Datum der Überprüfung: Juni 5, 2023
Auftragsverarbeitungsvertrag
ACHTUNG: SIE (DER „KUNDE“) WERDEN HIERMIT AUFGEFORDERT, DIE BEDINGUNGEN DES DATENVERARBEITUNGSVERTRAGS (DER „VERTRAG“) ZU AKZEPTIEREN, DER DIE VERARBEITUNG DER PERSÖNLICHEN DATEN DES KUNDEN DURCH ISPRING UND IHRE VERBUNDENEN UNTERNEHMEN (IM FOLGENDEN ALS „ISPRING“ BEZEICHNET) REGELT”.
INDEM SIE BEI DER REGISTRIERUNG IHRES ISPRING-KONTOS AUF DIE SCHALTFLÄCHE KLICKEN, ERKLÄREN SIE IHRE EINWILLIGUNG, AN DIE BEDINGUNGEN DIESES VERTRAGS GEBUNDEN ZU SEIN, UND WERDEN PARTEI DIESES VERTRAGS. SIE ERKLÄREN SICH DAMIT EINVERSTANDEN, DASS DIESER VERTRAG WIE JEDER SCHRIFTLICH AUSGEHANDELTE UND VON IHNEN UNTERZEICHNETE VERTRAG DURCHSETZBAR IST. WENN SIE DIESEN VERTRAG IM NAMEN EINES UNTERNEHMENS ODER EINER ANDEREN JURISTISCHEN PERSON ABSCHLIESSEN, VERSICHERN SIE, DASS SIE DIE BEFUGNIS HABEN, DAS GENANNTE UNTERNEHMEN UND SEINE VERBUNDENEN UNTERNEHMEN AN DIESE BEDINGUNGEN ZU BINDEN. IN DIESEM FALL BEZIEHT SICH DER BEGRIFF "KUNDE" AUF DAS GENANNTE UNTERNEHMEN UND SEINE VERBUNDENEN UNTERNEHMEN. WENN SIE NICHT ÜBER EINE SOLCHE BEFUGNIS VERFÜGEN ODER DEN BEDINGUNGEN NICHT ZUSTIMMEN UND DIESE AKZEPTIEREN, SIND SIE NICHT BERECHTIGT, DIE ISPRING WEB DIENSTE ZU NUTZEN.
Dieser Auftragsverarbeitungsvertrag einschließlich der Anhänge (der „DPA“) ist Teil des iSpring-Webdienste-Abonnementvertrags oder eines anderen schriftlichen oder elektronischen Vertrags zwischen iSpring und dem Kunden für den Erwerb von iSpring-Softwareprodukten (einschließlich jeglicher Softwareprogramme, Webdienste oder Dienste, die von iSpring zum Kauf zur Verfügung gestellt werden) von iSpring (entweder als „Produkte“ oder anderweitig in dem jeweiligen Vertrag bezeichnet und im Folgenden als „Produkte“ definiert) (der „Grundsatzvertrag“), um die Vereinbarung der Parteien hinsichtlich der Verarbeitung persönlicher Daten wiederzugeben.
Der Kunde schließt diesen DPA in seinem eigenen Namen und, soweit nach den geltenden Datenschutzgesetzen und -vorschriften erforderlich, im Namen und im Auftrag seiner autorisierten verbundenen Unternehmen ab. Nur für die Zwecke dieses DPA und sofern nicht anders angegeben umfasst der Begriff „Kunde“ den Kunden und die autorisierten verbundenen Unternehmen. Alle Begriffe, die hier nicht definiert sind, haben die im Hauptvertrag festgelegte Bedeutung. Im Zuge der Bereitstellung der Produkte für den Kunden gemäß dem Hauptvertrag kann iSpring persönliche Daten im Namen des Kunden verarbeiten, und die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf persönliche Daten einzuhalten, wobei jede Partei angemessen und in gutem Glauben handelt.
Dieser DPA besteht aus zwei Teilen: dem Hauptteil des DPA und den Anhängen 1 und 2.
Wenn der Kunde, der diesen DPA eingeht, eine Partei des Grundsatzvertrags ist, ist dieser DPA eine Partei des Grundsatzvertrags ist, ist dieser DPA ist der iSpring-Kunde, die Partei des Hauptvertrags ist, auch Partei dieses DPA.
