Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Stand: 15. November 2022

Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.

[Wenn Sie eine unterzeichnete Ausführung dieses Dokuments einschließlich des vollständigen Textes zu den Standardvertragsklauseln, dem Addendum für das Vereinigte Königreich und den Unterauftragsverarbeitern erhalten möchten, klicken Sie bitte hier.]

In dieser HubSpot-Vereinbarung zur Datenverarbeitung und ihren Anlagen („DPA“) ist die Übereinkunft zwischen Ihnen (dem Kunden) und uns (HubSpot) bezüglich der Bedingungen für die Verarbeitung personenbezogener Daten durch uns in Ihrem Namen im Rahmen der Bereitstellung der HubSpot-Abonnementdienste gemäß den HubSpot-Nutzungsbedingungen für Kunden, die Sie unter https://legal.hubspot.com/de/terms-of-service finden, (in dieser DPA auch „Vertrag“ genannt) niedergelegt.

Diese DPA ist ein integraler Bestandteil des Vertrags und sie tritt mit ihrer Aufnahme in den Vertrag in Kraft. Auf die Aufnahme in den Vertrag kann im Vertrag selbst, in einer Bestellung oder einer rechtswirksamen Änderung des Vertrags hingewiesen werden. Im Falle eines Konflikts zwischen den Bestimmungen des Vertrags und der DPA oder widersprüchlicher Angaben im Vertrag und in der DPA sind die Bestimmungen der DPA hinsichtlich des jeweiligen Konflikts oder Widerspruchs vorrangig gegenüber den Bestimmungen des Vertrags.

Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie ein aktives HubSpot-Abonnement haben, benachrichtigen wir Sie über etwaige Aktualisierungen per E-Mail (sofern Sie über den Link in unseren allgemeinen Bedingungen entsprechende E-Mail-Benachrichtigungen abonniert haben) oder per In-App-Benachrichtigung. Archivierte Versionen der DPA finden Sie in unseren Archiven unter https://legal.hubspot.com/legal-stuff/archive.

Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern in dieser DPA keine andere Bedeutung angegeben ist.

1. Definitionen
2. Pflichten des Kunden
3. Pflichten von HubSpot
4. Anfragen betroffener Personen
5. Unterauftragsverarbeiter
6. Datenübermittlung
7. Zusätzliche Bestimmungen für europäische Daten
8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger
9. Allgemeine Regelungen
10. Vertragsparteien dieser DPA

Anlage 1 – Details zur Verarbeitung

Anlage 2 – Sicherheitsmaßnahmen

 Anlage 3 – Liste der Unterauftragsverarbeiter

1. Definitionen

„Personenbezogene Daten kalifornischer Bürger“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.

„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018).

Die Begriffe „Kunde“, „Unternehmen“, „Verkaufen“ und „Dienstleister“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Consumer“ (Kunde), „Business“ (Unternehmen), „Sell“ (Verkaufen) und „Service Provider“ (Dienstleister) festgelegt sind. 

„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

„Datenschutzrecht“ bezeichnet alle anwendbaren, weltweiten Gesetze bezüglich des Datenschutzes und des Schutzes der Persönlichkeitsrechte, die für die jeweilige Vertragspartei bei der Verarbeitung der in dem Vertrag definierten personenbezogenen Daten gelten. Dies umfasst unter anderen das europäische Datenschutzrecht, den CCPA und die Datenschutzgesetze und Gesetze zum Schutz von Persönlichkeitsrechten von Australien und Singapur, in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form. 

„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.

„Europa“ ist die Europäische Union, der Europäische Wirtschaftsraum und/oder die jeweiligen Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich. 

„Europäische Daten“ sind personenbezogene Daten, die dem Schutz des europäischen Datenschutzrechts unterliegen.

„Europäisches Datenschutzrecht“ bezeichnet in Europa geltende Datenschutzgesetze, darunter in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii); oder (iii) die DSGVO als Teil des innerstaatlichen Rechts des Vereinigten Königreichs auf Grundlage von Abschnitt 3 des European Union (Withdrawal) Act 2018 (Gesetz über den Austritt aus der Europäischen Union, „UK DSGVO“); und (iv) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und dessen Verordnung („Schweizer Datenschutzgesetz“).  

„Weisungen“ steht für die schriftlichen und verbrieften Anweisungen, mit denen ein für die Verarbeitung Verantwortlicher einen Auftragsverarbeiter zu einer bestimmten oder allgemeinen Maßnahme hinsichtlich der Handhabung personenbezogener Daten auffordert (zum Beispiel Anonymisierung, Sperrung, Löschung, Verfügbarmachung).

„Zulässige verbundene Unternehmen“ sind jegliche verbundenen Unternehmen von Ihnen, die (i) die Abonnementdienste gemäß dem Vertrag nutzen dürfen, jedoch keine entsprechende separate Vereinbarung mit uns unterzeichnet haben und gemäß der Definition im Vertrag nicht als „Kunde“ gelten; (ii) als für die Verarbeitung Verantwortliche der von uns verarbeiteten personenbezogenen Daten gelten; und (iii) dem europäischen Datenschutzrecht unterliegen.

„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern (i) diese Informationen Bestandteil der Kundendaten sind und (ii) unter ähnlichem Schutz anwendbaren Datenschutzrechts stehen wie personenbezogene Daten oder Informationen zur Identifizierung einer Person.

