Vereinbarung über die Datenverarbeitung (AV-Vertrag) - DPA | Mailjet

Vereinbarung über die Datenverarbeitung (AV-Vertrag)

Zuletzt überarbeitet und aktualisiert am 29. Oktober, 2020. Klicken Sie hier, um unseren alten AV-Vertrag zu lesen.

 

Diese Vereinbarung zur Datenverarbeitung (dieser „AV-Vertrag“) ist Teil der Mailgun-Geschäftssbedingungen (die „Hauptvereinbarung“) von und zwischen Mailgun Technologies, Inc. in eigenem Namen und im Namen seiner Tochterunternehmen („Mailgun“) und der „Kunde“ und unterliegt der Hauptvereinbarung.

1. Definitionen. Für die Zwecke dieses Nachtrags haben großgeschriebene Begriffe die folgenden Bedeutungen. Nicht anders definierte Begriffe mit Großbuchstaben haben die in der Hauptvereinbarung angegebene Bedeutung.

(a) „Tochterunternehmen“ sind alle Unternehmen, deren Eigentümer Mailgun Technologies, Inc. ist oder die unter gemeinsamer Kontrolle mit einem der Unternehmen von Mailgun stehen, einschließlich, aber nicht beschränkt auf Mailgun Technologies SAS und Mailjet SAS.

(b) „Personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten, die von Mailgun im Auftrag des Kunden verarbeitet werden, um die Dienste gemäß der Hauptvereinbarung zu erbringen.

(c) „EU-Datenschutzgesetze“ sind die EU-Richtlinien 95/46/EG, die in die innerstaatlichen Rechtsvorschriften der einzelnen Mitgliedstaaten umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst werden, einschließlich (mit Wirkung vom 25. Mai 2018) durch die DSGVO und Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO.

(d) „DSGVO“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679.

(e) „EWR“ bezeichnet den Europäischen Wirtschaftsraum.

(f) „Mailgun-Infrastruktur“ bezeichnet (i) physische Mailgun-Einrichtungen; (ii) gehostete Cloud-Infrastruktur; (iii) das Unternehmensnetzwerk von Mailgun und das nicht öffentliche interne Netzwerk, die Software und Hardware, die zur Bereitstellung der Dienste erforderlich sind und von Mailgun kontrolliert werden; jeweils in dem Umfang, in dem die Dienste erbracht werden.

(g) „Eingeschränkte Übertragung“ bezeichnet eine Übertragung der personenbezogenen Daten des Kunden von Mailgun an einen Subprozessor, wenn eine solche Übertragung durch EU-Datenschutzgesetze (oder durch die Bestimmungen von Datenübertragungsvereinbarungen, die zur Beseitigung der Datenübertragungsbeschränkungen der EU-Datenschutzgesetze getroffen wurden), verboten wäre, sofern keine angemessenen Schutzmaßnahmen für solche Übertragungen gemäß den EU-Datenschutzgesetzen erforderlich sind.

(h) „Dienste“ bezeichnet die Dienste, die Mailgun dem Kunden gemäß der Hauptvereinbarung erbringt.

(i) „Standardvertragsklauseln“ bezeichnet die neueste Version der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter, die gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in Drittländern eingerichtet wurden (die aktuelle Version zum Zeitpunkt dieses Nachtrags ist dem Beschluss 2010/87/EU der Europäischen Kommission beigefügt.

(j) Die Begriffe „Zustimmung“, „Datenverantwortlicher“, „betroffene Person“, „Mitgliedsstaat“, „personenbezogene Daten“, „Verletzung personenbezogener Daten“, „Verarbeiter“, „Subprozessor“, „Verarbeitung“, „Aufsichtsbehörde“ und „Dritte“ haben die in Artikel 4 der DSGVO angegebenen Bedeutungen.

2. Einhaltung der EU-Datenschutzgesetze

(a) Mailgun und der Kunde müssen jeweils die Bestimmungen und Verpflichtungen einhalten, die ihnen durch die EU-Datenschutzgesetze auferlegt wurden, und sicherstellen, dass ihre Mitarbeiter, Vertreter und Auftragnehmer die Bestimmungen der EU-Datenschutzgesetze einhalten.

