Talk legal to me
Letzte Änderung: 18. September 2024
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Stand: 18. September 2024
Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.
[Sie möchten eine unterzeichnete Ausführung dieses Dokuments (einschließlich des vollständigen Textes zu den Standardvertragsklauseln, des Addendums für das Vereinigte Königreich und der Unterauftragsverarbeiter) erhalten? Klicken Sie hier.]
Diese HubSpot-Vereinbarung zur Datenverarbeitung und ihre Anhänge („DPA“) sind in die zwischen Ihnen und uns geschlossenen HubSpot-Nutzungsbedingungen für Kunden (die „Vereinbarung“) integriert und bilden einen Teil davon. Diese DPA spiegelt die Vereinbarung der Parteien in Bezug auf (i) die Verarbeitung personenbezogener Kundendaten durch uns als Auftragsverarbeiter in Ihrem Namen und (ii) die Verarbeitung personenbezogener Daten des Verantwortlichen durch jede Partei als Verantwortlicher in Verbindung mit unseren Anreicherungsprodukten und Ihrer Verwendung des HubSpot-Tracking-Codes wider.
Im Falle von Konflikten oder Unstimmigkeiten mit den Bestimmungen dieser Vereinbarung hat diese DPA im Umfang solcher Konflikte oder Unstimmigkeiten Vorrang vor anderen Bestimmungen dieser Vereinbarung.
Die Abschnitte 3 bis 9 dieser DPA gelten ausschließlich insoweit, als HubSpot im Zusammenhang mit den Abonnementdiensten als Verarbeiter personenbezogener Kundendaten fungiert.
Abschnitt 10 gilt ausschließlich insoweit, als der Kunde unsere Anreicherungsprodukte oder den HubSpot-Tracking-Code mit aktivierter Intent-Datenfreigabe verwendet und jede Partei gemäß den Datenschutzgesetzen als Verantwortlicher gilt.
Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie über ein aktives HubSpot-Abonnement verfügen, benachrichtigen wir Sie in diesem Fall durch eine In-App-Benachrichtigung (oder per E-Mail, wenn Sie den Erhalt von E-Mail-Benachrichtigungen über den Link in unseren Allgemeinen Geschäftsbedingungen abonniert haben). Archivierte Versionen der DPA finden Sie in unseren Archiven unter https://legal.hubspot.com/legal-stuff/archive.
Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern in dieser DPA keine andere Bedeutung angegeben ist.
Anhang 1(A) – Einzelheiten der Datenverarbeitung – HubSpot als Auftragsverarbeiter
Anhang 1(B) – Einzelheiten der Datenverarbeitung – HubSpot als Datenverantwortlicher
Anlage 2 – Sicherheitsmaßnahmen
Anlage 3 – Liste der Unterauftragsverarbeiter
„Persönliche Daten aus Kalifornien“ sind personenbezogene Daten von Kunden, die dem Schutz des CCPA unterliegen.
„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018, geändert durch das 2020 verabschiedete kalifornische Datenschutzgesetz „California Privacy Rights Act“ oder „CPRA“).
Die Begriffe „Kunde“, „Unternehmen“, „Verkaufen“, „Dienstleister“ und „Teilen“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Consumer“ (Kunde), „Business“ (Unternehmen), „Sell“ (Verkaufen), „Service Provider“ (Dienstleister) und „Share“ (Teilen) festgelegt sind.
„Datenverantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
„Personenbezogene Daten des Datenverantwortlichen“ bezeichnet personenbezogene Daten, die jede Partei als Datenverantwortlicher in Verbindung mit den Anreicherungsprodukten oder dem HubSpot-Tracking-Code verarbeitet, wobei jede Partei gemäß den Datenschutzgesetzen als Datenverantwortlicher gilt.
„Personenbezogene Daten des Kunden“ bezeichnet in Kundendaten enthaltene personenbezogene Daten, die HubSpot als Auftragsverarbeiter im Auftrag des Kunden verarbeitet.
„Verstoß gegen den Schutz personenbezogener Kundendaten“ bezeichnet einen Sicherheitsverstoß, der zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Kundendaten führt, die von uns und/oder unseren Unterauftragsverarbeitern im Zusammenhang mit der Bereitstellung der Abonnementdienste übermittelt, gespeichert oder anderweitig verarbeitet werden. Nicht als „Verstoß gegen den Schutz personenbezogener Kundendaten“ gelten erfolglose Versuche oder Aktivitäten, welche die Sicherheit der personenbezogenen Daten des Kunden nicht gefährden. Hierzu zählen erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Datenschutzrahmen“ bezeichnet das EU-US-Datenschutzrahmenwerk, das Schweiz-US-Datenschutzrahmenwerk und die UK-Erweiterung des EU-US-Datenschutzrahmenwerks – Selbstzertifizierungsprogramme (soweit zutreffend), die vom US-Handelsministerium betrieben werden, in der jeweils gültigen Fassung.
„Grundsätze des Datenschutzrahmens“ bezeichnet die Grundsätze und ergänzenden Grundsätze, die im jeweiligen Datenschutzrahmen enthalten sind; in der jeweils geänderten oder ersetzten Fassung.
„Datenschutzgesetze“ bezeichnet alle weltweit geltenden Gesetze zum Datenschutz und zur Wahrung der Privatsphäre, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, insbesondere die europäischen Datenschutzgesetze, das CCPA und andere geltende US-Bundes- und Landesdatenschutzgesetze sowie die Datenschutzgesetze von Australien, Kanada, Singapur, Indien und Japan, jeweils in der jeweils gültigen Fassung, in ihrer aufgehobenen, konsolidierten oder ersetzten Fassung.
„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.
„Europa“ ist die Europäische Union, der Europäische Wirtschaftsraum und/oder die jeweiligen Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich.
„Europäische Daten“ sind personenbezogene Kundendaten, die dem Schutz der europäischen Datenschutzgesetze unterliegen.
„Europäische Datenschutzgesetze“ bezeichnet in Europa geltende Datenschutzgesetze, darunter: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; und (iii) geltende nationale Umsetzungen von (i) und (ii); oder (iii) DSGVO, da diese aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 („UK DSGVO“) Teil des nationalen Rechts des Vereinigten Königreichs ist; und (iv) das Schweizer Bundesgesetz über den Datenschutz und seine Verordnung („Schweizer DPA“); jeweils in der jeweils gültigen Fassung.
„Anweisungen“ bezeichnet die schriftlichen, dokumentierten Anweisungen des Kunden an HubSpot, die HubSpot anweisen, eine bestimmte oder allgemeine Maßnahme in Bezug auf die personenbezogenen Daten des Kunden durchzuführen (einschließlich, aber nicht beschränkt auf Anonymisierung, Sperrung, Löschung und Bereitstellung).
„Zugelassene verbundene Unternehmen“ bezeichnet alle Ihre verbundenen Unternehmen, die (i) gemäß der Vereinbarung die Abonnementdienste verwenden dürfen, jedoch keine eigene separate Vereinbarung mit uns unterzeichnet haben und keine „Kunden“ im Sinne der Vereinbarung sind, (ii) als Datenverantwortliche für personenbezogene Daten des Kunden oder des Datenverantwortlichen gelten und (iii) den europäischen Datenschutzgesetzen unterliegen.
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen und die gemäß den Datenschutzgesetzen in ähnlicher Weise geschützt sind wie personenbezogene Daten, persönliche Informationen oder persönlich identifizierbare Informationen.
„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „verarbeiten“, „verarbeitet“ u. Ä. sind entsprechend auszulegen.
„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet.
„Eingeschränkter Transfer“ bezeichnet den Transfer von personenbezogenen Daten aus Europa in ein Land, das kein angemessenes Schutzniveau im Sinne der geltenden europäischen Datenschutzgesetze bietet.