„Verletzung des Schutzes personenbezogener Daten“ steht für einen Sicherheitsverstoß, der zu versehentlichen oder ungesetzlichen Löschungen, Verlusten, Veränderungen bzw. unbefugten Offenlegungen von oder Zugriffen auf personenbezogene(n) Daten führt, die von uns und/oder unseren Unterauftragsverarbeitern in Verbindung mit der Bereitstellung der Abonnementdienste übermittelt, gespeichert oder anderweitig verarbeitet werden. „Verletzung des Schutzes personenbezogener Daten“ steht nicht für gescheiterte Versuche oder Aktivitäten, welche die Sicherheit personenbezogener Daten nicht gefährden, einschließlich misslungener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe gegen Firewalls oder vernetzte Systeme.

„Privacy-Shield-Abkommen“ ist das Selbstzertifizierungsprogramm für das EU-US Privacy-Shield-Abkommen und das Swiss-US Privacy Shield des US-Handelsministeriums (U.S. Department of Commerce), das von der Europäischen Kommission gemäß ihrer Entscheidung vom 12. Juli 2016 und vom Schweizerischen Bundesrat gemäß seiner Entscheidung vom 11. Januar 2017 angenommen wurde (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).

„Datenschutzgrundsätze der Privacy-Shield-Abkommen“ sind die Datenschutzgrundsätze der Privacy-Shield-Abkommen (ergänzt um die Zusatzgrundsätze) aus Anhang II des Beschlusses der Europäischen Kommission vom 12. Juli 2016 (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).

„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „verarbeiten“, „verarbeitet“ u. Ä. sind entsprechend auszulegen.

„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

„Standardvertragsklauseln“ steht für die Standardvertragsklauseln im Anhang des Beschlusses der Europäischen Kommission vom 4. Juni 2021, bekannt gegeben unter Aktenzeichen (EU) 2021/914), derzeit verfügbar unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de  in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form.

„Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der von uns oder unseren verbundenen Unternehmen damit beauftragt wird, uns bei der Erfüllung seiner Pflichten im Rahmen der Bereitstellung der Abonnementdienste gemäß Vertrag zu unterstützen.  Unterauftragsverarbeiter sind gegebenenfalls Drittanbieter oder verbundene Unternehmen von uns, nicht jedoch Mitarbeiter oder Berater von HubSpot.  

„Addendum für das Vereinigte Königreich“ bezeichnet das Addendum für den internationalen Datentransfer, das vom britischen Informationsbeauftragten gemäß Abschnitt 119A(1) des britischen Datenschutzgesetzes (Data Protection Act 2018) herausgegeben wurde und derzeit unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf zu finden ist, in der jeweils gültigen Fassung.

2. Pflichten des Kunden

a. Einhaltung von Gesetzen. Sie sind im Rahmen des Vertrags und im Zuge Ihrer Inanspruchnahme der Leistungen verantwortlich für die Erfüllung aller geltenden Anforderungen, denen Sie gemäß anwendbarem Datenschutzrecht hinsichtlich der Verarbeitung personenbezogener Daten und gemäß den Weisungen, die Sie uns geben, unterliegen.

Insbesondere gilt, dass Sie unbeschadet der Allgemeingültigkeit des Vorausgehenden zustimmen, dass Sie allein die Verantwortung tragen für: (i) die Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie der Mittel, mit denen Sie personenbezogene Daten erhalten; (ii) die Einhaltung aller Anforderungen auf Rechtmäßigkeit und Transparenz gemäß anwendbarem Datenschutzrecht hinsichtlich der Erhebung und Verwendung personenbezogener Daten, einschließlich der Einholung jeglicher erforderlichen Zustimmungen und Berechtigungen (insbesondere bei Verwendung zu Marketingzwecken durch Sie); (iii) die Gewährleistung, dass Sie dazu berechtigt sind, die personenbezogenen Daten zum Zwecke der Verarbeitung in Übereinstimmung mit den Bestimmungen des Vertrags (einschließlich dieser DPA) an uns zu übermitteln oder uns Zugriff darauf zu geben; (iv) die Gewährleistung, dass Ihre Weisungen an uns hinsichtlich der Verarbeitung von personenbezogenen Daten mit den anwendbaren Gesetzen, einschließlich des Datenschutzrechts, übereinstimmen; und (v) die Einhaltung aller geltenden Gesetze (einschließlich des Datenschutzrechts) hinsichtlich der E-Mails oder anderer Inhalte, die über die Abonnementdienste erstellt, versendet oder verwaltet werden, einschließlich der Gesetze bezüglich der Einholung des Einverständnisses (soweit erforderlich) für den Versand von E-Mails, den Inhalt von E-Mails und die E-Mail-Versandpraktiken. Sie müssen uns unverzüglich darüber informieren, wenn Sie nicht dazu in der Lage sind, Ihre Pflichten gemäß diesem Abschnitt „Einhaltung von Gesetzen“ oder dem anwendbaren Datenschutzrecht nachzukommen.

b. Weisungen des für die Verarbeitung Verantwortlichen. Die Vertragsparteien vereinbaren, dass der Vertrag (einschließlich vorliegender DPA) sowie die Verwendung des Abonnementdienstes durch Sie in Übereinstimmung mit dem Vertrag die vollständigen Weisungen des Kunden an uns bezüglich der Verarbeitung von personenbezogenen Daten darstellen, sofern Sie im Abonnementzeitraum zusätzliche Anweisungen über die Weisungen erteilen können, die mit dem Vertrag, der Art und der rechtmäßigen Nutzung des Abonnementdienstes übereinstimmen.

c. Datensicherheit Sie müssen eigenständig prüfen, ob die im Rahmen des Abonnementdienstes gewährleistete Datensicherheit in angemessener Weise Ihren Pflichten gemäß dem anwendbaren Datenschutzrecht entspricht. Sie sind außerdem für die sichere Nutzung des Abonnementdienstes verantwortlich, einschließlich der Gewährleistung von Sicherheit bei der Übermittlung personenbezogener Daten im Zusammenhang mit dem Abonnementdienst (dazu zählen Sicherung und Verschlüsselung solcher personenbezogenen Daten).