Wenn der Kunde, der den DPA eingeht, nicht direkt eine Partei des Hauptvertrags mit iSpring ist, sondern stattdessen indirekt über einen autorisierten Wiederverkäufer von iSpring-Produkten ein Kunde ist, ist dieser DPA nicht gültig und rechtlich nicht bindend. Ein solcher Kunde sollte sich mit dem autorisierten Wiederverkäufer in Verbindung setzen, um zu besprechen, ob eine Abänderung seines Vertrages mit diesem Wiederverkäufer erforderlich sein könnte.
-
Definitionen
-
In diesem DPA haben die folgenden Begriffe die unten angegebene Bedeutung und verwandte Begriffe sind entsprechend auszulegen:
- „Verbundenes Unternehmen“ bedeutet jede persönliche oder juristische Person, die das vertragsgegenständliche juristische Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht; „Kontrolle“ (einschließlich der entsprechenden Bedeutungen „kontrolliert von“ und „unter gemeinsamer Kontrolle mit“) bedeutet den direkten oder indirekten Besitz der Befugnis, das Management oder die Politik zu lenken oder zu veranlassen (sei es durch den Besitz von Wertpapieren oder Partnerschafts- oder anderen Eigentumsanteilen, durch Vertrag oder auf andere Weise).
- „CCPA“ bezeichnet den California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff., und seine Durchführungsbestimmungen.
- „Verantwortlicher“ bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung persönlicher Daten bestimmt.
- „Kunde“ bezeichnet einen einzelnen Verbraucher oder eine juristische Person, die das von iSpring bereitgestellte Produkt aktiviert und die Zahlungsverantwortung für iSpring übernimmt.
- „Kundendaten“ sind elektronische Daten und Informationen (einschließlich persönlicher Daten), die vom oder für den Kunden gemäß oder in Verbindung mit dem Vertrag über die Bereitstellung der Produkte durch iSpring an den Kunden gemäß den Bedingungen des Hauptvertrags übermittelt werden.
- „Datenschutzgesetze und -vorschriften“ bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) und ihrer Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs (zusammen „Europa“) und der Vereinigten Staaten und ihrer Bundesstaaten, die für die Verarbeitung persönlicher Daten im Rahmen des Hauptvertrags in seiner jeweils geänderten Fassung gelten.
- „Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die persönlichen Daten beziehen.
- „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), einschließlich der nach dem Recht des Vereinigten Königreichs umgesetzten oder angenommenen Fassung.
- „Persönliche Daten“ sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und (ii) eine identifizierte oder identifizierbare juristische Person beziehen (sofern diese Informationen nach den geltenden Datenschutzgesetzen und -vorschriften in ähnlicher Weise wie persönliche Daten oder personenbezogene Daten geschützt sind), wobei es sich bei diesen Daten jeweils um Kundendaten handelt.
- „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit persönlichen Daten wie das Erheben, das Aufzeichnen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Offenbarung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
- „Auftragsverarbeiter“ bezeichnet die juristische Person, die persönliche Daten im Auftrag des Verantwortlichen verarbeitet, gegebenenfalls einschließlich eines „Dienstleisters“, wie dieser Begriff im CCPA definiert ist.
- „Behörde“ bedeutet eine Regierungsbehörde oder eine Strafverfolgungsbehörde, einschließlich Justizbehörden.
- „Dienste“ bezeichnet die Dienste und anderen Aktivitäten, die von oder im Namen von iSpring oder seiner autorisierten verbundenen Unternehmen für den Kunden erbracht oder durchgeführt werden.
- „Standardvertragsklauseln“ sind die Standardvertragsklauseln für die Übermittlung persönlicher Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurde, wie sie derzeit unter https://eurlex.europa.eu/eli/dec_impl/2021/914/oj zu finden sind.
- „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter (einschließlich Dritter und eines verbundenen Unternehmens von iSpring, jedoch mit Ausnahme eines Mitarbeiters von iSpring oder einer seiner Unterauftragnehmer), der von oder im Namen von iSpring oder einem verbundenen Unternehmen beauftragt wurde, persönliche Daten im Namen des Kunden zu verarbeiten; und
- Das Wort „einschließen“ ist so zu verstehen, dass es ohne Einschränkung einschließt, und verwandte Begriffe sind entsprechend auszulegen.