„Standardvertragsklauseln“ steht für die Standardvertragsklauseln im Anhang des Beschlusses der Europäischen Kommission vom 4. Juni 2021, bekannt gegeben unter Durchführungsbeschluss (EU) 2021/914, derzeit verfügbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914 in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form.
„Unterauftragsverarbeiter“ bezeichnet jeden von uns oder unseren verbundenen Unternehmen beauftragten Auftragsverarbeiter, der uns bei der Erfüllung unserer Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung unterstützt. Unterauftragsverarbeiter sind gegebenenfalls Drittanbieter oder verbundene Unternehmen von uns, nicht jedoch Mitarbeiter oder Berater von HubSpot.
„Addendum für das Vereinigte Königreich“ bezeichnet das Addendum für den internationalen Datentransfer, das vom britischen Informationsbeauftragten gemäß Abschnitt 119A(1) des britischen Datenschutzgesetzes (Data Protection Act 2018) herausgegeben wurde und derzeit unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf zu finden ist, in der jeweils gültigen Fassung.
a. Einhaltung von Gesetzen. Im Rahmen der Vereinbarung und Ihrer Nutzung der Dienste sind Sie für die Einhaltung aller für Sie geltenden Anforderungen der Datenschutzgesetze in Bezug auf die Verarbeitung personenbezogener Daten verantwortlich.
Insbesondere, aber unbeschadet der Allgemeingültigkeit des Vorstehenden, erkennen Sie an und stimmen zu, dass Sie allein verantwortlich sind für: (i) die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und die Mittel, mit denen Sie diese Daten erhalten haben; (ii) die Einhaltung aller notwendigen Transparenz- und Rechtmäßigkeitsanforderungen gemäß den Datenschutzgesetzen für die Erhebung und Verwendung personenbezogener Kundendaten, einschließlich der Bereitstellung angemessener Hinweise, der Einholung aller erforderlichen Zustimmungen und Genehmigungen und der Wahrung von Opt-out-Einstellungen (insbesondere für die Verwendung durch den Kunden für Marketingzwecke); (iii) die Gewährleistung, dass Sie das Recht haben, die personenbezogenen Kundendaten zur Verarbeitung gemäß den Bedingungen der Vereinbarung (einschließlich dieser DPA) an uns zu übertragen oder uns Zugriff darauf zu gewähren; (iv) die Einhaltung aller Gesetze, die für E-Mails oder andere Inhalte gelten, die über die Abonnementdienste erstellt, gesendet oder verwaltet werden (einschließlich derjenigen in Bezug auf die Einholung von Zustimmungen zum Senden von E-Mails, den Inhalt von E-Mails und E-Mail-Bereitstellungspraktiken); und (v) die Gewährleistung, dass Ihre Verwendung der personenbezogenen Daten des Datenverantwortlichen den Datenschutzgesetzen entspricht und strikt auf die in der Vereinbarung (einschließlich dieser DPA) festgelegten Zwecke beschränkt ist. Sie müssen uns unverzüglich informieren, wenn Sie Ihren Pflichten gemäß diesem Abschnitt „Einhaltung von Gesetzen“ oder den Datenschutzgesetzen nicht nachkommen können.
b. Kundenanweisungen. Sie sind dafür verantwortlich, dass Ihre Anweisungen an uns bezüglich der Verarbeitung personenbezogener Kundendaten den geltenden Gesetzen, einschließlich der Datenschutzgesetze, entsprechen. Die Parteien vereinbaren, dass die Vereinbarung (einschließlich dieser DPA) zusammen mit Ihrer Nutzung des Abonnementdienstes gemäß der Vereinbarung Ihre vollständigen Anweisungen an uns in Bezug auf die Verarbeitung personenbezogener Kundendaten durch HubSpot darstellen, sofern Sie während der Abonnementlaufzeit zusätzliche Anweisungen erteilen, die mit der Vereinbarung und der Art und rechtmäßigen Nutzung des Abonnementdienstes vereinbar sind.
c. Datensicherheit. Sie sind dafür verantwortlich, selbstständig festzustellen, ob die im Abonnementdienst vorgesehene Datensicherheit Ihren Verpflichtungen gemäß den Datenschutzgesetzen ausreichend entspricht. Sie sind außerdem für die sichere Nutzung des Abonnementdienstes verantwortlich, einschließlich des Schutzes der Sicherheit personenbezogener Daten während der Übertragung zum und vom Abonnementdienst (einschließlich des sicheren Backups oder Verschlüsselung solcher Daten).
3. Pflichten von HubSpot als Datenverarbeiter
a. Befolgung der Weisungen. Wir verarbeiten personenbezogene Kundendaten nur für die in dieser DPA beschriebenen Zwecke oder wie anderweitig im Rahmen Ihrer rechtmäßigen Anweisungen vereinbart, es sei denn, geltendes Recht schreibt etwas anderes vor. Wir unterliegen nicht der Einhaltung des für Sie oder Ihre Branche geltenden Datenschutzrechts, welches nicht auch generell für uns anwendbar ist.
b. Kollisionsrecht. Wenn uns auffällt, dass wir personenbezogene Kundendaten aufgrund einer gesetzlichen Anforderung gemäß geltendem Recht nicht gemäß Ihren Anweisungen verarbeiten können, werden wir (i) Sie umgehend über diese gesetzliche Anforderung informieren, soweit dies nach geltendem Recht zulässig ist, und (ii) bei Bedarf sämtliche Verarbeitungen (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Kundendaten) einstellen, bis Sie uns neue Anweisungen erteilen, die wir befolgen können. Wenn diese Regelung zur Anwendung kommt, sind wir Ihnen gegenüber gemäß Vertrag so lange nicht haftbar für die Nichterbringung der betroffenen Abonnementdienste, bis Sie neue, rechtmäßige Weisungen für die Verarbeitung geben.
c. Datensicherheit. Wir werden geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um personenbezogene Kundendaten vor Verletzungen des Schutzes personenbezogener Kundendaten zu schützen, wie in Anhang 2 dieser DPA („Sicherheitsmaßnahmen“) beschrieben. Unbeschadet anderslautender Bestimmungen dürfen wir diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung des Schutzes, der durch diese Sicherheitsmaßnahmen geboten wird.
d. Vertraulichkeit. Wir stellen sicher, dass alle Mitarbeiter, die wir mit der Verarbeitung personenbezogener Kundendaten in unserem Namen beauftragen, in Bezug auf diese personenbezogenen Kundendaten entsprechenden Vertraulichkeitsverpflichtungen (ob vertraglicher oder gesetzlicher Art) unterliegen.
e. Verstöße gegen den Schutz personenbezogener Daten von Kunden. Wenn uns ein Verstoß gegen den Schutz personenbezogener Kundendaten bekannt wird, benachrichtigen wir Sie unverzüglich und stellen Ihnen zeitnah Informationen zu dem Verstoß gegen den Schutz personenbezogener Kundendaten zur Verfügung, sobald uns diese bekannt werden oder Sie diese im angemessenen Rahmen anfordern. Auf Ihre Aufforderung hin werden wir Ihnen unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um Sie in die Lage zu versetzen, einen relevanten Verstoß gegen den Schutz personenbezogener Kundendaten den zuständigen Behörden und/oder den berührten betroffenen Personen zu melden, sofern Sie dazu gemäß anwendbarem Datenschutzrecht verpflichtet sind.
f. Löschung oder Rückgabe personenbezogener Daten von Kunden. Bei Kündigung oder Ablauf Ihres Abonnementdienstes werden wir sämtliche Kundendaten, einschließlich der personenbezogenen Kundendaten (einschließlich Kopien davon), die gemäß dieser DPA verarbeitet werden, gemäß den in unseren produktspezifischen Bedingungen festgelegten Verfahren löschen oder zurückgeben. Diese Bestimmung gilt jedoch nicht, sofern wir gesetzlich dazu verpflichtet sind, bestimmte oder alle Kundendaten aufzubewahren, oder für Kundendaten, die wir in unseren Backup-Systemen archiviert haben, welche wir sicher getrennt speichern, vor weiterer Verarbeitung schützen und im Einklang mit unserem Löschverfahren löschen werden. Sie können die Löschung Ihres HubSpot-Accounts nach Ablauf oder Kündigung Ihres Abonnements beantragen, indem Sie die Schritte unter https://knowledge.hubspot.com/de/account/how-do-i-cancel-my-hubspot-account befolgen.