3. Pflichten von HubSpot

a. Befolgung der Weisungen. Wir verarbeiten personenbezogene Daten ausschließlich zu den in dieser DPA beschriebenen Zwecken oder wie im Rahmen der rechtmäßigen Weisungen des Kunden vereinbart, ausgenommen wenn und nur in dem Umfang, in dem dies von geltendem Recht vorgeschrieben ist. Wir unterliegen nicht der Einhaltung des für Sie oder Ihre Branche geltenden Datenschutzrechts, welches nicht auch generell für uns anwendbar ist.

b. Kollisionsrecht. Wenn wir bemerken, dass wir personenbezogene Daten aufgrund jeglicher anwendbaren gesetzlichen Anforderungen nicht gemäß den Weisungen des Kunden verarbeiten können, werden wir (i) Sie im gesetzlich zulässigen Umfang unverzüglich von der betreffenden gesetzlichen Vorschrift in Kenntnis setzen; und (ii) falls erforderlich jegliche Verarbeitung (abgesehen vom reinen Speichern und der Aufrechterhaltung der Sicherheitsvorkehrungen für die betreffenden personenbezogenen Daten) so lange einstellen, bis Sie neue Weisungen geben, die wir in der Lage sind, zu erfüllen. Wenn diese Regelung zur Anwendung kommt, sind wir Ihnen gegenüber gemäß Vertrag so lange nicht haftbar für die Nichterbringung der betroffenen Abonnementdienste, bis Sie neue, rechtmäßige Weisungen für die Verarbeitung geben.

c. Datensicherheit Wir werden alle angemessenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten, um die Verletzung des Schutzes personenbezogener Daten, wie in Anlage 2 dieser DPA dargelegt, („Sicherheitsmaßnahmen“) zu verhindern. Unbeschadet anderslautender Bestimmungen dürfen wir diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung des Schutzes, der durch diese Sicherheitsmaßnahmen geboten wird. 

d. Vertraulichkeit. Wir müssen gewährleisten, dass sämtliches Personal, welches wir zur Verarbeitung personenbezogener Daten in unserem Auftrag befugen, bezüglich der besagten personenbezogenen Daten einer Vertraulichkeitsverpflichtung (vertragliche oder gesetzliche Verpflichtung) unterliegt.

e. Verletzungen des Schutzes personenbezogener Daten. Wir werden Sie unverzüglich darüber informieren, wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Wir werden Ihnen zudem Informationen hinsichtlich der Verletzung des Schutzes personenbezogener Daten zeitnah bereitstellen, sobald diese bekannt oder im angemessenen Rahmen durch Sie angefragt werden. Auf Ihre Aufforderung hin werden wir Ihnen unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um Sie in die Lage zu versetzen, eine relevante Verletzung des Schutzes personenbezogener Daten den zuständigen Behörden und/oder den berührten betroffenen Personen zu melden, sofern Sie dazu gemäß anwendbarem Datenschutzrecht verpflichtet sind.

f. Löschung oder Rückgabe personenbezogener Daten. Wir werden alle in Übereinstimmung mit dieser DPA verarbeiteten Kundendaten (einschließlich personenbezogener Daten und Kopien davon) bei Kündigung oder Ablauf Ihres Abonnementdienstes gemäß den in den produktspezifischen Klauseln festgelegten Verfahren löschen oder zurückgeben. Diese Bestimmung gilt jedoch nicht, sofern wir gesetzlich dazu verpflichtet sind, bestimmte oder alle Kundendaten aufzubewahren, oder für Kundendaten, die wir in unseren Backup-Systemen archiviert haben, welche wir sicher getrennt speichern, vor weiterer Verarbeitung schützen und im Einklang mit unserem Löschverfahren löschen werden. Sie können nach Ablauf oder Kündigung Ihres Abonnements einen Antrag auf Löschung Ihres HubSpot-Accounts stellen, indem Sie ein entsprechendes Gesuch über unser Datenschutzformular unter https://preferences.hubspot.com/privacy übermitteln.  Sie können Ihren Account außerdem entsprechend den Bestimmungen im Abschnitt „Frühzeitige Kündigung“ der Nutzungsbedingungen für Kunden kündigen und eine dauerhafte Löschung beantragen, indem Sie die Anweisungen unter https://knowledge.hubspot.com/de/account/how-do-i-cancel-my-hubspot-account befolgen. Sie können Ihre Kundendaten in Ihrem Account in Übereinstimmung mit den Abschnitten zum Thema „Abruf von Kundendaten“ der produktspezifischen Bedingungen abrufen.

4. Anfragen betroffener Personen

Der Abonnementdienst stellt Ihnen eine Reihe von Funktionen zur Verfügung, mit denen Sie personenbezogene Daten aufrufen, verbessern und löschen oder den Zugriff darauf einschränken können. Sie können diese Funktionen nutzen, um Ihren Pflichten gemäß Datenschutzrecht nachzukommen, einschließlich Ihrer Pflichten hinsichtlich der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß anwendbarem Datenschutzrecht geltend machen möchten („Anfragen betroffener Personen“). 

Sofern Sie nicht in der Lage sind, der Anfrage einer betroffenen Person über den Abonnementdienst allein nachzukommen, werden wir Ihnen auf schriftliche Nachfrage hin angemessene Unterstützung geben, um jeglichen Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten gemäß dem Vertrag nachzukommen. Sie erstatten uns die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.