3. Details und Umfang der Verarbeitung

(a) Die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung erfolgt gemäß den folgenden Bestimmungen und gemäß Artikel 28 Absatz 3 der DSGVO. Die Parteien können diese Informationen von Zeit zu Zeit ändern, wenn die Parteien dies nach vernünftigem Ermessen für erforderlich halten, um diese Anforderungen zu erfüllen.

(i) Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.

(ii) Art und Zweck der Verarbeitung personenbezogener Daten: Gemäß der Hauptvereinbarung stellt Mailgun dem Kunden bestimmte E-Mail- und SMS-Dienste zur Verfügung, die die Verarbeitung personenbezogener Daten beinhalten. Solche Verarbeitungsaktivitäten umfassen (a) die Bereitstellung der Dienste; (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen; und (c) die Beantwortung von Supportanfragen des Kunden.

(iii) Die Arten der zu verarbeitenden personenbezogenen Daten: Die übermittelten personenbezogenen Daten, deren Umfang vom Datenverantwortlichen nach eigenem Ermessen festgelegt und kontrolliert wird, umfassen Name, E-Mail, IP-Adresse der Telefonnummer und andere personenbezogene Daten, die in den Kontaktlisten und im Nachrichteninhalt enthalten sind.

(iv) Die Kategorien der betroffenen Person, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail und SMS-Nachrichten.

(b) Mailgun verarbeitet die personenbezogenen Daten des Kunden (i) nur zum Zwecke der Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung und (i) gemäß den in diesem Nachtrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.

(c) Wenn Mailgun der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses Nachtrags oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In beiden Fällen ist Mailgun berechtigt, die Ausführung der entsprechenden Anweisung zu verschieben, bis sie vom Kunden geändert oder sowohl vom Kunden als auch von Mailgun einvernehmlich vereinbart wurde.

(d) Der Kunde ist allein verantwortlich für die Nutzung und Verwaltung der von den Diensten übermittelten oder übertragenen personenbezogenen Daten, einschließlich: (i) Überprüfung der Empfängeradressen und korrekte Eingabe in die Dienste (ii) angemessene Benachrichtigung eines Empfängers über die Unsicherheit von E-Mails als Mittel zur Übermittlung personenbezogener Daten (sofern zutreffend), (iii) angemessene Begrenzung der Menge oder Art der Informationen, die durch die Dienste offengelegt werden (iv) Verschlüsselung aller über die Dienste übertragenen personenbezogenen Daten, sofern dies nach geltendem Recht angemessen oder erforderlich ist (z. B. durch Verwendung verschlüsselter Anhänge, PGP-Toolsets oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalte, werden bei der Verarbeitung durch die Mailgun-Infrastruktur in einem verschlüsselten Format gespeichert.

4. Datenverantwortlicher und Verarbeiter

(a) Für die Zwecke dieses Nachtrags ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Mailgun ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Mailgun ein Subprozessor.

(b) Mailgun muss jederzeit über einen Beauftragten verfügen, der dafür verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bezüglich der Datenverarbeitung, die von betroffenen Personen erhalten wurden, zu unterstützen; und (ii) beim Ausfüllen aller rechtlichen Informationen und Offenlegungspflichten, die für die Datenverarbeitung gelten und damit verbunden sind. Der Datenschutzbeauftragte kann direkt über privacy@mailgun.com kontaktiert werden.

