Addendum zur Datenverarbeitung

1. Definitionen
   Begriffe, die hier nicht ausdrücklich definiert sind, haben die ihnen in den Nutzungsbedingungen zugewiesene Bedeutung.
   In dieser DPA haben die folgenden Begriffe die folgende Bedeutung:
• 1.1 "Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
• 1.2 "Kundeninhalte" sind personenbezogene Daten, die vom Kunden an die Dienste übermittelt oder im Namen des Kunden über das Konto des Kunden in Verbindung mit der Nutzung der Dienste durch den Kunden gespeichert werden, einschließlich elektronischer Daten, E-Mail-Textkörper, E-Mail-Empfänger, Text, Sprache, Video, Bilder, Ton oder Kommunikationsprotokolle.
• 1.3 "Kundenabonnementdaten" sind personenbezogene Daten, die sich auf die Interaktionen und die Verbindung des Kunden mit ControlHippo beziehen. Dazu gehören die Namen und/oder Kontaktdaten von Personen, die vom Kunden autorisiert sind, auf das Kundenkonto zuzugreifen, sowie die Rechnungsdaten von Personen, die der Kunde mit seinem Konto verbunden hat. Zu den Abonnementdaten des Kunden gehören auch alle Daten, die ControlHippo zum Zwecke der Identitätsprüfung und anderer rechtlicher Verpflichtungen erheben muss.
• 1.4 "Kundennutzungsdaten" sind Daten, die sich auf die Kontobewegungen des Kunden beziehen und von ControlHippo zum Zwecke der Weitergabe von Kundeninhalten an den vorgesehenen Empfänger verarbeitet werden. Dazu gehören Daten, die zur Identifizierung der Quelle und des Ziels von Kundeninhalten verwendet werden, wie z.B. (a) die Telefonnummern der einzelnen betroffenen Personen, das Datum, die Uhrzeit, die Dauer und die Art der Kommunikation sowie Daten über den Standort des Geräts, die im Rahmen der Erbringung der Dienste generiert werden; und (b) Kommunikationsprotokolle, die zur Identifizierung der Quelle von Dienstanfragen, zur Verbesserung und zur Vermeidung von Systemmissbrauch verwendet werden.
• 1.5 "CCPA" bezeichnet den California Consumer Privacy Act von 2018.
• 1.6 "Datenschutzgesetze" bezeichnet die Datenschutzgesetze des Landes, in dem Sie niedergelassen sind, und alle Datenschutzgesetze, die auf Sie in Verbindung mit den Bedingungen anwendbar sind, einschließlich, aber nicht beschränkt auf (a) Gesetze und Vorschriften, die auf die GDPR anwendbar sind, (b) in Bezug auf das Vereinigte Königreich, die GDPR, wie sie im Vereinigten Königreich aufgrund von Abschnitt 3 des United Kingdom European Union (Withdrawal) Act 2018 ("UK GDPR") und des Data Protection Act, 2019 gespeichert ist, (c) das Schweizerische Bundesgesetz über den Datenschutz und seine Ausführungsbestimmungen ("Swiss DPA"), jeweils in der geänderten, ersetzten oder ersetzten Fassung.
• 1.7 "Betroffene Person" ist jede identifizierte oder identifizierbare natürliche Person.
• 1.8 "GDPR" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
• 1.9 "Standardvertragsklauseln" oder "SCCs" bezeichnet (i) im Falle der Anwendbarkeit der DSGVO die von der Europäischen Kommission genehmigten Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 vom 04. Juni 2021), die unter https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914 abrufbar sind ("EU SCCs"); (ii) im Falle der Anwendbarkeit der DSGVO des Vereinigten Königreichs das vom UK Information Commissioner herausgegebene Addendum für den internationalen Datentransfer zu den EU SCCs, Version B1.0, in Kraft seit dem 21. März 2022, als Anhang IV ("UK SCCs") und (iii) im Falle der Anwendbarkeit des Schweizer DSG die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten herausgegebenen, genehmigten oder anerkannten Standarddatenschutzklauseln (die "Swiss SCCs") (jeweils in der jeweils aktualisierten, geänderten oder ersetzten Fassung).
