Legal Stuff
Talk legal to me
- Für Kunden
- Nutzungsbedingungen für Kunden
- Hinweise zu den HubSpot-Produkten
- Rechtsgebietsspezifische Klauseln
- Vereinbarung zur Datenverarbeitung
- Regionales Datenhosting bei HubSpot
- Übersicht der Produkte und Dienstleistungen
- Richtlinie zur akzeptablen Nutzung
- HubSpot-Sicherheitsprogramm
- Content-Moderation @HubSpot
- Für Partner
- Für Developer
- Für alle Nutzer
- Sonstige rechtliche Dokumente
- Zurück zur Hauptseite
HubSpot-Vereinbarung zur Datenverarbeitung für Geschäftspartner
Letzte Änderung: 18. September 2024
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Stand: 18. September 2024
Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.
Diese Vereinbarung zur Datenverarbeitung (die „Partner-DPA“) ist Bestandteil der Vereinbarung(en), die Sie („Partner“) mit HubSpot, Inc. („HubSpot“) abgeschlossen haben, und regelt die gemeinsame Nutzung von Daten zwischen Ihnen und HubSpot (mit Ausnahme von Kundenvereinbarungen zwischen Partnern und HubSpot, die den Kauf und die Nutzung von HubSpot-Produkten und -Services durch den Partner regeln) („Partnervereinbarung“).
Diese Partner-DPA gilt für die Verarbeitung von: (1) personenbezogenen Daten, die Partner in Verbindung mit einer Partnervereinbarung hochladen, übertragen oder HubSpot anderweitig zur Verfügung stellen; und (2) personenbezogenen Daten, die HubSpot (oder seine Kunden) in Verbindung mit der Partnervereinbarung hochlädt, überträgt oder dem Partner anderweitig zur Verfügung stellt.
Diese Partner-DPA (einschließlich der Standardvertragsklauseln, wie unten definiert) und die Partnervereinbarung werden in dieser Partner-DPA gemeinsam als „Vereinbarung" bezeichnet. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen der Vereinbarung haben die Bestimmungen der folgenden Dokumente (in der Reihenfolge ihres Vorrangs) Vorrang: (a) die Standardvertragsklauseln, (b) diese Partner-DPA und (c) die Partnervereinbarung.
Der Zweck dieser Partner-DPA ist es, einen Rahmen für die folgenden Szenarien zu schaffen:
- HubSpot und der Partner können in Verbindung mit der Partnervereinbarung jeweils für die Verarbeitung Verantwortliche (wie unten definiert) für personenbezogene Daten sein und diese personenbezogenen Daten an die andere Partei übertragen, damit sie für diese personenbezogenen Daten als für die Verarbeitung verantwortliche Partei fungiert;
- HubSpot und der Partner können die für die Verarbeitung Verantwortlichen für personenbezogene Daten sein und diese personenbezogenen Daten an die andere Partei übermitteln, damit diese Partei bestimmte Dienstleistungen für die andere Partei als Auftragsverarbeiter dieser persönlichen Daten erbringen kann (z. B. die Erbringung von Dienstleistungen als Solutions Partner oder die Durchführung eines API-Aufrufs); oder
- HubSpot und der Partner können jeweils Auftragsverarbeiter der personenbezogenen Daten eines gemeinsamen Kunden sein und diese Daten auf Anweisung des gemeinsamen Kunden an die andere Partei zur Verarbeitung übermitteln.
1. DEFINITIONEN
Die Begriffe „Unternehmen“ und „Dienstleister“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Business“ und „Service Provider“ festgelegt sind.
„Personenbezogene Daten kalifornischer Bürger“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.
„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018), geändert durch das 2020 verabschiedete kalifornische Datenschutzgesetz „California Privacy Rights Act“ oder „CPRA“.
„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
„Datenschutzrahmen“ bezeichnet die vom U.S. Department of Commerce verwalteten Selbstzertifizierungsprogramme „EU-U.S. Data Privacy Framework“, die Erweiterung dieses Frameworks für das Vereinigte Königreich und das „Swiss-U.S. Data Privacy Framework“ (soweit zutreffend) in der jeweils gültigen Fassung.
„Datenschutz-Rahmengrundsätze“ sind die Grundsätze und ergänzenden Grundsätze, die in den einschlägigen Datenschutz-Rahmenbestimmungen enthalten sind; sie können geändert, ersetzt oder überholt werden.
„Datenschutzrecht“ bezeichnet alle anwendbaren, weltweiten Gesetze oder Verordnungen bezüglich des Datenschutzes und des Schutzes der Persönlichkeitsrechte, die für die jeweilige Vertragspartei bei der Verarbeitung der in dem Vertrag definierten personenbezogenen Daten gelten. Dies umfasst unter anderem europäische Datenschutzgesetze, den CCPA und die Datenschutzgesetze und Gesetze zum Schutz von Persönlichkeitsrechten von Australien, Singapur, in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form. „Europa“ umfasst die Europäische Union, den Europäischen Wirtschaftsraum und/oder deren Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich.
