Sinch Email

Nachtrag zur Datenverarbeitung

Diese Vereinbarung zur Datenverarbeitung  (dieser "AV-Vertrag") ist Teil der Sinch-Nutzungsbedingungen (die "Hauptvereinbarung") von und zwischen Sinch Email und dem Kunden und unterliegt dem Hauptvertrag. Sinch Email ist der Geschäftsbereich Developer & Email von Sinch und besteht aus den Marken Mailgun, Mailjet, Email on Acid und InboxReady.

1. Definitionen.

Für die Zwecke dieses AV-Vertrags haben großgeschriebene Begriffe die folgenden Bedeutungen. Nicht anders definierte Begriffe mit Großbuchstaben haben die in der Hauptvereinbarung angegebene Bedeutung.

(a) "Personenbezogene Daten des Kunden" bezeichnet alle personenbezogenen Daten, die von Sinch Email im Namen des Kunden verarbeitet werden, um die Services gemäß der Hauptvereinbarung durchzuführen.

(b) "Anwendbare Datenschutzgesetze" bedeuten die DSGVO, wie sie in die innerstaatlichen Gesetze der einzelnen Mitgliedstaaten (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt werden, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die für die Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten von Kunden gelten, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 ff.

(c) "DSGVO" steht für die Allgemeine Datenschutz-Grundverordnung 2016/679 der EU.

(d) "Sinch Email Infrastructure" bedeutet (i) die physischen Einrichtungen von Sinch Email; (ii) die gehostete Cloud-Infrastruktur; (iii) das Unternehmensnetzwerk von Sinch Email und das nicht öffentliche interne Netzwerk, die Software und Hardware, die für die Bereitstellung der Services erforderlich sind und die von Sinch Email gesteuert werden; in jedem Fall in dem Umfang, in dem zur Bereitstellung der Services verwendet wird.

(e) "Eingeschränkte Übertragung" bezeichnet eine Übertragung der personenbezogenen Daten des Kunden von Mailgun an einen Subprozessor, wenn eine solche Übertragung durch EU-Datenschutzgesetze (oder durch die Bestimmungen von Datenübertragungsvereinbarungen, die zur Beseitigung der Datenübertragungsbeschränkungen der EU-Datenschutzgesetze getroffen wurden), verboten wäre, sofern keine angemessenen Schutzmaßnahmen für solche Übertragungen gemäß den EU-Datenschutzgesetzen erforderlich sind.

(f) "Dienste" bezeichnet die Dienste, die Sinch dem Kunden gemäß der Hauptvereinbarung erbringt.

(g) "Standardvertragsklauseln" bezeichnet die neueste Version der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter (die aktuelle Version zum Zeitpunkt dieses AV-Vertrags ist dem Beschluss 2021/914/UE vom 4. Juni 2021 der Europäischen Kommission beigefügt).

(h) "UK Addendum" bezeichnet den UK Addendum (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

(i) Die Begriffe "Zustimmung", "Datenverantworlticher", "betroffene Person", "Mitgliedsstaat", "personenbezogene Daten", "Verletzung personenbezogener Daten", "Verarbeiter", "Subprozessorr", "Verarbeitung", "Aufsichtsbehörde" und "Dritte" haben die in Artikel 4 der DSGVO angegebenen Bedeutungen.

2. Einhaltung der EU-Datenschutzgesetze

(a) Sinch Email und der Kunde müssen jeweils die Bestimmungen und Verpflichtungen einhalten, die ihnen durch die EU-Datenschutzgesetze auferlegt wurden, und sicherstellen, dass ihre Mitarbeiter, Vertreter und Auftragnehmer die Bestimmungen der EU-Datenschutzgesetze einhalten.

3. Details und Umfang der Verarbeitung

(a) Die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung erfolgt gemäß den folgenden Bestimmungen und gemäß Artikel 28 Absatz 3 der DSGVO. Die Parteien können diese Informationen von Zeit zu Zeit ändern, wenn die Parteien dies nach vernünftigem Ermessen für erforderlich halten, um diese Anforderungen zu erfüllen.

(i) Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.