Wir empfehlen Ihnen dringend, Ihre Kundendaten vor Ablauf des Abonnementzeitraums abzurufen, indem Sie die Anweisungen in den folgenden Wissensdatenbankartikeln befolgen: „Ihre Inhalte und Daten exportieren“; „Datensätze exportieren“; „Anzeigen-Performance-Daten exportieren“; „E-Mail-Performancedaten exportieren“; „Durchführen einer permanenten Löschung in HubSpot“.
Wenn Sie während der Abonnementlaufzeit Hilfe beim Abruf Ihrer Kundendaten benötigen, unterstützen wir Sie auf Ihre Kosten und in Übereinstimmung mit dem Abschnitt „Vertraulichkeit“ der allgemeinen Bedingungen.
4. Anfragen betroffener Personen
Der Abonnementdienst bietet Ihnen eine Reihe von Steuerelementen, mit denen Sie personenbezogene Kundendaten abrufen, korrigieren, löschen oder einschränken können. Diese können Sie zur Erfüllung Ihrer Verpflichtungen gemäß den Datenschutzgesetzen verwenden, einschließlich Ihrer Verpflichtungen im Zusammenhang mit der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen („Anfragen betroffener Personen“).
Sofern Sie nicht in der Lage sind, eine Anfrage einer betroffenen Person eigenständig über den Abonnementdienst zu beantworten, werden wir Ihnen auf Ihre schriftliche Anfrage hin angemessene Unterstützung bei der Beantwortung aller Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung gewähren. Sie erstatten uns die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.
Wenn eine Anfrage einer betroffenen Person oder eine andere Mitteilung bezüglich der Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung direkt an uns gerichtet wird, werden wir Sie umgehend informieren und die betroffene Person anweisen, ihre Anfrage an Sie zu richten. Sie sind allein dafür verantwortlich, inhaltlich auf derartige Anfragen betroffener Personen oder Mitteilungen, die personenbezogene Kundendaten betreffen, zu antworten.
5. Unterauftragsverarbeiter
Sie erklären sich damit einverstanden, dass wir Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Kundendaten in Ihrem Namen beauftragen. Dies tun wir auf drei Arten. Erstens können wir Unterauftragsverarbeiter damit beauftragen, Unterstützung beim Hosting und bei der Infrastruktur zu leisten. Zweitens können wir Unterauftragsverarbeiter mit der Unterstützung von Produktfunktionen und Integrationen beauftragen. Drittens können wir verbundene Unternehmen damit beauftragen, als Unterauftragsverarbeiter für Kundenservice und -support zu fungieren. Einige Unterauftragsverarbeiter werden standardmäßig für Sie eingesetzt, andere kommen nur dann zum Einsatz, wenn Sie dem zustimmen.
Aktuell beauftragen wir als Unterauftragsverarbeiter die Drittanbieter und die verbundenen Unternehmen von HubSpot, die in Anlage 3 zu dieser DPA aufgeführt sind. Sie können den Erhalt von E-Mail-Benachrichtigungen abonnieren, wenn wir Änderungen an der Seite „HubSpot-Unterauftragsverarbeiter“ vornehmen, indem Sie das unter https://legal.hubspot.com/subscribe-subprocessor-updates verfügbare Formular ausfüllen. Wenn Sie sich für den Erhalt solcher E-Mails entscheiden, werden wir Sie mindestens 30 Tage vor einer solchen Änderung informieren.
Wir geben Ihnen die Möglichkeit, binnen 30 Tagen nach Mitteilung aus angemessenen Gründen bezüglich des Schutzes personenbezogener Kundendaten gegen die Beauftragung neuer Unterauftragsverarbeiter Widerspruch einzulegen. Wenn Sie uns einen solchen Einwand entgegenbringen, werden wir die Angelegenheit in gutem Glauben besprechen, um eine geschäftlich angemessene Lösung zu finden. Falls eine solche Lösung nicht erreicht werden kann, werden wir nach eigenem Ermessen den neuen Unterauftragsverarbeiter entweder nicht beauftragen oder Ihnen ermöglichen, den betroffenen Abonnementdienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten).
Wenn wir Unterauftragsverarbeiter beauftragen, erlegen wir diesen Datenschutzbestimmungen auf, die für personenbezogene Kundendaten mindestens das gleiche Schutzniveau bieten wie die Bestimmungen in dieser Datenverarbeitungsvereinbarung, soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen anwendbar ist. Wir sind dafür verantwortlich, dass jeder Unterauftragsverarbeiter die Bestimmungen der DPA einhält ebenso wie für jegliche Handlungen oder unterlassenen Handlungen dieser Unterauftragsverarbeiter, die dazu führen, dass wir gegen eine seiner Pflichten gemäß DPA verstoßen.
6. Datenübermittlung
Sie erkennen an und erklären sich damit einverstanden, dass wir auf weltweiter Basis auf personenbezogene Daten der Kunden zugreifen und diese verarbeiten können, soweit dies zur Bereitstellung des Abonnementdienstes gemäß der Vereinbarung erforderlich ist, und dass personenbezogene Daten insbesondere an HubSpot, Inc. in den Vereinigten Staaten und anderen Rechtsräumen, in denen mit HubSpot verbundene Unternehmen und Unterauftragsverarbeiter tätig sind, übermittelt und von HubSpot, Inc. verarbeitet werden können. Wenn personenbezogene Kundendaten außerhalb des Ursprungslandes übertragen werden, stellt jede Partei sicher, dass diese Übertragungen im Einklang mit den Anforderungen der Datenschutzgesetze erfolgen.
7. Nachweis der Einhaltung
Wir stellen Ihnen alle in angemessenem Maße erforderlichen Informationen bereit, um unsere Einhaltung dieser DPA unter Beweis zu stellen. Wir ermöglichen und unterstützen zudem die Durchführung von entsprechenden Prüfungen (Audits), darunter von Ihnen oder Ihrem Prüfer durchgeführte Kontrollen zwecks Überprüfung der Einhaltung dieser DPA, wenn dies nach geltendem Recht erforderlich ist. Sie stimmen zu, dass Sie Ihre Auditrechte gemäß dieser DPA in Anspruch nehmen werden, indem Sie uns dazu auffordern, die Auditmaßnahmen in diesem Abschnitt „Nachweis der Einhaltung“ zu erfüllen. Sie erkennen an, dass der Abonnementdienst von den Hosting-Unterauftragsverarbeitern von HubSpot gehostet wird, welche unabhängig validierte Sicherheitsprogramme verfolgen (darunter SOC 2 und ISO 27001), und dass die Systeme von HubSpot jährlich im Rahmen der SOC-2-Compliance und regelmäßig durch unabhängige Drittanbieter von Penetrationstests geprüft werden. Auf Nachfrage stellen wir Ihnen (auf vertraulicher Basis) unseren SOC-2-Bericht und eine zusammenfassende Kopie von unseren Penetrationstestberichten bereit, damit Sie die Einhaltung dieser DPA durch HubSpot überprüfen können. Sie können Kopien dieser Dokumente von der HubSpot-Sicherheitswebsite unter trust.hubspot.com herunterladen. Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin schriftliche Antworten (auf vertraulicher Basis) auf alle angemessenen Informationsanfragen Ihrerseits geben, die zur Bestätigung unserer Einhaltung dieser DPA erforderlich sind, vorausgesetzt, dass Sie dieses Recht nicht öfter als einmal pro Kalenderjahr ausüben, es sei denn, Sie haben begründeten Verdacht auf eine Nichteinhaltung der DPA.