Wenn eine Anfrage oder eine andere Kommunikation einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gemäß dem Vertrag direkt an uns gerichtet wird, werden wir Sie unverzüglich darüber informieren und die betroffene Person darauf hinweisen, dass sie ihre Anfrage an Sie richten muss. Die wirksame Beantwortung von Anfragen oder Mitteilungen betroffener Personen bezüglich personenbezogener Daten obliegt ausschließlich Ihnen.

5. Unterauftragsverarbeiter

Sie stimmen zu, dass HubSpot Unterauftragsverarbeiter beauftragen kann, die personenbezogenen Daten in Ihrem Namen auf drei verschiedene Arten zu verarbeiten. Erstens können wir Unterauftragsverarbeiter damit beauftragen, Unterstützung beim Hosting und bei der Infrastruktur zu leisten. Zweitens können wir Unterauftragsverarbeiter mit der Unterstützung von Produktfunktionen und Integrationen beauftragen. Drittens können wir verbundene Unternehmen damit beauftragen, als Unterauftragsverarbeiter für Kundenservice und -support zu fungieren. Einige Unterauftragsverarbeiter werden standardmäßig eingesetzt, andere kommen nur dann zum Einsatz, wenn Sie dem zustimmen.

Aktuell beauftragen wir als Unterauftragsverarbeiter die Drittanbieter und die verbundenen Unternehmen von HubSpot, die in Anlage 3 zu dieser DPA aufgeführt sind. Sie können sich per E-Mail benachrichtigen lassen, wenn wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen, indem Sie das Formular unter https://legal.hubspot.com/subscribe-subprocessor-updates ausfüllen. Wenn Sie sich für den Erhalt solcher E-Mails entscheiden, werden wir Sie mindestens 30 Tage vor einer solchen Änderung informieren. 

Wenn wir Unterauftragsverarbeiter beauftragen, erlegen wir ihnen Datenschutzbestimmungen auf, durch die personenbezogene Daten mindestens genauso gut schützt sind wie unter der DPA (einschließlich, falls zutreffend, Standardvertragsklauseln), sofern für die Art der von den Unterauftragsverarbeitern bereitgestellten Dienstleistungen zutreffend. Wir sind dafür verantwortlich, dass jeder Unterauftragsverarbeiter die Bestimmungen der DPA einhält ebenso wie für jegliche Handlungen oder unterlassenen Handlungen dieser Unterauftragsverarbeiter, die dazu führen, dass wir gegen eine seiner Pflichten gemäß DPA verstoßen.

6. Datenübermittlung

Sie stimmen zu, dass wir zwecks Bereitstellung des Abonnementdienstes und gemäß dem Vertrag auf weltweiter Ebene auf personenbezogene Daten zugreifen und diese auf weltweiter Ebene verarbeiten können. Sie stimmen insbesondere zu, dass die Übermittlung und Verarbeitung personenbezogener Daten an bzw. durch HubSpot, Inc. in den/die USA und andere/n Jurisdiktionen, in denen verbundene Unternehmen und Unterauftragsverarbeiter von HubSpot vertreten sind, erfolgen kann. Bei der Übermittlung personenbezogener Daten außerhalb des Ursprungslandes gewährleisten beide Vertragsparteien, dass diese Übermittlungen in Übereinstimmung mit den Vorschriften des Datenschutzrechts erfolgen.

7. Zusätzliche Bestimmungen für europäische Daten

a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für europäische Daten“ betrifft ausschließlich europäische Daten.

b. Rollen der Vertragsparteien. Die Vertragsparteien nehmen zur Kenntnis und vereinbaren, dass im Rahmen der Verarbeitung von europäischen Daten in Übereinstimmung mit den Weisungen des Kunden Sie die Rolle des Datenverantwortlichen bzw. für die Verarbeitung Verantwortlichen und wir die Rolle des Auftragsverarbeiters der Daten haben.

c. Weisungen. Wenn wir der Meinung sind, dass Ihre Weisung das europäische Datenschutzrecht (falls anwendbar) verletzt, werden wir Sie unverzüglich darüber in Kenntnis setzen.

d. Einwände gegen neue Unterauftragsverarbeiter. Wir geben Ihnen die Möglichkeit, binnen 30 Tagen nach Mitteilung in Übereinstimmung mit dem Abschnitt „Unterauftragsverarbeiter“ aus angemessenen Gründen bezüglich des Schutzes personenbezogener Daten gegen die Beauftragung der neuen Unterauftragsverarbeiter Widerspruch einzulegen. Wenn Sie uns einen solchen Einwand entgegenbringen, werden wir die Angelegenheit in gutem Glauben besprechen, um eine geschäftlich angemessene Lösung zu finden. Falls eine solche Lösung nicht erreicht werden kann, werden wir nach eigenem Ermessen den neuen Unterauftragsverarbeiter entweder nicht beauftragen oder Ihnen ermöglichen, den betroffenen Abonnementdienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten). Die Parteien sind sich einig, dass HubSpot durch die Einhaltung dieses Unterabschnitts (d) seine Verpflichtungen gemäß Abschnitt 9 der Standardvertragsklauseln erfüllt.

e. Untervergabevereinbarung. Für die Zwecke von Klausel 9(c) der Standardvertragsklauseln erkennen Sie an, dass wir möglicherweise nicht zur Offenlegung von Untervergabevereinbarungen befugt sind. Wir werden aber in angemessener Weise versuchen, von jedem unserer Unterauftragsverarbeiter die Erlaubnis einzuholen, die jeweilige Untervergabevereinbarung Ihnen gegenüber offenzulegen, und werden (auf vertraulicher Basis) alle Informationen zur Verfügung stellen, die begründeterweise erforderlich sind.

f. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. Wenn Ihnen die erforderlichen Informationen zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, werden wir Sie vor Rückfragen an die Aufsichtsbehörden  (zum Beispiel die französische Datenschutzbehörde (CNIL), die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und die britische Datenschutzbehörde (ICO)) oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche gemäß europäischem Datenschutzrecht erforderlich ist.

g. Datenübermittlungsmechanismen.

