Legal Stuff
Talk legal to me
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Stand: 17. Januar 2025
Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.
[Um das Dokument im PDF-Format anzuzeigen, klicken Sie bitte hier.]
Diese DORA-Ergänzung („DORA-Ergänzung“) ist Bestandteil Ihres Vertrags mit HubSpot und findet Anwendung, sofern (i) der Kunde ein finanzielles Unternehmen ist, für das DORA gilt, und (ii) der Abonnementdienst einen IKT-Dienst darstellt; beides gemäß nachfolgender Definition. Sie gilt nicht, wenn der Kunde nur die kostenlosen Dienstleistungen in Anspruch nimmt.
1. Definitionen
2. Allgemeines
6. Wiederherstellung von Daten
7. Zusammenarbeit mit Aufsichtsbehörden
8. Zusätzliche Kündigungsrechte für Kunden
9. Berichterstattung über wesentliche Entwicklungen
10. Geschäftliche Kontinuität und Sicherheit
11. Bedrohungsbasierte Penetrationstests
12. Untervergabe
13. Kundenaudit
14. Beendigung
1. DEFINITIONEN
Die folgenden Begriffe besitzen die unten angegebene Bedeutung, während solche, die in dieser DORA-Ergänzung nicht anderweitig definiert sind, jeweils die Bedeutung haben, die im Vertrag festgelegt ist:
„Vereinbarte Servicelevels“ bezeichnet die Servicelevels, die im Abschnitt „Verpflichtung zur verfügbaren Betriebszeit“ der produktspezifischen Klauseln aufgeführt sind.
„Zuständige Behörde“ bezeichnet die nationale Behörde mit verbindlicher Autorität zur Regulierung der Aktivitäten des Kunden im Bereich der Finanzdienstleistungen gemäß Artikel 46 der DORA-Richtlinie.
„Kritische oder wichtige Funktion“: eine Funktion, deren Unterbrechung die finanzielle Leistungsfähigkeit des Kunden oder die Solidität oder Kontinuität seiner Dienstleistungen und Tätigkeiten wesentlich beeinträchtigen würde, bzw. deren Einstellung, mangelhafte oder fehlgeschlagene Ausführung die kontinuierliche Einhaltung der Bedingungen und Verpflichtungen, die mit seiner Zulassung verbunden sind, oder seiner sonstigen Verpflichtungen nach geltendem Finanzdienstleistungsrecht wesentlich beeinträchtigen würde.
„Kundendaten“ besitzt die in den allgemeinen Nutzungsbedingungen festgelegte Bedeutung.
„Cyberbedrohungen“ bezeichnet alle potenziellen Umstände, Ereignisse oder Handlungen, die Netzwerk- und Informationssysteme, die Nutzer dieser Systeme und andere Personen beschädigen, stören oder anderweitig nachteilig beeinflussen könnten.
„DORA“ ist die Abkürzung für die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale Betriebsstabilität des Finanzsektors und bezieht sich auf diese sowie auf die Änderungen der Verordnung (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011.
„Ausfallzeit“ besitzt die Bedeutung, die im Abschnitt „Verpflichtung zur verfügbaren Betriebszeit“ der produktspezifischen Bedingungen festgelegt ist.
„Finanzunternehmen“ versteht sich wie in Artikel 2(2) DORA angegeben.
„IKT-bezogener Vorfall“ bezeichnet ein einzelnes ungeplantes Ereignis oder eine Reihe verknüpfter ungeplanter Ereignisse, die die Sicherheit des Abonnementdienstes gefährden und sich nachteilig auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Kundendaten oder des Abonnementdienstes auswirken.
„IKT-Dienste“ hat die in Artikel 3 der DORA-Verordnung festgelegte Bedeutung.
„Durchführungsvorschriften“ sind alle rechtsverbindlichen delegierten oder durchzuführenden Vorschriften, die von einer zuständigen Behörde gemäß DORA erlassen werden, einschließlich technischer Regulierungsstandards.
„Aufsichtsbehörde“ bezeichnet eine staatliche Stelle oder eine zuständige, regulierende bzw. abwickelnde Behörde (unabhängig vom Standort) mit verbindlicher Befugnis zur Regulierung der Finanzdienstleistungstätigkeiten des Kunden gemäß DORA.