• 1.10 "Personenbezogene Daten" sind alle Informationen über eine betroffene Person, die vom Auftragsverarbeiter im Rahmen der Erbringung der Dienstleistungen für den Verantwortlichen verarbeitet werden.
• 1.11 "Verletzung des Schutzes personenbezogener Daten" bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
• 1.12 "Datenschutzrichtlinie" bezeichnet die Datenschutzrichtlinie von ControlHippo unter https://controlhippo.com/privacy/
• 1.13 "Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung.
• 1.14 "Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
• 1.15 "Sensible Daten" sind personenbezogene Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person betreffen. Dazu gehören auch Informationen über Straftaten oder Verurteilungen einer Person sowie alle anderen Informationen, die nach den geltenden Datenschutzgesetzen als sensibel gelten.
• 1.16 "Dienste" bezeichnet die von ControlHippo bereitgestellten cloudbasierten synchronisierten Kommunikationsplattformdienste, die der Kunde gemäß den Bedingungen abonniert hat.
2. Umfang, Dauer und Zuständigkeiten
• 2.1 Diese DPA gilt für die Verarbeitung von Kundeninhalten.
• 2.2 ControlHippo wird Kundeninhalte für die Dauer dieser DPA und nur in Übereinstimmung mit dieser DPA, insbesondere wie in der jeweiligen Anlage erwähnt, verarbeiten.
• 2.3 Im Rahmen der Bedingungen ist jede Partei für die Einhaltung ihrer jeweiligen Verpflichtungen als für die Verarbeitung Verantwortlicher und Auftragsverarbeiter gemäß den Datenschutzgesetzen verantwortlich.
3. Verhältnis der Parteien zueinander
• 3.1 ControlHippo als Auftragsverarbeiter: Die Parteien erkennen an und vereinbaren, dass der Kunde im Hinblick auf die Verarbeitung von Kundeninhalten entweder als Verantwortlicher oder als Auftragsverarbeiter handeln kann und ControlHippo ein Auftragsverarbeiter ist.
• 3.2 ControlHippo als für die Verarbeitung Verantwortlicher der Kundenabonnementdaten: Die Parteien erkennen an, dass in Bezug auf die Verarbeitung von Kundenabonnementdaten der Kunde ein für die Verarbeitung Verantwortlicher ist und ControlHippo ein unabhängiger für die Verarbeitung Verantwortlicher ist, nicht ein mit dem Kunden gemeinsam Verantwortlicher. Die Verarbeitung von Kundenabonnementdaten erfolgt in Übereinstimmung mit der Datenschutzrichtlinie von ControlHippo.
• 3.3 ControlHippo als Verantwortlicher für Kundendaten: Die Parteien erkennen an, dass der Kunde in Bezug auf die Verarbeitung von Kundendaten entweder als Verantwortlicher oder als Auftragsverarbeiter handeln kann und ControlHippo ein unabhängiger Verantwortlicher ist, nicht ein gemeinsamer Verantwortlicher mit dem Kunden. Kundennutzungsdaten werden in Übereinstimmung mit der Datenschutzrichtlinie von ControlHippo verarbeitet.
4. Laufzeit und Beendigung
• 4.1 Diese DPA tritt in Kraft, sobald der Kunde die Dienste abonniert hat. Sie bleibt in vollem Umfang in Kraft und wirksam, solange ControlHippo Kundeninhalte gemäß den Bedingungen verarbeitet, und endet danach automatisch.
• 4.2 Sind Änderungen erforderlich, um die Übereinstimmung dieser DPA oder eines Anhangs mit den Datenschutzgesetzen zu gewährleisten, bemühen sich die Parteien in angemessener Weise, sich auf Ersuchen des für die Verarbeitung Verantwortlichen auf solche Änderungen zu einigen. Können sich die Parteien nicht auf derartige Änderungen einigen, kann jede Partei die Nutzung der Dienste durch den Kunden mit einer Frist von dreißig (30) Tagen schriftlich gegenüber der anderen Partei kündigen.
