres Microsoft-365-Tenants mit den Diensten ausgewählt haben. Wir werden diese Sicherungskopien außerhalb der Microsoft-Azure-Umgebung oder zu anderen als den oben genannten Zwecken nicht verwenden.
  3. Wir werden keine Sicherungskopien von anderen Arten von Daten als den in Klausel 4.1. genannten erstellen. Wir erstellen keine Sicherungskopien von Kunden-E-Mails bzw. Kunden-E-Mail-Daten.
  4. Wir erkennen an und stimmen zu, dass Kunden-E-Mails in einigen Fällen Informationen enthalten können, die vernünftigerweise als geschützte oder vertrauliche Informationen des Kunden zu verstehen sind. Wir werden alle angemessenen organisatorischen, technischen und administrativen Schritte unternehmen, um zu verhindern, dass Kunden-E-Mails an unbefugte Personen weitergegeben werden. Wir werden Kunden-E-Mails nicht an Dritte weitergeben und werden immer alle Anfragen zur Offenlegung von Kunden-E-Mails an Strafverfolgungsbehörden ablehnen.
  5. Wir erkennen an und stimmen zu, dass Kundennutzerdaten in einigen Fällen Informationen enthalten können, die vernünftigerweise als geschützte oder vertrauliche Informationen des Kunden zu verstehen sind. Wir werden alle angemessenen organisatorischen, technischen und administrativen Maßnahmen ergreifen, um zu verhindern, dass Kundennutzerdaten an unbefugte Personen weitergegeben werden. Wir werden Kundennutzerdaten nicht an Strafverfolgungsbehörden weiterleiten, sofern dies gesetzlich nicht vorgeschrieben ist. Wenn die Strafverfolgungsbehörden uns mit einer Anfrage nach Kundennutzerdaten kontaktieren, werden wir versuchen, die Strafverfolgungsbehörde direkt an Sie weiterzuleiten. Wenn wir gezwungen sind, Kundennutzerdaten an Strafverfolgungsbehörden weiterzuleiten, werden wir Sie umgehend benachrichtigen und Ihnen eine Kopie der Anfrage zur Verfügung stellen, es sei denn, es ist uns gesetzlich untersagt, dies zu tun.

5. Unterstützung bei der Erfüllung der Rechte von betroffenen Personen und Erfüllung anderer Pflichten

  1. Unter Berücksichtigung der Art der auf der Grundlage dieser DPA durchgeführten Verarbeitung werden wir Sie, soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung Ihrer Pflichten zur Beantwortung von Anfragen betroffener Personen bezüglich der Ausübung ihrer in Kapitel III der DSGVO beschriebenen Rechte unterstützen. Wenn Sie unsere Unterstützung benötigen, können Sie sie mit diesem Formular (https://www.codetwo.de/form/data-protection/) anfordern.
  2. Wir werden den Eingang Ihrer Anfrage innerhalb von 3 (drei) Werktagen nach Erhalt bestätigen. Innerhalb der nächsten 3 (drei) Werktage teilen wir Ihnen mit, ob wir Ihnen behilflich sein können, und wir informieren Sie über die voraussichtliche Frist zur Bearbeitung Ihrer Anfrage. In jedem Fall wird diese Frist nicht länger als 2 (zwei) Wochen sein.
  3. Wenn wir von Ihrer betroffenen Person einen Antrag auf Ausübung eines oder mehrerer ihrer Rechte gemäß der DSGVO erhalten, werden wir der betroffenen Person mitteilen, ihre Anfrage direkt an Sie zu richten.
  4. Unter Berücksichtigung der verfügbaren Informationen und der Art der Verarbeitung vorgenommen auf der Grundlage dieser DPA, werden wir Ihnen Informationen zur Verfügung stellen, die Sie zur Erfüllung von Verpflichtungen gemäß Artikel 32 - 36 der DSGVO benötigen, einschließlich Datenschutz-Folgenabschätzungen („DPIA“). Wenn Sie unsere Hilfe diesbezüglich benötigen, können Sie unsere Datenschutzbeauftragte (Data Protection Officer) und unser Data Security Team jederzeit über dieses Formular (https://www.codetwo.de/form/data-protection/) kontaktieren.