(A) HubSpot übermittelt europäische Daten nicht an Länder oder Empfänger, deren Bereitstellung eines angemessenen Schutzes personenbezogener Daten nicht anerkannt ist (Bedeutung gemäß geltendem europäischem Datenschutzrecht), sofern HubSpot nicht im Vorfeld alle erforderlichen Maßnahmen trifft, um eine Übermittlung in Übereinstimmung mit dem europäischen Datenschutzrecht zu gewährleisten. Solche Maßnahmen umfassen unter anderem (jedoch ohne Einschränkung) die Datenübermittlung an Empfänger, die durch geeignete von den einschlägigen Behörden oder Gerichten anerkannte Rahmenbedingungen oder andere rechtlich angemessene Übermittlungsmechanismen für die Gewährleistung eines angemessenen Schutzes für personenbezogene Daten abgedeckt sind, die eine Autorisierung ihrer verbindlichen unternehmensinternen Vorschriften in Übereinstimmung mit europäischem Datenschutzrecht erhalten haben, oder die entsprechende von der Europäischen Kommission angenommene oder bewilligte Standardvertragsklauseln in jedem Fall in Übereinstimmung mit anwendbarem europäischem Datenschutzrecht erfüllen.

(B) Sie bestätigen und stimmen zu, dass im Zusammenhang mit der Erbringung der Abonnementdienste HubSpot, Inc. ein Empfänger europäischer Daten in den Vereinigten Staaten ist. Vorbehaltlich der Unterabschnitte (C) und (D) vereinbaren die Parteien, dass die Standardvertragsklauseln durch Bezugnahme in den Vertrag aufgenommen werden und wie folgt Bestandteil des Vertrags sind:

• (a) Übermittlungen in den EWR. In Bezug auf personenbezogene Daten europäischer Bürger, die unter die DSGVO fallen, (i) ist der Kunde der „Datenexporteur“ und HubSpot, Inc. der „Datenimporteur“; (ii) die Bedingungen von Modul 2 gelten im Ausmaß, in dem der Kunde ein Datenverantwortlicher bzw. für die Verarbeitung Verantwortlicher ist, und die Bedingungen von Modul 3 gelten im Ausmaß, in dem der Kunde Auftragsverarbeiter der Daten ist; (iii) in Klausel 7 gilt die optionale Kopplungsklausel; (iv) in Klausel 9 gilt Option 2, und Änderungen der Unterauftragsverarbeiter werden gemäß dem Abschnitt „Unterauftragsverarbeiter“ dieser DPA mitgeteilt; (v) in Klausel 11 wird die optionale Formulierung gestrichen; (vi) in den Klauseln 17 und 18 vereinbaren die Parteien, dass das anwendbare Recht und der Gerichtsstand für Streitigkeiten betreffend die Standardvertragsklauseln gemäß dem Abschnitt „Vertragsschließende Partei; geltendes Recht; Mitteilung“ der rechtsgebietsspezifischen Klauseln oder, wenn in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, dem Recht der Republik Irland (ohne Bezugnahme auf die Grundsätze des Kollisionsrechts) festgelegt wird; (vii) die Anhänge der Standardvertragsklauseln gelten als durch die in den Anhängen dieser DPA enthaltenen Informationen vervollständigt; und (viii) im Falle eines Konflikts zwischen den Standardvertragsklauseln und einer Bestimmung dieser DPA sind die Standardvertragsklauseln hinsichtlich des jeweiligen Konflikts maßgebend.
• (b) Übermittlungen in das Vereinigte Königreich. In Bezug auf personenbezogene Daten europäischer Bürger, die der Datenschutz-Grundverordnung des Vereinigten Königreichs unterliegen, gelten die Standardvertragsklauseln in Übereinstimmung mit Unterabschnitt (a) und den folgenden Änderungen: (i) die Standardvertragsklauseln werden in Übereinstimmung mit dem Addendum für das Vereinigte Königreich geändert und ausgelegt, welches hiermit durch Bezugnahme integriert wird und einen wesentlichen Bestandteil der Vereinbarung darstellt; (ii) die Tabellen 1, 2 und 3 des Addendums für das Vereinigte Königreich gelten als mit den in den Anhängen dieser DPA aufgeführten Informationen ausgefüllt, Tabelle 4 gilt als ausgefüllt, wenn „keine Partei“ ausgewählt wurde; und (iii) etwaige Widersprüche zwischen den Bestimmungen der Standardvertragsklauseln und des Addendums für das Vereinigte Königreich werden gemäß Abschnitt 10 und Abschnitt 11 des Addendums für das Vereinigte Königreich beigelegt.
• (c) Übermittelungen in die Schweiz. In Bezug auf personenbezogene Daten von europäischen Bürgern, die dem Schweizer Datenschutzgesetz unterliegen, gelten die Standardvertragsklauseln gemäß Unterabschnitt (a) mit den folgenden Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf das Schweizer Datenschutzgesetz auszulegen; (ii) Verweise auf „EU“, „Union“ und „Recht des Mitgliedstaats“ werden als Verweise auf das schweizerische Recht ausgelegt und (iii) Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch Verweise auf den „Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und die „zuständigen Gerichte in der Schweiz“ ersetzt.