-
In diesem DPA haben die folgenden Begriffe die unten angegebene Bedeutung und verwandte Begriffe sind entsprechend auszulegen:
-
Vollmacht
iSpring gewährleistet und sichert zu, dass der Abschluss dieses DPA durch iSpring als Vertreter für und im Namen des verbundenen Unternehmens von dem verbundenen Unternehmen von iSpring ordnungsgemäß und wirksam genehmigt (oder nachträglich ratifiziert) wurde, bevor ein verbundenes Unternehmen von iSpring Kundendaten im Namen des Kunden verarbeitet.
-
Verarbeitung von Kundendaten
-
Die Parteien verpflichten sich, die geltenden Datenschutzgesetze und -vorschriften einzuhalten.
- Der Kunde, als Verantwortlicher, beauftragt iSpring als Auftragsverarbeiter mit der Verarbeitung der Kundendaten im Namen des Kunden.
- Der Kunde bleibt für alle Erklärungen, Mitteilungen und Genehmigungen verantwortlich, die für die Verarbeitung der Kundendaten erforderlich sein können.
- Als Auftragsverarbeiter wird iSpring die Daten des Kunden nur im Auftrag des Kunden und unter Einhaltung der Anweisungen des Kunden verarbeiten.
-
iSpring und jedes verbundene Unternehmen von iSpring verpflichtet sich:
- bei der Verarbeitung von Kundendaten alle anwendbaren Datenschutzgesetze und -vorschriften einzuhalten; und
- Kundendaten nur auf dokumentierte Anweisung des Kunden zu verarbeiten, es sei denn, die Verarbeitung ist durch geltende Datenschutzgesetze und -vorschriften, denen der jeweilige Auftragsverarbeiter unterliegt, vorgeschrieben. In diesem Fall informiert iSpring oder das jeweilige verbundene Unternehmen von iSpring den Kunden, soweit dies nach den geltenden Datenschutzgesetzen und -vorschriften zulässig ist, vor der jeweiligen Verarbeitung dieser persönlichen Daten über diese rechtliche Anforderung.
-
Der Kunde:
-
beauftragt iSpring und jedes verbundene Unternehmen von iSpring (und ermächtigt iSpring und jedes verbundene
Unternehmen von iSpring, jeden Unterauftragsverarbeiter, der in Anhang 2 „Liste der Unterauftragsverarbeiter“
aufgeführt ist, und jeden anderen Unterauftragsverarbeiter, der von iSpring gemäß den Anforderungen in Abschnitt 6.4.
dieses DPA beauftragt wird):
- Kundendaten zu verarbeiten; und
- insbesondere Kundendaten in ein beliebiges Land oder Gebiet zu übertragen, soweit dies für die Bereitstellung der Produkte erforderlich ist. Eine Übermittlung persönlicher Daten in Drittländer darf nur erfolgen, wenn die Anforderungen der anwendbaren Datenschutzgesetze und -vorschriften entsprechend erfüllt sind; und
- garantiert und sichert zu, dass er zu allen relevanten Zeitpunkten ordnungsgemäß und wirksam bevollmächtigt ist und bleiben wird, die in Abschnitt 3.3.1 genannten Anweisungen zu erteilen.
-
beauftragt iSpring und jedes verbundene Unternehmen von iSpring (und ermächtigt iSpring und jedes verbundene
Unternehmen von iSpring, jeden Unterauftragsverarbeiter, der in Anhang 2 „Liste der Unterauftragsverarbeiter“
aufgeführt ist, und jeden anderen Unterauftragsverarbeiter, der von iSpring gemäß den Anforderungen in Abschnitt 6.4.
dieses DPA beauftragt wird):
- Einzelheiten der Verarbeitung. Gegenstand der Verarbeitung der persönlichen Daten durch iSpring ist die Bereitstellung der Produkte gemäß dem Hauptvertrag. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der persönlichen Daten und die Kategorien der betroffenen Personen, die im Rahmen dieses DPA verarbeitet werden, sind in Anhang 1 dieses DPA näher beschrieben. Der Kunde kann durch schriftliche Mitteilung an iSpring von Zeit zu Zeit angemessene Abänderungen an Anhang 1 vornehmen, wenn er dies für notwendig erachtet, um diese Anforderungen zu erfüllen. Keine der Bestimmungen in Anhang 1 (auch nicht in der gemäß diesem Abschnitt 4) geänderten Fassung verleiht einer Partei dieses Vertrags ein Recht oder erlegt ihr eine Verpflichtung auf.