„Europäisches Datenschutzrecht“ bezeichnet in Europa geltende Datenschutzgesetze, darunter in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii); oder (iii) die DSGVO als Teil des innerstaatlichen Rechts des Vereinigten Königreichs auf Grundlage von Abschnitt 3 des European Union (Withdrawal) Act 2018 (Gesetz über den Austritt aus der Europäischen Union, „UK DSGVO“); und (iv) das Schweizer Bundesgesetz über den Datenschutz aus dem Jahr 2020 und dessen Verordnung („Schweizer Datenschutzgesetz“).
„Europäische personenbezogene Daten“ sind personenbezogene Daten, die dem Schutz des europäischen Datenschutzrechts unterliegen.
„Gemeinsamer Kunde“ steht für eine Person, die sowohl Kunde des Partners als auch Kunde von HubSpot ist.
„Personenbezogene Daten von gemeinsamen Kunden“ steht für personenbezogene Daten, deren für die Verarbeitung Verantwortlicher ein gemeinsamer Kunde ist.
„Personenbezogene Daten von HubSpot“ steht für personenbezogene Daten, deren für die Verarbeitung Verantwortlicher HubSpot ist.
„Personenbezogene Daten von Partnern“ steht für personenbezogene Daten, deren für die Verarbeitung Verantwortlicher der Partner ist.
„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern diese Informationen in den personenbezogenen Daten von HubSpot, den personenbezogenen Daten von Partnern oder den personenbezogenen Daten von gemeinsamen Kunden enthalten sind und unter dem Schutz anwendbaren Datenschutzrechts für personenbezogene Daten oder Informationen zur Identifizierung einer Person stehen.
„Verletzung des Schutzes personenbezogener Daten“ steht für alle versehentlichen oder ungesetzlichen Zerstörungen, Verluste, Veränderungen, unbefugten Offenlegungen von oder Zugriffe auf personenbezogene(n) Daten.
„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „verarbeiten“, „verarbeitet“ u. Ä. sind entsprechend auszulegen.
„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
„Standardvertragsklauseln“ steht für die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021.
„Unterauftragsverarbeiter“ steht für jede Entität, die für einen Auftragsverarbeiter Verarbeitungsdienste erbringt.
„Aufsichtsbehörde“ steht für eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat des Europäischen Wirtschaftsraums, der Schweiz oder dem Vereinigten Königreich eingerichtet wurde.
„Addendum für das Vereinigte Königreich“ bezeichnet das Addendum für den internationalen Datentransfer (Version B.1.0), das von der britischen Datenschutzbehörde (ICO) gemäß Abschnitt 119A des britischen Datenschutzgesetzes (Data Protection Act 2018) herausgegeben wurde (in der nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).
2. EINHALTUNG VON GESETZEN
Die Parteien sichern zu und gewährleisten, dass sie ihren jeweiligen Verpflichtungen und Pflichten gemäß den geltenden Datenschutzgesetzen nachkommen werden.
3. SZENARIEN MIT GEMEINSAMEN AUFTRAGSVERARBEITERN
Jede Partei wird, soweit sie zusammen mit der anderen Partei als Auftragsverarbeiter für die personenbezogenen Daten des gemeinsamen Kunden handelt, (i) die Anweisungen und Beschränkungen einhalten, die in der/den Vereinbarung(en) mit dem gemeinsamen Kunden festgelegt sind, und (ii) in angemessener Weise mit der anderen Partei zusammenarbeiten, um die Einhaltung der Datenschutzrechte gemäß den geltenden Datenschutzgesetzen zu ermöglichen. Die Parteien erkennen an und vereinbaren, dass jede Partei als Auftragsverarbeiter für den gemeinsamen Kunden handelt und keine Partei die andere als Unterauftragsverarbeiter beauftragt.
4. SZENARIEN MIT ZWEI FÜR DIE VERARBEITUNG VERANTWORTLICHEN
Jede Partei wird, soweit sie zusammen mit der anderen Partei als für die Verarbeitung verantwortliche Partei für personenbezogene Daten handelt, in angemessener Weise mit der anderen Partei zusammenarbeiten, um die Ausübung der Datenschutzrechte gemäß den geltenden Datenschutzgesetzen zu ermöglichen.
Die Parteien erkennen an und sind sich einig, dass jede Partei unabhängig als für die Verarbeitung verantwortliche Partei für personenbezogene Daten handelt und dass die Parteien keine gemeinsamen für die Verarbeitung Verantwortlichen im Sinne der europäischen Datenschutzgesetze sind.