(C) Für den Fall, dass HubSpot, Inc. nicht das vertragsschließende HubSpot-Unternehmen gemäß Vertrag ist, die vertragsschließende Partei (nicht HubSpot, Inc.) Ihnen gegenüber für die Erfüllung der Standardvertragsklauseln durch HubSpot, Inc. haftet und die volle und alleinige Verantwortung dafür trägt und Sie alle Anweisungen, Ansprüche oder Anfragen in Bezug auf die Standardvertragsklauseln an diese vertragsschließende Partei richten. Falls HubSpot seinen Verpflichtungen aus den Standardvertragsklauseln aus irgendeinem Grund nicht nachkommen kann oder gegen Gewährleistungen aus den Standardvertragsklauseln oder dem Addendum für das Vereinigte Königreich (falls zutreffend) verstößt und Sie beabsichtigen, die Übermittlung europäischer Daten an HubSpot auszusetzen oder die Standardvertragsklauseln oder das Addendum für das Vereinigte Königreich zu kündigen, erklären Sie sich damit einverstanden, uns in angemessener Weise zu benachrichtigen, damit wir eine solche Nichteinhaltung beheben können, und in angemessener Weise mit uns zusammenzuarbeiten, um festzustellen, welche zusätzlichen Schutzmaßnahmen eingeführt werden könnten, um eine solche Nichteinhaltung zu beheben. Falls wir die Nichteinhaltung nicht beheben konnten, können Sie die betroffenen Teile des Abonnementdienstes gemäß den Bestimmungen im Vertrag aussetzen oder beenden, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten).

(D) Obwohl sich HubSpot, Inc. angesichts des Urteils des Europäischen Gerichtshofs in der Rechtssache C-311/18 derzeit nicht auf das EU-US Privacy-Shield-Abkommen als Rechtsgrundlage für die Übermittlung europäischer Daten berufen muss, verarbeitet HubSpot, Inc. europäische Daten in Übereinstimmung mit dem Privacy-Shield-Abkommen, solange HubSpot, Inc. eine Selbstzertifizierung für das Privacy-Shield-Abkommen hält, falls HubSpot, Inc. nicht dazu in der Lage ist, dieser Voraussetzung nachzukommen, wird Sie HubSpot darüber informieren. Für den Fall, dass HubSpot einen alternativen Übertragungsmechanismus (einschließlich einer neuen oder Nachfolgeversion des EU-US Privacy-Shield-Abkommens) für die Übertragung der personenbezogenen Daten von europäischen Bürgern an HubSpot, Inc. nutzt, gilt dieser alternative Übertragungsmechanismus automatisch anstelle der in dieser DPA enthaltenen Standardvertragsklauseln (jedoch nur im Ausmaß, in dem ein solcher alternativer Übertragungsmechanismus den europäischen Datenschutzgesetzen entspricht), und Sie erklären sich damit einverstanden, Dokumente auszufertigen oder Maßnahmen zu ergreifen, die im angemessenen Maße erforderlich sind, um einem solchen alternativen Übertragungsmechanismus Rechtskraft zu verleihen.

h. Nachweis der Einhaltung. Wir stellen Ihnen alle in angemessenem Maße erforderlichen Informationen bereit, um unsere Einhaltung dieser DPA unter Beweis zu stellen. Wir ermöglichen und unterstützen zudem die Durchführung von entsprechenden Prüfungen (Audits), darunter von Ihnen oder Ihrem Prüfer durchgeführte Kontrollen zwecks Überprüfung der Einhaltung dieser DPA. Sie stimmen zu, dass Sie Ihre Auditrechte gemäß dieser DPA und Klausel 8.9 der Standardvertragsklauseln in Anspruch nehmen werden, indem Sie uns dazu auffordern, die Auditmaßnahmen in diesem Abschnitt „Nachweis der Einhaltung“ zu erfüllen. Sie erkennen an, dass der Abonnementdienst von den Hosting-Unterauftragsverarbeitern von HubSpot gehostet wird, welche unabhängig validierte Sicherheitsprogramme verfolgen (darunter SOC 2 und ISO 27001), und dass die Systeme von HubSpot jährlich im Rahmen der SOC 2-Compliance und regelmäßig durch unabhängige Drittanbieter von Penetrationstests geprüft werden. Auf Nachfrage stellen wir Ihnen (auf vertraulicher Basis) unseren SOC 2-Bericht und eine zusammenfassende Kopie von unseren Penetrationstestberichten bereit, damit Sie die Einhaltung dieser DPA durch HubSpot überprüfen können.  Sie können Kopien dieser Dokumente von der HubSpot-Sicherheitswebsite unter https://legal.hubspot.com/de/security herunterladen.  Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin (auf vertraulicher Basis) schriftliche Antworten auf alle Ihre angemessenen Informationsanfragen geben, die zur Überprüfung der Einhaltung dieser DPA durch uns erforderlich sind, sofern Sie höchstens einmal pro Kalenderjahr von diesem Recht Gebrauch machen, es sei denn, Sie haben die begründete Vermutung, dass die DPA nicht eingehalten wird.

8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger

a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger“ betrifft ausschließlich personenbezogene Daten kalifornischer Bürger.

b. Rollen der Vertragsparteien. Die Vertragsparteien vereinbaren, dass im Rahmen der Anwendung des CCPA bei der Verarbeitung personenbezogener Daten kalifornischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde ein Unternehmen ist und HubSpot ein Dienstleister.

c. Zuständigkeiten. Die Vertragsparteien vereinbaren, dass wir personenbezogene Daten kalifornischer Bürger als Dienstleister nur für den Zweck der Bereitstellung der Abonnementdienste gemäß dem Vertrag (der „Geschäftszweck“) oder für andere gemäß CCPA erlaubte Zwecke, einschließlich den im Abschnitt „Nutzungsdaten“ unserer Datenschutzrichtlinie beschriebenen Zwecke, verarbeiten. 