8. Zusätzliche Bestimmungen für europäische Daten
a. Anwendungsbereich. Dieser Abschnitt „Zusätzliche Bestimmungen für europäische Daten“ gilt nur in Bezug auf europäische Daten, die HubSpot im Rahmen der Vereinbarung in Ihrem Namen verarbeitet.
b. Rollen der Vertragsparteien. Bei der Verarbeitung europäischer Daten gemäß Ihren Anweisungen erkennen die Parteien an und vereinbaren, dass Sie entweder als Datenverantwortlicher oder als Auftragsverarbeiter im Auftrag eines anderen Verantwortlichen handeln und wir im Rahmen der Vereinbarung der Auftragsverarbeiter sind.
c. Weisungen. Wenn wir der Meinung sind, dass Ihre Weisung das europäische Datenschutzrecht (falls anwendbar) verletzt, werden wir Sie unverzüglich darüber in Kenntnis setzen.
d. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. Wenn Ihnen die erforderlichen Informationen zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, werden wir Sie vor Rückfragen an die Aufsichtsbehörden (zum Beispiel die französische Datenschutzbehörde (CNIL), die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und die britische Datenschutzbehörde (ICO)) oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche gemäß europäischem Datenschutzrecht erforderlich ist.
e. Datenübermittlungen. HubSpot wird europäische Daten nicht in Länder oder an Empfänger übermitteln, die kein angemessenes Schutzniveau für personenbezogene Daten von Kunden bieten (im Sinne der geltenden europäischen Datenschutzgesetze), es sei denn, HubSpot ergreift zuvor alle erforderlichen Maßnahmen, um sicherzustellen, dass die Übermittlung den geltenden europäischen Datenschutzgesetzen entspricht. Zu solchen Maßnahmen können (ohne Einschränkung) gehören: (i) die Übermittlung solcher Daten an einen Empfänger, der durch einen geeigneten Rahmen oder einen anderen rechtlich angemessenen Übermittlungsmechanismus abgedeckt ist, der von den zuständigen Behörden oder Gerichten als ein angemessenes Schutzniveau für personenbezogene Kundendaten, einschließlich des Datenschutzrahmens, anerkannt wird; (ii) die Übermittlung an einen Empfänger, der eine verbindliche unternehmensinterne Autorisierung gemäß den europäischen Datenschutzgesetzen erreicht hat; oder (iii) die Übermittlung an einen Empfänger, der die jeweils angenommenen oder genehmigten Standardvertragsklauseln gemäß den geltenden europäischen Datenschutzgesetzen ausgeführt hat.
9. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger
a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für personenbezogene Daten aus Kalifornien“ der DPA gilt nur in Bezug auf personenbezogene Daten aus Kalifornien, die HubSpot im Rahmen der Vereinbarung in Ihrem Namen verarbeitet.
b. Rollen der Vertragsparteien. Die Vertragsparteien vereinbaren, dass im Rahmen der Anwendung des CCPA bei der Verarbeitung personenbezogener Daten kalifornischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde ein Unternehmen ist und HubSpot ein Dienstleister.
c. Zuständigkeiten. Wir bestätigen, dass wir personenbezogene Daten kalifornischer Bürger als Dienstleister nur für den Zweck der Bereitstellung der Abonnementdienste gemäß dem Vertrag (der „Geschäftszweck“) oder für andere gemäß CCPA erlaubte Zwecke, einschließlich den im Abschnitt „Nutzungsdaten“ unserer Datenschutzrichtlinie beschriebenen Zwecken, verarbeiten. Darüber hinaus bestätigen wir, dass wir (i) keine personenbezogenen Daten aus Kalifornien verkaufen oder weitergeben; (ii) keine personenbezogenen Daten aus Kalifornien außerhalb der direkten Geschäftsbeziehung zwischen den Parteien verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben; und (iii) keine in Kundendaten enthaltenen personenbezogenen Daten aus Kalifornien mit personenbezogenen Daten kombinieren, die wir erheben oder aus einer anderen Quelle erhalten (mit Ausnahme von Informationen, die wir im Zusammenhang mit unseren Verpflichtungen als Dienstanbieter im Rahmen der Vereinbarung aus einer anderen Quelle erhalten).
d. Compliance. Wir werden (i) die für uns als Dienstanbieter geltenden Verpflichtungen gemäß CCPA einhalten, (ii) für personenbezogene Daten in Kalifornien dasselbe Schutzniveau bieten, wie es gemäß CCPA erforderlich ist, und (iii) Sie benachrichtigen, wenn wir zu dem Schluss kommen, dass wir unseren Verpflichtungen als Dienstanbieter gemäß CCPA nicht mehr nachkommen können.
e. CCPA-Prüfungen (Audits). Sie haben das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass wir personenbezogene Daten aus Kalifornien in einer Weise verwenden, die mit Ihren Verpflichtungen gemäß CCPA vereinbar ist. Nach einer entsprechenden Ankündigung haben Sie das Recht, angemessene und geeignete Schritte in Übereinstimmung mit der Vereinbarung zu unternehmen, um die unbefugte Nutzung von personenbezogenen Daten kalifornischer Bürger zu unterbinden und zu korrigieren.
f. Kein Verkauf. Die Parteien erkennen an und vereinbaren, dass die Weitergabe personenbezogener Daten aus Kalifornien durch den Kunden an HubSpot nicht Bestandteil einer zwischen den Parteien ausgetauschten monetären oder sonstigen Gegenleistung ist.
10. Bedingungen zwischen Datenverantwortlichen
a. Anwendungsbereich. Dieser Abschnitt „Bedingungen zwischen Datenverantwortlichen“ gilt in dem Umfang, in dem die Parteien personenbezogene Daten des Datenverantwortlichen im Zusammenhang mit der Nutzung unserer Anreicherungsprodukte und des HubSpot-Tracking-Codes durch den Kunden verarbeiten.
b. Rollen der Parteien. Die Parteien erkennen an und vereinbaren, dass sie als Datenverantwortliche für die personenbezogenen Daten des Datenverantwortlichen handeln und bei der Verarbeitung personenbezogener Daten des Datenverantwortlichen ihren jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen nachkommen werden. Zur Klarstellung sei darauf hingewiesen, dass nichts in der Vereinbarung oder diesem Abschnitt „Bedingungen zwischen Datenverantwortlichen“ HubSpot in irgendeiner Weise daran hindert, Daten zu erfassen, zu verwenden oder weiterzugeben, die HubSpot andernfalls unabhängig von der Nutzung der Abonnementdienste durch den Kunden, einschließlich unserer Anreicherungsprodukte, verarbeiten würde.
c. Einhaltung von Gesetzen. Jede Partei stellt sicher, dass die personenbezogenen Daten des Datenverantwortlichen, die sie an die andere Partei weitergibt oder ihr zur Verfügung stellt, in Übereinstimmung mit den Datenschutzgesetzen erhoben wurden. Dazu gehören (i) die Bereitstellung angemessener Hinweise und die Einholung aller erforderlichen Einwilligungen der betroffenen Personen, (ii) die Schaffung einer Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Datenverantwortlichen, (iii) die Umsetzung angemessener technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten des Datenverantwortlichen und (iv) die Einhaltung aller Meldepflichten im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten des Datenverantwortlichen. Zwischen den Parteien ist der Kunde dafür verantwortlich, alle notwendigen Hinweise, Zustimmungen und Deaktivierungsmechanismen für die Verwendung des HubSpot-Tracking-Codes bereitzustellen und sicherzustellen, dass seine Website die Verwendung von Tracking-Technologie Dritter in Übereinstimmung mit den Datenschutzgesetzen offenlegt. Wenn eine betroffene Person eine der Parteien kontaktiert, um ihre Rechte gemäß den Datenschutzgesetzen auszuüben, muss die kontaktierte Partei der Anfrage entweder direkt nachkommen oder, falls dies nicht möglich ist, die andere Partei umgehend benachrichtigen und sich mit ihr abstimmen, um sicherzustellen, dass die Anfrage im Einklang mit den Datenschutzgesetzen erfüllt wird. Der Kunde erklärt sich damit einverstanden, Anreicherungsausgaben (wie in den Produktspezifischen Bedingungen von HubSpot definiert) zu löschen, wenn er feststellt, dass er über keine unabhängige Rechtsgrundlage (oder im Wesentlichen ähnliche Bedingungen) für die Verarbeitung dieser Daten gemäß den Datenschutzgesetzen verfügt.