(c) Der Kunde garantiert, dass:

(i) die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den EU-Datenschutzgesetzen erforderlich sein kann, und alle erforderlichen Rechte, Berechtigungen, Registrierungen und Einwilligungen in Übereinstimmung mit den Bestimmungen der Hauptvereinbarung während der gesamten Laufzeit der Hauptvereinbarung getroffen hat und mit und gemäß den EU-Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Mailgun gemäß diesem Nachtrag und der Hauptvereinbarung aufrecht erhält;

(ii) er berechtigt ist und über alle erforderlichen Rechte, Berechtigungen und Einwilligungen verfügt, um die personenbezogenen Daten des Kunden an Mailgun zu übertragen und Mailgun anderweitig die Verarbeitung der personenbezogenen Daten des Kunden in seinem Namen zu gestatten, damit Mailgun die personenbezogenen Daten des Kunden rechtmäßig verwenden, verarbeiten und übertragen kann, um die Dienste zu erbringen und die anderen Rechte und Pflichten von Mailgun gemäß diesem Nachtrag und der Hauptvereinbarung zu erfüllen;

(iii) er seine betroffenen Personen über den Einsatz von Verarbeitern bei der Verarbeitung seiner personenbezogenen Daten informieren wird, soweit dies nach den geltenden EU-Datenschutzgesetzen erforderlich ist; und

(iv) er in angemessener Zeit und soweit dies nach vernünftigem Ermessen möglich ist, auf Anfragen von betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten reagieren und dem Verarbeiter rechtzeitig entsprechende Anweisungen erteilen wird.

5. Vertraulichkeit

(a) Mailgun stellt sicher, dass jeder seiner Mitarbeiter und Subprozessoren, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegt und mit den einschlägigen Sicherheits- und Datenschutzanforderungen geschult ist.

6. Technische und organisatorische Maßnahmen

(a) Mailgun ergreift und dokumentiert in Bezug auf die personenbezogenen Daten des Kunden gegebenenfalls vernünftige und angemessene Maßnahmen, die gemäß Artikel 32 der DSGVO in Bezug auf die Sicherheit der Mailgun-Infrastruktur und der zur Bereitstellung der Dienste verwendeten Plattformen, wie in der Hauptvereinbarung beschrieben, erforderlich sind und (b) auf begründete Anfrage auf Kosten des Kunden den Kunden dabei unterstützen, die Einhaltung der Verpflichtungen des Kunden gemäß Artikel 32 der DSGVO sicherzustellen.

(b) Die internen Betriebsverfahren von Mailgun müssen den spezifischen Anforderungen eines effektiven Datenschutzmanagements entsprechen.

7. Anträge von betroffenen Personen

(a) Mailgun bietet spezielle Tools, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen. Dazu gehören unsere APIs und Schnittstellen zum Durchsuchen von Ereignisdaten, Unterdrücken und Abrufen von Nachrichteninhalten. Wenn Mailgun eine Beschwerde, Anfrage oder Anforderung (einschließlich Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den EU-Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, benachrichtigt Mailgun den Kunden innerhalb von 14 Tagen nach Erhalt der Beschwerde, Anfrage oder Anforderung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Mailgun den Kunden auf Kosten des Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung dieser Rechte der betroffenen Personen zu reagieren.

8. Verletzungen personenbezogener Daten

(a) Mailgun wird den Kunden unverzüglich benachrichtigen, sobald Mailgun Kenntnis von einer Verletzung von personenbezogenen Daten erhält, die sich auf die personenbezogenen Daten des Kunden auswirkt. Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Mailgun zur Verfügung stehen, unternimmt Mailgun wirtschaftlich angemessene Anstrengungen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen zur Meldung oder Information von Regulierungsbehörden, betroffene Personen und andere Personen, die gegen solche personenbezogenen Daten verstoßen, in dem nach den EU-Datenschutzgesetzen erforderlichen Umfang erfüllen kann.

9. Datenschutz-Folgenabschätzungen

(a) Mailgun leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Aufsichtsbehörden, sofern dies für den Kunden zur Erfüllung seiner Verpflichtungen aus den EU-Datenschutzgesetzen erforderlich ist.

10. Audits

(a) Mailgun stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die zumutbar sind, um die Einhaltung dieses Nachtrags durch den Kunden nachzuweisen.

(b) Der Kunde oder ein beauftragter externer Prüfer kann auf schriftlichen begründeten Antrag eine Überprüfung in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Mailgun und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Mailgun zu unterbrechen und die Vertraulichkeit zu gewährleisten. Der Kunde ist für alle Kosten und Aufwendungen des Verarbeiters verantwortlich, die sich aus der Bereitstellung solcher Prüfungsrechte ergeben.