5. Verarbeitungshinweise
• 5.1 ControlHippo wird die Kundeninhalte gemäß den Anweisungen des Kunden verarbeiten. Diese DPA enthält die ursprünglichen Anweisungen des Kunden an ControlHippo in Bezug auf die Kundeninhalte. Die Parteien vereinbaren, dass der Kunde ControlHippo jede Änderung seiner ursprünglichen Anweisungen im Wege einer Änderung dieser DPA mitteilen kann.
• 5.2 Um Zweifel auszuschließen, ist für jede Anweisung, die zu einer Verarbeitung außerhalb des Anwendungsbereichs dieser DSGVO führen würde (z. B. weil ein neuer Verarbeitungszweck eingeführt wird), eine vorherige Vereinbarung zwischen den Parteien erforderlich.
• 5.3 ControlHippo wird den für die Verarbeitung Verantwortlichen unverzüglich schriftlich informieren, wenn eine Anweisung nach Auffassung von ControlHippo gegen Datenschutzgesetze verstößt, und die Gründe für seine Auffassung ausführlich schriftlich darlegen.
6. Personal des Verarbeiters
• 6.1 ControlHippo wird seinen Mitarbeitern die unbefugte Verarbeitung von Kundeninhalten untersagen. ControlHippo wird seinen Mitarbeitern angemessene vertragliche Verpflichtungen auferlegen, einschließlich relevanter Verpflichtungen hinsichtlich Vertraulichkeit, Datenschutz und Datensicherheit.
7. Weitergabe an Dritte; Rechte der betroffenen Personen
• 7.1 ControlHippo wird Kundeninhalte nicht an Behörden, Gerichte oder Strafverfolgungsbehörden weitergeben, es sei denn, es liegt eine schriftliche Zustimmung des Controllers vor oder die Weitergabe ist zur Einhaltung geltender zwingender Gesetze erforderlich. Falls ControlHippo verpflichtet ist, Kundeninhalte an eine Strafverfolgungsbehörde weiterzugeben, erklärt sich ControlHippo bereit, den für die Verarbeitung Verantwortlichen in angemessener Weise über die Zugriffsanfrage zu informieren, bevor der Zugriff gewährt wird, um dem für die Verarbeitung Verantwortlichen die Möglichkeit zu geben, eine einstweilige Verfügung oder ein anderes geeignetes Rechtsmittel einzulegen. Sollte eine solche Mitteilung gesetzlich verboten sein, wird ControlHippo angemessene Maßnahmen ergreifen, um die Kundeninhalte vor unzulässiger Offenlegung zu schützen, so als ob es sich um ControlHippos eigene vertrauliche Informationen handeln würde, die angefordert werden, und wird den für die Verarbeitung Verantwortlichen so schnell wie möglich informieren, wenn ein solches gesetzliches Verbot nicht mehr gilt.
• 7.2 Erhält der für die Verarbeitung Verantwortliche eine Anfrage oder Mitteilung von betroffenen Personen, die sich auf die Verarbeitung von Kundeninhalten bezieht (" Anfrage "), wird ControlHippo dem für die Verarbeitung Verantwortlichen auf Anweisung des für die Verarbeitung Verantwortlichen in angemessener Weise volle Kooperation, Information und Unterstützung (" Unterstützung ") in Bezug auf eine solche Anfrage gewähren.
• 7.3 Erhält ControlHippo eine Anfrage, wird ControlHippo (i) nicht direkt auf eine solche Anfrage reagieren, (ii) die Anfrage innerhalb von zehn (10) Werktagen, nachdem die Anfrage als die verantwortliche Stelle betreffend identifiziert wurde, an die verantwortliche Stelle weiterleiten und (iii) gemäß den weiteren Anweisungen der verantwortlichen Stelle Unterstützung leisten.
8. Technische und organisatorische Maßnahmen
• 8.1 ControlHippo implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, um sicherzustellen, dass die Kundeninhalte gemäß dieser DSGVO verarbeitet werden, um Unterstützung zu leisten und um die Kundeninhalte gegen eine Verletzung des Schutzes personenbezogener Daten zu schützen (" TOMs "). Diese Maßnahmen umfassen die in Anhang 2 aufgeführten Maßnahmen.