-
Die Parteien verpflichten sich, die geltenden Datenschutzgesetze und -vorschriften einzuhalten.
-
Mitarbeiter von iSpring und den verbundenen Unternehmen von iSpring
iSpring und jedes verbundene Unternehmen von iSpring ergreifen angemessene Maßnahmen, um die Zuverlässigkeit von Mitarbeitern, Beauftragten oder Auftragnehmern des Auftragsverarbeiters, die Zugang zu den Kundendaten haben, sicherzustellen, wobei in jedem Fall gewährleistet wird, dass der Zugang streng auf die Personen beschränkt ist, die die relevanten Kundendaten kennen bzw. darauf zugreifen müssen, soweit dies für die Bereitstellung der Produkte unbedingt erforderlich ist, und um die geltenden Datenschutzgesetze und -vorschriften im Rahmen der Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.
-
Sicherheit
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen werden iSpring und jedes verbundene Unternehmen von iSpring in Bezug auf die Kundendaten angemessene technische und organisatorische Maßnahmen zum Schutz der Sicherheit (einschließlich des Schutzes vor unbefugter oder widerrechtlicher Verarbeitung und vor versehentlicher oder widerrechtlicher Zerstörung, Verlust oder Veränderung oder Beschädigung, unbefugter Weitergabe oder unbefugtem Zugriff auf die Kundendaten), Vertraulichkeit und Integrität der Kundendaten, wie in iSpring-Webdienste: Überblick über die Sicherheitsprozesse dargelegt, implementieren und aufrechterhalten. iSpring überwacht regelmäßig die Einhaltung dieser Maßnahmen. iSpring wird die Gesamtsicherheit der Produkte während der Laufzeit eines Abonnements nicht wesentlich verringern.
-
Unterverarbeitungen
- Der Kunde ermächtigt iSpring und jedes verbundene Unternehmen von iSpring (und ermächtigt jeden gemäß diesem Abschnitt 6 ernannten Unterauftragsverarbeiter) Unterauftragsverarbeiter gemäß diesem Abschnitt 6 zu ernennen.
- iSpring und jedes verbundene Unternehmen von iSpring können die von iSpring oder einem verbundenen Unternehmen von iSpring zum Datum dieses DPA bereits beauftragten Unterauftragsverarbeiter nutzen und neue Unterauftragsverarbeiter ernennen, sofern iSpring und jedes verbundene Unternehmen von iSpring in jedem Fall so bald wie möglich die in Abschnitt 3 genannten Verpflichtungen erfüllen.
- iSpring oder ein Verbundenes Unternehmen von iSpring hat mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abgeschlossen, der im Wesentlichen Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die des DPA in Bezug auf den Schutz der Kundendaten, soweit dies auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienste zutrifft.
- iSpring darf Unterauftragsverarbeiter nur mit vorheriger ausdrücklicher schriftlicher oder dokumentierter Einwilligung des Kunden beauftragen. Die iSpring ist verpflichtet, Unterauftragsverarbeiter sorgfältig nach ihrer Eignung und Zuverlässigkeit auszuwählen. Die iSpring muss Unterauftragsverarbeiter in Übereinstimmung mit den Bestimmungen dieser DPA beauftragen und sicherstellen, dass der Kunde seine Rechte aus dieser DPA (insbesondere seine Audit- und Kontrollrechte) direkt gegenüber den Unterauftragsverarbeitern ausüben kann.
- In dieser Hinsicht hat der Kunde bisher zugestimmt, die in Anhang 2 „Liste der Unterauftragsverarbeiter“ genannten Unterauftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung zu beauftragen, wie es die geltenden Datenschutzgesetze und -vorschriften erfordern.
- Wenn der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR erbringt, muss iSpring sicherstellen, dass der jeweilige Unterauftragsverarbeiter ein angemessenes Datenschutzniveau im Sinne von Art. 44 ff. DSGVO bietet.
-
Recht der betroffenen Person
- Unter Berücksichtigung der Art der Verarbeitung unterstützen iSpring und jedes verbundene Unternehmen von iSpring den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, um die Verpflichtungen des Kunden zu erfüllen, wie sie vom Kunden vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den geltenden Datenschutzgesetzen und -vorschriften zu reagieren.
-
iSpring wird:
- den Kunden unverzüglich benachrichtigen, wenn ein Auftragsverarbeiter eine Anfrage von einer betroffenen Person gemäß den geltenden Datenschutzgesetzen und -vorschriften in Bezug auf Kundendaten erhält; und
- sicherstellen, dass der Auftragsverarbeiter auf diese Anfrage nur auf dokumentierte Anweisungen des Kunden oder gemäß den geltenden Datenschutzgesetzen und -vorschriften, denen der Auftragsverarbeiter unterliegt, antwortet. In diesem Fall informiert iSpring den Kunden, soweit dies nach den geltenden Datenschutzgesetzen und -vorschriften zulässig ist, über diese rechtliche Anforderung, bevor der Auftragsverarbeiter auf die Anfrage antwortet.
-
Kundendatenpanne
- iSpring benachrichtigt den Kunden innerhalb von 24 (vierundzwanzig) Stunden, sobald iSpring oder ein Unterauftragsverarbeiter von der versehentlichen oder widerrechtlichen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem Zugriff auf übermittelte Kundendaten, einschließlich persönlicher Daten, Kenntnis erlangt, die von iSpring oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet wurden (die „Kundendatenpanne“) und die Kundendaten betreffen, und stellt dem Kunden ausreichende Informationen zur Verfügung, damit er seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Kundendatenpanne gemäß den geltenden Datenschutzgesetzen und -vorschriften nachkommen kann.
- iSpring arbeitet mit dem Kunden zusammen und unternimmt die vom Kunden angeordneten angemessenen kommerziellen Schritte, um bei der Untersuchung, Abschwächung und Behebung jeder Verletzung des Schutzes personenbezogener Daten zu helfen.
-
Datenschutz-Folgenabschätzung und Vorabkonsultation
- iSpring und jedes verbundene Unternehmen von iSpring unterstützen den Kunden in angemessener Weise bei Datenschutz-Folgenabschätzungen und Vorabkonsultationen mit Behörden oder anderen zuständigen Datenschutzbehörden, die der Kunde nach vernünftigem Ermessen aufgrund der geltenden Datenschutzgesetze und -vorschriften für erforderlich hält, in dem Fall ausschließlich in Bezug auf die Verarbeitung von Kundendaten durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.
-
Staatliche Auskunftsersuchen Anforderungen an iSpring. In ihrer Rolle als Auftragsverarbeiter ergreift
iSpring angemessene Maßnahmen
zum Schutz persönlicher Daten in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze und -vorschriften,
einschließlich der Umsetzung angemessener technischer und organisatorischer Sicherheitsvorkehrungen, um persönliche Daten
vor Eingriffen zu schützen, die über das hinausgehen, was in einer demokratischen Gesellschaft zum Schutz der nationalen
Sicherheit, der Verteidigung und der öffentlichen Sicherheit erforderlich ist. Wenn iSpring ein rechtsverbindliches
Ersuchen um Zugriff auf persönliche Daten von einer Behörde erhält, wird iSpring den Kunden unverzüglich benachrichtigen,
einschließlich einer Zusammenfassung der Art des Ersuchens, sofern dies nicht gesetzlich verboten ist. Soweit es iSpring
gesetzlich untersagt ist, eine solche Benachrichtigung zu übermitteln, bemüht sich iSpring in wirtschaftlich vertretbarem
Umfang um eine Aufhebung des Verbots, um iSpring in die Lage zu versetzen, so viele Informationen wie möglich so schnell
wie möglich zu übermitteln. Darüber hinaus wird iSpring das Ersuchen anfechten, wenn sie nach sorgfältiger Beurteilung zu
dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen widerrechtlich ist. iSpring wird die
Möglichkeiten der Berufung nutzen. Bei der Anfechtung eines Ersuchens strebt iSpring einstweilige Maßnahmen an, um die
Auswirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden
hat. iSpring verpflichtet sich, die angeforderten persönlichen Daten erst dann zu offenbaren, wenn sie nach den geltenden
Verfahrensregeln dazu verpflichtet sind. iSpring verpflichtet sich, bei der Beantwortung eines Offenbarungsersuchens das
zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu
stellen. iSpring wird den Kunden unverzüglich benachrichtigen, wenn iSpring von einem direkten Zugriff einer Behörde auf
persönliche Daten Kenntnis erlangt, und iSpring in diesem Zusammenhang verfügbare Informationen zur Verfügung stellen,
soweit dies gesetzlich zulässig ist. Um Zweifel auszuschließen, verpflichtet diese DPA iSpring nicht zu Handlungen oder
Unterlassungen, die zivil- oder strafrechtliche Folgen für iSpring haben könnten, wie z. B. Missachtung des Gerichts.
Anforderungen an Unterauftragsverarbeiter. iSpring stellt sicher, dass Unterauftragsverarbeiter, die an der Verarbeitung von persönlichen Daten beteiligt sind, den entsprechenden Verpflichtungen in Bezug auf staatliche Auskunftsersuchen in den Standardvertragsklauseln unterliegen.
-
Löschung oder Rückgabe von Kundendaten
- Vorbehaltlich der Abschnitte 10.2 und 10.3 sind iSpring und jedes verbundene Unternehmen von iSpring verpflichtet, unverzüglich und in jedem Fall innerhalb von dreißig (30) Tagen nach dem Datum der Beendigung von Produkten, die die Verarbeitung von Kundendaten beinhalten (das „Beendigungsdatum“), alle Kopien dieser Kundendaten zu löschen und für ihre Löschung zu sorgen.
- Vorbehaltlich des Abschnitts 10.3 kann der Kunde nach eigenem Ermessen durch schriftliche Mitteilung an iSpring innerhalb von dreißig (30) Tagen nach dem Beendigungsdatum von iSpring und jedem verbundenen Unternehmen von iSpring verlangen, (a) eine vollständige Kopie aller Kundendaten an den Kunden durch sichere Dateiübertragung in einem Format zurückzugeben, das der Kunde iSpring in angemessener Weise mitteilt; und (b) alle anderen Kopien von Kundendaten, die von einem Auftragsverarbeiter verarbeitet wurden, zu löschen und deren Löschung zu veranlassen. iSpring und jedes verbundene Unternehmen von iSpring werden einer solchen schriftlichen Aufforderung innerhalb von dreißig (30) Tagen nach dem Beendigungsdatum nachkommen.
- Jeder Auftragsverarbeiter darf Kundendaten nur in dem Umfang und für die Dauer aufbewahren, wie es die geltenden Datenschutzgesetze und -vorschriften vorschreiben, und immer unter der Voraussetzung, dass iSpring und jedes verbundene Unternehmen von iSpring die Vertraulichkeit all dieser Kundendaten gewährleistet und sicherstellt, dass diese Kundendaten nur so verarbeitet werden, wie es für den/die in den geltenden Datenschutzgesetzen und -vorschriften festgelegten Zweck(e), die ihre Speicherung erfordern, notwendig ist, und für keinen anderen Zweck.
-
Auditrechte
- Vorbehaltlich des Abschnitts 11.2 stellen iSpring und jedes verbundene Unternehmen von iSpring dem Kunden auf schriftliche Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses DPA nachzuweisen, und ermöglichen und beteiligen sich an einer (1) Fernprüfung während des laufenden Kalenderjahres durch den Kunden oder einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung der Kundendaten durch die Auftragsverarbeiter und tragen dazu bei.
- Informations- und Auditrechte des Kunden ergeben sich nur gemäß Abschnitt 11.1 soweit der Hauptvertrag ihm nicht anderweitig Informations- und Auditrechte einräumt, die den einschlägigen Anforderungen der anwendbaren Datenschutzgesetze und -vorschriften (einschließlich, soweit anwendbar, Artikel 28(3)(h) der DSGVO) entsprechen.
-
Internationale Übertragungen
- Der Kunde ermächtigt iSpring, Kundendaten zu übertragen, wenn dies für die Bereitstellung von Produkten für den Kunden unbedingt erforderlich ist. Zum Datum des Inkrafttretens des Hauptvertrags hat iSpring keinen Grund zu der Annahme, dass die Gesetze und Praktiken in einem Bestimmungsdrittland, die auf die Verarbeitung der persönlichen Daten anwendbar sind, iSpring daran hindern, seine Verpflichtungen aus diesem DPA zu erfüllen. Wenn iSpring Grund zu der Annahme hat, dass bestehende oder zukünftige Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der persönlichen Daten anwendbar sind („lokale Gesetze“), iSpring daran hindern, seine Verpflichtungen gemäß diesem DPA zu erfüllen, wird iSpring den Kunden unverzüglich informieren. In einem solchen Fall wird sich iSpring in angemessener Weise bemühen, eine wirtschaftlich sinnvolle Änderung der Konfiguration oder Nutzung der Produkte durch den Kunden zu empfehlen, um die Einhaltung der lokalen Gesetze zu erleichtern, ohne den Kunden unangemessen zu belasten.
