Zuletzt geändert: 11. November 2024
Diese Datenverarbeitungsvereinbarung ("Vereinbarung") ist Teil des Rahmenvertrags für Dienstleistungen ("Hauptvertrag"), wird mit Wirkung vom Datum der Unterzeichnung des Hauptvertrags verbindlicher Bestandteil des Hauptvertrags und wird geschlossen zwischen Ihnen ("Unternehmen“) und der Filestage GmbH mit Sitz in Lautenschlagerstraße 16, 70173 Stuttgart, Deutschland ("Datenverarbeiter"), gemeinsam als die "Parteien" bezeichnet.
WENN
A. Das Unternehmen handelt als Datenverantwortlicher.
B. Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.
C. Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
D. Die Vertragsparteien wollen ihre Rechte und Pflichten festschreiben.
WIRD WIE FOLGT VEREINBART:
1. Definitionen und Auslegung
1.1. Sofern hierin nicht anders definiert, haben die in dieser Vereinbarung verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:
1.1.1. "Vertrag" bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge.
1.1.2. "Verbundenes Unternehmen" bedeutet ein Unternehmen, das sich im Besitz oder unter der Kontrolle des Unternehmens befindet, das sich im Besitz oder unter der Kontrolle des Unternehmens befindet oder mit dem Unternehmen unter gemeinsamer Kontrolle oder im Besitz des Unternehmens steht, wobei Kontrolle definiert ist als der direkte oder indirekte Besitz der Macht, die Leitung und die Politik eines Unternehmens zu bestimmen oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise.
1.1.3. "Personenbezogene Daten des Unternehmens" sind alle personenbezogenen Daten, die der Auftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag und gemäß den Anweisungen des Unternehmens verarbeitet.
1.1.4. "Datenschutzgesetze" bedeutet EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder.
1.1.5. "EWR" bezeichnet den Europäischen Wirtschaftsraum.
1.1.6. "EU-Datenschutzgesetze" bezeichnet die EU-Richtlinie 95/46/EG, wie sie in den einzelnen Mitgliedstaaten in nationales Recht umgesetzt wurde und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO.
1.1.7. "GDPR" bezeichnet die EU-Datenschutzgrundverordnung 2016/679.
1.1.8. "Datenübermittlung" bedeutet:
1.1.8.1. eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an den Auftragsverarbeiter; oder
1.1.8.2. eine Weitergabe von personenbezogenen Daten des Unternehmens:
1.1.8.2.1. vom Auftragsverarbeiter an einen Unterauftragsverarbeiter; oder
1.1.8.2.2. zwischen mehreren Niederlassungen des Verarbeiters oder Unterprozessors.
1.1.9. "Personenbezogene Daten" sind alle Informationen, die gemäß den Datenschutzgesetzen als "personenbezogene Informationen" oder "personenbezogene Daten" definiert sind, einschließlich Daten:
1.1.9.1. die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; oder
1.1.9.2. die eine bestimmte Person oder einen bestimmten Haushalt identifiziert, sich auf sie bezieht, sie beschreibt, mit ihr in Verbindung gebracht werden kann oder vernünftigerweise direkt oder indirekt mit ihr in Verbindung gebracht werden könnte, unabhängig von den Medien, in denen sie aufbewahrt werden, die sein können:
1.1.9.2.1. jederzeit vom Auftragsverarbeiter im Vorgriff auf, in Verbindung mit oder im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen des Hauptvertrags und dieser DPA verarbeitet werden; oder
1.1.9.2.2. die der Auftragsverarbeiter aus diesen Informationen ableitet.
1.1.10. "Dienstleistungen" sind die vom Auftragsverarbeiter gemäß der Hauptvereinbarung erbrachten Dienstleistungen.
1.1.11. "Standardvertragsklauseln" bezeichnet die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, deren genehmigte Fassung im Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 enthalten ist.
1.1.12. "Unterauftragsverarbeiter" bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Namen beauftragt wird, personenbezogene Daten im Namen des Unternehmens in Verbindung mit dem Vertrag zu verarbeiten.
1.1.13. Die Begriffe "Kommission", "für die Verarbeitung Verantwortlicher", "betroffene Person", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Verarbeitung" und "Aufsichtsbehörde" haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung, und ihre verwandten Begriffe sind entsprechend auszulegen.