9. Unterstützung bei der Datenschutz-Folgenabschätzung
• 9.1 Wenn eine Datenschutz-Folgenabschätzung (" DPIA ") nach den geltenden Datenschutzgesetzen für die Verarbeitung von Kundeninhalten erforderlich ist, stellt ControlHippo dem Kunden auf Anfrage alle Informationen und Unterstützung zur Verfügung, die vernünftigerweise für die DPIA erforderlich sind, und unterstützt ihn bei der Kommunikation mit den Datenschutzbehörden, sofern dies erforderlich ist, es sei denn, die angeforderten Informationen oder die angeforderte Unterstützung beziehen sich nicht auf die Verpflichtungen von ControlHippo nach dieser DPA.
• 9.2 Der Kunde zahlt ControlHippo angemessene Gebühren für die Erbringung der in dieser Klausel 9 genannten Hilfeleistungen, soweit diese Hilfeleistungen nicht im Rahmen der normalen Erbringung der Dienstleistungen erbracht werden können.
10. Informationsrechte und Audit
• 10.1 ControlHippo wird dem Kunden in Übereinstimmung mit den Datenschutzgesetzen auf Anfrage rechtzeitig die Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der datenschutzrechtlichen Verpflichtungen durch ControlHippo nachzuweisen.
• 10.2 ControlHippo wird nach angemessener Vorankündigung Prüfungen der Verarbeitung von Kundeninhalten durch ControlHippo sowie der TOMs (einschließlich der Datenverarbeitungssysteme, -richtlinien, -verfahren und -aufzeichnungen) während der regulären Geschäftszeiten und mit minimaler Unterbrechung des Geschäftsbetriebs von ControlHippo zulassen und dazu beitragen. Solche Audits werden vom Kunden, seinen verbundenen Unternehmen oder einem unabhängigen Dritten im Namen des Kunden (der kein Konkurrent des Auftragsverarbeiters ist) durchgeführt, der angemessenen Vertraulichkeitsverpflichtungen unterliegt.
• 10.3 Der Kunde zahlt ControlHippo die angemessenen Kosten für die Ermöglichung oder Mitwirkung an Audits oder Inspektionen in Übereinstimmung mit Klausel 10 (b), wenn der Kunde mehr als ein Audit oder eine Inspektion alle 12 Monate durchführen möchte. ControlHippo wird den Kunden unverzüglich über alle Anfragen von nationalen Datenschutzbehörden informieren, die sich auf die Verarbeitung von Kundeninhalten durch ControlHippo beziehen.
• 10.4 ControlHippo verpflichtet sich, mit dem für die Verarbeitung Verantwortlichen im Umgang mit den nationalen Datenschutzbehörden und bei etwaigen Prüfaufträgen der nationalen Datenschutzbehörden zu kooperieren.
11. Benachrichtigung über Verstöße gegen personenbezogene Daten
• 11.1 In Bezug auf eine Verletzung des Schutzes personenbezogener Daten (tatsächlich oder mit begründetem Verdacht) wird ControlHippo:
• (a) den Kunden unverzüglich über eine Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, an der ControlHippo oder ein Unterauftragnehmer beteiligt ist, und es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, die Aufsichtsbehörde innerhalb von 72 Stunden nach der Benachrichtigung durch ControlHippo über eine solche Verletzung zu informieren;
• (b) dem Kunden angemessene Informationen, Zusammenarbeit und Unterstützung in Bezug auf Maßnahmen zu gewähren, die als Reaktion auf eine Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen zu ergreifen sind, einschließlich der Mitteilung der Verletzung des Schutzes personenbezogener Daten an die betroffenen Personen und die nationalen Datenschutzbehörden.