11. Rückgabe oder Zerstörung der personenbezogenen Daten des Kunden

(a) Der Kunde kann durch schriftliche Mitteilung an Mailgun die Rückgabe und/oder Löschbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich in der Kontrolle oder im Besitz von Mailgun und Subprozessoren befinden. Mailgun stellt eine Kopie der Daten des Datenverantwortlichen in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.

(b) Innerhalb von neunzig (90) Tagen nach Terminierung des Kontos muss der Verarbeiter alle gemäß diesem Nachtrag verarbeiteten personenbezogenen Daten löschen und/oder zurückgeben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder die Vereinbarung festgelegte Aufbewahrungsfristen. Mailgun kann elektronische Kopien von Dateien aufbewahren, die personenbezogene Daten des Kunden enthalten, die gemäß automatischen Archivierungs- oder Sicherungsverfahren erstellt wurden und nicht vernünftigerweise gelöscht werden können. In diesen Fällen stellt Mailgun sicher, dass die personenbezogenen Daten des Kunden nicht weiter aktiv verarbeitet werden.

(c) Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf der Vereinbarung entstehen, trägt der Kunde.

12. Datenübermittlungen

(a) Nach Ausführung dieses Nachtrags schließt Mailgun auf Anfrage des Kunden und auf Anforderung der EU-Datenschutzgesetze als Datenimporteur die Standardvertragsklauseln ab, wobei der Kunde als Datenexporteur fungiert. Wenn die Vereinbarung von Mailgun mit einem Subprozessor eine eingeschränkte Übertragung beinhaltet, stellt Mailgun sicher, dass die Weiterleitungsbestimmungen der Standardvertragsklauseln in die Hauptvereinbarung zwischen Mailgun und dem Subprozessor aufgenommen oder anderweitig geschlossen werden. Der Kunde erklärt sich damit einverstanden, sein Prüfungsrecht in den Standardvertragsklauseln auszuüben, indem er Mailgun anweist, die Prüfung gemäß Absatz 10 durchzuführen.

(b) Der Datenverantwortliche erkennt an und erklärt sich damit einverstanden, dass der Verarbeiter im Zusammenhang mit der Erbringung der Dienste im Rahmen der Vereinbarung personenbezogene Daten innerhalb seiner Unternehmensgruppe übertragen kann. Diese Übertragungen sind für die globale Bereitstellung der Dienste erforderlich und für interne Verwaltungszwecke gerechtfertigt.

(c) Für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich an Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, soweit solche Übertragungen den Datenschutzgesetzen und -bestimmungen unterliegen und um angemessene Schutzmaßnahmen umzusetzen, werden folgende Schutzmaßnahmen getroffen: (i) Standardvertragsklauseln gemäß dem Beschluss 2010/87/EU der Europäischen Kommission und (2) zusätzliche Schutzmaßnahmen in Bezug auf Sicherheitsmaßnahmen, einschließlich Grundsätze zur Datenverschlüsselung und Datenminimierung.

13. Unterverarbeitung

(a) Der Kunde ermächtigt Mailgun hiermit, Subprozessoren gemäß diesem Absatz 12 und Anhang 2 zu ernennen, vorbehaltlich etwaiger Einschränkungen in der Hauptvereinbarung. Mailgun stellt sicher, dass Subprozessoren an schriftliche Vereinbarungen gebunden sind, nach denen sie mindestens das von Mailgun gemäß diesem Nachtrag geforderte Datenschutzniveau gewährleisten müssen. Mailgun kann weiterhin die Subprozessoren verwenden, die zum Zeitpunkt dieses Nachtrags bereits beschäftigt waren.