9. Allgemeine Regelungen

a. Änderungen. Unbeschadet gegensätzlicher Regelungen im Vertrag und unbeschadet der Allgemeingültigkeit der Abschnitte „Befolgung der Weisungen“ und „Datensicherheit“ dieser DPA behält HubSpot sich das Recht vor, diese DPA zu aktualisieren und zu ändern, und es gelten die Bedingungen im Abschnitt „Änderungen; kein Verzicht“ der allgemeinen Bedingungen.

b. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser DPA als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser DPA.

c. Haftungsbeschränkung. Die Haftung der jeweiligen Vertragsparteien und ihrer jeweiligen verbundenen Unternehmen hinsichtlich vertraglicher, deliktischer oder auf jeder sonstigen Haftungstheorie beruhenden Ansprüche, die sich aus dieser DPA (und jeder weiteren DPA zwischen den Vertragsparteien) sowie den Standardvertragsklauseln (sofern anwendbar) ergeben oder damit verbunden sind, unterliegt zusammengenommen den Haftungsbeschränkungen und -ausschlüssen, die in dem Abschnitt der allgemeinen Bedingungen „Haftungsbeschränkung“ dargelegt sind, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Vertragspartei bezeichnet die Gesamthaftung dieser Vertragspartei und all ihrer verbundenen Unternehmen gemäß Vertrag (einschließlich dieser DPA).  Zwecks Ausschluss jeglichen Zweifels gilt, dass sofern HubSpot, Inc. keine Vertragspartei des Vertrags ist, der Abschnitt der allgemeinen Bedingungen „Haftungsbeschränkung“ als zwischen dem Kunden und HubSpot, Inc. vereinbart gilt. Bezugnahmen auf „HubSpot“, „wir“, „uns“, „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist. Unter keinen Umständen wird die Haftung der Vertragsparteien bezüglich der Datenschutzrechte Einzelner im Rahmen dieser DPA (einschließlich der Standardvertragsklauseln) oder anderweitiger Bestimmungen beschränkt.

d. Anwendbares Recht. Diese DPA unterliegt den im Abschnitt „Vertragsschließende Partei; geltendes Recht; Mitteilung“ der rechtsgebietsspezifischen Klauseln geltenden Gesetzen und wird diesen entsprechend ausgelegt, ausgenommen anderslautender Bestimmungen im Datenschutzrecht.

10. Vertragsparteien dieser DPA

a. Zulässige verbundene Unternehmen. Durch Unterzeichnung des Vertrags nehmen Sie diese DPA (einschließlich, falls anwendbar, die Standardvertragsklauseln) in Ihrem eigenen Namen und im Namen Ihrer zulässigen verbundenen Unternehmen an. Für die ausschließlichen Zwecke dieser DPA, und sofern nicht anders angegeben, umfasst der Begriff „Kunde“, „Sie“ und „Ihr(e)“ den Kunden und solche zulässigen verbundenen Unternehmen.

b. Autorisierung. Der Rechtsträger, welcher dieser DPA als Kunde zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA in seinem eigenen Namen und, falls zutreffend, im Namen jedes seiner zulässigen verbundenen Unternehmen ermächtigt ist.

c. Rechtsmittel. Die Vertragsparteien vereinbaren, dass (i) ausschließlich das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, im Namen seiner zulässigen verbundenen Unternehmen von einem Recht Gebrauch machen oder einen Rechtsbehelf einlegen kann, das bzw. der einem zulässigen verbundenen Unternehmen gemäß dieser DPA zusteht; und (ii) das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, diese Rechte gemäß dieser DPA nicht separat für jedes zulässige verbundene Unternehmen geltend machen kann, sondern in kombinierter Form für sich selbst und alle seine zulässigen verbundenen Unternehmen. Das Kundenunternehmen, welches die vertragsabschließende Partei ist, ist verantwortlich für die Koordination jeglicher Weisungen, Ermächtigungen und Kommunikation mit uns gemäß dieser DPA und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner zulässigen verbundenen Unternehmen anzunehmen und durchzuführen. 

d. Andere Rechte. Die Vertragsparteien vereinbaren, dass Sie im Rahmen der Prüfung von unserer Einhaltung dieser DPA gemäß Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen, um negative Auswirkungen auf den Betrieb von HubSpot und seiner verbundenen Unternehmen einzuschränken, indem Sie mehrere Auditanfragen, die im Namen des Kundenunternehmens, welches die vertragsabschließende Partei des Vertrags ist, und all seiner zulässigen verbundenen Unternehmen ausgeführt werden, in einem einzigen Audit zusammenfassen.

Anlage 1 – Details zur Verarbeitung

A. Liste der Parteien

Datenexporteur:

Name: Der Kunde gemäß den HubSpot-Nutzungsbedingungen für Kunden (in seinem eigenen Namen oder im Namen seiner zulässigen verbundenen Unternehmen) 

Adresse: Die Adresse des Kunden, wie im Bestellformular angegeben

Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Kunden, wie im Bestellformular und/oder im HubSpot-Account des Kunden angegeben

Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Nutzungsbedingungen

Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): für die Verarbeitung Verantwortlicher

Datenimporteur:

Name: HubSpot, Inc.