12. Vergabe von Unteraufträgen
• 12.1 Der Kunde ist damit einverstanden, dass ControlHippo dritte Unterauftragsverarbeiter, wie in Anlage 1 angegeben, mit der Verarbeitung von Kundeninhalten beauftragt, um seine Verpflichtungen aus dem Vertrag zu erfüllen, vorausgesetzt, ControlHippo informiert den Kontoverwalter des Kunden mindestens fünfzehn (15) Tage vor der Ernennung oder dem Austausch eines Unterauftragsverarbeiters. Der Kunde kann gegen die Ernennung oder den Austausch eines Unterauftragsverarbeiters durch ControlHippo vor dessen Ernennung oder Austausch Einspruch erheben, sofern ein solcher Einspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz beruht. In einem solchen Fall wird ControlHippo den Unterauftragsverarbeiter entweder nicht ernennen oder ersetzen, oder, falls dies nicht möglich ist, kann der Kunde die Dienste aussetzen oder kündigen (unbeschadet aller Gebühren, die dem Kunden vor einer solchen Aussetzung oder Kündigung entstanden sind).
• 12.2 Überträgt ControlHippo mit Zustimmung des Kunden seine Pflichten und Rechte aus dieser DSGVO an Unterauftragnehmer, so geschieht dies nur im Wege eines verbindlichen schriftlichen Vertrags mit dem Unterauftragsverarbeiter, der diesem im Wesentlichen die gleichen Pflichten gemäß Art. 28 DSGVO, insbesondere in Bezug auf Weisungen und TOMs, auferlegt werden, wie sie ControlHippo nach dieser DSGVO auferlegt werden.
• 12.3 Erfüllt der Unterauftragsverarbeiter seine datenschutzrechtlichen Verpflichtungen aus dem Unterauftragsvertrag nicht, so bleibt ControlHippo dem Kunden gegenüber in vollem Umfang für die Erfüllung seiner Verpflichtungen aus dieser DPA und für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar.
13. Internationale Datenübertragungen
• 13.1 Die Parteien vereinbaren, dass in Fällen, in denen es sich bei der Übertragung von Kundeninhalten von der verantwortlichen Stelle an den Auftragsverarbeiter um eine eingeschränkte Übertragung handelt und die anwendbaren Datenschutzgesetze die Einführung angemessener Schutzmaßnahmen erfordern, eine solche Übertragung den entsprechenden Standardvertragsklauseln unterliegt, die wie folgt als Bestandteil dieser DPA gelten und Teil davon sind:
• a. In Bezug auf Übertragungen von Kundeninhalten, die aus dem EWR stammen und der DSGVO unterliegen, gelten die EU-SCCs, die wie folgt ergänzt werden:
• i. Modul 2 (Verantwortlicher zu Auftragsverarbeiter) findet Anwendung, wenn Sie ein Verantwortlicher und wir ein Auftragsverarbeiter sind;
• ii. In Klausel 7 wird die fakultative Andockklausel angewendet;
• iii. in Klausel 11 wird die fakultative Formulierung nicht angewendet;
• iv. in Klausel 17 gilt Option 1, und die EU-SCCs unterliegen irischem Recht;
• v. in Klausel 18(b): Streitigkeiten werden vor den Gerichten Irlands entschieden;
• vi. Anhang I der EU-SCCs gilt mit den in Anlage I zu dieser DSGVO aufgeführten Informationen als ausgefüllt;
• vii. Anhang II der EU-SCCs gilt als mit den in Anlage II zu dieser DPA aufgeführten Informationen ausgefüllt; und
• viii. Anhang III der EU-SCC gilt mit den in Anlage III zu dieser DPA aufgeführten Informationen als ausgefüllt.