2. Verarbeitung von Unternehmensdaten
2.1. Der Verarbeiter muss:
2.1.1. bei der Verarbeitung personenbezogener Daten des Unternehmens alle geltenden Datenschutzgesetze einhalten;
2.1.2. die personenbezogenen Daten des Unternehmens nur auf dokumentierte Anweisung des Unternehmens zu verarbeiten, es sei denn, die Verarbeitung ist durch anwendbare Gesetze, denen der Auftragsverarbeiter unterliegt, vorgeschrieben; in diesem Fall muss der Auftragsverarbeiter, soweit dies nach den anwendbaren Gesetzen zulässig ist, das Unternehmen vor der entsprechenden Verarbeitung der personenbezogenen Daten über diese gesetzliche Anforderung informieren;
2.1.3. die Vertraulichkeit aller personenbezogenen Daten zu wahren, sie an niemanden zu verkaufen und sie nicht an Dritte weiterzugeben, es sei denn, das Unternehmen oder diese Vereinbarung genehmigen die Weitergabe ausdrücklich oder dies ist gesetzlich vorgeschrieben. Wenn der Auftragsverarbeiter gesetzlich verpflichtet ist, personenbezogene Daten zu verarbeiten oder offenzulegen, muss der Auftragsverarbeiter das Unternehmen zunächst über die gesetzliche Anforderung informieren und dem Unternehmen die Möglichkeit geben, der Anforderung zu widersprechen oder sie anzufechten, es sei denn, das Gesetz verbietet eine solche Mitteilung;
2.1.4. das Unternehmen in angemessener Weise bei der Erfüllung der Verpflichtungen des Unternehmens gemäß den Anforderungen an den Schutz der Privatsphäre und den Datenschutz zu unterstützen, wobei die Art der Verarbeitung durch den Auftragsverarbeiter und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind;
2.1.5. das Unternehmen unverzüglich über alle Änderungen der Anforderungen an den Schutz der Privatsphäre und den Datenschutz zu informieren, die sich nachteilig auf die Erfüllung des Hauptvertrags und dieses Vertrags durch den Auftragsverarbeiter auswirken können; und
2.1.6. Wenn zusätzliche Anforderungen an die Verarbeitung (einschließlich der Übertragung) für eine bestimmte Rechtsordnung erforderlich sind, damit die Verarbeitung durch den Auftragsverarbeiter oder seine bevollmächtigten Unterauftragsverarbeiter mit dem geltenden Recht in Einklang steht, verhandeln der Auftragsverarbeiter und das Unternehmen in gutem Glauben über eine Änderung dieser Vereinbarung, um solche Anforderungen aufzunehmen und diese Bestimmungen entsprechend umzusetzen.
2.2. Das Unternehmen:
2.2.1. weist den Auftragsverarbeiter an (und ermächtigt ihn, die einzelnen Unterauftragsverarbeiter anzuweisen):
2.2.1.1. Persönliche Daten des Unternehmens verarbeiten; und
2.2.1.2. insbesondere personenbezogene Daten des Unternehmens in ein beliebiges Land oder Gebiet zu übermitteln, sofern es sich um ein Land handelt, das ein angemessenes Schutzniveau gemäß dem in den geltenden Datenschutzgesetzen festgelegten Standard bietet, oder wenn Garantien vorhanden sind, die ein angemessenes Schutzniveau gewährleisten, wie z. B. Standardvertragsklauseln, die von der jeweiligen Regierung oder den beauftragten Stellen genehmigt wurden, oder wenn die Übermittlung anderweitig nach dem Datenschutzgesetz zulässig ist,
in dem Umfang und in der Weise, wie es für die Erbringung der Dienstleistungen vernünftigerweise erforderlich und mit dem Hauptvertrag vereinbar ist;
2.2.2 gewährleistet und sichert zu, dass er ordnungsgemäß und wirksam bevollmächtigt ist und, sofern er dem Auftragsverarbeiter nicht schriftlich das Gegenteil mitteilt, auch weiterhin bevollmächtigt sein wird, die in Abschnitt 2.2.1 aufgeführten Anweisungen im Namen jedes betreffenden verbundenen Unternehmens zu erteilen; und
2.2.3 behält die Kontrolle über die personenbezogenen Daten des Unternehmens und bleibt verantwortlich für die Einhaltung seiner Verpflichtungen gemäß den geltenden Datenschutzbestimmungen, einschließlich der Bereitstellung aller erforderlichen Mitteilungen und der Einholung aller erforderlichen Zustimmungen sowie für die Verarbeitungsanweisungen, die er dem Auftragsverarbeiter erteilt.
3. Personal des Verkäufers
3.1. Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer des Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben, sicherzustellen, wobei er in jedem Fall gewährleistet, dass der Zugang strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen/auf sie zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei er sicherstellt, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.
4. Sicherheit
4.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen gemäß Anhang 1 dieser Vereinbarung zu ergreifen, umzusetzen und zu betreiben, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der Datenschutzgrundverordnung genannten Maßnahmen.
4.2. Bei der Bewertung des angemessenen Sicherheitsniveaus hat der Auftragsverarbeiter die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.
5. Weiterverarbeitung
5.1. Das Unternehmen ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter im Einklang mit diesem Abschnitt 5 und etwaigen Einschränkungen im Hauptvertrag zu ernennen.
5.2. Das Unternehmen ermächtigt jeden ernannten Unterauftragsverarbeiter, Unterauftragsverarbeiter in Übereinstimmung mit diesem Abschnitt 5 und etwaigen Einschränkungen in der Hauptvereinbarung zu ernennen.
5.3. Der Auftragsverarbeiter kann die in Anhang 2 genannten Unterauftragsverarbeiter weiterhin einsetzen und neue Unterauftragsverarbeiter hinzufügen, sofern er die in den Abschnitten 5.4 und 5.5 genannten Verpflichtungen in jedem Fall so bald wie möglich erfüllt.
5.4. Der Auftragsverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter die Verpflichtungen aus den anwendbaren Abschnitten dieser Vereinbarung erfüllt, die für die von diesem Unterauftragsverarbeiter durchgeführte Verarbeitung personenbezogener Unternehmensdaten gelten, als ob er anstelle des Auftragsverarbeiters Vertragspartei dieser Vereinbarung wäre.