6. Sicherheit

  1. Angesichts der Verletzungsgefahr von Rechten und Freiheiten natürlicher Personen und des Stands der Technik, der Implementierungskosten, des Umfangs, Art, der Umstände und der Zwecke der Verarbeitung von personenbezogenen Daten erklären wir, dass wir gemäß Art. 32 der Datenschutz-Grundverordnung (DSGVO) geeignete technische und organisatorische Maßnahmen ergriffen haben, um die Verarbeitung von Kundendaten zu gewährleisten. Diese Maßnahmen sind im Anhang 2 dieser DPA beschrieben. Sie können auch die Informationen aus dem Anhang 2 verwenden, um die Datenschutz-Folgenabschätzung durchzuführen.
  2. Wir verpflichten uns, Kundendaten vor unbefugtem Zugriff, unbefugter Beseitigung, Beschädigung oder Zerstörung zu schützen und wir werden alle erforderlichen Maßnahmen ergreifen, um personenbezogene Daten vertraulich zu behandeln und gemäß den Anwendbaren Datenschutzvorschriften zu schützen.
  3. Wir erklären, dass alle unseren Mitarbeiter, die zur Verarbeitung von personenbezogenen Daten berechtigt sind, zur Verschwiegenheit verpflichtet sind und regelmäßig an Schulungen zu datenschutzrechtlichen Bestimmungen teilnehmen, die für ihre Arbeit relevant sind.
  4. Wir überwachen regelmäßig alle internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung den Anforderungen der Anwendbaren Datenschutzvorschriften und dem Schutz der Rechte der betroffenen Personen entspricht.
  5. Wir sind berechtigt, insbesondere aufgrund des technischen Fortschritts und Entwicklung, alternative geeignete Maßnahmen zu treffen, die über die in diesem Abschnitt und im Anhang 2 dieser DPA beschriebenen Maßnahmen hinausgehen. Solche Maßnahmen dürfen das Sicherheitsniveau der oben beschriebenen Maßnahmen nicht unterschreiten. Wir werden Ihnen jederzeit eine aktuelle Version vom Anhang 2 zur Verfügung stellen, wenn Sie uns während der Laufzeit dieser DPA dazu auffordern.

7. Datenschutzverletzungen

  1. Wir werden Sie ohne unangemessene Verzögerung über die Verletzung des Datenschutzes informieren. Eine solche Mitteilung, zumindest:
    1. beschreibt die Art der Verletzung des Schutzes von personenbezogenen Daten, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
    2. teilt den Namen und Ansprechpartner mit, wo weitere Informationen bezogen werden können;
    3. beschreibt die wahrscheinlichen Folgen der Verletzung von personenbezogenen Daten; und
    4. beschreibt die ergriffenen Maßnahmen, oder die Maßnahmen, die Ihnen vorgeschlagen wurden, um gegen die Verletzung des Schutzes von personenbezogenen Daten vorzugehen, einschließlich, falls zutreffend, der Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen.
  2. Ist es nicht möglich, alle unter Klausel 7.1. genannten Informationen gleichzeitig zu übermitteln, so enthält die erste Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unnötige Verzögerung nachgereicht.

8. Dauer der Verarbeitung und Rückgabe von Daten

  1. Sie verstehen und erkennen an, dass wir die Verarbeitung von Kundennutzerdaten beginnen, nachdem Ihr Microsoft-365-Tenant mit den Diensten verbunden wurde.
  2. Wir werden personenbezogene Daten, die Sie uns anvertrauen, für die Dauer Ihrer Lizenz für die Dienste und/oder die Nutzung der in Klausel 2.5. dieser DPA genannten zusätzlichen Funktionen der Dienste verarbeiten. Die DPA bleibt sowohl bei der Nutzung der Dienste mit einer Testlizenz als auch nach dem Testzeitraum, d. h. nach dem Erwerb der Lizenz für die Dienste, in Kraft. Darüber hinaus bleibt die DPA unabhängig davon in Kraft, ob die Dienste direkt von CodeTwo oder über einen Wiederverkäufer erworben wurden.
  3. Wenn Ihre Lizenz gekündigt wird oder abläuft, löschen wir die Kundennutzerdaten aus den Diensten innerhalb von 180 Tagen, nachdem Sie Ihr Abonnement bei uns gekündigt haben, es sei denn, das Gesetz verlangt, dass diese Daten für einen längeren Zeitraum verarbeitet werden.
  4. Nach Beendigung oder Ablauf Ihrer Lizenz werden wir keine Vorgänge an Kundennutzerdaten ausführen, außer zur Speicherung in den Diensten, sofern wir nicht gesetzlich zu etwas anderem verpflichtet sind.