• b. In Bezug auf Übermittlungen von Kundeninhalten, die aus der Schweiz stammen und dem Schweizer DSG unterliegen, gelten die EU-SCC, wie sie unter Buchstabe (a) oben umgesetzt wurden, mit den folgenden Änderungen und bilden die Schweizer SCC:
• i. Verweise auf die Verordnung (EU) 2016/679 sind als Verweise auf die Schweizer Datenschutzbehörde auszulegen;
• ii. Verweise auf bestimmte Artikel der Verordnung (EU) 2016/679; werden durch den entsprechenden Abschnitt des Schweizer DSG ersetzt;
• iii. Verweise auf "EU", "Union", "Mitgliedstaat" und "mitgliedstaatliches Recht" werden durch Verweise auf "Schweiz" oder "schweizerisches Recht" ersetzt;
• iv. Der Begriff "Mitgliedstaat" darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d. h. in der Schweiz) einzuklagen;
• v. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die "zuständige Aufsichtsbehörde" ist der Eidgenössische Datenschutzbeauftragte;
• vi. Die Verweise auf die "zuständige Aufsichtsbehörde" und die "zuständigen Gerichte" werden durch Verweise auf den "Eidgenössischen Datenschutzbeauftragten" und die "zuständigen Gerichte der Schweiz" ersetzt;
• vii. in Klausel 17 unterliegen die Standardvertragsklauseln schweizerischem Recht; und
• viii. In Klausel 18 Buchstabe b) wird festgelegt, dass Streitigkeiten vor den zuständigen Gerichten der Schweiz zu entscheiden sind.
• ix. Anhang I der Schweizer SCCs gilt mit den in Anlage I zu dieser DPA aufgeführten Informationen als ausgefüllt;
• x. Anhang II der Schweizer SCCs gilt als mit den in Anlage II zu diesem DPA aufgeführten Informationen ausgefüllt; und
• xi. Anhang III der Schweizer SCCs gilt mit den in Anlage III zu diesem DPA aufgeführten Informationen als ausgefüllt.
• c. In Bezug auf die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich, die der Datenschutz-Grundverordnung des Vereinigten Königreichs unterliegen, gelten die SCCs des Vereinigten Königreichs.
• 13.2 Für die Zwecke der Beschreibungen in den SCC stimmen Sie zu, dass Sie der "Datenexporteur" und wir der "Datenimporteur" sind.
• 13.3 Die Parteien vereinbaren, dass der Datenexporteur und der Datenimporteur für den Fall, dass die Standardvertragsklauseln ersetzt, geändert oder nach den Datenschutzgesetzen nicht mehr als gültig anerkannt werden oder eine Aufsichtsbehörde und/oder die Datenschutzgesetze die Annahme einer alternativen Übermittlungslösung verlangen, (i) unverzüglich die geforderten Maßnahmen ergreifen, einschließlich der Einrichtung eines alternativen Übermittlungsmechanismus, um sicherzustellen, dass die Verarbeitung weiterhin den Datenschutzgesetzen entspricht, oder (ii) die Übermittlung von Kundeninhalten einstellen und nach eigenem Ermessen des Datenexporteurs und des Datenimporteurs (i) unverzüglich die geforderten Schritte unternehmen, einschließlich der Einrichtung eines alternativen Übermittlungsmechanismus, um sicherzustellen, dass die Verarbeitung weiterhin im Einklang mit den Datenschutzgesetzen steht, oder (ii) die Übermittlung von Kundeninhalten einstellen und nach Wahl des Datenexporteurs die Kundeninhalte löschen oder an den Datenexporteur zurückgeben.
14. Löschung oder Rückgabe von personenbezogenen Daten
• 14.1 Nach Ablauf der Bedingungen wird ControlHippo alle Kundeninhalte, einschließlich personenbezogener Daten, innerhalb von zwei (2) Jahren löschen. Innerhalb dieser Aufbewahrungsfrist kann der Kunde die Kundeninhalte exportieren, indem er sich schriftlich an ControlHippo unter [email protected] wendet. Diese Anforderung gilt nicht, soweit ControlHippo als Auftragsverarbeiter nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren; in diesem Fall wird ControlHippo die personenbezogenen Daten isolieren und vor jeglicher weiteren Verarbeitung schützen, es sei denn, dies ist gesetzlich vorgeschrieben.