5.5. Bevor der Auftragsverarbeiter einen neuen Unterauftragsverarbeiter ersetzt oder hinzufügt, unterrichtet er das Unternehmen in angemessener Weise über diese Ersetzung oder Hinzufügung und gibt ihm Gelegenheit zum Einspruch.
6. Rechte der betroffenen Person
6.1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, die nach vernünftigem Ermessen des Unternehmens bestehen, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
6.2. Der Verarbeiter muss:
6.2.1. das Unternehmen unverzüglich zu benachrichtigen, wenn der Auftragsverarbeiter eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf die personenbezogenen Daten des Unternehmens erhält; und
6.2.2. sicherstellen, dass der Auftragsverarbeiter auf diese Anfrage nur auf dokumentierte Anweisungen des Unternehmens oder des betreffenden verbundenen Unternehmens antwortet oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt; in diesem Fall informiert der Auftragsverarbeiter das Unternehmen, soweit dies nach den geltenden Gesetzen zulässig ist, über diese rechtliche Anforderung, bevor er auf die Anfrage antwortet.
6.3. Das Unternehmen muss:
6.3.1. den Auftragsverarbeiter unverzüglich zu benachrichtigen, wenn das Unternehmen eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf die personenbezogenen Daten des Unternehmens erhält;
6.3.2. Unterstützung des Auftragsverarbeiters, soweit dies zur Erfüllung des Antrags der betroffenen Person erforderlich ist.
7. Verletzung des Schutzes personenbezogener Daten
7.1. Der Auftragsverarbeiter hat das Unternehmen unverzüglich zu benachrichtigen, wenn er oder ein Unterauftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die personenbezogene Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2. Der Auftragsverarbeiter arbeitet mit dem Unternehmen zusammen und ergreift auf Anweisung des Unternehmens angemessene kommerzielle Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
7.3. Das Unternehmen arbeitet mit dem Auftragsverarbeiter zusammen und ergreift auf Anweisung des Auftragsverarbeiters angemessene kommerzielle Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
8.1. Der Auftragsverarbeiter unterstützt das Unternehmen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar in jedem Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch den Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter vorliegenden Informationen.
9. Löschung oder Rückgabe von personenbezogenen Daten des Unternehmens
9.1. Vorbehaltlich der Abschnitte 9.2 und 9.3 ist der Auftragsverarbeiter verpflichtet, nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das "Beendigungsdatum"), unverzüglich alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und für ihre Löschung zu sorgen, es sei denn, geltende Datenschutzgesetze oder andere Vorschriften verlangen etwas anderes.
9.2. Vorbehaltlich Abschnitt 9.3 kann das Unternehmen nach eigenem Ermessen durch schriftliche Mitteilung an den Auftragsverarbeiter innerhalb von 30 Tagen nach dem Beendigungsdatum verlangen, dass der Auftragsverarbeiter:
9.2.1. eine vollständige Kopie aller personenbezogenen Daten des Unternehmens in einem Format, das das Unternehmen dem Auftragsverarbeiter in angemessener Weise mitteilt, sicher an das Unternehmen zurückschicken; und
9.2.2. alle anderen Kopien der vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten des Unternehmens zu löschen und deren Löschung zu veranlassen. Der Auftragsverarbeiter muss einer solchen schriftlichen Aufforderung innerhalb von 30 Tagen nach dem Beendigungsdatum nachkommen, es sei denn, geltende Datenschutzgesetze oder andere Vorschriften verlangen etwas anderes.
9.3. Der Auftragsverarbeiter darf personenbezogene Daten des Unternehmens in dem von den geltenden Gesetzen geforderten Umfang und nur in dem von den geltenden Gesetzen geforderten Umfang und Zeitraum aufbewahren, immer unter der Voraussetzung, dass der Auftragsverarbeiter die Vertraulichkeit aller personenbezogenen Daten des Unternehmens gewährleistet und sicherstellt, dass diese personenbezogenen Daten des Unternehmens nur in dem Maße verarbeitet werden, wie es für den/die in den geltenden Gesetzen, die ihre Speicherung vorschreiben, angegebenen Zweck/e erforderlich ist, und für keinen anderen Zweck.
9.4. Auf schriftliche Aufforderung des Unternehmens hat der Auftragsverarbeiter dem Unternehmen innerhalb von 30 Tagen nach dem Beendigungsdatum schriftlich zu bescheinigen, dass er die Bestimmungen dieses Abschnitts 9 vollständig eingehalten hat.
10. Prüfungsrechte
10.1. Innerhalb von dreißig (30) Arbeitstagen nach schriftlicher Aufforderung durch das Unternehmen und nicht öfter als einmal pro Jahr und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen stellt der Auftragsverarbeiter dem Unternehmen (oder einem einvernehmlich bestimmten Drittprüfer) die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um nachzuweisen, dass der Auftragsverarbeiter die in dieser Vereinbarung festgelegten Verpflichtungen einhält.
11. Datenübertragung
11.1. Der Auftragsverarbeiter kann personenbezogene Daten des Unternehmens in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Wenn personenbezogene Daten des Unternehmens, die im Rahmen dieser Vereinbarung verarbeitet werden, von einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übertragen werden, muss der Auftragsverarbeiter sicherstellen, dass die personenbezogenen Daten des Unternehmens ein angemessenes Schutzniveau haben, wie es durch die in den geltenden Datenschutzgesetzen definierten Standards festgelegt ist, oder dass Schutzmaßnahmen vorhanden sind, um ein angemessenes Schutzniveau zu gewährleisten, wie z. B. Standardvertragsklauseln, die von der zuständigen Regierung oder den beauftragten Stellen genehmigt wurden, oder dass die Übertragung anderweitig nach dem Datenschutzrecht zulässig ist.