(ii) Art und Zweck der Verarbeitung personenbezogener Daten: Gemäß der Hauptvereinbarung bietet Sinch Email dem Kunden bestimmte E-Mail- und SMS-Dienste zur Verfügung, die die Verarbeitung personenbezogener Daten beinhalten. Solche Verarbeitungsaktivitäten umfassen (a) die Bereitstellung der Dienste; (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen; und (c) die Beantwortung von Supportanfragen des Kunden.

(iii) Die Arten der zu verarbeitenden personenbezogenen Daten: Die übermittelten personenbezogenen Daten, deren Umfang vom Datenverantwortlichen nach eigenem Ermessen festgelegt und kontrolliert wird, umfassen Name, E-Mail, IP-Adresse der Telefonnummer und andere personenbezogene Daten, die in den Kontaktlisten und im Nachrichteninhalt enthalten sind.

(iv) Die Kategorien der betroffenen Person, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail und SMS-Nachrichten.

(b) Sinch Email verarbeitet die personenbezogenen Daten des Kunden (i) nur zum Zwecke der Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung und (i) gemäß den in diesem AV-Vertrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.

(c) Wenn Sinch Email der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses AV-Vertrag oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In beiden Fällen ist Sinch Email berechtigt, die Ausführung der entsprechenden Anweisung zu verschieben, bis sie vom Kunden geändert oder sowohl vom Kunden als auch von Sinch Email einvernehmlich vereinbart wurde.

(d) Der Kunde ist allein verantwortlich für die Nutzung und Verwaltung der von den Diensten übermittelten oder übertragenen personenbezogenen Daten, einschließlich: (i) Überprüfung der Empfängeradressen und korrekte Eingabe in die Dienste (ii) angemessene Benachrichtigung eines Empfängers über die Unsicherheit von E-Mails als Mittel zur Übermittlung personenbezogener Daten (sofern zutreffend), (iii) angemessene Begrenzung der Menge oder Art der Informationen, die durch die Dienste offengelegt werden (iv) Verschlüsselung aller über die Dienste übertragenen personenbezogenen Daten, sofern dies nach geltendem Recht angemessen oder erforderlich ist (z. B. durch Verwendung verschlüsselter Anhänge, PGP-Toolsets oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalte, werden bei der Verarbeitung durch die Sinch-Infrastruktur in einem verschlüsselten Format gespeichert.

4. Datenverantwortlicher und Verarbeiter

(a) Für die Zwecke dieses AV-Vertrags ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Sinch Email ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Sinch Email ein Subprozessor.

(b) Sinch Email muss jederzeit über einen Beauftragten verfügen, der dafür verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bezüglich der Datenverarbeitung, die von betroffenen Personen erhalten wurden, zu unterstützen; und (ii) beim Ausfüllen aller rechtlichen Informationen und Offenlegungspflichten, die für die Datenverarbeitung gelten und damit verbunden sind. Der Datenschutzbeauftragte kann direkt über privacy@mailgun.com kontaktiert werden.

(c) Der Kunde garantiert, dass:

(i) die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den EU-Datenschutzgesetzen erforderlich sein kann, und alle erforderlichen Rechte, Berechtigungen, Registrierungen und Einwilligungen in Übereinstimmung mit den Bestimmungen der Hauptvereinbarung während der gesamten Laufzeit der Hauptvereinbarung getroffen hat und mit und gemäß den EU-Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch Email gemäß diesem AV-Vertrags und der Hauptvereinbarung aufrecht erhält;

(ii) er berechtigt ist und über alle erforderlichen Rechte, Berechtigungen und Einwilligungen verfügt, um die personenbezogenen Daten des Kunden an Sinch Email zu übertragen und Sinch Email anderweitig die Verarbeitung der personenbezogenen Daten des Kunden in seinem Namen zu gestatten, damit Sinch Email die personenbezogenen Daten des Kunden rechtmäßig verwenden, verarbeiten und übertragen kann, um die Dienste zu erbringen und die anderen Rechte und Pflichten von Sinch Email gemäß diesem AV-Vertrag und der Hauptvereinbarung zu erfüllen;

(iii) er seine betroffenen Personen über den Einsatz von Verarbeitern bei der Verarbeitung seiner personenbezogenen Daten informieren wird, soweit dies nach den geltenden EU-Datenschutzgesetzen erforderlich ist; und

(iv) er in angemessener Zeit und soweit dies nach vernünftigem Ermessen möglich ist, auf Anfragen von betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten reagieren und dem Verarbeiter rechtzeitig entsprechende Anweisungen erteilen wird.