d. Nachweis der Einhaltung. Erhält eine der Parteien eine Beschwerde, Meldung oder Kommunikation von einer Aufsichtsbehörde oder sonstigen Regierungsbehörde im Zusammenhang mit (i) der Verarbeitung personenbezogener Daten des Datenverantwortlichen oder (ii) einer möglichen Nichteinhaltung von Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten des Datenverantwortlichen durch die andere Partei, so verweist diese Partei die Aufsichtsbehörde oder sonstige Regierungsbehörde an die andere Partei und bietet der anderen Partei im Falle miteinander verflochtener Verpflichtungen, Ansprüche oder betroffener personenbezogener Daten des Datenverantwortlichen angemessene Unterstützung bei der Beantwortung der Fragen zur Aufsichtsbehörde oder sonstigen Regierungsbehörde.
e. Datensicherheit. Wir werden angemessene Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten des Datenverantwortlichen implementieren und aufrechterhalten. Alle personenbezogenen Daten des Datenverantwortlichen werden anhand angemessener physischer, technischer und organisatorischer Maßnahmen geschützt. Weitere Informationen zum Thema Sicherheit bei HubSpot finden Sie unter https://trust.hubspot.com.
(f) CCPA-Konformität. Soweit das CCPA auf die Verarbeitung personenbezogener Daten des Datenverantwortlichen anwendbar ist, erkennt jede Partei Folgendes an und stimmt Folgendem zu: (i) Diese personenbezogenen Daten des Datenverantwortlichen werden der anderen Partei ausschließlich für die in der Vereinbarung festgelegten begrenzten und festgelegten Zwecke zur Verfügung gestellt; (ii) die Partei, die diese personenbezogenen Daten des Datenverantwortlichen erhält, muss das gleiche Maß an Datenschutz einhalten und bereitstellen, wie es das CCPA erfordert; (iii) die Partei, die diese personenbezogenen Daten des Datenverantwortlichen erhält, muss die andere Partei unverzüglich benachrichtigen, wenn sie feststellt, dass sie ihren Verpflichtungen aus dem CCPA nicht mehr nachkommen kann; und (iv) die Partei, die diese personenbezogenen Daten des Datenverantwortlichen bereitstellt, hat das Recht, nach angemessener Benachrichtigung angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass die empfangende Partei die personenbezogenen Daten des Datenverantwortlichen in einer Weise verwendet, die mit ihren Verpflichtungen aus dem CCPA vereinbar ist, und unbefugte Verwendungen der personenbezogenen Daten des Datenverantwortlichen zu beenden und zu beheben.
11. Übertragungsmechanismen.
Sofern die Übertragung personenbezogener Kundendaten oder personenbezogener Daten des Datenverantwortlichen zwischen den Parteien eine eingeschränkte Übertragung beinhaltet und die europäischen Datenschutzgesetze die Einrichtung entsprechender Sicherheitsvorkehrungen erfordern, werden HubSpot und der Kunde Folgendes einhalten:
a. Datenschutzrahmen. HubSpot, Inc. nimmt am Datenschutzrahmen teil und zertifiziert die Einhaltung dieses Datenschutzrahmens. Sofern und soweit der Datenschutzrahmen Anwendung findet, nutzt HubSpot, Inc. den Datenschutzrahmen, um personenbezogene Daten von Kunden und personenbezogene Daten von Datenverantwortlichen in den Vereinigten Staaten auf rechtmäßige Weise zu erhalten und wird für diese Daten mindestens dasselbe Schutzniveau bereitstellen, wie es in den Grundsätzen des Datenschutzrahmens gefordert wird. Sollten wir dieser Anforderung nicht nachkommen können, werden wir Sie darüber informieren.
b. Standardvertragsklauseln. Wenn die europäischen Datenschutzgesetze die Einrichtung angemessener Sicherheitsvorkehrungen erfordern (beispielsweise, wenn der Datenschutzrahmen die Übertragung nicht abdeckt und/oder der Datenschutzrahmen ungültig ist), werden die Standardvertragsklauseln durch Verweis einbezogen und bilden wie folgt einen Teil der Vereinbarung:
(A) In Bezug auf personenbezogene Kundendaten, die HubSpot als Datenverarbeiter verarbeitet, (i) gelten die Bedingungen von Modul 2, sofern der Kunde ein Datenverantwortlicher ist, und die Bedingungen von Modul 3, sofern der Kunde ein Verarbeiter personenbezogener Kundendaten ist; (ii) in Klausel 7 gilt die optionale Andockklausel; (iii) in Klausel 9 gilt Option 2, und Änderungen an Unterauftragsverarbeitern werden gemäß dem Abschnitt „Unterauftragsverarbeiter“ dieser DPA mitgeteilt; (iv) in Klausel 11 wird die optionale Formulierung gestrichen; (v) in Klausel 17 und 18 vereinbaren die Parteien, dass das geltende Recht und der Gerichtsstand für Streitigkeiten in Bezug auf die Standardvertragsklauseln gemäß dem Abschnitt „Vertragspartner; anwendbares Recht; Hinweis“ der gerichtsspezifischen Bedingungen bestimmt werden oder, sofern in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, gemäß der Republik Irland (ohne Bezugnahme auf Kollisionsnormen); (vi) die Anhänge der Standardvertragsklauseln gelten mit den in den Anhängen dieser DPA aufgeführten Informationen als vervollständigt; und (vii) die Aufsichtsbehörde, die als zuständige Aufsichtsbehörde fungiert, wird im Einklang mit der DSGVO bestimmt.
(B) In Bezug auf personenbezogene Daten des Datenverantwortlichen, für die HubSpot und der Kunde jeweils Datenverantwortliche sind, (i) gelten die Bedingungen von Modul Eins; (ii) in Abschnitt 7 gilt die optionale Andockklausel; (iii) in Abschnitt 11 wird die optionale Formulierung gestrichen; (iv) in den Abschnitten 17 und 18 vereinbaren die Parteien, dass das geltende Recht und der Gerichtsstand für Streitigkeiten in Bezug auf die Standardvertragsklauseln gemäß dem Abschnitt „Vertragspartner; anwendbares Recht; Hinweis“ der rechtsraumspezifischen Bedingungen oder, falls in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, gemäß der Republik Irland (ohne Bezugnahme auf Kollisionsnormen) bestimmt werden; (v) die Anhänge der Standardvertragsklauseln gelten mit den in den Anhängen dieser DPA enthaltenen Informationen als vervollständigt; und (vi) die Aufsichtsbehörde, die als zuständige Aufsichtsbehörde fungiert, ist die irische Datenschutzkommission.