5. SZENARIEN MIT FÜR DIE VERARBEITUNG VERANTWORTLICHEM AN AUFTRAGSVERARBEITER
Bei Verarbeitungsvorgängen, bei denen HubSpot personenbezogene Daten im Namen und auf Anweisung des Partners verarbeitet, bezieht sich der Begriff „Auftragsverarbeiter“ auf HubSpot, der Begriff „für die Verarbeitung Verantwortlicher“ auf den Partner und der Begriff "Personenbezogene Daten" auf die personenbezogenen Daten des Partners. Bei Datenverarbeitungsvorgängen, bei denen der Partner personenbezogene Daten im Auftrag von HubSpot und auf Anweisung von HubSpot verarbeitet, bezieht sich der Begriff „Auftragsverarbeiter“ auf den Partner, der Begriff „für die Verarbeitung Verantwortlicher" auf HubSpot und der Begriff „personenbezogene Daten“ auf die personenbezogenen Daten von HubSpot.
B. Rahmen der Verarbeitung.
Im Zusammenhang mit den in Abschnitt 5.a oben beschriebenen Szenarien erklärt sich jede Partei bereit, personenbezogene Daten nur für die in der geltenden Partnervereinbarung und/oder für die in der/den Vereinbarung(en) mit dem gemeinsamen Kunden festgelegten Zwecke zu verarbeiten. Um Zweifel auszuschließen, werden die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, die dieser Vereinbarung zur Datenverarbeitung unterliegen, in Anhang A dieser Vereinbarung zur Datenverarbeitung beschrieben.
6. VERPFLICHTUNGEN DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN
Die Parteien vereinbaren in ihrer Eigenschaft als für die Verarbeitung Verantwortlicher, dass sie:
A. Anweisungen an den Auftragsverarbeiter erteilen und die Zwecke und Mittel der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in Übereinstimmung mit der Vereinbarung festlegen; und
B. die Schutz-, Sicherheits- und sonstigen Verpflichtungen in Bezug auf personenbezogene Daten einhalten, die sich aus den geltenden Datenschutzgesetzen für einen für die Verarbeitung Verantwortlichen ergeben, und zwar durch: (i) Einrichtung und Aufrechterhaltung eines Verfahrens zur Ausübung der Rechte der Personen, deren personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden; (ii) die ausschließliche Verarbeitung von Daten, die rechtmäßig und gültig erfasst wurden, und die Sicherstellung, dass diese Daten für die jeweiligen Verwendungszwecke relevant und verhältnismäßig sind; sowie (iii) die Sicherstellung der Einhaltung der Bestimmungen dieser Vereinbarung zur Datenverarbeitung durch Mitarbeiter oder Dritte, die im Auftrag auf personenbezogene Daten zugreifen oder diese verwenden.
7. VERPFLICHTUNGEN DES AUFTRAGSVERARBEITERS
A. Verarbeitungsanforderungen. Die Parteien vereinbaren in ihrer Eigenschaft als Auftragsverarbeiter, dass sie:
a. personenbezogene Daten (i) nur zum Zweck der Bereitstellung, Unterstützung und Verbesserung des Produkts und der Dienstleistungen des Auftragsverarbeiters (einschließlich der Bereitstellung von Einblicken und anderen Berichten) unter Verwendung angemessener technischer und organisatorischer Sicherheitsmaßnahmen und (ii) in Übereinstimmung mit den Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten. Der Auftragsverarbeiter wird die personenbezogenen Daten nicht für andere Zwecke verwenden oder verarbeiten. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich schriftlich, wenn er die Anforderungen gemäß den Abschnitten 6 bis 9 dieser Vereinbarung zur Datenverarbeitung nicht erfüllen kann. In diesem Fall kann der für die Verarbeitung Verantwortliche die Vereinbarung und alle anwendbaren Partnervereinbarungen kündigen oder andere angemessene Maßnahmen ergreifen, einschließlich der Einstellung der Datenverarbeitung;
b. den für die Verarbeitung Verantwortlichen unverzüglich und ohne unangemessene Verzögerung informieren, wenn nach Ansicht des Auftragsverarbeiters eine Anweisung des für die Verarbeitung Verantwortlichen gegen geltende Datenschutzgesetze verstößt;
c. die Anweisungen des für die Verarbeitung Verantwortlichen bezüglich der Erfassung dieser personenbezogenen Daten befolgen, wenn der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen personenbezogene Daten von Einzelpersonen erhebt;
d. wirtschaftlich angemessene Maßnahmen ergreifen, um sicherzustellen, dass (i) die beschäftigten Personen und (ii) andere Personen, die im Auftrag des Auftragsverarbeiters tätig sind, die Bestimmungen der Vereinbarung und der geltenden Partnervereinbarungen einhalten;