12. Allgemeine Begriffe
12.1. Vertraulichkeit
Jede Partei muss diese Vereinbarung und die Informationen, die sie im Zusammenhang mit dieser Vereinbarung über die andere Partei und deren Geschäfte erhält ("vertrauliche Informationen"), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, es handelt sich um:
12.1.1. die Offenlegung gesetzlich vorgeschrieben ist;
12.1.2. die betreffenden Informationen zum Zeitpunkt der Offenlegung allgemein zugänglich und der Öffentlichkeit bekannt sind oder werden, ohne dass dies direkt oder indirekt auf einen Verstoß des Empfängers oder eines seiner Vertreter gegen diese Vereinbarung zurückzuführen ist;
12.1.3. zum Zeitpunkt der Offenlegung die betreffenden Informationen dem Empfänger auf nicht vertraulicher Basis von einer dritten Quelle zur Verfügung stehen oder später zur Verfügung gestellt werden, vorausgesetzt, dass diese dritte Partei nicht durch eine gesetzliche, treuhänderische oder vertragliche Verpflichtung gegenüber der offenlegenden Partei daran gehindert ist oder war, diese vertraulichen Informationen dem Empfänger offenzulegen;
12.1.4. die betreffenden Informationen dem Empfänger oder seinen Vertretern bekannt waren oder sich in ihrem Besitz befanden, wie durch Belege nachgewiesen wird, bevor sie von der offenlegenden Partei oder in ihrem Namen im Rahmen dieser Vereinbarung offengelegt wurden; oder
12.1.5. die betreffenden Informationen wurden oder werden vom Empfänger unabhängig entwickelt, wie durch Unterlagen nachgewiesen wird, ohne dass auf vertrauliche Informationen der offenlegenden Partei Bezug genommen oder diese ganz oder teilweise verwendet wurden.
12.2. Notizen
12.2.1. Alle Mitteilungen und Bekanntmachungen im Rahmen dieses Abkommens bedürfen der Schriftform. Sie werden persönlich zugestellt, per Post oder per E-Mail an die in der Überschrift dieses Abkommens angegebene Anschrift oder E-Mail-Adresse bzw. an eine andere, von den Vertragsparteien von Zeit zu Zeit mitgeteilte Anschrift übermittelt.
12.3. Geltendes Recht und Gerichtsstand
12.3.1. Die Vertragsparteien unterwerfen sich hiermit der im Hauptvertrag festgelegten Gerichtsstandsvereinbarung für alle Streitigkeiten oder Ansprüche, die sich aus diesem Vertrag ergeben, einschließlich Streitigkeiten über seinen Bestand, seine Gültigkeit oder seine Beendigung oder die Folgen seiner Nichtigkeit; und
12.3.2. Dieser Vertrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, unterliegen dem Recht des Landes oder Gebiets, das zu diesem Zweck im Hauptvertrag festgelegt wurde.
12.4. Vorrangige Reihenfolge
12.4.1. Keine Bestimmung dieser Vereinbarung schränkt die Verpflichtungen des Auftragsverarbeiters aus der Hauptvereinbarung in Bezug auf den Schutz der personenbezogenen Daten des Unternehmens ein oder erlaubt dem Auftragsverarbeiter, personenbezogene Daten des Unternehmens in einer Weise zu verarbeiten (oder deren Verarbeitung zuzulassen), die nach der Hauptvereinbarung verboten ist. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser Vereinbarung und der Hauptvereinbarung hat die Hauptvereinbarung Vorrang.
12.4.2. Vorbehaltlich des Abschnitts 12.4.1. sind im Falle von Widersprüchen zwischen den Bestimmungen dieses Vertrags und anderen Vereinbarungen zwischen den Parteien, einschließlich des Hauptvertrags und einschließlich (sofern nicht ausdrücklich schriftlich und im Namen der Parteien unterzeichnet anders vereinbart) der nach dem Datum dieses Vertrags geschlossenen oder angeblich geschlossenen Vereinbarungen, die Bestimmungen dieses Vertrags maßgebend.
12.5. Änderungen der Datenschutzgesetze, etc.
12.5.1. Das Unternehmen kann weitere Änderungen dieser Vereinbarung vorschlagen, die es nach vernünftigem Ermessen für erforderlich hält, um die Anforderungen der Datenschutzgesetze zu erfüllen.
12.5.2. Wenn das Unternehmen eine Mitteilung gemäß Abschnitt 12.5.1 macht, erörtern die Parteien unverzüglich die vorgeschlagenen Änderungen und verhandeln nach Treu und Glauben mit dem Ziel, diese oder alternative Änderungen zu vereinbaren und umzusetzen, um die in der Mitteilung des Unternehmens genannten Anforderungen so bald wie möglich zu erfüllen.
12.5.3. Weder das Unternehmen noch der Auftragsverarbeiter benötigen die Zustimmung oder Genehmigung eines verbundenen Unternehmens, um diese Vereinbarung gemäß diesem Abschnitt 12.5 oder anderweitig zu ändern.