(C) In Bezug auf personenbezogene Daten des Kunden und des Datenverantwortlichen, die der UK-DSGVO unterliegen, gelten die Standardvertragsklauseln gemäß Unterabschnitt (A) und den folgenden Änderungen: (i) Die Standardvertragsklauseln werden gemäß dem UK-Nachtrag geändert und ausgelegt, der durch Verweis aufgenommen wird und einen integralen Bestandteil der Vereinbarung bildet; (ii) die Tabellen 1, 2 und 3 des UK-Nachtrags gelten mit den in den Anhängen dieser DPA aufgeführten Informationen als ausgefüllt, und Tabelle 4 gilt durch Auswahl von „keine der Parteien“ als vervollständigt; und (iii) etwaige Konflikte zwischen den Bedingungen der Standardvertragsklauseln und des UK-Nachtrags werden gemäß Abschnitt 10 und Abschnitt 11 des UK-Nachtrags gelöst.
(D) In Bezug auf personenbezogene Daten von Kunden und personenbezogene Daten von Datenverantwortlichen, die der Schweizer DPA unterliegen, gelten die Standardvertragsklauseln gemäß Unterabschnitt (A) und mit den folgenden Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf die Schweizer DPA zu interpretieren; (ii) Verweise auf „EU“, „Union“ und „Recht der Mitgliedstaaten“ sind als Verweise auf Schweizer Recht zu interpretieren; und (iii) Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch „den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und die „zuständigen Gerichte in der Schweiz“ ersetzt.
(E) In Bezug auf personenbezogene Kundendaten, die HubSpot als Datenverarbeiter verarbeitet, erklären Sie sich damit einverstanden, dass HubSpot, Inc. durch die Einhaltung unserer Verpflichtungen gemäß dem Abschnitt „Unterauftragsverarbeiter“ dieser Datenverarbeitungsvereinbarung seinen Verpflichtungen gemäß Abschnitt 9 der Standardvertragsklauseln nachkommt. Für die Zwecke von Klausel 9(c) der Standardvertragsklauseln erkennen Sie an, dass wir möglicherweise nicht zur Offenlegung von Untervergabevereinbarungen befugt sind. Wir werden aber in angemessener Weise versuchen, von jedem unserer Unterauftragsverarbeiter die Erlaubnis einzuholen, die jeweilige Untervergabevereinbarung Ihnen gegenüber offenzulegen, und werden (auf vertraulicher Basis) alle Informationen zur Verfügung stellen, die begründeterweise erforderlich sind. Sie stimmen ebenfalls zu, dass Sie Ihre Auditrechte gemäß dieser Vereinbarung zur Datenverarbeitung und Klausel 8.9 der Standardvertragsklauseln in Anspruch nehmen werden, indem Sie uns dazu auffordern, die Maßnahmen im Abschnitt „Nachweis der Einhaltung“ zu erfüllen.
(F) Wenn und soweit die Standardvertragsklauseln mit einer Bestimmung dieser DPA in Konflikt stehen, haben die Standardvertragsklauseln im Umfang dieses Konflikts Vorrang. Handelt es sich bei dem HubSpot-Vertragspartner im Rahmen der Vereinbarung nicht um HubSpot, Inc., bleibt dieser Vertragspartner (nicht HubSpot, Inc.) Ihnen gegenüber voll und allein verantwortlich und haftbar für die Erfüllung der Standardvertragsklauseln durch HubSpot, Inc., und Sie richten sämtliche Anweisungen, Ansprüche oder Anfragen in Bezug auf die Standardvertragsklauseln an diesen Vertragspartner. Falls HubSpot seinen Verpflichtungen im Rahmen der Standardvertragsklauseln aus irgendeinem Grund nicht nachkommen kann und Sie beabsichtigen, die Übertragung personenbezogener Daten an HubSpot auszusetzen oder zu beenden, erklären Sie sich damit einverstanden, uns rechtzeitig darüber zu benachrichtigen, damit wir diese Nichteinhaltung beheben können. Außerdem erklären Sie sich damit einverstanden, in angemessener Weise mit uns zusammenzuarbeiten, um festzustellen, welche zusätzlichen Sicherheitsvorkehrungen ggf. getroffen werden können, um diese Nichteinhaltung zu beheben. Falls wir die Nichteinhaltung nicht beheben konnten, können Sie die betroffenen Teile des Abonnementdienstes gemäß den Bestimmungen im Vertrag aussetzen oder beenden, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten).
c. Alternative Übertragungsmechanismen. Für den Fall, dass HubSpot gemäß den europäischen Datenschutzgesetzen dazu verpflichtet ist, zusätzlich zu den oben beschriebenen Mechanismen oder anders als diese einen alternativen Übertragungsmechanismus einzuführen, gilt dieser alternative Übertragungsmechanismus automatisch anstelle der in dieser DPA beschriebenen Mechanismen (aber nur insoweit, als dieser alternative Übertragungsmechanismus den europäischen Datenschutzgesetzen entspricht) und Sie erklären sich damit einverstanden, solche anderen Dokumente auszuführen oder solche Maßnahmen zu ergreifen, die angemessener Weise notwendig sind, um diesem alternativen Übertragungsmechanismus Rechtswirkung zu verleihen.
12. Allgemeine Regelungen
a. Änderungen. Unbeschadet gegensätzlicher Regelungen im Vertrag und unbeschadet der Allgemeingültigkeit der Abschnitte „Befolgung der Weisungen“ und „Datensicherheit“ dieser DPA behält HubSpot sich das Recht vor, diese DPA zu aktualisieren und zu ändern, und es gelten die Bedingungen im Abschnitt „Änderungen; kein Verzicht“ der allgemeinen Bedingungen.
b. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser DPA als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser DPA.
c. Haftungsbeschränkung. Die Haftung jeder Partei und aller ihrer verbundenen Unternehmen, insgesamt betrachtet, die sich aus dieser DPA (einschließlich aller anderen Datenverarbeitungsvereinbarungen zwischen den Parteien) und den Standardvertragsklauseln ergibt oder damit zusammenhängt, sofern zutreffend, sei es aus Vertrag, unerlaubter Handlung oder aufgrund einer anderen Haftungstheorie, unterliegt den Haftungsbeschränkungen und -ausschlüssen, die im Abschnitt „Haftungsbeschränkung“ der Allgemeinen Geschäftsbedingungen dargelegt sind, und jeder Verweis in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung (einschließlich dieser DPA). Zwecks Ausschluss jeglichen Zweifels gilt, dass sofern HubSpot, Inc., keine Vertragspartei des Vertrags ist, der Abschnitt der allgemeinen Bedingungen „Haftungsbeschränkung“ als zwischen dem Kunden und HubSpot, Inc. vereinbart gilt. Bezugnahmen auf „HubSpot“, „wir“, „uns“, „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist. In keinem Fall wird die Haftung einer der Parteien in Bezug auf die Datenschutzrechte einer Person im Rahmen dieser Vereinbarung zur Datenverarbeitung (einschließlich anderer Vereinbarungen zwischen den Parteien und der Standardvertragsklauseln, sofern anwendbar) oder anderweitig eingeschränkt.
d. Anwendbares Recht. Diese DPA unterliegt den im Abschnitt „Vertragsschließende Partei; geltendes Recht; Mitteilung“ der rechtsgebietsspezifischen Klauseln geltenden Gesetzen und wird diesen entsprechend ausgelegt, ausgenommen anderslautender Bestimmungen im Datenschutzrecht.