(b) Mailgun hat den Kunden vorab schriftlich über die Ernennung eines neuen Subprozessors zu informieren. Wenn der Kunde Mailgun innerhalb von zehn (10) Werktagen nach Erhalt dieser Mitteilung alle Einwände aus angemessenen Gründen gegen den vorgeschlagenen Termin schriftlich mitteilt, ernennt Mailgun diesen vorgeschlagenen Subprozessor erst, wenn angemessene Schritte unternommen wurden, um die Einwände des Kunden zu lösen und dem Kunden wurde eine angemessene schriftliche Erläuterung der ergriffenen Maßnahmen übermittelt. Wenn Mailgun und der Kunde die Ernennung eines Subprozessors nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.

(c) Darüber hinaus beauftragt der Kunde Mailgun im Falle einer autorisierten Vergabe von Unteraufträgen außerhalb der Europäischen Union, in seinem Namen und in seinem Auftrag EU-Modellklauseln für die spezifischen Zwecke der Erbringung der Dienste im Rahmen der Hauptvereinbarung abzuschließen.

(d) Dieser Absatz gilt nicht für die folgenden Nebendienstleistungen, nämlich Telekommunikationsdienste, Post- oder Transportdienste, Wartungs- und Benutzerunterstützungsinstrumente. Mailgun ist jedoch verpflichtet, angemessene und rechtsverbindliche vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der Kundendaten auch für diese ausgelagerten Nebendienstleistungen zu gewährleisten.

(e) Mailgun ist verantwortlich für die Handlungen und Unterlassungen von Subprozessoren, wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem Nachtrag aufgeführten Angelegenheiten der Fall ist.

14. Anwendbares Recht und Gerichtsstand

(a) Die Parteien dieses Nachtrags unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Gerichtsstandswahl in Bezug auf Streitigkeiten oder Ansprüche, die sich aus diesem Nachtrag ergeben, einschließlich Streitigkeiten über dessen Existenz, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.

(b) Dieser Nachtrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.

15. Rangfolge

(a) In Bezug auf den Gegenstand dieses Nachtrags im Falle von Widersprüchen zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und (sofern nicht ausdrücklich schriftlich anders vereinbart, im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder angeblich geschlossen werden sollen, haben Vorrang vor den Bestimmungen dieses Nachtrags.

16. Änderungen der Datenschutzgesetze usw.

(a) Mailgun kann diesen Nachtrag mit angemessener Mitteilung an den Kunden ändern oder ergänzen:

i. Falls dies von einer Aufsichtsbehörde oder einer anderen Regierungs- oder Regulierungsbehörde verlangt wird;

ii. Falls dies erforderlich ist, um geltendes Recht einzuhalten;

iii. um neue oder aktualisierte Standardvertragsklauseln umzusetzen, die von der Europäischen Kommission genehmigt wurden; oder

iv. einen genehmigten Verhaltenskodex oder Zertifizierungsmechanismus einzuhalten, der gemäß den Artikeln 40, 42 und 43 der DSGVO genehmigt oder zertifiziert wurde.

17. Abtrennung

(a) Sollte eine Bestimmung dieses Nachtrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Nachtrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) nach Bedarf geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, während die Absichten der Parteien so genau wie möglich gewahrt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob die ungültige Bestimmung oder ein nicht durchsetzbarer Teil nie darin enthalten gewesen war.

18. Beendigung

(a) Dieser Nachtrag und die Standardvertragsklauseln werden zeitgleich und automatisch mit der Kündigung der Hauptvereinbarung beendet.

(b) Mailgun kann diesen Nachtrag und die Standardvertragsklauseln kündigen, wenn Mailgun dem Kunden alternative Mechanismen anbietet, die den Verpflichtungen der Datenschutzgesetze der Europäischen Union für die Übermittlung personenbezogener Daten außerhalb des EWR entsprechen.

ZU URKUND DESSEN wird dieser Nachtrag geschlossen und ist ab dem oben genannten Datum verbindlicher Bestandteil der Hauptvereinbarung.

ANHANG 1
INFORMATIONSSICHERHEIT – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Durch die interne Organisation von Mailgun wird gewährleistet, dass die spezifischen Anforderungen des Datenschutzes durch die Anwendung optimaler Sicherheitsverfahren erfüllt werden, ganz gleich wo personenbezogene Daten automatisch verarbeitet oder verwendet werden. Insbesondere sorgt Mailgun durch die folgenden Maßnahmen für den Schutz personenbezogener Daten oder anderer sensibler Datenkategorien.