e. erklären und gewährleisten, dass Mitarbeiter, Bevollmächtigte und Unterauftragsverarbeiter einer strengen Geheimhaltungspflicht unterliegen (unabhängig davon, ob es sich dabei um eine vertragliche oder gesetzliche Pflicht handelt), und dass keiner Person die Verarbeitung personenbezogener Daten gestattet wird, die nicht einer solchen Geheimhaltungspflicht unterliegt;
f. wenn Unterauftragsverarbeiter beauftragt werden sollen, um bei der Erfüllung der Verpflichtungen gemäß dieser Vereinbarung zur Datenverarbeitung zu helfen, oder alle oder ein Teil der Verarbeitungstätigkeit an solche Unterauftragsverarbeiter delegiert wird, (i) dem für die Verarbeitung Verantwortlichen eine Liste der derzeit vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter vorlegen müssen (die Liste für HubSpot ist online verfügbar unter https://legal.hubspot.com/de/sub-processors-page) und den für die Verarbeitung Verantwortlichen mindestens 30 Tage im Voraus über die Beauftragung neuer Unterauftragsverarbeiter unterrichten, wobei sie dem für die Verarbeitung Verantwortlichen die Möglichkeit geben, Einspruch zu erheben; (ii) gegenüber dem für die Verarbeitung Verantwortlichen für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz haftbar bleiben, wenn diese Unterauftragsverarbeiter auf Anweisung des Auftragsverarbeiters handeln; und (iii) mit diesen Unterauftragsverarbeitern vertragliche Vereinbarungen treffen, die sie dazu verpflichten, das gleiche Maß an Datenschutz und Informationssicherheit zu gewährleisten, wie es hier vorgesehen ist;
g. dem für die Verarbeitung Verantwortlichen auf Anfrage die Datenschutz- und Sicherheitsrichtlinien des Auftragsverarbeiters zur Verfügung stellen; und
h. den für die Verarbeitung Verantwortlichen informieren, wenn der Auftragsverarbeiter eine unabhängige Sicherheitsüberprüfung vornimmt.
B. Hinweis für den für die Verarbeitung Verantwortlichen. Der Auftragsverarbeiter wird den für die Verarbeitung Verantwortlichen unverzüglich und ohne unangemessene Verzögerung informieren, wenn der Auftragsverarbeiter von Folgendem Kenntnis erhält:
a. der Nichteinhaltung durch den Auftragsverarbeiter oder seine Mitarbeiter der Abschnitte 6 bis 9 dieser Vereinbarung zur Datenverarbeitung oder der geltenden Datenschutzgesetze in Bezug auf den Schutz personenbezogener Daten, die gemäß dieser Vereinbarung zur Datenverarbeitung verarbeitet werden;
b. allen rechtsverbindlichen Aufforderungen einer Strafverfolgungs- oder Regierungsbehörde zur Weitergabe von personenbezogenen Daten, sofern es dem Auftragsverarbeiter nicht gesetzlich untersagt ist, den für die Verarbeitung Verantwortlichen zu informieren, z. B. zur Wahrung des Untersuchungsgeheimnisses bei Ermittlungen durch Strafverfolgungsbehörden;
c. jeder Mitteilung, Anfrage oder Untersuchung einer Aufsichtsbehörde in Bezug auf personenbezogene Daten; oder
d. Beschwerden oder Anträgen (insbesondere Anträge auf Auskunft, Berichtigung oder Sperrung von personenbezogenen Daten), die direkt von betroffenen Personen an den für die Verarbeitung Verantwortlichen gerichtet werden. Der Auftragsverarbeiter wird einem solchen Antrag nur nach vorheriger schriftlicher Genehmigung durch den für die Verarbeitung Verantwortlichen nachkommen.
C. Unterstützung des für die Verarbeitung Verantwortlichen. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen rechtzeitig und angemessen in Bezug auf:
a. die Beantwortung von Anfragen einer Person zur Ausübung von Rechten nach den geltenden Datenschutzgesetzen (einschließlich des Rechts auf Auskunft, Berichtigung, Widerspruch, Löschung und Datenübertragbarkeit), und der Auftragsverarbeiter verpflichtet sich, den für die Verarbeitung Verantwortlichen unverzüglich zu informieren, wenn eine solche Anfrage eingeht;
b. die Untersuchung von Verletzungen des Schutzes personenbezogener Daten und die Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen des für die Verarbeitung Verantwortlichen über solche Verletzungen des Schutzes personenbezogener Daten; und
c. gegebenenfalls die Erstellung von Datenschutzfolgenabschätzungen und, falls erforderlich, die Rücksprache mit einer Aufsichtsbehörde.
D. Erforderliche Verarbeitung.
Wenn der Auftragsverarbeiter aufgrund von Datenschutzgesetzen verpflichtet ist, personenbezogene Daten aus einem anderen Grund als im Zusammenhang mit der Vereinbarung zu verarbeiten, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung darüber informieren, es sei denn, es ist dem Auftragsverarbeiter gesetzlich untersagt, den für die Verarbeitung Verantwortlichen über eine solche Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungsvorschriften nach dem geltenden Recht des jeweiligen EU-Mitgliedstaats).