Adresse: 25 First Street, 2nd Floor, Cambridge, MA 02141, USA 

Name, Position und Kontaktdaten der Kontaktperson: Nicholas Knoop, Data Protection Officer, HubSpot, Inc. 25 First Street, 2nd Floor, Cambridge, MA 02141, USA

Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Nutzungsbedingungen

Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. Beschreibung der Übermittlung

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Sie können bei Ihrer Verwendung des Abonnementdienstes personenbezogene Daten übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen enthalten:

Ihrer Kontakte und weitere Endnutzer einschließlich Ihrer Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer. Betroffene Personen umfassen unter Umständen auch Einzelpersonen, die versuchen, personenbezogene Daten an Ihre Endnutzer zu übermitteln oder mit diesen zu kommunizieren.

Sie können personenbezogene Daten an die Abonnementdienste übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem die folgenden Kategorien personenbezogener Daten enthalten: 

• a. Kontaktinformationen (wie in den allgemeinen Bedingungen definiert).
• b. Jegliche anderen personenbezogenen Daten, die von Ihnen oder Ihren Endnutzern über den Abonnementdienst übermittelt, gesendet oder empfangen wurden.

Die Vertragsparteien gehen nicht von einer Übermittlung von sensiblen Daten aus.

Häufigkeit der Übermittlung

Kontinuierlich

Art der Verarbeitung

Personenbezogene Daten werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen: 

1. Speicherung und andere Verarbeitung, die für die Bereitstellung, Aufrechterhaltung und Verbesserung der Ihnen bereitgestellten Abonnementdienste erforderlich sind; und/oder

2. Offenlegung in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) und/oder zur Durchsetzung anwendbaren Rechts.

Zweck der Übermittlung und weitere Datenverarbeitung

Wir verarbeiten personenbezogene Daten im erforderlichen Maße, um die Abonnementdienste gemäß dem Vertrag, den Angaben im Bestellformular und Ihren Anweisungen im Rahmen Ihrer Nutzung der Abonnementdienste, bereitzustellen.

Zeitraum, für den die personenbezogenen Daten aufbewahrt werden

Gemäß dem Abschnitt „Löschung oder Rückgabe personenbezogener Daten“ in vorliegender DPA werden wir personenbezogene Daten für den im Vertrag festgelegten Zeitraum verarbeiten, sofern nicht anders schriftlich festgelegt.

C. Zuständige Aufsichtsbehörde

Für die Zwecke der Standardvertragsklauseln wird die Aufsichtsbehörde, die als zuständige Aufsichtsbehörde fungiert, im Einklang mit der Datenschutz-Grundverordnung bestimmt.

Anlage 2 – Sicherheitsmaßnahmen

Wir befolgen aktuell die in Anlage 2 beschriebenen Sicherheitsverfahren. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die in den allgemeinen Bedingungen festgelegt ist.  Weitere Informationen über diese Sicherheitsmaßnahmen finden Sie im SOC 2 Typ II-Bericht, im SOC 3-Bericht, in unserer Sicherheitsübersicht und in den Zusammenfassungen der Penetrationstests von HubSpot, die unter https://legal.hubspot.com/de/security zur Verfügung stehen.

a) Zugangskontrolle

i) Schutz vor unbefugtem Produktzugriff

Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer DPA anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.

Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Wir besitzen oder warten keine Hardware in den Rechenzentren der ausgelagerten Betreiber von Infrastruktur. Produktionsserver und Anwendungen für die Kunden sind logisch und physisch von den internen Informationssystemen von HubSpot getrennt, wodurch ihr Schutz gewährleistet ist. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.

Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.

Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.

Wir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.

Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.

Angriffserkennung und Prävention: Wir implementieren eine Web Application Firewall (WAF), um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.

Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird mithilfe automatischer Tools mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.

Penetrationstests: Wir arbeiten mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nehmen pro Jahr vier Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen. Mit Penetrationstests werden die Anwendungsebenen und Infrastrukturebenen des Technologiebestands von HubSpot getestet.

Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. Wir implementieren ein solches Bug-Bounty-Programm, um das große Potenzial der Community von Sicherheitsexperten zu nutzen und den Schutz unserer Produkte gegen ausgefeilte Angriffstechniken zu verbessern.

iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen

Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, der Produktentwicklung und Forschung, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“ (JITA)-Zugriffsanfrage; alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Administrative oder risikoreiche Zugangsberechtigungen werden mindestens alle sechs Monate überprüft.

Hintergrundüberprüfung: Im gesetzlich zulässigen Umfang unterziehen sich HubSpot-Mitarbeiter einer Hintergrund- oder Referenzprüfung durch Dritte. In den Vereinigten Staaten werden Stellen nur basierend auf den Ergebnissen einer Hintergrundüberprüfung durch Dritte angeboten. Alle HubSpot-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.

Verschlüsselung der Datenübertragung: Wir setzen für alle Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) voraus und stellen diese kostenlos für alle mit HubSpot-Produkten gehosteten Kundenwebsites zur Verfügung. Wir verwenden für unsere HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.

Während der Speicherung: Wir speichern Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen.  Wir haben Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird. 

Erkennung: Unsere Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. Unsere Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind dafür geschult, auf bekannte Vorfälle reagieren zu können.

Reaktion und Nachverfolgung: Wir zeichnen bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum jeweiligen Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leiten wir angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Wir benachrichtigen Sie in Übereinstimmung mit den Bestimmungen des Vertrags. 

Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk, Heizung, Belüftung und Klimatisierung ein.

Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.

Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.

Notfallwiederherstellungspläne: Wir erstellen und testen regelmäßig Notfallwiederherstellungspläne, um die Datenverfügbarkeit nach einer Unterbrechung oder einem Ausfall kritischer Geschäftsprozesse zu gewährleisten.

Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und begrenzt die Ausfallzeiten.

 Anlage 3 – Liste der Unterauftragsverarbeiter