9. Auditing-Rechte des Kunden

  1. Wenn Sie zusätzliche Informationen darüber benötigen, wie wir Kundendaten verarbeiten und schützen und die sich aus den Anwendbaren Datenschutzvorschriften ergebenden Verpflichtungen erfüllen, können Sie unsere Datenschutzbeauftragte und unser Data Security Team jederzeit über dieses Formular (https://www.codetwo.de/form/data-protection/) erreichen.
  2. Sie können auch Sicherheitsmaßnahmen überprüfen, die von der Microsoft Corporation und ihren verbundenen Unternehmen implementiert wurden, indem Sie auf den Datenschutznachtrag zu den Produkten und Services von Microsoft verweisen.
  3. CodeTwo hat das Informationssicherheits-Managementsystem implementiert, das nach den internationalen Standards ISO/IEC 27001 und ISO/IEC 27018 zertifiziert ist. Um die Einhaltung von ISO/IEC 27001 und ISO/IEC 27018 zu bestätigen, führen wir einmal im Jahr ein Audit durch und unterziehen uns alle drei Jahre dem Rezertifizierungsprozess. Audits werden von externen und unabhängigen Zertifizierungsstellen durchgeführt. Wir werden etwaige Prüfungsfeststellungen unverzüglich in einer für die Zertifizierungsstellen befriedigenden Weise auflösen, um die Einhaltung der ISO/IEC 27001 und ISO/IEC 27018 zu gewährleisten.
  4. Auf Ihren Wunsch liefern wir Ihnen den Nachweis, dass CodeTwo die Zertifikate ISO/IEC 27001 oder ISO/IEC 27018 besitzt. Wenn Sie zusätzliche Informationen benötigen, teilen wir Ihnen die Ergebnisse der letzten in CodeTwo durchgeführten ISO/IEC 27001- oder ISO/IEC 27018-Audits mit, damit Sie überprüfen können, wie wir unsere Verpflichtungen in Bezug auf die sich aus dieser DPA ergebende Informationssicherheit erfüllen. Der Bericht wird durch die von der Zertifizierungsstelle auferlegten Beschränkungen der Verbreitung und Vertraulichkeit eingeschränkt. Sie werden möglicherweise aufgefordert, eine zusätzliche Geheimhaltungsvereinbarung zu unterzeichnen, bevor wir den Bericht an Sie weiterleiten.

10. Kontrollen und Audits

  1.  Sie sollten uns unverzüglich über jede Kontrolle oder Prüfung informieren, die von den zuständigen Aufsichtsbehörden durchgeführt wird, wenn es sich um Kundendaten handelt.
  2.  Wir werden Sie umgehend über Inspektionen und Maßnahmen informieren, die von den Aufsichtsbehörden durchgeführt werden, wenn sie sich auf Dienste oder auf Kundendaten beziehen.

11. Gerichtsstandspezifische Datenschutzklauseln

  1.  Wenn Sie den Datenschutzgesetzen der in Anhang 3 aufgeführten Gerichtsbarkeiten unterliegen, ergänzen die Bestimmungen des Anhangs 3 die Klauseln 1 bis 10 dieser DPA.

12. Verschiedenes

  1.  Diese DPA kann nur durch ein schriftliches Dokument geändert werden, das sowohl von Ihnen als auch von uns unterzeichnet ist.
  2.  Diese DPA ist zusammen mit den Allgemeinen Geschäftsbedingungen für Vertrieb und Dienstleistungen (https://www.codetwo.de/regulations/sales-and-services/) von CodeTwo zu lesen und auszulegen. Sollten die Bestimmungen der Verkaufs- und Dienstleistungsbedingungen von CodeTwo im Widerspruch zu den Bestimmungen dieser DPA stehen, so genießt diese DPA Vorrang.
  3.  Diese DPA unterliegt dem Recht der Republik Polen unter Ausschluss jeglicher Kollisionsnormen. Alle Streitigkeiten im Zusammenhang mit dieser DPA werden zwischen Ihnen und CodeTwo durch Verhandlungen in gutem Glauben beigelegt. Falls diese Verhandlungen nicht erfolgreich sind, sollten alle nachfolgenden Streitigkeiten vor den zuständigen Gerichten der Republik Polen ausgetragen werden.
  4.  Sollte eine Bestimmung dieser DPA von einem zuständigen Gericht für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen dieser DPA in vollem Umfang wirksam.
  5.  Diese DPA kann in einer oder mehreren Ausfertigungen unterzeichnet werden, wobei jede Ausfertigung als ein Original der DPA gilt. Alle Ausfertigungen gelten als ein Dokument und werden zu einer verbindlichen Vereinbarung, wenn eine oder mehrere Ausfertigungen von jeder der Parteien unterzeichnet und der anderen zugestellt wurden.
  6.  Die Laufzeit dieser DPA entspricht der Laufzeit Ihrer Lizenz für CodeTwo Email Signatures 365.