Physische Zugangskontrolle

Um unbefugten Personen den Zugang zu den Datenverarbeitungssystemen zu verweigern, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

  • Nutzt Mailgun Rechenzentren und Cloud-Infrastrukturen branchenführender Anbieter. Der Zugang zu sämtlichen Rechenzentren wird strengstens kontrolliert. Alle Rechenzentren sind mit Überwachungs- und biometrischen Zugangskontrollsystemen ausgestattet, für eine kontinuierliche Überwachung rund um die Uhr, 7 Tage die Woche, 365 Tage im Jahr. Darüber hinaus sind alle Anbieter nach SOC Typ II und ISO 27001 zertifiziert.
  • Sind die Rechenzentren mit einer N+1-Redundanz für Strom, Netzwerk und Kühlungsinfrastruktur ausgestattet.
  • Erfolgt innerhalb einer Region die Datenverarbeitung über mindestens drei verschiedene Verfügbarkeitszonen. Die Dienste sind so konzipiert, dass sie den Ausfall einer Verfügbarkeitszone ohne Unterbrechung für die Kunden überstehen.

 

Systemzugangskontrolle

Um zu verhindern, dass die Datenverarbeitungssysteme unbefugt benutzt werden:

  • Folgt der Administratorzugriff zu Mailgun-Systemen und -Diensten dem Prinzip der geringsten Rechte. Der Zugang zu den Systemen richtet sich nach dem Aufgabengebiet und den Zuständigkeiten am Arbeitsplatz. Mailgun verwendet eindeutige Benutzernamen/Bezeichner, die nicht weitergegeben oder auf andere Personen übertragen werden dürfen.
  • Erfolgt der Zugriff auf interne Kundensupport-Tools und die Produktinfrastruktur über VPN und eine mehrstufige Authentifizierung.
  • Wird der ein- und ausgehende Datenverkehr der Produktionsinfrastruktur über Zugriffssteuerungslisten (ACLs) und Sicherheitsgruppen begrenzt.
  • Anhand von Intrusion Detection-Systemen (IDS) können potenziell unbefugte Zugriffe erkannt werden.
  • Maßnahmen zum Schutz des Netzwerks wurden eingeführt, um die Auswirkungen von Distributed-Denial-of-Service (DDoS)-Angriffen abzumildern.
  • On- und Offboarding-Prozesse werden dokumentiert und konsequent eingehalten und so sichergestellt, dass der Zugang zu internen und extern gehosteten Tools und Systemen ordnungsgemäß verwaltet wird. Wenn möglich, benutzen Dienste von Drittanbietern die Single-Sign-On-Funktionalität (SSO), die eine zentralisierte Verwaltung ermöglicht und eine mehrstufige Authentifizierung erzwingt.

 

Datenzugangskontrolle

Um zu gewährleisten, dass zur Nutzung von Datenverarbeitungssystemen autorisierte Benutzer lediglich Zugriff auf die Daten haben, für die sie ein Zugriffsrecht haben, und, dass personenbezogene Daten ohne Erlaubnis während der Verarbeitung oder Nutzung und nach der Aufbewahrung nicht gelesen, kopiert, geändert oder entfernt werden können:

  • Verwendet Mailgun ein Passwortverwaltungssystem, das eine Mindestlänge von Passwörtern, deren Komplexität, Ablaufzeit und die Mindestanzahl der zuletzt verwendeten Passwörter erzwingt.
  • Werden Mitarbeiter-Arbeitsstationen nach längerer Inaktivität automatisch gesperrt. Benutzer werden von den Systemen nach längerer Inaktivität abgemeldet.
  • Werden Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt.
  • Gewährleistet die Patchverwaltung von Mailgun, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.
  • Wird anhand der Antivirensoftware nach Branchenstandard sichergestellt, dass interne Anlagen, die auf personenbezogene Daten zugreifen, vor bekannten Viren geschützt sind. Die Antivirensoftware wird regelmäßig aktualisiert.
  • Verwendet Mailgun Firewalls, um unerwünschten Datenverkehr am Eindringen in das Netzwerk zu hindern. Eine DMZ ist mit Firewalls ausgestattet, um interne Systeme zum Schutz sensibler Daten zusätzlich zu schützen.