E. Sicherheit. Der Auftragsverarbeiter wird:
a. geeignete organisatorische und technische Sicherheitsmaßnahmen (u. a. in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke, Zugangskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Verstößen, Reaktion auf Zwischenfälle, Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand) zum Schutz vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Weitergabe oder Zerstörung personenbezogener Daten treffen;
b. verantwortlich für die Angemessenheit der Sicherheits-, Datenschutz- und Vertraulichkeitsmaßnahmen aller Mitarbeiter des Auftragsverarbeiters in Bezug auf personenbezogene Daten sein und dafür haften, wenn Mitarbeiter des Auftragsverarbeiters die Bestimmungen dieser Vereinbarung zur Datenverarbeitung nicht einhalten;
c. geeignete Maßnahmen ergreifen, um sicherzustellen, dass alle Mitarbeiter des Auftragsverarbeiters die Sicherheit, den Datenschutz und die Vertraulichkeit personenbezogener Daten gemäß den Anforderungen dieser Vereinbarung zur Datenverarbeitung wahren; und
d. den für die Verarbeitung Verantwortlichen unverzüglich, in jedem Fall aber innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten durch den Auftragsverarbeiter, seine Unterauftragsverarbeiter oder sonstige Dritte, die im Auftrag des Auftragsverarbeiters handeln, benachrichtigen.
F. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger.
Wenn der Auftragsverarbeiter personenbezogene Daten aus Kalifornien gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet, erkennen die Parteien an und stimmen zu, dass der für die Verarbeitung Verantwortliche ein Unternehmen und der Auftragsverarbeiter ein Dienstleister im Sinne des CCPA ist. Die Vertragsparteien vereinbaren, dass der Auftragsverarbeiter personenbezogene Daten aus Kalifornien als Dienstleister ausschließlich zum Zweck verarbeitet, die Dienstleistungen des Auftragsverarbeiters bereitzustellen, zu unterstützen und zu verbessern (einschließlich der Bereitstellung von Einblicken und anderen Berichten) (der „Geschäftszweck“) oder wie anderweitig durch den CCPA erlaubt. Des Weiteren wird der Auftragsverarbeiter i) keine personenbezogenen Daten kalifornischer Bürger verkaufen oder teilen; (ii) keine personenbezogenen Daten kalifornischer Bürger, die über die direkte Geschäftsbeziehung hinausgehen, zwischen den Parteien verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben; und (iii) die personenbezogenen Daten kalifornischer Bürger nicht mit personenbezogenen Daten aus einer anderen Quelle kombinieren (mit Ausnahme von Daten aus einer anderen Quelle in Verbindung mit den Verpflichtungen des Auftragsverarbeiters im Rahmen der geltenden Partnervereinbarung und/oder der/den Vereinbarung(en) mit dem gemeinsamen Kunden).
8. AUDIT, ZERTIFIZIERUNG
A. Audit der Aufsichtsbehörde.
Verlangt eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungseinrichtungen, in denen der Auftragsverarbeiter personenbezogene Daten verarbeitet, um die Einhaltung der Datenschutzgesetze festzustellen oder zu überwachen, wird der Auftragsverarbeiter bei einer solchen Prüfung kooperieren. Der für die Verarbeitung Verantwortliche erstattet dem Auftragsverarbeiter seine angemessenen Ausgaben für die Zusammenarbeit bei der Prüfung, sofern die Prüfung nicht ergibt, dass der Auftragsverarbeiter gegen diese Vereinbarung zur Datenverarbeitung verstößt.
B. Zertifizierung des Auftragsverarbeiters.
Der Auftragsverarbeiter muss auf Anfrage des für die Verarbeitung Verantwortlichen eine Bescheinigung über die Einhaltung der Bestimmungen vorlegen (nicht mehr als eine Anfrage pro Kalenderjahr), welche per E-Mail zu übermitteln ist (wenn HubSpot der Auftragsverarbeiter ist, müssen solche E-Mails an privacy@hubspot.com gesendet werden; wenn der Partner der Auftragsverarbeiter ist, muss der Partner eine zentrale Anlaufstelle für die E-Mail-Korrespondenz in Bezug auf den Datenschutz einrichten und HubSpot auf Anfrage zur Verfügung stellen) und die Einhaltung dieser Vereinbarung zur Datenverarbeitung schriftlich bestätigen.
9. DATENRÜCKGABE UND LÖSCHUNG
Die Parteien vereinbaren, dass der Auftragsverarbeiter bei Beendigung der Datenverarbeitung oder auf Anfrage des für die Verarbeitung Verantwortlichen angemessene Maßnahmen ergreift, um alle Unterauftragsverarbeiter zu veranlassen, nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten und Kopien dieser Daten an den für die Verarbeitung Verantwortlichen zurückzugeben oder sie auf sichere Weise zu vernichten und dem für die Verarbeitung Verantwortlichen nachzuweisen, dass er diese Maßnahmen ergriffen hat, es sei denn, die geltenden Datenschutzgesetze hindern den Auftragsverarbeiter daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall verpflichtet sich der Auftragsverarbeiter, die Vertraulichkeit der von ihm aufbewahrten personenbezogenen Daten zu wahren und diese personenbezogenen Daten nach diesem Zeitpunkt nur aktiv zu verarbeiten, um die geltenden Gesetze einzuhalten.
10. DATENÜBERMITTLUNG
Bei der Übermittlung personenbezogener Daten außerhalb des Ursprungslandes gewährleisten beide Vertragsparteien, dass diese Übermittlungen in Übereinstimmung mit den Vorschriften des Datenschutzrechts erfolgen.
a. Europäische Partnerdaten. Für die Übermittlung europäischer personenbezogener Daten vom Partner an HubSpot zur Verarbeitung durch HubSpot in einem Rechtssystem außerhalb Europas, das keinen angemessenen Schutz für personenbezogene Daten (im Sinne des geltenden europäischen Datenschutzrechts) bietet, vereinbaren die Parteien Folgendes:(i) Datenschutzrahmen: HubSpot wird den Datenschutzrahmen anwenden, um europäische Partnerdaten rechtmäßig in den USA zu empfangen und sicherzustellen, dass es für diese europäischen Partnerdaten mindestens das gleiche Schutzniveau bietet, wie es die Grundsätze des Datenschutzrahmens vorschreiben, und wird den Partner darüber informieren, wenn es nicht in der Lage ist, diese Anforderung zu erfüllen.
(ii) Standardvertragsklauseln: Wenn die europäischen Datenschutzgesetze die Einführung geeigneter Schutzmaßnahmen erfordern (z. B. wenn der Datenschutzrahmen die Übermittlung an HubSpot nicht abdeckt und/oder der Datenschutzrahmen ungültig ist), verpflichten sich die Parteien zur Einhaltung und Verarbeitung der europäischen Partnerdaten gemäß den Standardvertragsklauseln, welche unten durch Verweis einbezogen werden.
b. Europäische HubSpot-Daten. Für die Übermittlung von personenbezogenen HubSpot-Daten, die europäischen Datenschutzgesetzen unterliegen („Europäische HubSpot-Daten“), von HubSpot an den Partner zur Verarbeitung durch den Partner in einem Rechtssystem außerhalb Europas, das keinen angemessenen Schutz für personenbezogene Daten (im Sinne des geltenden europäischen Datenschutzrechts) bietet, vereinbaren die Parteien, dass der Partner dasselbe Schutzniveau bietet, das in den Grundsätzen des Datenschutzrahmens gefordert wird, indem er Folgendes einhält:
(i) Wenn der Partner eine Selbstzertifizierung nach dem Datenschutzrahmen vorgenommen hat, wird der Partner den Datenschutzrahmen anwenden, um europäische HubSpot-Daten rechtmäßig in den USA zu empfangen und sicherstellen, dass er für diese europäischen Daten mindestens das gleiche Schutzniveau bietet, wie es die Grundsätze des Datenschutzrahmens vorschreiben, und wird HubSpot darüber informieren, wenn er nicht in der Lage ist, diese Anforderung zu erfüllen.
(ii) Standardvertragsklauseln: Wenn die europäischen Datenschutzgesetze die Einführung geeigneter Schutzmaßnahmen erfordern (z. B. wenn der Datenschutzrahmen die Übermittlung an den Partner nicht abdeckt und/oder der Datenschutzrahmen ungültig ist), verpflichten sich die Parteien zur Einhaltung und Verarbeitung der europäischen Hubspot-Daten gemäß den Standardvertragsklauseln, welche unten durch Verweis einbezogen werden.
c. Standardvertragsklauseln. Die Parteien erkennen an und vereinbaren, dass für die Zwecke der Standardvertragsklauseln: (i) in Bezug auf europäische Partnerdaten der „Datenexporteur“ der Partner und der „Datenimporteur“ HubSpot (im eigenen Namen und im Namen der verbundenen Unternehmen handelnd) ist; (ii) in Bezug auf europäische HubSpot-Daten der „Datenexporteur“ HubSpot (im eigenen Namen und im Namen der verbundenen Unternehmen handelnd) und der „Datenimporteur“ der Partner ist; (iii) die Bedingungen von Modul Eins gelten, wenn beide Parteien für die Verarbeitung Verantwortliche sind, und die Bedingungen von Modul Zwei gelten, wenn die Partei, die personenbezogene Daten im Rahmen der Standardvertragsklauseln erhält, als Auftragsverarbeiter im Auftrag der anderen Partei als für die Verarbeitung Verantwortlicher handelt; (iv) in Klausel 7 die optionale Kopplungsklausel gilt; (v) in Klausel 9 Option 2 von Modul Zwei gilt und der Auftragsverarbeiter die Genehmigung für Unterauftragsverarbeiter gemäß Abschnitt 7 Buchstabe (a) dieser Vereinbarung zur Datenverarbeitung einholt; vi) in Klausel 11 der optionale Teil gestrichen wird; (vii) in Klausel 17 und Klausel 18(b) die Standardvertragsklauseln dem Recht der Republik Irland oder des EWR-Mitgliedstaats, in dem der Rechtsträger von HubSpot, der die Vereinbarung geschlossen hat, niedergelassen ist, unterliegen oder, falls HubSpot nicht im EWR niedergelassen ist, der Republik Irland, und Streitigkeiten sind vor den Gerichten dieser Länder zu entscheiden; (viii) in Anlage I der Standardvertragsklauseln die Details der Parteien in der Vereinbarung aufgeführt sind; und (ix) die übrigen Informationen in Anlage I und Anlage II der Standardvertragsklauseln als durch die Informationen in Anhang A dieser Vereinbarung zur Datenverarbeitung ergänzt gelten.
d. Übermittlungen in das Vereinigte Königreich. In Bezug auf personenbezogene Daten, die der Datenschutz-Grundverordnung des Vereinigten Königreichs unterliegen, gelten die Standardvertragsklauseln in Übereinstimmung mit Abschnitt 10(c) dieser Vereinbarung zur Datenverarbeitung für Geschäftspartner und den folgenden zusätzlichen Änderungen: (i) die Standardvertragsklauseln werden gemäß dem Addendum für das Vereinigte Königreich geändert, welches hiermit durch Bezugnahme integriert wird; (ii) die Tabellen 1 bis 3 in Teil 1 des Addendums für das Vereinigte Königreich werden mit relevanten Informationen ausgefüllt, wie in Anhang A dieser DPA aufgeführt; (iii) Tabelle 4 in Teil 1 des Addendums für das Vereinigte Königreich gilt als ausgefüllt, wenn „keine“ ausgewählt wurde; und (iv) etwaige Widersprüche zwischen den Standardvertragsklauseln und dem Addendum für das Vereinigte Königreich werden gemäß Abschnitt 10 und Abschnitt 11 des Addendums für das Vereinigte Königreich beigelegt.
e. Übermittlungen in die Schweiz. In Bezug auf personenbezogene Daten, die dem Schweizer Datenschutzgesetz unterliegen, gelten die Standardvertragsklauseln gemäß Abschnitt 10 Buchstabe (c) mit den folgenden zusätzlichen Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ und bestimmte darin enthaltene Paragraphen sind als Verweise auf das Schweizer Datenschutzgesetz und die entsprechenden darin enthaltenen Paragraphen oder Abschnitte auszulegen; (ii) Verweise auf „EU“, „Union“ und „Mitgliedstaat“ werden durch Verweise auf die „Schweiz“ ersetzt; (iii) Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch Verweise auf den „Eidgenössischen Datenschutzbeauftragten“ und die „zuständigen Gerichte der Schweiz“ ersetzt; und (iv) in Klausel 17 und Klausel 18(b) unterliegen die Standardvertragsklauseln dem Recht der Schweiz und Streitigkeiten werden vor den Gerichten der Schweiz beigelegt.
f. Die Parteien benachrichtigen sich gegenseitig unverzüglich, wenn sie nicht in der Lage sind, die Bestimmungen dieses Abschnitts 10 einzuhalten.
11. LAUFZEIT
Diese Vereinbarung zur Datenverarbeitung bleibt in Kraft, solange eine der Parteien personenbezogene Daten verarbeitet, die von der anderen Partei gemäß der Partnervereinbarung hochgeladen oder auf andere Weise bereitgestellt wurden.
12. SCHADLOSHALTUNG
Jede Partei verteidigt, entschädigt und hält die andere Partei und ihre Tochtergesellschaften, verbundenen Unternehmen und ihre jeweiligen leitenden Angestellten, Direktoren, Mitarbeiter und Vertreter schadlos von und gegen alle Verluste, Schäden, Verbindlichkeiten, Mängel, Klagen, Urteile, Zinsen, Auszeichnungen, Strafen, Bußgelder, Kosten oder Ausgaben jeglicher Art, einschließlich angemessener Anwaltsgebühren, die Kosten für die Durchsetzung von Entschädigungsansprüchen und die Kosten für die Inanspruchnahme von Versicherungen, die sich aus Ansprüchen Dritter gegen die andere Partei ergeben, die sich aus der Nichteinhaltung der Verpflichtungen der vertragsverletzenden Partei aus dieser Vereinbarung zur Datenverarbeitung oder den geltenden Gesetzen, Vorschriften oder Grundsätzen der europäischen Datenschutzgesetze ergeben. Die Haftung der Vertragsparteien unterliegt den Haftungsbeschränkungen der jeweiligen Partnervereinbarung.
ANHANG A
ANLAGE A – BESCHREIBUNG DER ÜBERMITTLUNG
1. Kategorien betroffener Personen. Die übermittelten personenbezogenen Daten betreffen je nach Vereinbarung zwischen dem Datenimporteur und dem Datenexporteur die folgenden Kategorien von betroffenen Personen:
HubSpot-Mitglieder; potenzielle und tatsächliche Kunden sowie Mitarbeiter des Datenexporteurs; Sales- und Marketing-Leads des Datenexporteurs; und Dritte, die eine Geschäftsbeziehung mit dem Datenexporteur haben oder haben könnten (z. B. Werbetreibende, Kunden, Firmenabonnenten, Auftragnehmer sowie Produktnutzer).
2. Kategorien personenbezogener Daten. Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:
Bei den übermittelten Daten handelt es sich um die personenbezogenen Daten, die der Datenexporteur dem Datenimporteur im Zusammenhang mit der Partnervereinbarung zur Verfügung stellt. Zu diesen personenbezogenen Daten gehören Vorname, Nachname, E-Mail-Adresse, Kontaktdaten, Ausbildung und beruflicher Werdegang sowie andere Informationen, die in HubSpot-Mitgliederprofilen, Lebensläufen, CRM-Daten zu Sales-Leads und Kundenlisten, Notizen des Datenexporteurs betreffend die vorgenannten Punkte und anderen Aktivitäten von HubSpot-Mitgliedern auf der CRM-Plattform von HubSpot angegeben werden.
- Sensible Daten (falls zutreffend). Die Verarbeitung sensibler Daten unterliegt den von den Parteien einvernehmlich vereinbarten Beschränkungen, Einschränkungen und Schutzmaßnahmen, die sich im zulässigen Umfang der gemeinsamen Kundenabonnementdienste widerspiegeln.
- Häufigkeit der Übermittlung. Die personenbezogenen Daten werden fortlaufend übertragen.
- Art und Zweck der Verarbeitung. Die Übermittlung erfolgt zu folgenden Zwecken:
Die Übermittlung soll die in der Partnervereinbarung vorgesehene Beziehung zwischen den Parteien ermöglichen. „Partnervereinbarung“ bezeichnet die Vereinbarung(en) zwischen dem Datenimporteur und dem Datenexporteur, die die gemeinsame Nutzung von Daten zwischen diesen Parteien regelt (mit Ausnahme von Kundenvereinbarungen zwischen dem Partner und HubSpot, die den Kauf von HubSpot-Produkten und -Services durch den Partner regeln). - Zeitraum, für den die personenbezogenen Daten aufbewahrt werden.
Die zwischen den Parteien übermittelten personenbezogenen Daten dürfen nur in jenem Zeitraum aufbewahrt werden, der nach der Partnervereinbarung zulässig ist. Die Parteien vereinbaren, dass jede Partei, soweit sie zusammen mit der anderen Partei als für die Verarbeitung Verantwortlicher in Bezug auf personenbezogene Daten handelt, in angemessener Weise mit der anderen Partei zusammenarbeitet, um die Ausübung der Datenschutzrechte gemäß den Datenschutzgesetzen zu ermöglichen. - Gegenstand, Art und Dauer der Verarbeitung. Der Gegenstand, die Art und die Dauer der Verarbeitung sind in der Vereinbarung, einschließlich dieser Vereinbarung zur Datenverarbeitung, beschrieben.
- Zuständige Aufsichtsbehörde. Für die Zwecke der Standardvertragsklauseln ist die zuständige Aufsichtsbehörde die Behörde des EWR-Mitgliedstaats, in dem der Partner oder der EWR-Vertreter des Partners niedergelassen ist (in Bezug auf personenbezogene Daten des Partners), oder der [Data Protection Commissioner von Irland] (in Bezug auf personenbezogene Daten von HubSpot). Für die Zwecke der Übermittlung in das Vereinigte Königreich und in die Schweiz ist die zuständige Aufsichtsbehörde der United Kingdom Information Commissioner oder der Schweizer Eidgenössische Datenschutzbeauftragte (je nach Anwendbarkeit).
ANLAGE B – SICHERHEITSMAẞNAHMEN
Wir verwenden diverse Sicherheitstechnologien und -verfahren, die zum Schutz Ihrer personenbezogenen Daten beitragen. Alle personenbezogenen Daten werden anhand angemessener physischer, technischer und organisatorischer Maßnahmen geschützt. Weitere Informationen zum Thema Sicherheit bei HubSpot finden Sie unter https://trust.hubspot.com.