Anhang 1 – Umfang und Kategorien von personenbezogenen Daten

Dieses Dokument beschreibt den Umfang und die Kategorien personenbezogener Daten, die Gegenstand der Verarbeitung auf der Grundlage dieser DPA sind, und je nach den Funktionen der Dienste, die der Kunde in Anspruch nimmt. Alle in Großbuchstaben geschriebenen Begriffe haben, sofern sie nicht unten definiert sind, die Bedeutung, die ihnen in der DPA zugeschrieben wird. Die Funktionen Autoresponder, Sent Items Update und One-click surveys sind standardmäßig ausgeschaltet.

1. Wenn der Kunde Autoresponder, Sent Items Update und One-click surveys nicht benutzt:

  1. umfassen die Kundennutzerdaten: Namen, E-Mail-Adressen, Unternehmenskontaktdaten und Berufsbezeichnungen von Personen, die über Konten im Microsoft 365-Tenant des Kunden verfügen, sowie alle anderen Attribute dieser Personen, die im Azure Active Directory des Microsoft 365-Tenants des Kunden definiert sind;
  2. werden Kunden-E-Mail-Daten von CodeTwo auf der Grundlage dieser DPA nicht verarbeitet;
  3. sind der Zugriff auf Kunden-E-Mails und/oder die Gewährung zusätzlicher Berechtigungen gemäß Klausel 2.5. dieser DPA nicht erforderlich;
  4. gehören zu den Kategorien der von der Verarbeitung betroffenen Personen diejenige, die Konten in Ihrem Microsoft 365-Tenant haben.

2. Wenn der Kunde entweder Autoresponder oder Sent Items Update benutzt:

  1. umfassen die Kundennutzerdaten: Namen, E-Mail-Adressen, Unternehmenskontaktdaten und Berufsbezeichnungen von Personen, die über Konten im Microsoft 365-Tenant des Kunden verfügen, sowie alle anderen Attribute dieser Personen, die im Azure Active Directory des Microsoft 365-Tenants des Kunden definiert sind;
  2. werden Kunden-E-Mail-Daten von CodeTwo auf der Grundlage dieser DPA verarbeitet;
  3. sind der Zugriff auf Kunden-E-Mails und/oder die Gewährung zusätzlicher Berechtigungen gemäß Klausel 2.5. dieser DPA erforderlich;
  4. gehören zu den Kategorien der von der Verarbeitung betroffenen Personen diejenige, die Konten in Ihrem Microsoft 365-Tenant haben sowie diejenige, deren persönliche Daten in allen E-Mails in allen Postfächern enthalten sind, die innerhalb Ihres Microsoft 365-Tenants erstellt wurden.

3. Wenn der Kunde One-click surveys benutzt:

  1. umfassen die Kundennutzerdaten: Namen, E-Mail-Adressen, Unternehmenskontaktdaten und Berufsbezeichnungen von Personen, die über Konten im Microsoft 365-Tenant des Kunden verfügen, sowie alle anderen Attribute dieser Personen, die im Azure Active Directory des Microsoft 365-Tenants definiert sind, sowie Bewertungen (Reviews) von Personen, die über Konten im Microsoft 365-Tenant des Kunden verfügen, die von Empfängern von E-Mails, die von der Domäne des Kunden gesendet wurden, zusammen mit E-Mail-Adressen von Personen, die solche Bewertungen (Reviews) hinterlassen, vorgenommen wurden;
  2. werden Kunden-E-Mail-Daten von CodeTwo auf der Grundlage dieser DPA nicht verarbeitet;
  3. sind der Zugriff auf Kunden-E-Mails und/oder die Gewährung zusätzlicher Berechtigungen gemäß Klausel 2.5. dieser DPA erforderlich;
  4. gehören zu den Kategorien der von der Verarbeitung betroffenen Personen diejenige, die Konten im Microsoft 365-Tenant des Kunden haben sowie Personen, die Bewertungen (Reviews) von Personen abgeben, die Konten im Microsoft 365-Tenant des Kunden haben.

Anhang 2 – Zusammenfassung der von CodeTwo umgesetzten Sicherheitsmaßnahmen

Dieses Dokument beschreibt Sicherheitsmaßnahmen, die wir umgesetzt haben, um sicherzustellen, dass die Verarbeitung von Kundendaten und – soweit anwendbar – Kunden-E-Mail-Daten sowie Kunden-E-Mails in Übereinstimmung mit den Anwendbaren Datenschutzvorschriften und mit dieser DPA erfolgt. Dieses Dokument wird regelmäßig aktualisiert, um Änderungen in unserem Sicherheits- und Datenschutz-Compliance-Programm wiederzugeben.