12.6. Abfindung
12.6.1. Sollte eine Bestimmung dieser Vereinbarung ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser Vereinbarung gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung soll entweder:
12.6.1.1. so geändert werden, dass ihre Gültigkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich oder, falls dies nicht möglich ist, beibehalten werden,
12.6.1.2. so auszulegen, als ob der unwirksame oder undurchführbare Teil nie darin enthalten gewesen wäre.
12.7. Sprache
12.7.1. Unabhängig von der Sprache, in die dieses Abkommen übersetzt werden kann, ist die offizielle, kontrollierende und maßgebliche Fassung dieses Abkommens ausschließlich die englische Fassung.
Anhang 1: Technische und organisatorische Kontrollen
Organisatorische Kontrollen
Eine Politik zum Schutz der Privatsphäre und der Sicherheit von Informationen (IPS) und themenspezifische Politiken werden festgelegt, von der Geschäftsleitung genehmigt, veröffentlicht, dem betreffenden Personal und den interessierten Kreisen mitgeteilt und von diesen zur Kenntnis genommen und in geplanten Abständen sowie bei wesentlichen Änderungen überprüft.
Die Aufgaben und Zuständigkeiten des IPS werden festgelegt und zugewiesen.
Sich widersprechende Aufgaben und Zuständigkeitsbereiche sind zu trennen.
Das Management verlangt von allen Mitarbeitern, dass sie IPS gemäß der festgelegten IPS-Politik, den themenspezifischen Richtlinien und Verfahren anwenden.
Der Kontakt zu den Behörden muss hergestellt und aufrechterhalten werden.
Es werden Kontakte zu speziellen Interessengruppen oder anderen spezialisierten Sicherheitsforen und Berufsverbänden hergestellt und gepflegt.
Informationen über IPS-Bedrohungen werden gesammelt und analysiert, um Bedrohungsdaten zu gewinnen.
IPS soll in das Projektmanagement integriert werden.
Es wird ein Inventar der Informationen und anderer zugehöriger Vermögenswerte, einschließlich der Eigentümer, erstellt und gepflegt.
Es sind Regeln für die zulässige Nutzung und Verfahren für den Umgang mit Informationen und anderen zugehörigen Vermögenswerten zu ermitteln, zu dokumentieren und umzusetzen.
Das Personal und gegebenenfalls andere Beteiligte sind verpflichtet, alle in ihrem Besitz befindlichen Filetage-Vermögenswerte bei Änderung oder Beendigung ihres Beschäftigungsverhältnisses, ihres Vertrags oder ihrer Vereinbarung zurückzugeben.
Die Einstufung von Informationen erfolgt entsprechend den IPS-Anforderungen von Filestage auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und den Anforderungen der betroffenen Parteien.
Im Einklang mit dem Informationsklassifizierungsschema sind geeignete Verfahren für die Kennzeichnung von Informationen zu entwickeln und anzuwenden.
Für alle Arten von internen und externen Übermittlungen müssen Regeln, Verfahren oder Vereinbarungen für die Informationsübermittlung bestehen.
Regeln für die Kontrolle des physischen und logischen Zugangs zu Informationen und anderen zugehörigen Vermögenswerten werden auf der Grundlage von Geschäfts- und IPS-Anforderungen aufgestellt und umgesetzt.
Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.
Die Zuteilung und Verwaltung von Authentifizierungsinformationen ist durch einen Managementprozess zu steuern, der auch die Beratung des Personals über den angemessenen Umgang mit Authentifizierungsinformationen umfasst.
Zugriffsrechte auf Informationen und andere zugehörige Ressourcen werden gemäß den themenspezifischen Grundsätzen und Regeln für die Zugriffskontrolle erteilt, überprüft, geändert und aufgehoben.
Es sind Prozesse und Verfahren festzulegen und umzusetzen, um die IPS-Risiken im Zusammenhang mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten zu beherrschen.
Die entsprechenden IPS-Anforderungen werden je nach Art der Lieferbeziehung mit jedem Lieferanten festgelegt und vereinbart.
Es sind Prozesse und Verfahren festzulegen und umzusetzen, um die mit der Lieferkette für IKT-Produkte und -Dienstleistungen verbundenen IPS-Risiken zu beherrschen.
Änderungen in den IPS-Praktiken und der Leistungserbringung des Anbieters sind regelmäßig zu überwachen, zu überprüfen, zu bewerten und zu steuern.
Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten werden im Einklang mit den IPS-Anforderungen festgelegt.
Die Bewältigung von IPS-Vorfällen ist zu planen und vorzubereiten, indem Prozesse, Rollen und Zuständigkeiten für die Bewältigung von IPS-Vorfällen definiert, festgelegt und kommuniziert werden.
IPS-Ereignisse sind zu bewerten und es ist zu entscheiden, ob sie als IPS-Vorfälle einzustufen sind.
Auf IPS-Vorfälle ist gemäß den dokumentierten Verfahren zu reagieren.
Die aus IPS-Vorfällen gewonnenen Erkenntnisse werden zur Stärkung und Verbesserung der IPS-Kontrollen genutzt.
Es werden Verfahren für die Ermittlung, Sammlung, Beschaffung und Aufbewahrung von Beweismitteln im Zusammenhang mit IPS-Ereignissen festgelegt und umgesetzt.
Die Aufrechterhaltung des IPS auf einem angemessenen Niveau während der Unterbrechung ist einzuplanen.