13. Vertragsparteien dieser DPA
a. Zulässige verbundene Unternehmen. Durch Unterzeichnung des Vertrags nehmen Sie diese DPA (einschließlich, falls anwendbar, die Standardvertragsklauseln) in Ihrem eigenen Namen und im Namen Ihrer zulässigen verbundenen Unternehmen an. Nur für die Zwecke dieser DPA und sofern nicht anders angegeben, umfassen die Begriffe „Kunde“, „Sie“ und „Ihr“ Sie und die zulässigen verbundenen Unternehmen.
b. Autorisierung. Der Rechtsträger, welcher dieser DPA als Kunde zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA in seinem eigenen Namen und, falls zutreffend, im Namen jedes seiner zulässigen verbundenen Unternehmen ermächtigt ist.
c. Rechtsmittel. Die Vertragsparteien vereinbaren, dass (i) ausschließlich das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, im Namen seiner zulässigen verbundenen Unternehmen von einem Recht Gebrauch machen oder einen Rechtsbehelf einlegen kann, das bzw. der einem zulässigen verbundenen Unternehmen gemäß dieser DPA zusteht; und (ii) das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, diese Rechte gemäß dieser DPA nicht separat für jedes zulässige verbundene Unternehmen geltend machen kann, sondern in kombinierter Form für sich selbst und alle seine zulässigen verbundenen Unternehmen. Das Kundenunternehmen, welches die vertragsabschließende Partei ist, ist verantwortlich für die Koordination jeglicher Weisungen, Ermächtigungen und Kommunikation mit uns gemäß dieser DPA und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner zulässigen verbundenen Unternehmen anzunehmen und durchzuführen.
d. Andere Rechte. Die Vertragsparteien vereinbaren, dass Sie im Rahmen der Prüfung von unserer Einhaltung dieser DPA gemäß Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen, um negative Auswirkungen auf den Betrieb von HubSpot und seiner verbundenen Unternehmen einzuschränken, indem Sie mehrere Auditanfragen, die im Namen des Kundenunternehmens, welches die vertragsabschließende Partei des Vertrags ist, und all seiner zulässigen verbundenen Unternehmen ausgeführt werden, in einem einzigen Audit zusammenfassen.
Anhang 1A – Einzelheiten der Datenverarbeitung – HubSpot als Datenverantwortlicher
A. Liste der Parteien
Datenexporteur:
Name: Der Kunde gemäß den HubSpot-Nutzungsbedingungen für Kunden (in seinem eigenen Namen oder im Namen seiner zulässigen verbundenen Unternehmen)
Adresse: Die Adresse des Kunden, wie im Bestellformular angegeben
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Kunden, wie im Bestellformular und/oder im HubSpot-Account des Kunden angegeben.
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Kunden-Nutzungsbedingungen
Rolle (Datenverantwortlicher/Auftragsverarbeiter): Datenverantwortlicher (als Datenverantwortlicher bzw. in der Eigenschaft als Datenverantwortlicher, als Auftragsverarbeiter oder im Namen eines anderen Datenverantwortlichen)
Datenimporteur:
Name: HubSpot, Inc.
Adresse: Two Canal Park, Cambridge, MA 02141, USA
Name, Position und Kontaktdaten der Kontaktperson: Nicholas Knoop, Data Protection Officer, HubSpot, Two Canal Park, Cambridge, MA 02141, USA
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Kunden-Nutzungsbedingungen
Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
B. Beschreibung der Übertragung
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
Sie können im Zuge der Nutzung des Abonnementdienstes personenbezogene Daten des Kunden übermitteln. Der Umfang dieser Daten wird von Ihnen nach Ihrem alleinigen Ermessen bestimmt und kontrolliert. Dazu können unter anderem personenbezogene Daten des Kunden in Bezug auf die folgenden Kategorien betroffener Personen gehören:
Ihrer Kontakte und weitere Endnutzer einschließlich Ihrer Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer. Zu den betroffenen Personen können auch Personen gehören, die versuchen, mit Ihren Endbenutzern zu kommunizieren oder ihnen personenbezogene Daten des Kunden zu übermitteln.
Kategorien der übermittelten personenbezogenen Daten
Sie können personenbezogene Daten an die Abonnementdienste übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem die folgenden Kategorien personenbezogener Daten enthalten:
1. Kontaktinformationen (wie in den allgemeinen Bedingungen definiert).
2. Jegliche anderen personenbezogenen Daten, die von Ihnen oder Ihren Endnutzern über den Abonnementdienst übermittelt, gesendet oder empfangen wurden.
Übertragung vertraulicher Daten und angewandte Beschränkungen oder Sicherheitsmaßnahmen
Die Verarbeitung vertraulicher Daten unterliegt den von den Parteien einvernehmlich festgelegten Beschränkungen, Einschränkungen und Sicherheitsvorkehrungen, wie sie in der Vereinbarung festgelegt sind.
Häufigkeit der Übertragung:
Kontinuierlich
Art der Verarbeitung
Personenbezogene Daten des Kunden werden in Übereinstimmung mit der Vereinbarung (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen:
1. Speicherung und andere Verarbeitung, die für die Bereitstellung, Aufrechterhaltung und Verbesserung der Ihnen bereitgestellten Abonnementdienste erforderlich sind; und/oder
2. Offenlegung in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) und/oder zur Durchsetzung anwendbaren Rechts.
Zweck der Übertragung und weitere Datenverarbeitung
Wir verarbeiten personenbezogene Daten des Kunden nach Bedarf, um die Abonnementdienste gemäß der Vereinbarung bereitzustellen, wie im Bestellformular näher angegeben und wie von Ihnen bei der Nutzung der Abonnementdienste weiter angewiesen.
Zeitraum, für den die personenbezogenen Daten aufbewahrt werden
Vorbehaltlich des Abschnitts „Löschung oder Rückgabe personenbezogener Kundendaten“ dieser DPA verarbeiten wir personenbezogene Kundendaten für die Dauer der Vereinbarung, sofern nicht schriftlich etwas anderes vereinbart wurde.
Anhang 1B – Einzelheiten der Datenverarbeitung – HubSpot als Datenverantwortlicher
A. Liste der Parteien
Datenexporteur/-importeur: Kunde
Name: Der Kunde gemäß den HubSpot-Nutzungsbedingungen für Kunden (in seinem eigenen Namen oder im Namen seiner zulässigen verbundenen Unternehmen)
Adresse: Die Adresse des Kunden, wie im Bestellformular angegeben
Name, Position und Kontaktdaten der Kontaktperson, einschließlich E-Mail: Die Kontaktdaten des Kunden, wie im Bestellformular und/oder im HubSpot-Account des Kunden angegeben
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Verarbeitung personenbezogener Daten des Datenverantwortlichen im Zusammenhang mit der Nutzung von Anreicherungsprodukten und des HubSpot-Tracking-Codes durch den Kunden
Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): für die Verarbeitung Verantwortlicher
Datenexporteur/-importeur: HubSpot, Inc.
Name: HubSpot, Inc.
Adresse: Two Canal Park, Cambridge, MA 02141, USA
Name, Position und Kontaktdaten des Ansprechpartners: Nicholas Knoop, Datenschutzbeauftragter, HubSpot, Inc., Two Canal Park, Cambridge, MA 02141 USA
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Verarbeitung personenbezogener Daten des Datenverantwortlichen im Zusammenhang mit der Nutzung von Anreicherungsprodukten und des HubSpot-Tracking-Codes durch den Kunden
Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): für die Verarbeitung Verantwortlicher
B. Beschreibung der Übertragung
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:
Personen, die mit einem Unternehmen oder einer anderen Institution verbunden sind
Kategorien der übertragenen personenbezogenen Daten:
Berufliche Daten, die unter anderem Vor- und Nachnamen, geschäftliche E-Mail-Adresse, Arbeitgeber, Funktion im Unternehmen, Berufsbezeichnung, IP-Adresse, Online-Kennungen und ähnliche Informationen umfassen können
Übertragung vertraulicher Daten und angewandte Beschränkungen oder Sicherheitsmaßnahmen:
Die Vertragsparteien gehen nicht von einer Übermittlung von vertraulichen Daten aus.
Häufigkeit der Übertragung:
Kontinuierlich
Art der Verarbeitung:
Die personenbezogenen Daten des Datenverantwortlichen werden gemäß der Vereinbarung verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen: (1) Speicherung und sonstige Verarbeitung von Website-Daten (wie IP-Adressen und andere Online-Kennungen) und beruflichen Anreicherungsdaten (wie geschäftliche E-Mail-Adressen) durch HubSpot, soweit dies erforderlich ist, um den kommerziellen Datensatz von HubSpot und die Abonnementdienste bereitzustellen, zu pflegen, zu ergänzen, zu verbessern und zu entwickeln; und/oder (2) Offenlegung gemäß der Vereinbarung und/oder wie durch geltende Gesetze vorgeschrieben.