1. Allgemeine organisatorische Maßnahmen

  1. Datenschutzbeauftragte und Compliance-Programm. Wir haben eine Datenschutzbeauftragte ernannt, die für die Koordination, Überwachung und Verbesserung unseres Programms zur Einhaltung von Sicherheits- und Datenschutzbestimmungen („Compliance-Programm”) verantwortlich ist. Das Compliance-Programm definiert klare Rollen und Verantwortlichkeiten unserer Mitarbeiter. Die Datenschutzbeauftragte ist verantwortlich für die Koordination, Überwachung und Verbesserung des Compliance-Programms.
  2. Sicherheits-Managementsystem und externe Audits. Wir haben ein Informationssicherheits-Managementsystem implementiert, das nach den internationalen Standards ISO/IEC 27001 und ISO/IEC 27018 zertifiziert ist. Um unsere Compliance mit ISO/IEC 27001 und ISO/IEC 27018 zu bestätigen, wir unterziehen uns einmal im Jahr einem Audit durch und alle drei Jahre einem Rezertifizierungsprozess. Sämtliche Audits werden von externen und unabhängigen Zertifizierungsstellen durchgeführt.
  3. Vertraulichkeit. Unser gesamtes Personal unterliegt der Geheimhaltungspflicht und darf nur mit einer vorherigen schriftlichen Genehmigung von CodeTwo auf personenbezogene Daten (personenbezogene Informationen) zugreifen.

2. Schulungen und Kenntnisse

  1. Personalschulung. In unserem Compliance-Programm führen wir regelmäßige Schulungen für unsere Mitarbeiter zum Thema Datenschutzregeln und Personalrollen durch. Wir informieren auch unser Personal über mögliche Folgen der Verstöße. Diese Schulungen werden anhand anonymisierter Daten durchgeführt.

3. Physische und umgebungsspezifische Sicherheit

  1. Physischer Zugriff auf Datacenter. Kundendaten werden in Microsoft-Azure-Datacentern verarbeitet. Der Zugriff auf diese Datencenter ist nur für bestimmte Microsoft-Mitarbeiter möglich. Unser Personal darf diese Datacentern nicht betreten.
  2. Physischer Zugriff auf unsere Einrichtungen. Nur identifizierte und autorisierte Mitarbeiter unseres Personals dürfen auf unsere Einrichtungen zugreifen. Nicht autorisiertes Personal darf nicht auf diese Einrichtungen zugreifen.
  3. Überwachung von Einrichtungen. Unsere Einrichtungen werden ständig von uns und externen Sicherheitsdiensten überwacht, um unbefugten Zugriff zu verhindern. Besucher haben nur zu einem ausgewiesenen Bereich unserer Einrichtungen Zugang, in dem keine personenbezogenen Daten verarbeitet werden.
  4. Schutz vor Störungen. Wir verwenden eine Vielzahl von branchenweit akzeptierten Lösungen zum Schutz vor Datenverlust aufgrund von Stromausfall, Feuer, Naturkatastrophen oder Leitungsbrüchen.
  5. Entsorgung von Komponenten. Wir verwenden branchenweit akzeptierte Lösungen, um Ihre Daten zu löschen, wenn sie nicht mehr benötigt werden.

4. Zugriffskontrolle

  1. Zugriffsberechtigung. Wir führen Aufzeichnungen über das Personal, das Zugang zu unseren Einrichtungen und Informationssystemen hat. Wir haben ein System von Kontrollen implementiert, um sicherzustellen, dass niemand unser Unternehmen verlassen kann, ohne dass seine Authentifizierungsdaten deaktiviert und alle Zugriffsrechte zurückgenommen werden. Darüber hinaus führen wir regelmäßig (mindestens einmal alle 6 Monate) Audits durch, um sicherzustellen, dass nicht verwendete Authentifizierungsdaten deaktiviert sind. Deaktivierte oder abgelaufene Identifikatoren werden anderen oder neuen Mitgliedern unseres Personals nicht zugeteilt. Wir halten branchenübliche Standardverfahren ein, um Passwörter zu deaktivieren, die beschädigt oder versehentlich offengelegt wurden.
  2. Einschränkung von Berechtigungen. Nur eine kleine, ausgewählte Gruppe von Mitarbeitern kann Zugriffsrechte für unsere Einrichtungen und Informationssysteme zuteilen, ändern oder aufheben. Der Umfang der unserem Personal gewährten Zugriffsrechte beschränkt sich ausschließlich auf die zur Erfüllung seiner Aufgaben erforderlichen Mittel.
  3. Authentifizierung von Benutzern. Wir verwenden branchenweit akzeptierte Lösungen wie die Multifaktor-Authentifizierung, um Benutzer, die auf unsere IT-Systeme zugreifen, zu identifizieren und zu authentifizieren. Passwörter werden regelmäßig erneuert und müssen den Mindestanforderungen unserer Sicherheitsrichtlinien entsprechen. Wir verwenden diverse Best Practices, die entwickelt wurden, um die Vertraulichkeit und Integrität von Passwörtern zu erhalten, wenn diese zugewiesen, verteilt und gespeichert werden.
  4. Überwachung. Wir überwachen unsere Informationssysteme in Bezug auf sämtliche Versuche unbefugten Zugriffs und auf die Verwendung abgelaufener oder ungültiger Anmeldeinformationen.

5. Asset und Operations Management

  1. Endgeräteschutz. Alle Computerendgeräte sind verschlüsselt und vor Malware geschützt.
  2. Sicherungskopien. Wir fertigen regelmäßig Kopien der Einstellungen und Konfigurationsdetails der Dienste sowie der Kundennutzerdaten an, wie in der DPA beschrieben. Wir erstellen keine Sicherungskopien von Kunden-E-Mails.
  3. Zugriff auf Backups. Alle Sicherungskopien werden automatisch von Microsoft Azure erstellt und auf Microsoft Azure gespeichert, in derselben Region, die Sie beim Verbinden Ihres Microsoft-365-Tenants mit den Diensten ausgewählt haben. Wir haben Prozesse eingerichtet, die sicherstellen, dass der Zugriff auf Sicherungskopien auf das notwendige Minimum beschränkt ist, die Sicherungen außerhalb der Microsoft-Azure-Umgebung nicht verwendet werden dürfen und dass keine Daten ohne Genehmigung von leitenden Mitarbeitern wiederhergestellt werden können.
  4. Integrität und Vertraulichkeit. Unsere Mitarbeiter müssen alle Sessions deaktivieren, wenn sie unsere Einrichtungen verlassen oder Computer unbeaufsichtigt lassen. Nur eine kleine, ausgewählte Gruppe unserer Mitarbeiter, die aufgrund ihrer Aufgaben Fernzugriff benötigt, darf mobile Geräte mitführen und sie außerhalb unserer Räumlichkeiten nutzen. Alle mobilen Geräte sind passwortgeschützt und werden verschlüsselt gespeichert.
  5. Drucker und tragbare Datenträger. Wir verfügen über Verfahren, die gewährleisten, dass keine Daten ohne unsere vorherige Genehmigung gedruckt oder auf tragbaren Datenträgern kopiert werden dürfen. Unseren Mitarbeitern ist es untersagt, nicht autorisierte tragbare Datenträger in unseren Räumlichkeiten zu verwenden.
  6. Netzwerkkontrollen. Nur autorisierte Geräte dürfen in unseren Netzwerken verwendet werden. Wir haben Kontrollen eingerichtet, die sicherstellen, dass nicht autorisierte Geräte in unserem Netzwerk nicht verwendet werden können.

6. Incident-Management

  1. Malware. Wir verfügen über einen Anti-Malware-Schutz, mit dem verhindert werden kann, dass Malware unberechtigten Zugriff auf Kundendaten und unsere Informationssysteme erhält, einschließlich Malware aus öffentlichen Netzwerken.
  2. Störfallaufzeichnung. Wir führen Aufzeichnungen von Sicherheitsvorfällen, die das Datum und die Uhrzeit des Vorfalls, die Folgen des Verstoßes und Maßnahmen enthalten, um ähnliche Situationen in der Zukunft zu vermeiden.
  3. Serviceüberwachung. Wir überprüfen und überwachen Protokolle in Bezug auf Unregelmäßigkeiten und verdächtige Aktivitäten.

7. Anwendungskontrollen

  1. Dokumentation. Wir führen eine Dokumentation, die die Architektur und Funktionen von CodeTwo Email Signatures 365 beschreibt.
  2. Richtlinien und Vorgaben. Wir verfügen über Richtlinien und Vorgaben für Entwickler, die sicherstellen, dass bei der Entwicklung unserer Anwendungen die Grundsätze der Verarbeitung personenbezogener Daten, wie z. B. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, eingehalten werden.
  3. Code-Überprüfung und Patch-Management. Wir überprüfen Anwendungscodes regelmäßig auf Fehler und geben Patches oder Fixes heraus.

Anhang 3 – Nachtrag zu den US-Datenschutzgesetzen

1. Die folgenden Bedingungen gelten zusätzlich, wenn wir Kundendaten verarbeiten, die personenbezogene Daten kalifornischer Verbraucher enthalten oder anderweitig dem California Consumer Privacy Act („CCPA”) unterliegen (im Folgenden gemeinsam als „CCPA-Daten” bezeichnet):

  1. wenn wir CCPA-Daten verarbeiten, sind wir ein „Dienstleister” („service provider”), der die von der CCPA-Daten in Ihrem Auftrag verarbeitet, und Sie sind ein „Unternehmen” („business”), wie im CCPA definiert;
  2. sofern nicht ausdrücklich anders angegeben, ist in den Klauseln 1 - 10 dieser DPA der Begriff „Verantwortlicher” so zu verstehen, dass er „business” einschließt, der Begriff „Auftragsverarbeiter” so zu verstehen, dass er „service provider” einschließt, der Begriff „betroffene Person” so zu verstehen, dass er „consumer” einschließt, und die Begriffe „Kundendaten”, „Kunden-E-Mail-Daten” und „Kunden-E-Mails” so zu verstehen, dass sie „personal information” einschließen, jeweils im Sinne der Definition des CCPA;
  3. als Dienstleister verarbeiten wir die CCPA-Daten nur für die in den Allgemeinen Geschäftsbedingungen für Vertrieb und Dienstleistungen (https://www.codetwo.de/regulations/sales-and-services/) und in dieser DPA festgelegten Geschäftszwecke;
  4. als Dienstleister verpflichten wir uns, nicht: (i) CCPA-Daten zu verkaufen oder weiterzugeben; (ii) CCPA-Daten zu einem anderen Zweck zu speichern, zu nutzen oder offenzulegen, als Ihnen die Nutzung von CodeTwo Email Signatures 365 zu ermöglichen oder wie es anderweitig für Dienstleister unter dem CCPA erlaubt ist; (iii) CCPA-Daten außerhalb der direkten Geschäftsbeziehung zwischen uns zu speichern, zu nutzen oder offenzulegen; (iv) CCPA-Daten, die wir von Ihnen oder in Ihrem Namen erhalten haben, mit personenbezogenen Daten zu verknüpfen, die wir von einer anderen Person oder anderen Personen oder in deren Namen erhalten haben oder die wir aus unseren eigenen Interaktionen mit Verbrauchern gesammelt haben, es sei denn, eine solche Verknüpfung ist erforderlich, um einen Geschäftszweck zu erfüllen, der durch den CCPA, einschließlich der dazugehörigen Verordnungen, oder durch die von der California Privacy Protection Agency erlassenen Verordnungen erlaubt ist;
  5. wir werden: (i) die Verpflichtungen erfüllen, die für uns als Dienstleister gemäß dem CCPA gelten; (ii) die CCPA-Daten mit dem gleichen Maß an Datenschutz versehen, wie es der CCPA verlangt, jedoch unter der Voraussetzung, dass Sie dafür verantwortlich sind, sicherzustellen, dass Sie die Anforderungen des CCPA bei Ihrer Nutzung der Dienste und Ihrer eigenen Verarbeitung der CCPA-Daten erfüllt haben und weiterhin erfüllen werden; (iii) Sie unverzüglich zu benachrichtigen, wenn wir zu dem Schluss kommen, dass wir unseren Verpflichtungen als Dienstleister gemäß dem CCPA nicht mehr nachkommen können; (iv) Ihnen rechtzeitig und in angemessenem Umfang zusätzliche Unterstützung zu gewähren, um Sie bei der Erfüllung Ihrer Verpflichtungen in Bezug auf Verbraucheranfragen im Rahmen des CCPA gemäß dem in Klausel 5.1. – 5.3. dieser DPA beschriebenen Verfahren zu unterstützen; (v) die Bedingungen für die Beauftragung von Unterauftragsverarbeitern einzuhalten, indem wir sicherstellen, dass wir mit jedem Unterauftragsverarbeiter, den wir mit der Verarbeitung von CCPA-Daten beauftragen, eine schriftliche Vereinbarung abschließen, die mit dem CCPA konform ist und die unter anderem die vertraglichen Anforderungen an Dienstleister und Auftragnehmer betrifft;
  6. Sie haben das Recht, angemessene und geeignete Schritte zu unternehmen: (i) um sicherzustellen, dass wir die CCPA-Daten in einer Weise verwenden, die mit Ihren Verpflichtungen gemäß dem CCPA übereinstimmt; (ii) die unbefugte Nutzung der CCPA-Daten einzustellen und zu beheben; um diese Rechte auszuüben, kontaktieren Sie uns mit diesem Formular (https://www.codetwo.de/form/data-protection/);
  7. Sie haben das Recht, unsere Einhaltung dieser DPA und des CCPA zu überwachen, indem Sie eines der in Klausel 9 dieser DPA beschriebenen Mittel und Methoden nutzen;
  8. wir bestätigen, dass wir unsere Verpflichtungen als Dienstleister im Rahmen des CCPA verstehen und einhalten werden;
  9. wir bestätigen, dass wir keine Kundendaten, Kunden-E-Mail-Daten oder Kunden-E-Mails als Gegenleistung für die für Sie erbrachten Dienste erhalten.