„Erforderlicher TLPT“ bezeichnet bedrohungsbasierte Penetrationstests oder gepoolte bedrohungsbasierte Penetrationstests durch einen externen Tester, die (a) der Kunde in Übereinstimmung mit DORA und den Durchführungsbestimmungen vornehmen muss, b) eine kritische oder wichtige Funktion betrifft, die von den IKT-Diensten unterstützt wird, und (c) sich auf die IKT-Dienste auswirken wird oder auswirken kann.
„Abwicklungsbehörden“ bezeichnet die nationale Regulierungsstelle, die befugt ist, Abwicklungsinstrumente anzuwenden und Abwicklungsbefugnisse in Bezug auf den Kunden auszuüben.
„Sicherheitsmaßnahmen“ sind die in Anhang 2 der Datenverarbeitungsvereinbarung von HubSpot beschriebenen Sicherheitsmaßnahmen, -tools und -richtlinien, die von Zeit zu Zeit von HubSpot nach eigenem Ermessen aktualisiert werden können, sofern dies nicht zu einer wesentlichen Beeinträchtigung der von HubSpot zum Schutz des Abonnementdienstes und der Kundendaten ergriffenen Maßnahmen zur Informationssicherheit oder betrieblichen Belastbarkeit führt.
„Subunternehmer“ bezeichnet die in Anlage 3 der Vereinbarung zur Datenverarbeitung genannten, im Bereich der Infrastruktur tätigen Unterauftragsverarbeiter.
„Abonnementdienst“ bezieht sich auf den Abonnementdienst, den HubSpot dem Kunden gemäß den allgemeinen Bedingungen bereitstellt.
„Bedrohungsbasierter Penetrationstest“ oder „TLPT“ (gemäß engl. Abk.) bezeichnet ein Rahmenwerk, das die Taktiken, Techniken und Verfahren realer Bedrohungsakteure nachahmt, die als echte Cyberbedrohung wahrgenommen werden, und das einen kontrollierten, maßgeschneiderten, informationsgestützten (Red Team)-Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht.
2. ALLGEMEINES
2.1 Anwendung: Teil 1 dieser DORA-Vertragsergänzung bezieht sich auf den Abonnementdienst, den HubSpot dem Kunden gemäß dem Vertrag bereitstellt. Teil 2 dieser DORA-Vertragsergänzung gilt nur für den Abonnementdienst, den der Kunde zur Unterstützung einer kritischen oder wichtigen Funktion nutzt.
2.2 HubSpot Solutions Partner: Für den Fall, dass der Kunde ein HubSpot Solutions Partner ist, der den Abonnementdienst im Namen eines Endnutzers (wie in der Vereinbarung für das HubSpot Solutions Partner Program festgelegt) erwirbt, gilt dieser DORA-Zusatz insoweit der Endnutzer ein Finanzunternehmen ist, für das DORA gilt.
2.3. Vertraulichkeit: Sämtliche Informationen, Antworten und Unterlagen, die von HubSpot in Verbindung mit oder gemäß den Rechten aus dieser DORA-Ergänzung bereitgestellt werden (einschließlich Informationen, die in Übereinstimmung mit den darin enthaltenen Abschnitten „Bedrohungsbasierte Penetrationstests“ oder „Kundenaudits“ („Vertrauliche Compliance-Informationen“), werden als vertrauliche Informationen von HubSpot behandelt. Die in der Vereinbarung festgelegten Vertraulichkeitspflichten gelten für solche vertraulichen Compliance-Informationen. Ungeachtet des zuvor Genannten kann der Kunde vertrauliche Compliance-Informationen an die Aufsichtsbehörde weitergeben, vorausgesetzt, diese Kundeninformationen erhalten eine vertrauliche Behandlung oder einen ähnlichen Schutz.
2.4 Streitigkeiten: Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bestimmungen dieser DORA-Ergänzung und den anderen Bestimmungen des Vertrags haben die der DORA-Ergänzung Vorrang vor den anderen, soweit ein solcher Konflikt oder eine solche Unstimmigkeit vorliegt.
2.5 Beendigung: Fällt der Kunde im Zusammenhang mit der Nutzung des Abonnementdienstes nicht mehr in den Zuständigkeitsbereich von DORA oder unterliegt er aus anderen Gründen nicht mehr DORA, erlischt diese DORA-Ergänzung umgehend und verliert ihre Wirkung.