15. CCPA-Verpflichtung
• 15.1 Der Kunde erkennt an und erklärt sich damit einverstanden, dass der Kunde das Unternehmen und ControlHippo der Dienstleister in Bezug auf personenbezogene Daten von Verbrauchern (im Sinne des CCPA) ist, die Teil des Kundeninhalts sind. ControlHippo wird personenbezogene Daten von Verbrauchern, die ControlHippo im Auftrag des Kunden bei der Erbringung der Dienstleistungen gemäß den Bedingungen verarbeitet, nicht verkaufen, einbehalten, verwenden oder offenlegen, es sei denn, dies geschieht zu dem speziellen Zweck der Erbringung der Dienstleistungen gemäß den Bedingungen und als Teil der direkten Beziehung zwischen ControlHippo und dem Kunden. ControlHippo bestätigt, dass es die Einschränkungen in dieser Klausel 15 verstanden hat und diese einhalten wird.
16. Nutzung von Kundeninhalten für Analysen
• 16.1 Der Kunde erkennt an und räumt ControlHippo das Recht zur Nutzung der Kundeninhalte ein, diese zu sammeln, zu nutzen, zu kopieren, zu speichern und zu übermitteln, jeweils nur in dem Umfang, der zur Erfüllung der vom Kunden beabsichtigten Zwecke erforderlich ist, einschließlich, aber nicht beschränkt auf die Durchführung von Analysen für Machine Learning.
17. Sonstiges
• 17.1 Im Falle eines Konflikts haben die Bestimmungen dieser DPA Vorrang vor den Bestimmungen jeder anderen Vereinbarung mit ControlHippo.
• 17.2 Keine Partei erhält eine Vergütung für die Erfüllung ihrer Verpflichtungen aus dieser DPA, es sei denn, dies ist in dieser oder einer anderen Vereinbarung ausdrücklich vorgesehen.
• 17.3 Wo diese DPA eine "schriftliche Mitteilung" verlangt, kann diese Mitteilung auch per E-Mail an die andere Partei übermittelt werden. Mitteilungen sind an ControlHippo unter [email protected] und an den Kunden unter der E-Mail-Adresse, mit der er sich angemeldet hat, zu richten.
• 17.4 Alle Zusatzvereinbarungen oder Änderungen dieser DPA bedürfen der Schriftform und der Unterschrift beider Parteien.
• 17.5 Sollten einzelne Bestimmungen dieser DPA nichtig, unwirksam oder undurchführbar sein, so berührt dies die Gültigkeit der übrigen Bedingungen dieses Vertrages nicht.

1. ControlHippo hat die folgenden Richtlinien aufgestellt, vom Management genehmigt und dokumentiert. Die Richtlinien werden kontinuierlich verbessert, mindestens jährlich überprüft und müssen von allen ControlHippo-Mitarbeitern, Auftragnehmern und Praktikanten jährlich überprüft und bestätigt werden. Ein Nachweis der Richtlinien ist erforderlich.
• 1.1 Informationssicherheitspolitik
• 1.2 Richtlinie zur akzeptablen Nutzung
2. ControlHippo hat die folgenden Richtlinien festgelegt, vom Management genehmigt und dokumentiert. Die Richtlinien werden kontinuierlich verbessert und mindestens einmal jährlich überprüft. Ein Nachweis der Richtlinien ist erforderlich.
• 2.1 Zugangskontrollpolitik
• 2.2 Änderungsmanagementpolitik
• 2.3 Richtlinie zur Verwaltung mobiler Geräte
• 2.4 Fern-/Telearbeitnehmerpolitik
3. Programm zur Sensibilisierung für Sicherheit und Schulung
• 3.1 ControlHippo hat ein Programm zur Sensibilisierung für Sicherheitsfragen eingeführt, das alle Mitarbeiter bei ihrer Einstellung und danach mindestens einmal jährlich absolvieren müssen.
4. Physische Sicherheit
• 4.1 ControlHippo beschränkt den Zugang zu den Bereichen, in denen die Daten des Verantwortlichen verarbeitet werden, und führt Protokolle über den Zugang.
• 4.2 ControlHippo muss Sicherheitsprotokolle implementieren.
5. Vermögensverwaltung
• 5.1 ControlHippo verfügt über ein System zur Verwaltung und Verfolgung aller Vermögenswerte, die sich im Besitz des Auftragsnehmers befinden oder von ihm verwaltet werden.