Die IKT-Bereitschaft ist auf der Grundlage der Ziele der Geschäftskontinuität und der Anforderungen an die IKT-Kontinuität zu planen, umzusetzen, aufrechtzuerhalten und zu testen.
Die für das IPS relevanten rechtlichen, satzungsmäßigen, regulatorischen und vertraglichen Anforderungen und das Konzept zur Erfüllung dieser Anforderungen sind zu ermitteln, zu dokumentieren und auf dem neuesten Stand zu halten.
Es sind geeignete Verfahren zum Schutz der Rechte an geistigem Eigentum anzuwenden.
Die Aufzeichnungen sind vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Freigabe zu schützen.
Die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen sind zu ermitteln und zu erfüllen.
Das Konzept für die Verwaltung des IPS und seine Umsetzung, einschließlich der Mitarbeiter, Verfahren und Technologien, wird in geplanten Abständen oder bei wesentlichen Änderungen unabhängig überprüft.
Die Einhaltung der IPS-Politik, der themenspezifischen Politiken, Regeln und Standards wird regelmäßig überprüft.
Die Betriebsverfahren für Informationsverarbeitungsanlagen sind zu dokumentieren und dem Personal, das sie benötigt, zur Verfügung zu stellen.
Personenkontrollen
Die Überprüfung des Hintergrunds aller Bewerber für eine Stelle wird vor der Einstellung und fortlaufend unter Berücksichtigung der geltenden Gesetze, Vorschriften und ethischen Grundsätze durchgeführt und steht in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Klassifizierung der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken.
In den arbeitsvertraglichen Vereinbarungen werden die Verantwortlichkeiten des Personals und von Filestage für IPS festgelegt.
Das Personal und die relevanten interessierten Parteien erhalten eine angemessene Sensibilisierung für das IPS, eine entsprechende Ausbildung und Schulung sowie regelmäßige Aktualisierungen der IPS-Politik, themenspezifischer Strategien und Verfahren, die für ihre jeweilige Funktion relevant sind.
Ein Disziplinarverfahren soll formalisiert und kommuniziert werden, um Maßnahmen gegen Personal und andere relevante interessierte Parteien zu ergreifen, die einen Verstoß gegen die IPS-Politik begangen haben.
Die Zuständigkeiten und Pflichten des IPS, die nach Beendigung oder Wechsel des Beschäftigungsverhältnisses bestehen bleiben, sind zu definieren, durchzusetzen und den betreffenden Mitarbeitern und anderen interessierten Parteien mitzuteilen.
Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die den Erfordernissen des Informationsschutzes Rechnung tragen, sind zu ermitteln, zu dokumentieren, regelmäßig zu überprüfen und vom Personal und anderen betroffenen Parteien zu unterzeichnen.
IPS-Maßnahmen sind zu ergreifen, wenn das Personal aus der Ferne arbeitet, um Informationen zu schützen, auf die aus der Ferne zugegriffen, die verarbeitet oder gespeichert werden.
Es ist ein Mechanismus vorzusehen, der es dem Personal ermöglicht, beobachtete oder vermutete IPS-Ereignisse über geeignete Kanäle rechtzeitig zu melden.
Physikalische Kontrollen
Es werden klare Regeln für den Umgang mit Papieren und Wechseldatenträgern auf dem Schreibtisch und klare Regeln für den Umgang mit Bildschirmen in Informationsverarbeitungsanlagen festgelegt und in geeigneter Weise durchgesetzt.
Speichermedien müssen während ihres gesamten Lebenszyklus - Erwerb, Verwendung, Transport und Entsorgung - gemäß dem Klassifizierungsschema und den Handhabungsanforderungen verwaltet werden.
Geräte, die Speichermedien enthalten, müssen überprüft werden, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden.
Technische Kontrollen
Informationen, die auf Endgeräten der Nutzer gespeichert sind, von ihnen verarbeitet werden oder über sie zugänglich sind, müssen geschützt werden.
Die Zuweisung und Nutzung privilegierter Zugriffsrechte ist zu beschränken und zu verwalten.
Der Zugang zu Informationen und anderen zugehörigen Vermögenswerten wird gemäß der festgelegten themenspezifischen Politik zur Zugangskontrolle eingeschränkt.
Der Lese- und Schreibzugriff auf den Quellcode, die Entwicklungswerkzeuge und die Softwarebibliotheken muss angemessen verwaltet werden.
Sichere Authentifizierungstechnologien und -verfahren sind auf der Grundlage von Informationszugangsbeschränkungen und der themenspezifischen Politik zur Zugangskontrolle zu implementieren.
Die Nutzung der Ressourcen wird überwacht und entsprechend dem aktuellen und erwarteten Kapazitätsbedarf angepasst.
Der Schutz vor Schadsoftware muss durch eine angemessene Sensibilisierung der Benutzer unterstützt werden.
Es werden Informationen über technische Schwachstellen der verwendeten Informationssysteme eingeholt, die Gefährdung durch solche Schwachstellen wird bewertet und es werden geeignete Maßnahmen ergriffen.
Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzen sind zu erstellen, zu dokumentieren, umzusetzen, zu überwachen und zu überprüfen.
Die in Informationssystemen, Geräten oder sonstigen Speichermedien gespeicherten Informationen sind zu löschen, wenn sie nicht mehr benötigt werden.
Die Datenmaskierung erfolgt in Übereinstimmung mit der themenspezifischen Richtlinie zur Zugriffskontrolle und anderen damit verbundenen themenspezifischen Richtlinien sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Rechtsvorschriften.
Maßnahmen zur Verhinderung von Datenlecks sind auf Systeme, Netze und alle anderen Geräte anzuwenden, die sensible Informationen verarbeiten, speichern oder übertragen.
Sicherungskopien von Informationen, Software und Systemen werden gemäß den vereinbarten themenspezifischen Grundsätzen für die Datensicherung aufbewahrt und regelmäßig getestet.
Die Einrichtungen zur Informationsverarbeitung müssen so redundant ausgelegt sein, dass sie die Anforderungen an die Verfügbarkeit erfüllen.
Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, müssen erstellt, gespeichert, geschützt und analysiert werden.
Netze, Systeme und Anwendungen sind auf anomales Verhalten zu überwachen, und es sind geeignete Maßnahmen zu ergreifen, um potenzielle IPS-Vorfälle zu bewerten.
Die Verwendung von Hilfsprogrammen, die in der Lage sind, die System- und Anwendungssteuerung außer Kraft zu setzen, muss eingeschränkt und streng kontrolliert werden.
Es sind Verfahren und Maßnahmen zu ergreifen, um die Installation von Software auf den Betriebssystemen sicher zu verwalten.
Netze und Netzgeräte müssen gesichert, verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.
Sicherheitsmechanismen, Dienstgüte und Dienstanforderungen für Netzdienste sind zu ermitteln, umzusetzen und zu überwachen.
Gruppen von Informationsdiensten, Nutzern und Informationssystemen sind in entsprechende Netze einzuteilen.
Der Zugang zu externen Websites muss so verwaltet werden, dass die Gefährdung durch bösartige Inhalte verringert wird.
Es werden Regeln für den wirksamen Einsatz der Kryptografie, einschließlich der Verwaltung kryptografischer Schlüssel, festgelegt und umgesetzt.
Es sind Regeln für die sichere Entwicklung von Software und Systemen aufzustellen und anzuwenden.
Die IPS-Anforderungen müssen bei der Entwicklung oder Beschaffung von Anwendungen ermittelt, spezifiziert und genehmigt werden.
Es sind Grundsätze für die Entwicklung sicherer Systeme festzulegen, zu dokumentieren, aufrechtzuerhalten und bei allen Tätigkeiten zur Entwicklung von Informationssystemen anzuwenden.
Bei der Softwareentwicklung sind die Grundsätze der sicheren Kodierung anzuwenden.
Die Verfahren für die Sicherheitsprüfung sind zu definieren und in den Lebenszyklus der Entwicklung einzubeziehen.
Die Organisation muss die Aktivitäten im Zusammenhang mit der ausgelagerten Systementwicklung leiten, überwachen und überprüfen.
Entwicklungs-, Test- und Produktionsumgebungen müssen getrennt und gesichert sein.
Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen unterliegen den Verfahren des Änderungsmanagements.
Die Testinformationen sind in geeigneter Weise auszuwählen, zu schützen und zu verwalten.
Anhang 2: Unterauftragsverarbeiter
1. Amazon Web Services, Inc.
Name: Amazon Web Services, Inc.
Dienstleistung/Tool: Amazon Web Services (AWS)
Verwendung: Hosting der Anwendung.
Hauptsitz: 410 Terry Ave N, Seattle, WA 98109-5210, Vereinigte Staaten
Datenzentrum: Europäische Union (EU)
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: Datenverarbeitungsvertrag (DPA), Hinweis zum Datenschutz, Trust Center
2. Auth0, Inc.
Name: Auth0, Inc.
Dienstleistung/Tool: Auth0
Verwendung: Benutzer-Authentifizierung.
Hauptsitz: 10800 NE 8th St #700, Bellevue, WA 98004, Vereinigte Staaten
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
3. Celonis, Inc.
Name: Celonis, Inc.
Dienstleistung/Tool: Make
Verwendung: Benutzerdefinierte Integrationen.
Hauptsitz: Menclova 2538/2, 180 00 Praha, 8-Palmovka, Tschechische Republik
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
4. ChartMogul GmbH & Co. KG
Name: ChartMogul GmbH & Co. KG
Dienstleistung/Tool: ChartMogul
Verwendung: Kundenbeziehungsmanagement (CRM) und Abonnementanalyse.
Hauptsitz: c/o WeWork, Kemperplatz 1, 10785 Berlin, Deutschland
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
5. Cloudflare, Inc.
Name: Cloudflare, Inc.
Dienstleistung/Tool: Cloudflare
Verwendung: Domainnamenserver
Hauptsitz: 101 Townsend Street, San Francisco, CA 94107, Vereinigte Staaten
Datenzentrum: Vereinigte Staaten (US)
Mechanismus der Übertragung: Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework (EU-U.S. DPF)), Standardvertragsklauseln (SCCs)
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
6. Domo, Inc.
Name: Domo, Inc.
Dienstleistung/Tool: Domo
Verwendung: Analytik
Hauptsitz: 802 E 1050 S, American Fork, UT 84003, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
7. Gleap, GmbH
Name: Gleap, GmbH
Dienstleistung/Tool: Gleap
Verwendung: CRM und Analytik
Hauptsitz: Dr. Walter Zumtobel Straße 2, 6850 Dornbirn, Österreich
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
8. Google, LLC.
Name: Google, LLC.