-
Europaspezifische Bestimmungen DSGVO. iSpring verarbeitet persönliche Daten in Übereinstimmung mit den
Anforderungen der DSGVO, die für die Bereitstellung der Produkte von iSpring unmittelbar gelten.
Anweisungen des Kunden iSpring wird den Kunden unverzüglich informieren, (i) wenn eine Anweisung des Kunden seiner Ansicht nach einen Verstoß gegen die DSGVO darstellt und/oder (ii) wenn iSpring nicht in der Lage ist, die Anweisungen des Kunden zur Verarbeitung persönlicher Daten zu befolgen.
Transfermechanismen für Datenübertragungen. Wenn bei der Ausführung der Produkte persönliche Daten, die der DSGVO oder einem anderen in Europa geltenden Gesetz zum Schutz der Privatsphäre von Personen unterliegen, in Länder außerhalb Europas übertragen werden, die kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzgesetze und -vorschriften gewährleisten, gelten die in den Standardvertragsklauseln aufgeführten Übertragungsmechanismen für solche Übertragungen und können von den Parteien direkt durchgesetzt werden, soweit diese Übertragungen den europäischen Datenschutzgesetzen und -vorschriften unterliegen.
-
Allgemeine Begriffe
Geltendes Recht und Gerichtsbarkeit
-
Unbeschadet der Klauseln 7 (Schlichtung und Gerichtsstand) und 9 (Anwendbares Recht) der Standardvertragsklauseln:
- unterwerfen sich die Parteien dieses DPA hiermit der im Hauptvertrag festgelegten Gerichtsstandsvereinbarung in Bezug auf alle Streitigkeiten oder Ansprüche, die sich aus diesem DPA ergeben, einschließlich Streitigkeiten über dessen Bestehen, Gültigkeit oder Beendigung oder die Folgen ihrer Nichtigkeit; und
- unterliegen diesem DPA und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder in Verbindung mit ihr ergeben, dem Recht des Landes oder Gebiets, das zu diesem Zweck im Hauptvertrag festgelegt wurde;
- gelten, wenn der Hauptvertrag nicht dem Recht eines EU-Mitgliedstaates unterliegt, für die Standardvertragsklauseln entweder (i) die Gesetze Finnlands; oder (ii) wenn der Vertrag dem Recht des Vereinigten Königreichs unterliegt, die Gesetze des Vereinigten Königreichs.
Rangfolge
- Nichts in diesem DPA schränkt die Verpflichtungen von iSpring oder eines verbundenen Unternehmens von iSpring im Rahmen des Hauptvertrags in Bezug auf den Schutz persönlicher Daten ein oder erlaubt iSpring oder einem verbundenen Unternehmen, persönliche Daten in einer Weise zu verarbeiten (oder deren Verarbeitung zuzulassen), die durch den Hauptvertrag verboten ist. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen diesem DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.
-
Vorbehaltlich Abschnitt 13.2 haben im Hinblick auf den Gegenstand dieses DPA im Falle von Widersprüchen zwischen den
Bestimmungen dieses DPA und anderen Verträgen zwischen den Parteien, einschließlich des Hauptvertrags und einschließlich
(sofern nicht ausdrücklich schriftlich anders vereinbart und im Namen der Parteien unterzeichnet) der Verträge, die nach dem
Datum dieses DPA abgeschlossen wurden oder angeblich abgeschlossen wurden, die Bestimmungen dieses DPA Vorrang.
Abtrennung
- Sollte eine Bestimmung dieses DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses DPA gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung ist entweder (i) so abzuändern, dass ihre Wirksamkeit und Durchführbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich gewahrt bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchführbare Teil nie enthalten gewesen wäre.
-
Unbeschadet der Klauseln 7 (Schlichtung und Gerichtsstand) und 9 (Anwendbares Recht) der Standardvertragsklauseln:
Liste der Anhänge
Anhang 1: Einzelheiten zur Verarbeitung von Kundendaten
Anhang 2: Liste der Unterauftragsverarbeiter
ANHANG 1: EINZELHEITEN ZUR VERARBEITUNG VON KUNDENDATEN
Dieser Anhang 1 enthält bestimmte Einzelheiten über die Verarbeitung von Kundendaten.
Gegenstand und Dauer der Verarbeitung von Kundendaten
Der Gegenstand und die Dauer der Verarbeitung der persönlichen Daten des Kunden sind im Hauptvertrag und in diesem DPA festgelegt.
Art und Zweck der Verarbeitung von Kundendaten
Hosting, Zwischenspeichern, Weiterleiten, Übertragen, Speichern, Kopieren, Ausführen, Anzeigen, Löschen von persönlichen Daten des Kunden für die Erbringung der Dienste für den Kunden gemäß dem Hauptvertrag.
Kategorien der betroffenen Personen, auf die sich die Kundendaten beziehen
Der Kunde kann persönliche Daten an die Produkte übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die persönliche Daten der folgenden Kategorien von betroffenen Personen umfassen können, aber nicht darauf beschränkt sind:
- Interessenten, Kunden, Geschäftspartner und Verkäufer des Kunden (die natürliche Personen sind);
- Mitarbeiter oder Kontaktpersonen von Interessenten, Kunden, Geschäftspartnern und Verkäufern des Kunden;
- Mitarbeiter, Vertreter, Berater, Freiberufler des Kunden (die natürliche Personen sind);
- Benutzer des Kunden, die vom Kunden zur Nutzung der Produkte autorisiert wurden.
Kategorien der übermittelten persönlichen Daten
Der Kunde kann persönliche Daten an die Produkte übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die die folgenden Kategorien persönlicher Daten umfassen können, aber nicht darauf beschränkt sind:
- Vor- und Nachname
- Titel
- Position
- Kontaktinformationen (Unternehmen, E-Mail, Telefon)
Übermittlung sensibler Daten (nicht zutreffend)
Übermittlungen durch Unterauftragsverarbeiter
Der Unterauftragsverarbeiter verarbeitet die persönlichen Daten, die für die Bereitstellung der Produkte gemäß dem Hauptvertrag erforderlich sind, für die Dauer des Hauptvertrags, sofern nichts anderes schriftlich vereinbart wurde.
Die Pflichten und Rechte des Kunden und der mit ihm verbundenen Unternehmen
Die Pflichten und Rechte des Kunden und der verbundenen Unternehmen des Kunden sind im Hauptvertrag und in diesem DPA dargelegt.
Technische und organisatorische Maßnahmen
iSpring unterhält administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der persönlichen Daten, die auf iSpring-Produkte hochgeladen werden, wie in iSpring-Webdienste: Überblick über die Sicherheitsprozesse für die vom Kunden erworbenen iSpring-Webdienste beschrieben. Anfragen betroffener Personen werden gemäß Abschnitt 7 dieses DPA behandelt.
ANHANG 2: LISTE DER UNTERAUFTRAGSVERARBEITER
ERLÄUTERUNG:
Dieser Anhang ist für die Module zwei und drei der Standardvertragsklauseln auszufüllen, falls Unterauftragsverarbeiter gesondert zugelassen werden sollen (Klausel 9(a), Option 1).
Der Verantwortliche hat die Nutzung der folgenden Unterauftragsverarbeiter genehmigt:
-
SendGrid, Inc.
Adresse: 889 Winslow St, Redwood City, CA 94063, USA
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter genehmigt sind): E-Mail-Dienste.
-
Amazon Web Services, Inc.
Adresse: Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter genehmigt sind): iSpring Datenzentrum.
-
Ringcentral, Inc.
Adresse: 20 Davis Dr, Belmont, CA 94002, USA
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter genehmigt sind): Kommunikationsdienste.
-
First Colo GmBH
Adresse: Kruppstraße 105, 60388 Frankfurt am Main, Deutschland
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter beauftragt werden) Datenzentrum.
-
Avoxi, Inc.
Adresse: 1000 Circle 75 Parkway, Suite 500, Atlanta GA 30339, USA
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Kommunikationsdienste.
-
Telephonic Solutions OU
Adresse: Harju maakond, Tallinn, Kesklinna linnaosa, Narva mnt 5, 10117, Estland
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Kommunikationsdienste.
-
Liquid Web, LLC
Adresse: 2703 Ena Dr. Lansing, MI 48917, US
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Datenzentrum.
-
Leaseweb USA, Inc.
Adresse: 9301 Innovation Drive / Suite 100 Manassas, VA 20110
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind): Datenzentrum.