5. Vertraulichkeit

(a) Sinch Email stellt sicher, dass jeder seiner Mitarbeiter und Subprozessoren, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegt und mit den einschlägigen Sicherheits- und Datenschutzanforderungen geschult ist.

6. Technische und organisatorische Maßnahmen

(a) Sinch Email ergreift und dokumentiert in Bezug auf die personenbezogenen Daten des Kunden gegebenenfalls vernünftige und angemessene Maßnahmen, die gemäß Artikel 32 der DSGVO in Bezug auf die Sicherheit der Sinch-Infrastruktur und der zur Bereitstellung der Dienste verwendeten Plattformen, wie in der Hauptvereinbarung beschrieben, erforderlich sind und (b) auf begründete Anfrage auf Kosten des Kunden den Kunden dabei unterstützen, die Einhaltung der Verpflichtungen des Kunden gemäß Artikel 32 der DSGVO sicherzustellen.

(b) Die internen Betriebsverfahren von Sinch müssen den spezifischen Anforderungen eines effektiven Datenschutzmanagements entsprechen.

7. Anträge von betroffenen Personen

(a) Sinch Email bietet spezielle Tools, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen Dazu gehören unsere APIs und Schnittstellen zum Durchsuchen von Ereignisdaten, Unterdrücken und Abrufen von Nachrichteninhalten. Wenn Sinch Email eine Beschwerde, Anfrage oder Anforderung (einschließlich Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den EU-Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, benachrichtigt Sinch Email den Kunden innerhalb von 14 Tagen nach Erhalt der Beschwerde, Anfrage oder Anforderung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Sinch Email den Kunden auf Kosten des Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung dieser Rechte der betroffenen Personen zu reagieren.

8. Verletzungen personenbezogener Daten

(a) Sinch Email wird den Kunden unverzüglich benachrichtigen, sobald Mailgun Kenntnis von einer Verletzung von personenbezogenen Daten erhält, die sich auf die personenbezogenen Daten des Kunden auswirkt. Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Sinch Email zur Verfügung stehen, unternimmt Sinch Email wirtschaftlich angemessene Anstrengungen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen zur Meldung oder Information von Regulierungsbehörden, betroffene Personen und andere Personen, die gegen solche personenbezogenen Daten verstoßen, in dem nach den EU-Datenschutzgesetzen erforderlichen Umfang erfüllen kann.

9. Datenschutz-Folgenabschätzungen

(a) Sinch Email leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Aufsichtsbehörden, sofern dies für den Kunden zur Erfüllung seiner Verpflichtungen aus den EU-Datenschutzgesetzen erforderlich ist.

10. Audits

(a) Sinch Email stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die zumutbar sind, um die Einhaltung des AV-Vertrags durch den Kunden nachzuweisen.

(b) Der Kunde oder ein beauftragter externer Prüfer kann auf schriftlichen begründeten Antrag eine Überprüfung in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch Email und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Sinch Email zu unterbrechen und die Vertraulichkeit zu gewährleisten.

(c) Das oben in Absatz 10(b) beschriebene Auditrecht gilt für den Kunden, falls Sinch Email keine ausreichenden Nachweise seiner Einhaltung der technischen und organisatorischen Maßnahmen vorgelegt hat. Ausreichende Nachweise umfassen die Vorlage entweder: (i) einer Zertifizierung über die Einhaltung von ISO 27001, ISO 27701 oder anderen von Sinch Email implementierten Standards (Geltungsbereich wie im Zertifikat definiert) oder (ii) eines Audit- oder Bescheinigungsberichts eines unabhängigen Dritten. Ein Audit, wie in diesem Absatz 10 beschrieben, wird auf Kosten und Aufwand des Kunden durchgeführt.

11. Rückgabe oder Zerstörung der personenbezogenen Daten des Kunden

(a) Der Kunde kann durch schriftliche Mitteilung an Sinch Email die Rückgabe und/oder Löschbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich in der Kontrolle oder im Besitz von Sinch Email und Subprozessoren befinden. Sinch Emailstellt eine Kopie der Daten des Datenverantwortlichen in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.

(b) Innerhalb von neunzig (90) Tagen nach Terminierung des Kontos muss der Verarbeiter alle gemäß diesem AV-Vertrag verarbeiteten personenbezogenen Daten löschen und/oder zurückgeben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder die Vereinbarung festgelegte Aufbewahrungsfristen. Sinch Email kann elektronische Kopien von Dateien aufbewahren, die personenbezogene Daten des Kunden enthalten, die gemäß automatischen Archivierungs- oder Sicherungsverfahren erstellt wurden und nicht vernünftigerweise gelöscht werden können. In diesen Fällen stellt Sinch Email sicher, dass die personenbezogenen Daten des Kunden nicht weiter aktiv verarbeitet werden.

(c) Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf der Vereinbarung entstehen, trägt der Kunde.

12. Datenübermittlungen

(a) Nach Ausführung dieses AV-Vertrags schließt Sinch Email auf Anfrage des Kunden und auf Anforderung der EU-Datenschutzgesetze als Datenimporteur die Standardvertragsklauseln ab, wobei der Kunde als Datenexporteur fungiert. Wenn die Vereinbarung von Sinch Email mit einem Subprozessor eine eingeschränkte Übertragung beinhaltet, stellt Sinch Email sicher, dass die Weiterleitungsbestimmungen der Standardvertragsklauseln in die Hauptvereinbarung zwischen Sinch Email und dem Subprozessor aufgenommen oder anderweitig geschlossen werden. Der Kunde erklärt sich damit einverstanden, sein Prüfungsrecht in den Standardvertragsklauseln auszuüben, indem er Sinch Email anweist, die Prüfung gemäß Absatz 10 durchzuführen.

(b) Der Datenverantwortliche erkennt an und erklärt sich damit einverstanden, dass der Verarbeiter im Zusammenhang mit der Erbringung der Dienste im Rahmen der Vereinbarung personenbezogene Daten innerhalb seiner Unternehmensgruppe übertragen kann. Diese Übertragungen sind für die globale Bereitstellung der Dienste erforderlich und für interne Verwaltungszwecke gerechtfertigt.

(c) Für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich an Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, soweit solche Übertragungen den Datenschutzgesetzen und -bestimmungen unterliegen und um angemessene Schutzmaßnahmen umzusetzen, werden folgende Schutzmaßnahmen getroffen: (i) Standardvertragsklauseln der Europäischen Kommission, gemäß dem Beschluss 2021/914/EU vom 4. Juni 2021 und (2) zusätzliche Schutzmaßnahmen in Bezug auf Sicherheitsmaßnahmen, einschließlich Grundsätze zur Datenverschlüsselung und Datenminimierung.

13. Unterverarbeitung

(a) Der Kunde ermächtigt Sinch Email hiermit, Subprozessoren gemäß diesem Absatz 13 und Anhang 1 zu ernennen, vorbehaltlich etwaiger Einschränkungen in der Hauptvereinbarung. Sinch Email stellt sicher, dass Subprozessoren an schriftliche Vereinbarungen gebunden sind, nach denen sie mindestens das von Sinch Email gemäß diesem AV-Vertrag geforderte Datenschutzniveau gewährleisten müssen. Sinch Email kann weiterhin die Subprozessoren verwenden, die zum Zeitpunkt des AV-Vertrags bereits beschäftigt waren.

(b) Sinch Email hat den Kunden vorab schriftlich über die Ernennung eines neuen Subprozessors zu informieren. Wenn der Kunde Sinch Email innerhalb von zehn (10) Werktagen nach Erhalt dieser Mitteilung alle Einwände aus angemessenen Gründen gegen den vorgeschlagenen Termin schriftlich mitteilt, ernennt Sinch Email diesen vorgeschlagenen Subprozessor erst, wenn angemessene Schritte unternommen wurden, um die Einwände des Kunden zu lösen und dem Kunden wurde eine angemessene schriftliche Erläuterung der ergriffenen Maßnahmen übermittelt. Wenn Sinch Email und der Kunde die Ernennung eines Subprozessors nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.

(c) Dieser Absatz gilt nicht für die folgenden Nebendienstleistungen, nämlich Telekommunikationsdienste, Post- oder Transportdienste, Wartungs- und Benutzerunterstützungsinstrumente. Sinch Email ist jedoch verpflichtet, angemessene und rechtsverbindliche vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der Kundendaten auch für diese ausgelagerten Nebendienstleistungen zu gewährleisten.

(d) Sinch Email ist verantwortlich für die Handlungen und Unterlassungen von Subprozessoren, wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem AV-Vertrag aufgeführten Angelegenheiten der Fall ist.

14. Anwendbares Recht und Gerichtsstand

(a) Die Parteien dieses AV-Vertrags unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Gerichtsstandswahl in Bezug auf Streitigkeiten oder Ansprüche, die sich aus diesem AV-Vertrags ergeben, einschließlich Streitigkeiten über dessen Existenz, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.

(b) Dieser AV-Vertrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.

15. Rangfolge

(a) In Bezug auf den Gegenstand dieses AV-Vertrags im Falle von Widersprüchen zwischen den Bestimmungen dieses AV-Vertrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und (sofern nicht ausdrücklich schriftlich anders vereinbart, im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder angeblich geschlossen werden sollen, haben Vorrang vor den Bestimmungen dieses Nachtrags.

16. Abtrennung

(a) Sollte eine Bestimmung dieses AV-Vertrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses AV-Vertrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) nach Bedarf geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, während die Absichten der Parteien so genau wie möglich gewahrt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob die ungültige Bestimmung oder ein nicht durchsetzbarer Teil nie darin enthalten gewesen war.

17. Beendigung

(a) Dieser AV-Vertrag und die Standardvertragsklauseln werden zeitgleich und automatisch mit der Kündigung der Hauptvereinbarung beendet.

(b) Jede Änderung oder Variation dieses Nachtrags ist für die Parteien nicht bindend, es sei denn, sie ist schriftlich festgelegt und von bevollmächtigten Vertretern der einzelnen Parteien unterzeichnet.


ZU URKUND DESSEN wird dieser Nachtrag geschlossen und ist ab dem oben genannten Datum verbindlicher Bestandteil der Hauptvereinbarung.

Sinch Email

Unterschrift:

Name:

Titel:

The Customer

Unterschrift:

Name:

Titel:

Datum der Unterschrift:

ANHANG 1

STANDARDVERTRAGSKLAUSELN

In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien Folgendes:

(a) Modul 2 (vom Datenverantwortlichen zum Datenverarbeiter) gilt, wenn Sinch Email als Datenverarbeiter des Kunden fungiert; Modul 3 (vom Datenverarbeiter zu Datenverarbeiter) gilt, wenn Sinch Email als Unterauftragsverarbeitern des Kunden fungiert. Für jedes Modul, falls zutreffend;

(b) Klausel 7 (Kopplungsklausel) ist aufgenommen;

(c) Für die Zwecke von Klausel 9.a) (Einsatz von Unterauftragsverarbeitern) gilt Option 2: Allgemeine schriftliche Genehmigung. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur informiert den Datenexporteur mindestens zehn (10) Geschäftstage im Voraus ausdrücklich schriftlich über alle beabsichtigten Änderungen dieser Liste durch die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern;

(d) Die fakultative Formulierung in Klausel 11 (Rechtsbehelfe) zu unabhängigen Abwicklungsgremien wurde nicht übernommen;

(e) Für die Zwecke von Klausel 13 (Aufsicht) fungiert die CNIL, die französische Datenschutzbehörde (Commission Nationale de l'Informatique et des Libertés) als zuständige Aufsichtsbehörde;

(f) Option 1 von Klausel 17 (Geltendes Recht) gilt, und die Standardvertragsklauseln unterliegen den Gesetzen Frankreichs;

(g) Für die Zwecke von Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) entscheiden die französischen Gerichte alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben;

(h) Anlagen IA (Liste der Vertragsparteien) und Anlage IB (Beschreibung der Übertragung) sind unter Verwendung der in der Hauptvereinbarung festgelegten und in Absatz 3 des Av-Vertrags aufgeführten Informationen und Einzelheiten auszufüllen;

(i) Anhang IB (Beschreibung der Übertragung) muss weiter ausgefüllt werden, indem angegeben wird, dass keine vertraulichen Daten übertragen werden. Die Häufigkeit der Übertragung muss kontinuierlich sein. Bei Übertragungen an Unterauftragsverarbeiter entsprechen Gegenstand, Art und Dauer der Verarbeitung denen des Datenimporteurs;

(j) Für den Zweck von Anhang IC ist die zuständige Aufsichtsbehörde in Übereinstimmung mit Klausel 13 CNIL, der französischen Datenschutzbehörde, (Commission Nationale de l'Informatique et des Libertés),

(k) Für die Zwecke von Anhang II sind die technischen und organisatorischen Maßnahmen in Anlage 2 des Av-Vertrags beschrieben;

(l) Für die Zwecke von Anhang III ist die Liste der Unterauftragsverarbeiter in Anhang 3 des Nachtrags enthalten;

(m) wenn die eingeschränkte Übertragung der Verordnung unterliegt, da sie Teil des Gesetzes von England und Wales, Schottland und Nordirland (UK DSGVO) ist, werden die Standardvertragsklauseln den folgenden Nachtrag des Vereinigten Königreichs enthalten:

(i) Für die Zwecke von Tabelle 1 ist das Startdatum das Datum der Unterschrift Vereinbarung über die Datenverarbeitung (AV-Vertrag) und die Details der Parteien werden unter Verwendung der Informationen und Details im Hauptvertrag ausgefüllt;

(ii) Für die Zwecke von Tabelle 2 handelt es sich bei der Version der genehmigten EU-SCCs, der das UK Addendum beigefügt ist, um die gemäß diesem Anhang 1 abgeschlossenen Standardvertragsklauseln, wobei das Datum das Datum des Inkrafttretens dieses Nachtrags ist;

(iii) Für die Zwecke von Tabelle 3 sind die Anhangsinformationen wie in Absatz (h) - (l) dieses Anhang 1 beschrieben; und

(iv) Für die Zwecke von Tabelle 4 kann Sinch Email als Importeur den britischen Nachtrag beenden, wenn sich der genehmigte Nachtrag ändert.

ANHANG 2

INFORMATIONSSICHERHEIT – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Durch die interne Organisation von Sinch Email wird gewährleistet, dass die spezifischen Anforderungen des Datenschutzes durch die Anwendung optimaler Sicherheitsverfahren erfüllt werden, ganz gleich wo personenbezogene Daten automatisch verarbeitet oder verwendet werden. Insbesondere sorgt Sinch Email durch die folgenden Maßnahmen für den Schutz personenbezogener Daten oder anderer sensibler Datenkategorien.

Physische Zugangskontrolle

Um unbefugten Personen den Zugang zu den Datenverarbeitungssystemen zu verweigern, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

  • Sinch Email nutzt branchenführende Anbieter von Rechenzentren und Cloud-Infrastrukturen. Der Zugang zu sämtlichen Rechenzentren wird strengstens kontrolliert. Alle Rechenzentren sind mit 24x7x365-Überwachungs- und biometrischen Zugangskontrollsystemen ausgestattet. Darüber hinaus verfügen alle Anbieter über branchenübliche Zertifizierungen.

  • Rechenzentren sind mit einer N+1-Redundanz für Strom, Netzwerk und Kühlungsinfrastruktur ausgestattet.

  • Erfolgt innerhalb einer Region die Datenverarbeitung über mindestens drei verschiedene Verfügbarkeitszonen. Die Dienste sind so konzipiert, dass sie den Ausfall einer Verfügbarkeitszone ohne Unterbrechung für die Kunden überstehen.

Systemzugangskontrolle

Um zu verhindern, dass die Datenverarbeitungssysteme unbefugt benutzt werden:

  • Folgt der Administratorzugriff zu Sinch-Systemen und -Diensten dem Prinzip der geringsten Rechte. Richtet sich der Zugang der Systeme nach dem Aufgabengebiet und den Zuständigkeiten am Arbeitsplatz. Sinch Email verwendet eindeutige Benutzernamen/Bezeichner, die nicht weitergegeben oder auf andere Personen übertragen werden dürfen.

  • Erfolgt der Zugriff auf interne Kundensupport-Tools und die Produktinfrastruktur über VPN und eine mehrstufige Authentifizierung.

  • Wird der ein- und ausgehende Datenverkehr der Produktionsinfrastruktur über Zugriffssteuerungslisten (ACLs) und Sicherheitsgruppen begrenzt.

  • Anhand von Intrusion Detection-Systemen (IDS) können potenziell unbefugte Zugriffe erkannt werden.

  • Maßnahmen zum Schutz des Netzwerks wurden eingeführt, um die Auswirkungen von Distributed-Denial-of-Service (DDoS)-Angriffen abzumildern.

  • On- und Offboarding-Prozesse werden dokumentiert und konsequent eingehalten und so sichergestellt, dass der Zugang zu internen und extern gehosteten Tools und Systemen ordnungsgemäß verwaltet wird. Wenn möglich, benutzen Dienste von Drittanbietern die Single-Sign-On-Funktionalität (SSO), die eine zentralisierte Verwaltung ermöglicht und eine mehrstufige Authentifizierung erzwingt.

Datenzugangskontrolle

Um zu gewährleisten, dass zur Nutzung von Datenverarbeitungssystemen autorisierte Benutzer lediglich Zugriff auf die Daten haben, für die sie ein Zugriffsrecht haben, und, dass personenbezogene Daten ohne Erlaubnis während der Verarbeitung oder Nutzung und nach der Aufbewahrung nicht gelesen, kopiert, geändert oder entfernt werden können:

  • Verwendet Sinch Email ein Passwortverwaltungssystem, das eine Mindestlänge von Passwörtern, deren Komplexität, Ablaufzeit und die Mindestanzahl der zuletzt verwendeten Passwörter erzwingt.

  • Werden Mitarbeiter-Arbeitsstationen nach längerer Inaktivität automatisch gesperrt. Benutzer werden von den Systemen nach längerer Inaktivität abgemeldet.

  • Werden Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt.

  • Gewährleistet die Patchverwaltung von Sinch Email, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.

  • Wird anhand der Antivirensoftware nach Branchenstandard sichergestellt, dass interne Anlagen, die auf personenbezogene Daten zugreifen, vor bekannten Viren geschützt sind. Die Antivirensoftware wird regelmäßig aktualisiert.

  • Verwendet Sinch Firewalls, um unerwünschten Datenverkehr am Eindringen in das Netzwerk zu hindern. Eine DMZ ist mit Firewalls ausgestattet, um interne Systeme zum Schutz sensibler Daten zusätzlich zu schützen.

Datenübertragungskontrolle

Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Werden die ruhenden Kundendaten durch die Verwendung der AES-256-Verschlüsselung auf Blockgeräten verschlüsselt gespeichert.

  • Werden die Kunden-Backups sowohl bei der Übertragung als auch im Ruhezustand stark verschlüsselt.

  • Unterstützt Sinch Email TLS 1.2 zur Verschlüsselung des Netzwerkverkehrs zwischen der Client-Anwendung und der Sinch-Infrastruktur.

  • Sinch Email wird durch regelmäßige Risikobewertungen und Penetrationstests von Drittanbietern auf Verschlüsselungsprobleme aufmerksam gemacht. Sinch Email führt jährlich oder nach Bedarf aufgrund von Veränderungen im Geschäft Penetrationstests durch Dritte durch.

  • Sinch Email betreibt ein Bug-Bounty-Programm, das die verantwortungsvolle Offenlegung von Schwachstellen durch Community-Recherchen unterstützt.

Eingabekontrolle

Um zu gewährleisten, dass die Überprüfung und Feststellung möglich ist, ob und von wem die personenbezogenen Daten in Datenverarbeitungssysteme eingegeben bzw. dort geändert oder entfernt wurden:

  • Werden die Systeme auf Sicherheitsereignisse hin überwacht, um eine schnelle Lösung zu gewährleisten.

  • Werden Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt. Zur Untersuchung von Abweichungen oder Sicherheitsereignissen können die Protokolle mit Zeitstempeln zu einzelnen eindeutigen Benutzernamen zurückverfolgt werden.

Verfügbarkeitskontrolle

Um zu gewährleisten, dass die personenbezogenen Daten vor unbeabsichtigter Zerstörung oder unbeabsichtigtem Verlust geschützt sind:

  • Werden die Kontodaten mindestens täglich gesichert. Für alle primären Datenbanken ist eine inkrementelle/Point-in-Time-Wiederherstellung verfügbar. Die Backups werden sowohl bei der Übertragung als auch im Ruhezustand mit starker Verschlüsselung verschlüsselt.

  • Gewährleistet die Patchverwaltung von Sinch Email, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.

  • Wenn nötig, patcht Sinch Email als Reaktion auf die Offenlegung kritischer Schwachstellen die Infrastruktur im Eilverfahren, um so den Systembetrieb zu gewährleisten.

  • Kundenumgebungen zu jeder Zeit logisch getrennt. Kunden haben keinen Zugriff auf andere Konten als die, für die sie Anmeldeinformationen für die Autorisierung erhalten haben.

Zertifizierung/Sicherstellung von Prozessen und Produkten

Zur Sicherstellung der internen IT- und IT-Sicherheitssteuerung und -verwaltung sowie der Sicherstellung von Prozessen und Produkten

  • ISO 27001-Zertifizierung

  • ISO 27701-Zertifizierung

  • SOC 2 Typ II-Bericht

  • SOC 2 Typ I-Bericht (nur E-Mail unter der Marke Acid)

ANHANG 3

AUTORISIERTE SUBPROZESSOREN AB DEM DATUM DES INKRAFTTRETENS DES AV-VERTRAGS

Infr­astruktur der Sub-­Prozessoren

Infr­astruktur der Sub-­Prozessoren

Unt­er­ne­hmen

Ser­ve­rs­tandort

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Goog­le Clou­d Plat­form
70 Sir John­ Roge­rson's Quay­,
Dub­lin 2, Irel­and

Deut­schland & Belg­ien (EU-­Kunden)
USA­ (US-­Kunden)

Rech­enzentren
(Pr­odukte: Mail­gun, Mail­jet & Inbo­xReady)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung

Rack­space (AWS­)
One­ Fana­tical Plac­e
San­ Anto­nio, TX 7821­8 USA

USA (US-­Kunden)
Deu­tschland (EU-­Kunden)

Rech­enzentren
(Al­le Prod­ukte)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung

MacS­tadium
352­5 Pied­mont Road­, Bldg­ 7
Atl­anta, GA 3030­5

USA

Rech­enzentren
(Em­ail on Acid­)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung

Cyxt­era
918­0 Comm­erce Cent­er Cir
Hig­hlands Ranc­h, CO 8012­9

USA

Rech­enzentren
(Em­ail on Acid­)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung

Unte­rstützung von Unte­rauftragsverarbeitern

Unte­rstützung von Unte­rauftragsverarbeitern

Unt­er­ne­hmen

Sta­nd­ort

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Prox­iad Bulg­aria
Tin­tyava 13b St.,­ Fl. 4
Sof­ia 1113­ - Bulg­aria

Bul­ga­ri­en

Tick­et-Support Funk­tionen
TAM­-Funktionen

EU-R­echt
Dat­enminimierung

Site­l Indi­a
Cha­ndivali – Farm­ Road­, Andh­eri
Eas­t Mumb­ai 4000­72 Indi­a

Ind­ie­n

Tick­et-Support Funk­tionen
(B­ereitstellung der erst­en Antw­ort über­ das Tick­etsystem; kein­ Zugr­iff auf pers­önliche Kund­endaten)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung
Dat­enminimierung

Sub-­Prozessoren der Unte­rnehmensgruppe

Sub-­Prozessoren der Unte­rnehmensgruppe

Unt­er­ne­hmen

Hau­pt­si­tz

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Mail­gun Tech­nologies
112­ E. Peca­n Stre­et #113­5,
San­ Anto­nio, Texa­s, 7820­5 USA

USA

Unte­rnehmensgruppe
(V­erwaltung, Abre­chnung, Supp­ort und Wart­ung)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung
Dat­enminimierung

Mail­jet
4, rue Jule­s Lefe­bvre
750­09 Pari­s, Fran­ce

Fra­nk­re­ich

Unt­er­ne­hmensgruppe

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung
Dat­enaggregation

Sinc­h AB
Lin­dhagensgatan 74 Stoc­kholm,
112­ 18 Swed­en

Sch­we­den

Unt­er­ne­hmensgruppe

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung
Dat­enaggregation

Zuletzt überarbeitet am 16. Januar 2023. Um die vorherigen Bedingungen anzuzeigen, klicken Sie hier.