Dienstleistung/Tool: Google Analytics
Verwendung: Analytik
Hauptsitz: 1600 Amphitheatre Parkway in Mountain View, Kalifornien, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
9. Fullstory, Inc.
Name: Fullstory, Inc.
Dienstleistung/Tool: Fullstory
Verwendung: Analytik
Hauptsitz: 1745 Peachtree Rd NW Suite N, Atlanta, GA 30309, Vereinigte Staaten
Datenzentrum: EU, US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
10. Headway App, Inc.
Name: Headway App, Inc.
Dienstleistung/Tool: Headwayapp
Verwendung: Öffentliches Änderungsprotokoll
Hauptsitz: 440 N Barranca Ave #4399, Covina, CA 91723, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: N/A - Personenbezogene Unternehmensdaten werden nicht übermittelt.
IPS-Dokumentation: Hinweis zum Datenschutz, Trust Center
11. HubSpot, Inc.
Name: HubSpot, Inc.
Dienstleistung/Tool: Hubspot
Verwendung: CRM und Analytik
Hauptsitz: Two Canal Park, Cambridge, MA 02141, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
12. Intercom, Inc.
Name: Intercom, Inc.
Dienstleistung/Tool: Intercom
Verwendung: Kundenbetreuung
Hauptsitz: KPMG Building, 55 2nd St, San Francisco, CA 94105, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
13. Luzmo, NV.
Name: Luzmo, NV.
Dienstleistung/Tool: Luzmo
Verwendung: In-App-Insights-Dashboards.
Hauptsitz: Tiensevest 102 box 201, B-3000 Leuven, Belgien
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz
14. MongoDB, Inc.
Name: MongoDB, Inc.
Dienstleistung/Tool: MongoDB Atlas
Verwendung: Benutzerdatenbank
Hauptsitz: 499 Hamilton Ave, Palo Alto, CA 94301, Vereinigte Staaten
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
15. Paddle.com Market Ltd.
Name: Paddle.com Market Ltd.
Dienstleistung/Tool: ProfitWell Metrics
Verwendung: Umsatzberichterstattung
Hauptsitz: 3811 Ditmars Blvd, #1071 Astoria, New York, 11105-1803, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
16. Peaberry Software, Inc.
Name: Peaberry Software, Inc.
Dienstleistung/Tool: Customer.io
Verwendung: Automatisierung der Marketingkommunikation.
Hauptsitz: 9450 SW Gemini Dr, Suite 43920 Beaverton, Oregon 97008-7105, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
17. Productboard, Inc.
Name: Productboard, Inc.
Dienstleistung/Tool: Productboard
Verwendung: Analytik
Hauptsitz: 333 Bush Street, 20th Floor San Francisco, CA 94104, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
18. Pusher, Ltd.
Name: Pusher, Ltd.
Dienstleistung/Tool: Pusher
Verwendung: API-Verwaltung
Hauptsitz: 160 Old St, London EC1V 9BW, Vereinigtes Königreich
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
19. Recrea Systems, SLU.
Name: Recrea Systems, SLU.
Dienstleistung/Tool: Quaderno
Verwendung: Verwaltung der Rechnungen
Hauptsitz: Bravo Murillo 34 - 35003, Las Palmas, Spanien
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz
20. Rocket Science Gruppe, LLC.
Name: Rocket Science Gruppe, LLC.
Dienstleistung/Tool: Mailchimp
Verwendung: E-Mail-Kommunikation
Hauptsitz: 2015 Main St, Vancouver, BC V5T 3C2, Kanada
Datenzentrum: US
Mechanismus der Übertragung: SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
21. Startdeliver, AB.
Name: Startdeliver, AB.
Dienstleistung/Tool: Startdeliver
Verwendung: CRM und Analyse
Hauptsitz: c/o The Works, Klarabergsgatan 60, 111 21, Stockholm, Schweden
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
22. Stripe, Inc.
Name: Stripe, Inc.
Dienstleistung/Tool: Stripe
Verwendung: Zahlungsabwicklung
Hauptsitz: 510 Townsend Street, San Francisco, CA 94103, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Datenschutzbestimmungen, Trust Center
23. Transloadit-II, GmbH.
Name: Transloadit-II, GmbH.
Dienstleistung/Tool: Transloadit
Verwendung: Datei-Transcodierung
Hauptsitz: Waßmannsdorfer Chaussee 39 A, 12355 Berlin, Deutschland
Datenzentrum: EU
Mechanismus der Übertragung: K.A.
IPS-Dokumentation: DPA, Hinweis zum Datenschutz
24. Twilio, Inc.
Name: Twilio, Inc.
Dienstleistung/Tool; Segment
Verwendung: Analytik
Hauptsitz: 100 California Street, Suite 700, San Francisco, CA 94111, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: Angemessenheitsentscheidung (EU-U.S. DPF), SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center
25. YNOT Partners, Inc.
Name: YNOT Partners, Inc.
Dienstleistung/Tool: Userguiding
Verwendung: In-App Produkttouren
Hauptsitz: 112 Capitol Trail, Suite A199 Newark, Delaware 19711, Vereinigte Staaten
Datenzentrum: US
Mechanismus der Übertragung: SCCs
IPS-Dokumentation: DPA, Hinweis zum Datenschutz, Trust Center