 

Datenübertragungskontrolle

Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Werden die ruhenden Kundendaten durch die Verwendung der AES-256-Verschlüsselung auf Blockgeräten verschlüsselt gespeichert.
  • Werden die Kunden-Backups sowohl bei der Übertragung als auch im Ruhezustand stark verschlüsselt.
  • Unterstützt Mailgun TLS 1.0, 1.1 und 1.2 zur Verschlüsselung des Netzwerkverkehrs zwischen der Client-Anwendung und der Mailgun-Infrastruktur. Kunden können die Verschlüsselungseinstellungen für Nachrichten, die von Mailgun verarbeitet und an die E-Mail Service Provider gesendet werden, kontrollieren und verwalten, um so die Compliance-Anforderungen zu erfüllen, die über den Rahmen der externen Zertifizierungen von Mailgun hinausgehen.
  • Wird Mailgun durch regelmäßige Risikoeinschätzungen und Penetrationstests Dritter auf Probleme bei der Verschlüsselung aufmerksam gemacht. Mailgun führt jährlich oder bei Bedarf bei Veränderungen im Unternehmen Penetrationstests durch Dritte durch.
  • Betreibt Mailgun ein Bug-Bounty-Programm, das die verantwortungsvolle Offenlegung von Schwachstellen durch Community-Recherchen unterstützt.

 

Eingabekontrolle

Um zu gewährleisten, dass die Überprüfung und Feststellung möglich ist, ob und von wem die personenbezogenen Daten in Datenverarbeitungssysteme eingegeben bzw. dort geändert oder entfernt wurden:

  • Werden die Systeme auf Sicherheitsereignisse hin überwacht, um eine schnelle Lösung zu gewährleisten.
  • Werden die Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt. Zur Untersuchung von Abweichungen oder Sicherheitsereignissen können die Protokolle mit Zeitstempeln zu einzelnen eindeutigen Benutzernamen zurückverfolgt werden.

 

Verfügbarkeitskontrolle

Um zu gewährleisten, dass die personenbezogenen Daten vor unbeabsichtigter Zerstörung oder unbeabsichtigtem Verlust geschützt sind:

  • Werden die Kontodaten mindestens täglich gesichert. Für alle primären Datenbanken ist eine inkrementelle/Point-in-Time-Wiederherstellung verfügbar. Die Backups werden sowohl bei der Übertragung als auch im Ruhezustand mit starker Verschlüsselung verschlüsselt.
  • Wird durch die Patchverwaltung von Mailgun sichergestellt, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.
  • Wenn nötig, patcht Mailgun als Reaktion auf die Offenlegung kritischer Schwachstellen die Infrastruktur im Eilverfahren, um so den Systembetrieb zu gewährleisten.
  • Kundenumgebungen zu jeder Zeit logisch getrennt. Kunden haben keinen Zugriff auf andere Konten als die, für die sie Anmeldeinformationen für die Autorisierung erhalten haben.

 

ANHANG 2
AUTORISIERTE SUBPROZESSOREN AB DEM DATUM DES INKRAFTTRETENS DES AV-VERTRAGES

Standardvertragsklauseln (Verarbeiter)

Die Standardvertragsklauseln im Anhang gelten als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG.

Die Kundeneinheit, die eine Partei des Nachtrags ist, dem diese Standardvertragsklauseln beigefügt sind.

UND

Mailgun Technologies, Inc.
112 E Pecan St #1135
San Antonio, TX 78205
legal@mailgun.com

(Der Datenimporteur or Datenunterauftragsverarbeiter (wie zutreffend))

die „Partei“, wenn eine dieser Organisationen gemeint ist, die „Parteien“, wenn beide gemeint sind,

VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.