Zweck(e) der Übertragung und weitere Datenverarbeitung:
Die personenbezogenen Daten des Datenverantwortlichen werden zu den in der Vereinbarung vorgesehenen Zwecken übermittelt, unter anderem um dem Kunden Geschäftsinformationen zur Verfügung zu stellen und den kommerziellen Datensatz und die Abonnementdienste von HubSpot bereitzustellen, zu pflegen, zu ergänzen, zu verbessern, zu erweitern und zu entwickeln.
Dauer der Speicherung personenbezogener Daten: Personenbezogene Daten des Datenverantwortlichen werden von den Parteien gemäß ihren jeweiligen Richtlinien zur Datenaufbewahrung, oder wie anderweitig in der Vereinbarung festgelegt, verarbeitet und gespeichert.
Anlage 2 – Sicherheitsmaßnahmen
Wir befolgen aktuell die in Anlage 2 beschriebenen Sicherheitsverfahren. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die in den allgemeinen Bedingungen festgelegt ist. Weitere Informationen über diese Sicherheitsmaßnahmen finden Sie im SOC-2-Typ-2-Bericht, im SOC-3-Bericht, in unserer Sicherheitsübersicht und in den Zusammenfassungen der Penetrationstests von HubSpot, die unter trust.hubspot.com zur Verfügung stehen.
a) Richtlinien zur Informationssicherheit
Wir verfügen über und befolgen eine interne, schriftlich festgelegte Richtlinie zur Informationssicherheit. Im HubSpot Trust Center finden Sie einen Überblick über unsere Sicherheitsstandards.
b) Zugangskontrolle
i) Schutz vor unbefugtem Produktzugriff
Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer DPA anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.
Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Wir besitzen oder warten keine Hardware in den Rechenzentren der ausgelagerten Betreiber von Infrastruktur. Produktionsserver und Anwendungen für die Kunden sind logisch und physisch von den internen Informationssystemen von HubSpot getrennt, wodurch ihr Schutz gewährleistet ist. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit der Infrastrukturbetreiber werden auf die Erfüllung von SOC 2 Typ 2, ISO 27001 und anderer Zertifikate hin überprüft.
Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.
Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.
Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels OAuth-Autorisierung oder privaten App-Token.
ii) Schutz vor unbefugter Produktnutzung
Wir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.
Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.
Angriffserkennung und Prävention: Wir implementieren eine Web Application Firewall (WAF), um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.
Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird mithilfe automatischer Tools mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.
Härten der Endpunkte: Die Endpunkte sind gemäß dem Industriestandard gehärtet. Workstations werden durch Anti-Malware- und Endpunkt-Erkennungs- sowie Response-Tools geschützt und erhalten regelmäßige Definitions- und Signatur-Updates.
iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen
Verwaltung des privilegierten Zugriffs: In unserer Produktumgebung wird privilegierter Zugriff kontrolliert, überwacht und zeitnah durch „Just-in-Time Access“-/„JITA“-Kontrollen entfernt. Nicht-personenbezogene, für den Systemzugang verwendete Accounts werden an sicherer Stelle mit zusätzlichen Kontrollen für die Ausweitung der Berechtigungen und Account-Checkout-Prozesse gespeichert.
Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, der Produktentwicklung und Forschung, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch JITA-Zugriffsanfragen und alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Administrative oder risikoreiche Zugangsberechtigungen werden mindestens alle sechs Monate überprüft.
c) Übertragungssteuerung
Verschlüsselung der Datenübertragung: Wir setzen für alle Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) voraus und stellen diese kostenlos für alle mit HubSpot-Produkten gehosteten Kundenwebsites zur Verfügung. Wir verwenden für unsere HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.
Während der Speicherung: Wir speichern Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen. Wir verwenden einen mehrstufigen Ansatz von DAR-Verschlüsselungstechnologien, um sicherzustellen, dass Kundendaten und vom Kunden identifizierte, zulässige und vertrauliche Daten angemessen verschlüsselt werden.
d) Vorfallmanagement, Protokollierung und Überwachung
Vorfallreaktionsplan: Wir verfügen über einen schriftlichen Vorfallreaktionsplan, Leitfäden und andere notwendige Prozesse und Verfahren, um die darin enthaltenen Standards und Verpflichtungen zu erfüllen.
Erkennung: Unsere Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. Unsere Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind dafür geschult, auf bekannte Vorfälle reagieren zu können.
Reaktion und Nachverfolgung: Wir zeichnen bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum jeweiligen Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leiten wir angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Wir benachrichtigen Sie in Übereinstimmung mit den Bestimmungen des Vertrags.
e) Verfügbarkeitskontrolle
Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk, Heizung, Belüftung und Klimatisierung ein.
Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.
Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Instanz repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.
Notfallwiederherstellungspläne: Wir erstellen und testen regelmäßig Notfallwiederherstellungspläne, um die Datenverfügbarkeit nach einer Unterbrechung oder einem Ausfall kritischer Geschäftsprozesse zu gewährleisten.
Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und begrenzt die Ausfallzeiten.
f) Programm zum Umgang mit Schwachstellen
Zeitplan für die Behebung von Schwachstellen: Wir verfügen über einen Zeitplan für die Behebung von Schwachstellen, der den Industriestandards entspricht. Wir verfolgen einen risikobasierten Ansatz, um das Auftreten, die Wahrscheinlichkeit und die Auswirkungen einer Schwachstelle in unserer Umgebung zu bestimmen.
Schwachstellenprüfung: Wir führen täglich Schwachstellenprüfungen für unsere Produkte durch und verwenden dabei Technologien und Erkennungsstandards gemäß den Branchenstandards.
Penetrationstests: Wir unterhalten Beziehungen zu branchenweit anerkannten Anbietern von Penetrationstests, die mindestens einmal jährlich sowohl die Webanwendung als auch die interne Netzwerkinfrastruktur von HubSpot einem Penetrationstest unterziehen. Ziel dieser Penetrationstests ist es, Sicherheitslücken zu identifizieren und das Risiko und die geschäftlichen Auswirkungen auf die untersuchten Systeme zu mindern.
Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. Wir implementieren ein solches Bug-Bounty-Programm, um das große Potenzial der Community von Sicherheitsexperten zu nutzen und den Schutz unserer Produkte gegen ausgefeilte Angriffstechniken zu verbessern.
g) Personalverwaltung
Wir beschäftigen qualifiziertes Personal, um unser Sicherheitsprogramm zu entwickeln, zu pflegen und zu verbessern. Wir schulen alle Mitarbeiter in Bezug auf die Sicherheitsrichtlinien, -prozesse und -standards, die für ihre Rolle wichtig sind, in Übereinstimmung mit der Branchenpraxis.
Hintergrundüberprüfung: Im gesetzlich zulässigen Umfang unterziehen sich HubSpot-Mitarbeiter einer Hintergrund- oder Referenzprüfung durch Dritte. In den Vereinigten Staaten werden Stellen nur basierend auf den Ergebnissen einer Hintergrundüberprüfung durch Dritte angeboten. Alle HubSpot-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.
Anlage 3 – Liste der Unterauftragsverarbeiter
Bei der Bereitstellung des Abonnementdienstes beauftragt HubSpot Unterauftragsverarbeiter zur Verarbeitung von Daten. Eine Auflistung der Unterauftragsverarbeiter und des Zwecks ihrer Beauftragung finden Sie auf der Seite für Unterauftragsverarbeiter von HubSpot unter https://legal.hubspot.com/de/sub-processors-page, die in diese DPA aufgenommen wurde.