2. Die folgenden Bedingungen gelten zusätzlich, wenn wir Kundendaten verarbeiten, die personenbezogene Daten enthalten, die den Datenschutzgesetzen der US-Bundesstaaten (wie unten definiert) unterliegen (alle nachfolgend gemeinsam als „US-Bundesstaaten-Daten” bezeichnet):

  1. für die Zwecke dieses Nachtrags bedeutet der Begriff „Datenschutzgesetze der US-Bundesstaaten”: (i) den Virginia Consumer Data Protection Act; (ii) den Colorado Privacy Act; (iii) den Connecticut Data Privacy Act; (iv) den Utah Consumer Privacy Act; (v) jedes andere anwendbare Gesetz eines US-Bundesstaates, das sich auf den Schutz personenbezogener Daten bezieht, auf dessen Grundlage Sie ein für die Verarbeitung personenbezogener Daten Verantwortlicher sind und wir ein Auftragsverarbeiter personenbezogener Daten sind, vorausgesetzt, die Bedingungen dieses Nachtrags erfüllen die in diesen anderen staatlichen Gesetzen festgelegten Anforderungen;
  2. sofern nicht ausdrücklich anders angegeben, ist in den Klauseln 1 - 10 dieser DPA der Begriff „Verantwortlicher” so zu verstehen, dass er den „controller” einschließt, der Begriff „Auftragsverarbeiter” so zu verstehen, dass er den „processor” einschließt, der Begriff „betroffene Person” so zu verstehen, dass er den „consumer” einschließt, und die Begriffe „Kundendaten”, „Kunden-E-Mail-Daten” und „Kunden-E-Mails” so zu verstehen, dass sie „personal data” einschließen, jeweils gemäß der Definition in den Datenschutzgesetzen der US-Bundesstaaten;
  3.  wir werden: (i) Ihre Weisungen hinsichtlich der Verarbeitung von US-Bundesstaaten-Daten befolgen; (ii) Ihnen die erforderlichen Informationen zur Verfügung stellen, um Sie in die Lage zu versetzen, die gemäß den Datenschutzgesetzen der US-Bundesstaaten erforderlichen Datenschutzbeurteilungen gemäß dem in Klausel 5.4. dieser DPA beschriebenen Verfahren durchzuführen und zu dokumentieren (iii) Ihnen auf Ihre angemessene Anfrage hin alle in unserem Besitz befindlichen Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung unserer Verpflichtungen als Auftragsverarbeiter gemäß den Datenschutzgesetzen der US-Bundesstaaten im Einklang mit dem in Klausel 9 dieser DPA beschriebenen Verfahren nachzuweisen; (iv) uns verpflichten, dass jede Person, die US-Bundesstaaten-Daten verarbeitet, in Bezug auf diese Daten zur Vertraulichkeit verpflichtet ist; (v) alle US-Bundesstaaten-Daten im Einklang mit den Klauseln 8.3 - 8.4. dieser DPA löschen, es sei denn, die Aufbewahrung der US-Bundesstaaten-Daten ist gesetzlich vorgeschrieben; (vi) einen qualifizierten und unabhängigen Prüfer beauftragen, eine Bewertung unserer Richtlinien und technischen und organisatorischen Maßnahmen durchzuführen, die wir zur Unterstützung unserer Verpflichtungen gemäß diesem Nachtrag implementiert haben, sowie Ihnen auf Anfrage einen Bericht über diese Bewertung gemäß den Klauseln 9.3 - 9.4 dieser DPA vorlegen; (vii) die Bedingungen für die Beauftragung von Unterauftragsverarbeitern einzuhalten, indem wir unter anderem sicherstellen, dass wir mit jedem Unterauftragsverarbeiter, den wir mit der Verarbeitung von US-Bundesstaaten-Daten beauftragen, einen schriftlichen Vertrag abschließen, der den Datenschutzgesetzen der US-Bundesstaaten entspricht, und dass wir Ihnen die Möglichkeit geben, gegen die Einbeziehung eines neuen Unterauftragsverarbeiters Widerspruch einzulegen;
  4. unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise durchführbar ist, werden wir: (i) Sie bei der Erfüllung Ihrer Verpflichtung zur Beantwortung von Anfragen zu Verbraucherrechten, die gemäß den Datenschutzgesetzen der US-Bundesstaaten gestellt werden, gemäß dem in den Klauseln 5.1 - 5.3 dieser DPA beschriebenen Verfahren unterstützen; (ii) Sie bei der Erfüllung Ihrer Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten und in Bezug auf die Meldung einer Sicherheitsverletzung betreffend die Dienste unterstützen, insbesondere auch durch die Bereitstellung einschlägiger Mitteilungen gemäß Klausel 7 dieser DPA.

Vorherige Versionen