Klausel 1

Definitionen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

(a) die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) der Begriff „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;

(c) der Begriff „Datenimporteur“ bezeichnet den in einem Drittland niedergelassenen Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur nach dessen Anweisungen und den Vorschriften dieses Beschlusses personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung in dessen Auftrag zu verarbeiten, und der nicht dem System eines Drittlands unterliegt, das ein angemessenes Schutzniveau im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG bietet;

(d) der Begriff „Unterauftragsverarbeiter“ bezeichnet den Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Standardvertragsklauseln im Anhang und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

(e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, für den für die Verarbeitung Verantwortlichen gelten;

(f) der Ausdruck „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet Maßnahmen zum Schutz personenbezogener Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.


1 Die Parteien können die Begriffsbestimmungen der Richtlinie 95/46/EG in diese Klausel aufnehmen, wenn nach ihrem Dafürhalten der Vertrag für sich allein stehen sollte.

Klausel 3

Drittbegünstigtenklausel

  1.  Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
  2.  Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
  3.  Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
  4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) er den Datenexporteur unverzüglich informiert über

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und


2 Zwingende Erfordernisse des für den Datenimporteur geltenden innerstaatlichen Rechts, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft für den Schutz eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgelisteten Interessen erforderlich ist, widersprechen nicht den Standardvertragsklauseln, wenn sie zur Gewährleistung der Sicherheit des Staates, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen, eines wichtigen wirtschaftlichen oder finanziellen Interesses eines Mitgliedstaats, des Schutzes der betroffenen Person und der Rechte und Freiheiten anderer Personen erforderlich sind. Beispiele für zwingende Erfordernisse, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft erforderlich ist, sind international anerkannte Sanktionen, Erfordernisse der Steuerberichterstattung oder Anforderungen zur Bekämpfung der Geldwäsche.

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.
Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

(a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder

(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Kontrollstellen

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2. Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel11

Vergabe eines Unterauftrags

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss3. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. TDer Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Im Namen von Mailgun Technologies, Inc:

Name: Josh Odom
Stellung: CTO
112 E Pecan St #1135
San Antonio, TX 78205

Im Namen des Kunden

ANHANG 1 zu den Standardvertragsklauseln

Datenexporteur
Der Datenexporteur ist die nicht zu Mailgun gehörende Einheit, die persönliche Daten in Länder außerhalb des EWR überträgt und die Mailgun-Dienste als direkter Kunde von Mailgun oder als Endbenutzer über den Kunden von Mailgun in Anspruch nimmt.

Datenimporteur
Der Datenimporteur ist Mailgun Technologies, Inc., ein Anbieter von Mailgun™ Dienstleistungen.

Betroffene Personen
Die übermittelten personenbezogenen Daten können Personen betreffen, über die personenbezogene Daten vom Datenexporteur über das von Mailgun gehostete System und/oder die Dienste übermittelt oder gespeichert werden.

Kategorien von Daten
Zu den übermittelten persönlichen Daten gehören Name, E-Mail, IP-Adresse und persönliche Daten, die im Inhalt der Nachricht enthalten sind.

Verarbeitung
Im Rahmen der Vereinbarung stellt Mailgun dem Datenexporteur bzw. Datenimporteur bestimmte E-Mail-Dienste zur Verfügung. Mailgun kann daher persönliche Daten verarbeiten. Solche Verarbeitungsaktivitäten umfassen (a) die Bereitstellung der Dienstleistungen; (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen; und (c) die Beantwortung von Support-Anfragen des Kunden.

ANHANG 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Der Datenimporteur wendet Sicherheitsmaßnahmen an, die den nach dem Abkommen, dem Addendum und allen ergänzenden Dokumenten, die nach dem Abkommen geschlossen werden, erforderlichen Maßnahmen gleichwertig sind.

Zum Zwecke der Sicherung der verarbeiteten persönlichen Daten verwendet Mailgun die in Anhang 2 dieses Abkommens beschriebenen bewährten Praktiken der Industrie.