Teil 1
3. DIENSTLEISTUNGEN
3.1 Beschreibung: Eine Beschreibung des Abonnementdienstes findet sich in anderen Teilen des Vertrags.
3.2 Servicelevels: HubSpot stellt den Abonnementdienst gemäß den vereinbarten Servicelevels zur Verfügung.
4. ORT DER DIENSTLEISTUNGEN
4.1 Informationen zum Hosting-Ort: Kundendaten werden am Hosting-Ort gehostet, der auf der Seite „Account-Einstellungen“ des HubSpot-Accounts des Kunden angegeben ist. HubSpot wird den Kunden mindestens 30 Tage im Voraus über den Hosting-Ort betreffende Änderungen informieren.
 Tipp zu den HubSpot-Bedingungen: Weitere Informationen, einschließlich dazu, wo Sie Ihren Hosting-Ort finden, gibt es in diesem Wissensbankartikel von HubSpot: HubSpot-Datenhosting | Häufig gestellte Fragen. |
4.2 Standorte von Unterauftragsverarbeitern: HubSpot setzt Unterauftragsverarbeiter ein, um einen Teil des Abonnementdienstes bereitzustellen. Unsere Unterauftragsverarbeiter und der Ort der Datenverarbeitung sind in Anlage 3 der Vereinbarung zur Datenverarbeitung aufgeführt.
4.3. Änderungen zu Unterauftragsverarbeitern: Kunden können sich anmelden, um per E-Mail benachrichtigt zu werden, wenn HubSpot Änderungen an den Unterauftragsverarbeitern vornimmt (einschließlich Änderungen des Standorts, von dem aus sie Dienstleistungen erbringen), wie im Abschnitt „Unterauftragsverarbeiter“ unserer Vereinbarung zur Datenverarbeitung angegeben. Wenn der Kunde dem Erhalt solcher E-Mails zustimmt, wird HubSpot ihn gemäß dem Abschnitt „Unterauftragsverarbeiter“ unserer Vereinbarung zur Datenverarbeitung mindestens 30 Tage im Voraus benachrichtigen.
5. INFORMATIONSSICHERHEIT
5.1 Sicherheitsmaßnahmen: HubSpot implementiert und hält die Sicherheitsmaßnahmen aufrecht, um die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit des Abonnementdienstes und der Kundendaten zu gewährleisten. Weitere Informationen im Zusammenhang mit den Sicherheitsmaßnahmen finden Sie in der Übersicht über Sicherheit und Compliance von HubSpot sowie in dem SOC2-Bericht. Diese Dokumente können Sie im Trust Center von HubSpot unter https://trust.hubspot.com herunterladen.
5.2 Vorfallmanagement: Wenn ein IKT-bezogener Vorfall eintritt, der die Nutzung des Abonnementdienstes durch den Kunden beeinträchtigt, stellt HubSpot angemessene Unterstützung bereit, die der Kunde in vertretbarem Umfang verlangen kann.
5.3 Sicherheitsschulungsprogramme: HubSpot stellt sicher, dass alle HubSpot-Mitarbeiter jährlich eine regelmäßige Schulung zum Sicherheitsbewusstsein absolvieren. Diese bezieht sich auf die Sicherheitsrichtlinien, -prozesse und -standards von HubSpot, soweit dies für ihre Rolle relevant ist, und entsprechen den Branchenpraktiken.
6. WIEDERHERSTELLUNG VON DATEN
6.1 Abrufzeitraum: Nach Kündigung oder Ablauf des Vertrags (einschließlich des Ablaufs einer Übergangsfrist wie unten definiert) räumt HubSpot dem Kunden einen Zeitraum von 30 Tagen ein, in dem HubSpot keine Maßnahmen ergreift, um Kundendaten zu entfernen („Abrufzeitraum“).
6.2 Abrufverfahren: Auf schriftliche Anfrage des Kunden während des Abrufzeitraums gewährt HubSpot ihm nach eigenem Ermessen entweder vorübergehenden Zugriff auf den Abonnementdienst, um Kundendaten abrufen zu können, oder stellt dem Kunden Kopien aller Kundendaten bereit, die sich zu diesem Zeitpunkt im Besitz oder in der Kontrolle von HubSpot befinden. Wenn HubSpot dem Kunden vorübergehend Zugriff auf den Abonnementdienst gewährt, wird ihm möglicherweise eine Reaktivierungsgebühr berechnet. Nach Ablauf der 30-tägigen Abruffrist ist HubSpot nicht mehr verpflichtet, die Kundendaten aufzubewahren oder diese dem Kunden zur Verfügung zu stellen.
6.3 Kundenbefähigung: Der Abonnementdienst bietet dem Kunden die Möglichkeit, jederzeit während der Abonnementlaufzeit Kundendaten abzurufen.
| Tipp zu HubSpots Vertragsbedingungen: Wenn Sie während Ihrer Abonnementlaufzeit Kundendaten exportieren möchten, können Sie diese abrufen, indem Sie die Anweisungen in den folgenden Wissensdatenbankartikeln befolgen: „Ihre Inhalte und Daten exportieren“; „Datensätze exportieren“; „Anzeigen-Performance-Daten exportieren“; „Exportieren Sie Ihre Marketing-E-Mail-Leistungsdaten“; „Eine vollständige Löschung in HubSpot durchführen“. |
6.4 Datenabruf bei Insolvenz: Unbeschadet etwaiger Rechte aus der Vereinbarung hat der Kunde das sofortige Recht, sämtliche Kundendaten abzurufen, sofern dies nicht durch Gesetze oder die Anordnung einer Regierungs- bzw. Aufsichtsbehörde oder eines Insolvenzverwalters (oder einer gleichwertigen Stelle) untersagt ist, einschließlich in dem Fall, dass HubSpot:
(i) für insolvent erklärt wird oder sich in Liquidation befindet (oder Ähnliches),
(ii) aufgelöst bzw. abgewickelt wird oder
(iii) seinen gesamten Geschäftsbetrieb zur Bereitstellung des Abonnementdienstes einstellt (außer aufgrund einer im Vertrag als zulässig bezeichneten Übertragung).
7. ZUSAMMENARBEIT MIT AUFSICHTSBEHÖRDEN
HubSpot kooperiert nach Treu und Glauben mit Aufsichtsbehörden (einschließlich anderer von ihnen benannter Personen), wenn diese ihre regulatorischen Aufgaben in Bezug auf den Abonnementdienst wahrnehmen. Der Kunde benachrichtigt HubSpot, falls er Anfragen einer Aufsichtsbehörde erhält, die sich auf den Abonnementdienst beziehen. HubSpot kann dem Kunden für jegliche gemäß diesem Abschnitt erbrachte Unterstützung angemessene Gebühren in Rechnung stellen.
8. ZUSÄTZLICHE KÜNDIGUNGSRECHTE FÜR KUNDEN
8.1 Kündigungsrechte: Vorbehaltlich des nachstehenden Abschnitts „Behebungsfrist“ kann der Kunde den Vertrag unter den folgenden Umständen durch schriftliche Benachrichtigung an HubSpot innerhalb von 30 Tagen kündigen:
(i) HubSpot hat einen wesentlichen Verstoß gegen geltende Gesetze oder Vorschriften oder gegen diese Vertrag begangen
(ii) Der Kunde kann hinreichend nachweisen, dass durch die Überwachung des IKT-Drittrisikos Umstände ermittelt wurden, die die Leistung des Abonnementdienstes verändern können, darunter wesentliche Änderungen, die sich auf die Vertrag oder die Situation von HubSpot auswirken
(iii) Der Kunde kann hinreichend nachweisen, dass Schwachstellen im allgemeinen IKT-Risikomanagement von HubSpot bestehen, insbesondere in der Art und Weise, wie HubSpot die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Kundendaten sicherstellt
(iv) Wenn die zuständige Behörde aufgrund der Bedingungen oder Umstände im Zusammenhang mit dem Vertrag nicht länger in der Lage ist, die Aufsicht über den Kunden wirksam auszuüben
(v) Sofern dies durch eine verbindliche Anordnung einer Regulierungsbehörde vorgeschrieben ist
8.2 Behebungsfrist: HubSpot hat ab dem Datum der Mitteilung gemäß dem obigen Abschnitt „Kündigungsrechte“ 30 Tage Zeit, um den Verstoß bzw. die Nichterfüllung zur angemessenen Zufriedenheit des Kunden zu beheben. Wenn HubSpot innerhalb der angegebenen Frist keine Abhilfe schafft, kann der Kunde den Vertrag sofort kündigen.
8.3 Zahlung von Gebühren: Macht der Kunde von seinem Kündigungsrecht gemäß diesem Abschnitt „Zusätzliche Kündigungsrechte für Kunden“ Gebrauch, und zwar nicht aufgrund einer Vertragsverletzung durch HubSpot, gilt für ihn Folgendes:
(i) Der Kunde hat alle ausstehenden Gebühren, die bis zum Ende der aktuellen Laufzeit fällig sind, unverzüglich zu entrichten und
(ii) hat keine Möglichkeit, gegen HubSpot einen Anspruch wegen Vertragsbruch oder wegen anderen in Verbindung mit diesem Vertrag stehenden Gründen geltend zu machen.
Teil 2
9. BERICHTERSTATTUNG ÜBER WESENTLICHE ENTWICKLUNGEN
9.1 Hinweis auf wesentliche Entwicklungen: HubSpot benachrichtigt wie folgt den Kunden unverzüglich über alle Entwicklungen, die wesentliche Auswirkungen auf die Fähigkeit von HubSpot haben könnten, den Abonnementdienst gemäß den vereinbarten Servicelevels bereitzustellen:
(i) Vorfälle im Zusammenhang mit IKT werden dem Kunden entweder direkt per E-Mail oder über eine öffentliche Veröffentlichung im HubSpot Trust Center gemeldet.
(ii) Ausfallzeiten in Übereinstimmung mit den Service-Verfügbarkeitsverpflichtungen von HubSpot werden auf https://status.hubspot.com angezeigt.
(iii) Entwicklungen, die zu einer Beeinträchtigung der Funktionalität führen, werden über In-App-Banner oder „Feueralarme“ bekannt gegeben. HubSpot sendet Kunden direkt eine E-Mail, falls dieser Maßnahmen zu ergreifen hat.
Eine gesonderte Benachrichtigung ist nicht erforderlich, wenn HubSpot eine Nichteinhaltung der vertraglich vereinbarten Servicelevels meldet.
10. GESCHÄFTLICHE KONTINUITÄT UND SICHERHEIT
10.1 Pläne zur Aufrechterhaltung des Geschäftsbetriebs: HubSpot implementiert, unterhält und testet in regelmäßigen Abständen angemessene Kontinuitätspläne zur Aufrechterhaltung des Geschäftsbetriebs.
10.2 Sicherheit: HubSpot hält Sicherheitsmaßnahmen während der Abonnementlaufzeit aufrecht, um ein angemessenes Sicherheitsniveau bei der Bereitstellung des Abonnementdienstes zu gewährleisten.
11. BEDROHUNGSBASIERTE PENETRATIONSTESTS (TLPTs)
11.1 Erforderliche TLPT: HubSpot nimmt an den erforderlichen TLPTs gemäß diesem Abschnitt „Bedrohungsbasierte Penetrationstests“ teil und kooperiert uneingeschränkt.
11.2 Penetrationstestberichte von Dritten: HubSpot stellt dem Kunden Penetrationstestberichte (zertifiziert durch Dritte) über das HubSpot Trust Center zur Verfügung.
11.3 Antrag auf erforderlichen TLPT: Wenn der Kunde begründet feststellt, dass der von HubSpot bereitgestellte bedrohungsorientierte Penetrationstestbericht eines Dritten nicht ausreicht, um seinen gesetzlichen Verpflichtungen nachzukommen, kann er weitere Tests gemäß den Bedingungen in diesem Abschnitt anfordern. Der Kunde muss:
(i) mindestens 90 Tage im Voraus eine schriftliche Benachrichtigung an privacy@hubspot.com senden, wenn er beabsichtigt, einen erforderlichen TLPT durchzuführen.
(ii) gemeinsam mit HubSpot ermitteln, welche Teile des Abonnementdienstes zu den entsprechenden zugrunde liegenden Informations-, Kommunikations- und/oder Technologiesystemen, -prozessen und -technologien gehören, die die kritische(n) oder wichtige(n) Funktion(en) des Kunden unterstützen.
(iii) vertragliche Vereinbarungen mit HubSpot eingehen oder von einem externen Tester den Abschluss solcher Vereinbarungen verlangen, wenn HubSpot dies unter Berücksichtigung der möglichen negativen Auswirkungen auf die Qualität oder Sicherheit des Abonnementdienstes und der Kunden sowie auf die Vertraulichkeit der mit dem Abonnementdienst verbundenen Daten für angemessen hält.
(iv) sicherzustellen, dass wirksame Risikomanagementkontrollen in Bezug auf den erforderlichen TLPT durchgeführt werden, um die Risiken möglicher Auswirkungen auf Daten, Schäden an Ressourcen und Unterbrechungen kritischer oder wichtiger Funktionen, Dienste oder Vorgänge im Zusammenhang mit dem Abonnementdienst und den Kunden zu mindern.
(v) die Richtlinien zum Testen von Sicherheitslücken bei HubSpot sowie alle Richtlinien und Verfahren in Bezug auf Informationssicherheit und Betriebsstabilität einhalten, soweit sich der erforderliche TLPT auf den Abonnementdienst auswirken könnte.
(vi) allen geltenden Gesetzen und Vorschriften in Bezug auf den geforderten TLPT entsprechen und sicherstellen, dass alle externen Prüfer diese ebenfalls einhalten.
11.4 Gebühren in Verbindung mit dem erforderlichen TLPT: Der Kunde erstattet HubSpot alle Gebühren, Kosten und Ausgaben, die HubSpot im Zusammenhang mit der Durchführung des erforderlichen TLPT in angemessenem Rahmen entstanden sind.
12. UNTERVERGABE VON AUFTRÄGEN
12.1 Subunternehmer: Der Kunde erkennt an, dass HubSpot zur Bereitstellung von Teilen des Abonnementdienstes Subunternehmer einsetzt.
12.2 Verantwortung von Subunternehmern: HubSpot bleibt für die Handlungen und Unterlassungen seiner Subunternehmer bei der Erbringung des Abonnementdienstes gemäß der Vereinbarung verantwortlich.
12.3 Kontrolle von Subunternehmern: HubSpot kontrolliert die Subunternehmer, um sicherzustellen, dass die Verpflichtungen von HubSpot gegenüber dem Kunden in Übereinstimmung mit dem Vertrag erfüllt werden.
12.4 Risikobewertung von Subunternehmern: HubSpot bewertet die Risiken, die mit dem Standort des Subunternehmers und seiner übergeordneten Unternehmen sowie dem Standort, von dem aus der betreffende Teil des Abonnementdienstes bereitgestellt wird, verbunden sind.
12.5 Informationen zu Subunternehmern: HubSpot wird auf angemessene Anfrage des Kunden und unter Beachtung seiner Vertraulichkeitsverpflichtungen gegenüber seinen Unterauftragnehmern Informationen zu den Vertragsunterlagen zwischen HubSpot und seinen Subunternehmern sowie zu relevanten Performance-Indikatoren bereitstellen.
12.6 Vereinbarungen mit Subunternehmern: Für den Fall, dass HubSpot einen Subunternehmer beauftragt, muss HubSpot eine schriftliche Vereinbarung treffen, die Folgendes enthält:
(i) angemessene Kontroll- und Berichtspflichten des Subunternehmers gegenüber HubSpot
(ii) geeignete Maßnahmen zur Gewährleistung der Kontinuität der untervergebenen Dienstleistungen
(iii) ein angemessenes Servicelevel
(iv) geeignete IKT-Sicherheitsstandards unter Bezugnahme auf internationale Standards wie ISO27001 und ISO27002, SOC2 und NIST (je nach Bedarf)
12.7 Subunternehmer-Audits: HubSpot unternimmt alle zumutbaren Anstrengungen, um mit den Subunternehmern eine schriftliche Vereinbarung zu treffen, die es dem Kunden oder einer Aufsichtsbehörde ermöglicht, Audits und Inspektionen des Subunternehmers zu Bedingungen durchzuführen, die denen des Abschnitts „Kundenaudit“ dieses DORA-Zusatzes entsprechen.
12.8 Verhältnismäßigkeit Beim Abschluss solcher schriftlichen Vereinbarungen mit seinen Subunternehmern beachtet HubSpot die Anforderungen im Abschnitt „Subunternehmervereinbarungen“ auf risikobasierte und verhältnismäßige Weise und berücksichtigt dabei die rechtlichen Anforderungen, den Kontext und die Art der Dienste. Um zu bestimmen, inwieweit die schriftliche Vereinbarung den Abschnitten „Vereinbarungen mit Subunternehmern“ dieser DORA-Ergänzung entsprechen muss, kann HubSpot berücksichtigen, ob ein Subunternehmer von einer europäischen Aufsichtsbehörde gemäß DORA als kritischer Drittanbieter von IKT-Diensten eingestuft wurde.
12.9 Wesentliche Änderung bei Unterauftragnehmern Der Kunde kann innerhalb von 30 Tagen nach Benachrichtigung gemäß dem Abschnitt „Änderungen zu Unterauftragsverarbeitern“ aus angemessenen Gründen Widerspruch gegen eine wesentliche Änderung bei den Unterauftragnehmern einlegen, wenn der Kunde bei angemessener Handlungsweise der Ansicht ist, dass eine geplante Änderung entscheidende nachteilige Auswirkungen auf die Fähigkeit von HubSpot hat, den Abonnementdienst gemäß dem Vertrag bereitzustellen. Sollte der Kunde HubSpot über einen solchen Einspruch in Kenntnis setzen, werden die Beteiligten die Bedenken des Kunden nach bestem Wissen und Gewissen erörtern, um eine wirtschaftlich angemessene Lösung zu erzielen. Falls eine solche Lösung nicht zustande kommt, wird HubSpot nach eigenem Ermessen die wesentliche Änderung an der Subunternehmervereinbarung entweder nicht vornehmen oder dem Kunden gestatten, den betroffenen Teil des Abonnementdienstes zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die der Kunde für Dienste vor der Kündigung zu entrichten hat).
13. KUNDENAUDIT
13.1 Auditrechte: HubSpot gewährt dem Kunden, einem vom Kunden benannten Dritten und den Aufsichtsbehörden (jeweils als „Anfragender“) das Recht zum Zugang, zur Einsichtnahme und zur Prüfung von:
(i) der Erbringung des Abonnementdienstes durch HubSpot
(ii) der Einhaltung dieses Vertrags durch HubSpot im Allgemeinen (das „Audit-Recht“)
gemäß dem Abschnitt „Kundenaudit“ der vorliegenden DORA-Ergänzung.
13.2 Ausübung des Auditrechts in angemessener Weise: Der Kunde und vom Kunden beauftragte Dritte üben das Auditrecht risikobasiert und verhältnismäßig aus, wobei die rechtlichen Anforderungen, der Kontext und die Art des Dienstes berücksichtigt werden. In diesem Zusammenhang erkennt der Kunde außerdem an, dass HubSpot den Abonnementdienst oder die Kundendaten nicht in den eigenen Räumlichkeiten von HubSpot hostet und die Hosting-Services an AWS untervergeben wurden.
13.3. Unabhängige Auditberichte: Vor Ausübung eines Auditrechts wird der Kunde zunächst prüfen, ob eines oder mehrere der in diesem Abschnitt „Unabhängige Auditberichte“ der DORA-Ergänzung aufgeführten Elemente ausreichen, um das erforderliche Maß an Sicherheit zu bieten, und der Kunde wird das Prüfungsrecht vor Ort nur dann ausüben, wenn er nach vernünftigem Ermessen feststellt, dass die gemäß diesem Abschnitt bereitgestellten Informationen nicht ausreichen, um seine gesetzlichen Verpflichtungen zu erfüllen. Zu diesen Elementen zählen:
(i) unabhängige Auditberichte, die im Auftrag von HubSpot erstellt wurden
(ii) Auditberichte der internen Auditfunktion von HubSpot
iii) HubSpot-Zertifizierungen durch Dritte, wie z. B. die im HubSpot Trust Center zur Verfügung gestellte SOC2-Zertifizierung
(iv) die Nutzung anderer relevanter verfügbarer Informationen oder anderer Informationen, die HubSpot dem Kunden zur Verfügung stellt, durch den Kunden.
13.4 Zusammenarbeit mit dem Antragsteller: HubSpot wird mit dem Antragsteller bei der Ausübung seines Auditrechts zur Durchführung von Inspektionen und Prüfungen vor Ort uneingeschränkt zusammenarbeiten und diesem gestatten, vor Ort Kopien der relevanten Dokumentation anzufertigen, wenn diese Dokumentation für die Betriebsabläufe von HubSpot von entscheidender Bedeutung ist.
13.5 Auditankündigung: Der Kunde muss HubSpot mindestens 60 Tage vor dem/den geplanten Termin(en), an dem/denen das Auditrecht vom Kunden oder einem vom Kunden benannten Dritten ausgeübt wird, eine schriftliche Mitteilung zukommen lassen, es sei denn, eine solche Mitteilung ist aufgrund eines Notfalls oder einer Krisensituation oder der Anforderung einer Aufsichtsbehörde nicht möglich. Die Mitteilung ist an privacy@hubspot.com zu senden. In einer solchen vorherigen schriftlichen Mitteilung hat der Kunde Folgendes anzugeben: (i) eine detaillierte Liste der Informationsanfragen und (ii) gegebenenfalls die Identität des Dritten, der vom Kunden mit der Ausübung des Auditrechts beauftragt wurde.
13.6 Bestellung eines externen Prüfers: Wenn der Kunde einen Dritten mit der Ausübung des Auditrechts beauftragen möchte, gilt Folgendes:
(i) Der Kunde stellt sicher, dass es sich bei diesem Dritten nicht um Konkurrenz von HubSpot handelt
(ii) Der Kunde wird überprüfen, ob der Dritte und sein Personal, die das Auditrecht ausüben sollen, über die erforderlichen Fähigkeiten, Kenntnisse und Erfahrungen verfügen, um dies zu tun
(iii) Der Dritte ist verpflichtet, mit HubSpot Vertraulichkeitsvereinbarungen zu Bedingungen zu treffen, die für HubSpot zufriedenstellend sind (im Rahmen eines angemessenen Handelns).
13.7 Unterbrechung des Geschäftsbetriebs: Der Kunde und alle von ihm beauftragten Drittparteien stellen sicher, dass die Ausübung des Auditrechts die Fähigkeit von HubSpot zur Bereitstellung des Dienstes oder zur Durchführung seiner normalen Geschäftstätigkeit nicht behindert.
13.8 Alternative Sicherheitslevels: Falls die Ausübung des Auditrechts durch den Kunden oder einen vom Kunden benannten Dritten nach angemessener Auffassung von HubSpot die Rechte eines anderen Kunden von HubSpot beeinträchtigen könnte (beispielsweise Auswirkungen auf die Leistungserbringung, die Datensicherheit, die Servicelevel, die Verfügbarkeit von Daten oder die Vertraulichkeitsverpflichtungen von HubSpot), vereinbaren HubSpot und der Kunde alternative Sicherheitslevels.
13.9 Auditbedingungen: Das Auditsrecht kann vom Kunden (auch über einen vom Kunden beauftragten Dritten) nicht öfter als einmal innerhalb eines Zeitraums von 12 Monaten ausgeübt werden, es sei denn, eine Aufsichtsbehörde verlangt dies häufiger. Für die Ausübung des Auditrechts werden pro Vorkommnis maximal 3 Werktage während der üblichen Geschäftszeiten von HubSpot eingeplant, sofern eine Aufsichtsbehörde nicht einen längeren Zeitraum vorschreibt.
13.10 Auditbedingte Honorare: Der Kunde erstattet HubSpot sämtliche Gebühren, Kosten und Ausgaben, die HubSpot im Zusammenhang mit der Ausübung des Auditrechts (im Rahmen eines angemessenen Handelns) entstehen.
14. BEENDIGUNG
14.1 Übergangsfrist: Außer im Falle einer Aussetzung des Abonnementdienstes oder einer Kündigung durch HubSpot aus wichtigem, vertragskonformem Grund kann der Kunde bei Kündigung oder Ablauf der Vereinbarung die Weiterführung des Abonnementdienstes für einen Übergangszeitraum von bis zu drei (3) Monaten nach dem Datum des Inkrafttretens der Kündigung oder des Ablaufs der Vereinbarung („Übergangszeitraum“) verlangen. Dabei ist der Kunde verpflichtet, …
(i) HubSpot mindestens 30 Tage vor der Kündigung oder dem Ablauf der Abonnementlaufzeit darüber zu informieren, dass er den Abonnementdienst um den Übergangszeitraum verlängern möchte,
(ii) einen neuen Auftrag für den Abonnementdienst abzuschließen, der den Übergangszeitraum abdeckt und
(iii) die Abonnementgebühren weiterhin vollständig zu zahlen.