1. Betriebssystem / Software / Anwendungen
• 1.1 ControlHippo verfügt über eine Methode zur Übermittlung und/oder Verbreitung von Sicherheitspatch-Updates für Betriebssysteme, Software und Anwendungen, die in seinen Umgebungen eingesetzt werden.
• 1.2 Kritische Patches und/oder Updates werden innerhalb von 30 Tagen nach ihrer Veröffentlichung bereitgestellt.
2. Zugangsberechtigungen
• 2.1 Alle Mitarbeiter, die Zugang zu Daten des Controllers haben oder diese verwalten:
• a. Sie haben eine eindeutige Benutzerkennung/ein eindeutiges Konto
• b. Teilen Sie keine Benutzerkennungen/Konten mit anderen Benutzern
• c. zur Authentifizierung mit einem zweiten Faktor verpflichtet sind
• 2.2 Benutzerkonten sind erforderlich, um:
• a. Sperren eines Benutzerkontos nach 5 oder weniger erfolglosen Versuchen
• b. Bleiben Sie mindestens 15 Minuten lang ausgesperrt
3. Verschlüsselung
• 3.1 ControlHippo verwendet eine vollständige Festplattenverschlüsselung auf allen vom Unternehmen verwalteten Geräten.
• 3.2 ControlHippo verschlüsselt alle Daten des Controllers bei der Übertragung und im Ruhezustand.
4. Backups
• 4.1 Wenn ControlHippo ein Backup der Controllerdaten durchführt:
• a. Backups müssen durchgeführt und an einem sicheren Ort aufbewahrt werden.
• b. Die Backups müssen verschlüsselt sein.
5. Intrusion Detection und Prävention
• 5.1 ControlHippo verfügt an allen Unternehmens- und Produktionsstandorten über ein System zur Erkennung und Verhinderung von Einbrüchen.

Anhang III - Liste der Unterauftragsverarbeiter

Wie in Anlage I dargelegt.

Anhang IV: UK SCCs

Diese SCC des Vereinigten Königreichs gelten als Zusatz zu den SCC der EU, die in Klausel 12.1 (a) dieser DPA festgelegt sind.

Teil 1: Tabellen

Für Datenübermittlungen aus dem Vereinigten Königreich, die den UK SCCs unterliegen, gelten die UK SCCs als abgeschlossen (und werden durch diesen Verweis in diesen Nachtrag zur Datenverarbeitung aufgenommen) und werden wie folgt ausgefüllt:

1. In Tabelle 1 der SCCs des Vereinigten Königreichs sind die Angaben zu den Parteien und die wichtigsten Kontaktinformationen in Anhang A.A aufgeführt.
2. In Tabelle 2 der SCC des Vereinigten Königreichs sind die Informationen über die Version der genehmigten SCC der EU, der Module und ausgewählter Klauseln, an die diese SCC des Vereinigten Königreichs angehängt sind, in den Klauseln 11.1 und 12.1(a)(i), (ii), (iii), (iv) dieser DPA aufgeführt.
3. In Tabelle 3 der britischen SCCs:
• 3.1 Anhang 1A: Liste der Vertragsparteien: Die Vertragsparteien sind in Anlage I.A aufgeführt.
• 3.2 Anhang 1B: Beschreibung der Übertragung: Die Beschreibung der Übertragung ist in Anhang I.B enthalten.
• 3.3 Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Die TOMs sind in Anlage II aufgeführt.
• 3.4 Anhang III: Liste der Unterverarbeiter: Die Unterverarbeiter sind in Anlage I.B aufgeführt.
4. In Tabelle 4 der UK SCCs können sowohl der Datenimporteur als auch der Datenexporteur die UK SCCs gemäß den Bedingungen der UK SCCs beenden.

Teil 2: Obligatorische Klauseln

Obligatorische Klauseln des genehmigten Nachtrags, d. h. die Vorlage Nachtrag B.1.0, die vom ICO herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung.