Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Stand: 1. November 2018

Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.

[Brauchen Sie eine unterzeichnete Ausführung? Klicken Sie hier.]

Diese Vereinbarung zur Datenverarbeitung von HubSpot („DPA“) umfasst die von der Europäischen Kommission angenommenen Standardvertragsklauseln, wo anwendbar, und sie stellt die Übereinkunft der Vertragsparteien bezüglich der Bedingungen für die Verarbeitung personenbezogener Daten gemäß den HubSpot Nutzungsbedingungen für Kunden (der „Vertrag“) dar. Diese DPA stellt eine Änderung des Vertrags dar und sie tritt mit ihrer Aufnahme in den Vertrag in Kraft. Auf die Aufnahme in den Vertrag kann im Vertrag selbst, in einer Bestellung oder einer rechtswirksamen Änderung des Vertrags hingewiesen werden. Mit der Aufnahme in den Vertrag wird die DPA Bestandteil desselben.

Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie ein aktives HubSpot-Abonnement haben, benachrichtigen wir Sie über etwaige Aktualisierungen per E-Mail oder In-App-Benachrichtigung. Archivierte Versionen der Bedingungen finden Sie hier.

Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern hierin keine andere Bedeutung angegeben ist.

1. Definitionen
2. Näheres zur Verarbeitung
3. Pflichten des für die Verarbeitung Verantwortlichen
4. Pflichten des Auftragsverarbeiters
5. Anfragen betroffener Personen
6. Prüfungen
7. Unterauftragsverarbeiter
8. Datenübermittlung
9. Allgemeine Regelungen
10. Vertragsparteien dieser DPA

ANLAGE 1

Anhang 1 zu den Standardvertragsklauseln

Anhang 2 zu den Standardvertragsklauseln

Die Unterauftragsverarbeiter-Seite von HubSpot, die Sie hier aufrufen können. Sie umfasst eine Liste der Unterauftragsverarbeiter, die wir im Zusammenhang mit unserem Abonnementdienst verwenden.

1. Definitionen

„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

„Datenschutzrecht“ steht für die gesamte Datenschutzgesetzgebung einschließlich EU-Datenschutzrichtlinie 95/46/EG und aller lokalen Gesetze und Vorschriften sowie aller anwendbaren Gesetzesänderungen oder Novellierungen einschließlich der EU-Datenschutz-Grundverordnung (DSGVO), sowie einschließlich aller nationalen Ausführungsgesetze in den einzelnen Staaten der Europäischen Union bzw. soweit anwendbar in jedem sonstigen Land in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form. Die Begriffe „verarbeiten“ und „verarbeitet“ sind entsprechend auszulegen.

„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.

„DSGVO“ steht für die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung).

„Weisung“ steht für die schriftliche und verbriefte Anweisung, mit der ein für die Verarbeitung Verantwortlicher einen Auftragsverarbeiter zu einer bestimmten Maßnahme hinsichtlich personenbezogener Daten auffordert (zum Beispiel Anonymisierung, Sperrung, Löschung, Verfügbarmachung).

„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern diese Informationen in Kundendaten enthalten sind und unter dem Schutz anwendbarer Datenschutzgesetze für personenbezogene Daten oder Informationen zur Identifizierung einer Person stehen.

„Verletzung des Schutzes personenbezogener Daten“ steht für einen Sicherheitsverstoß, der zu versehentlichen oder ungesetzlichen Zerstörungen, Verlusten, Veränderungen bzw. unbefugten Offenlegungen von oder Zugriffen auf personenbezogene(n) Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst.

„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

„Standardvertragsklauseln“ steht für die in Anlage 1 beigefügten Klauseln gemäß Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ohne angemessenes Datenschutzniveau (bekannt gegeben unter Aktenzeichen K(2010) 593).

„Unterauftragsverarbeiter-Seite“ steht für die Seite mit Unterauftragsverarbeitern von HubSpot auf https://legal.hubspot.com/sub-processors-page.

2. Näheres zur Verarbeitung

a. Kategorien betroffener Personen. Der für die Verarbeitung Verantwortliche kann personenbezogene Daten an den Abonnementdienst übermitteln, wobei der für die Verarbeitung Verantwortliche den Umfang dieser Übermittlung nach eigenem Ermessen bestimmt und kontrolliert. Die übermittelten Daten können unter anderem Kontakte des für die Verarbeitung Verantwortlichen und weitere Endnutzer einschließlich der Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer des für die Verarbeitung Verantwortlichen oder Datenverantwortlichen enthalten. Betroffene Personen umfassen auch Einzelpersonen, die versuchen, personenbezogene Daten an die Endnutzer des für die Verarbeitung Verantwortlichen zu übermitteln oder mit diesen zu kommunizieren.

b. Typen personenbezogener Daten. Kontaktdaten (gemäß Definition in den HubSpot Nutzungsbedingungen für Kunden), wobei der Kunde nach eigenem Ermessen bestimmt, welche Daten in diese Kategorie fallen, und weitere personenbezogene Daten wie Navigationsdaten (einschließlich Angaben zur Website-Nutzung), E-Mail-Daten, Angaben zur Nutzung von Systemen, Anwendungsintegrationsdaten und andere elektronische Daten, die von dem für die Verarbeitung Verantwortlichen oder den Endnutzern des für die Verarbeitung Verantwortlichen über den Abonnementdienst übermittelt, gespeichert, versendet oder empfangen wurden.

c. Gegenstand und Art der Verarbeitung. Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist es, für den für die Verarbeitung Verantwortlichen Leistungen zu erbringen, in deren Bereich die Verarbeitung personenbezogener Daten fällt. Die personenbezogenen Daten werden diesen Verarbeitungstätigkeiten unterzogen, wie gegebenenfalls im Vertrag und einer Bestellung angegeben.

d. Zweck der Verarbeitung. Personenbezogene Daten werden zu dem Zweck verarbeitet, die im Vertrag und in jeglichen anwendbaren Bestellungen aufgeführten oder dort anderweitig vereinbarten oder im Laufe der Nutzung der Dienstleistungen durch den für die Verarbeitung Verantwortlichen in Auftrag gegebenen Leistungen zu erbringen.

e. Dauer der Verarbeitung. Personenbezogene Daten werden gemäß Abschnitt 4 vorliegender DPA über die gesamte Laufzeit vorliegenden Vertrags hinweg verarbeitet.

3. Pflichten des für die Verarbeitung Verantwortlichen

Der Datenverantwortliche ist im Rahmen des Vertrags und im Zuge seiner Inanspruchnahme der Leistungen allein verantwortlich für die Einhaltung aller Gesetze und Vorschriften zum Datenschutz, insbesondere hinsichtlich der Offenlegung von Daten und ihrer Weitergabe an den Auftragsverarbeiter sowie hinsichtlich der Verarbeitung personenbezogener Daten. Der Klarheit halber sei hinzugefügt, dass die Weisungen des Datenverantwortlichen zur Verarbeitung personenbezogener Daten das Datenschutzrecht erfüllen müssen. Vorliegende DPA stellt bezüglich des Umgangs mit personenbezogenen Daten die vollständige und endgültige Weisung des Kunden an HubSpot dar und zusätzliche Weisungen über vorliegende DPA hinaus sind nur gültig, wenn sie vorab schriftlich zwischen den Vertragsparteien vereinbart wurden. Die Weisungen werden eingangs im Vertrag festgelegt und sie können vom für die Verarbeitung Verantwortlichen nachfolgend durch zusätzliche schriftliche Weisungen geändert, ergänzt oder ersetzt werden (als Einzelweisungen).

Der für die Verarbeitung Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.

4. Pflichten des Auftragsverarbeiters

a. Befolgung der Weisungen. Die Vertragsparteien nehmen zur Kenntnis und vereinbaren, dass der Kunde die Rolle des Datenverantwortlichen bzw. für die Verarbeitung Verantwortlichen und HubSpot die Rolle des Auftragsverarbeiters der Daten hat. Der Auftragsverarbeiter darf Daten nur gemäß den Weisungen des für die Verarbeitung Verantwortlichen erheben, verarbeiten und nutzen. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des für die Verarbeitung Verantwortlichen gegen das Datenschutzrecht verstößt, hat er den für die Verarbeitung Verantwortlichen unverzüglich darauf hinzuweisen. Wenn der Auftragsverarbeiter personenbezogene Daten aufgrund anwendbarer gesetzlicher Vorgaben eines Mitgliedstaats der Europäischen Union nicht gemäß den Weisungen verarbeiten kann, muss er (i) den für die Verarbeitung Verantwortlichen unverzüglich von der betreffenden gesetzlichen Vorschrift in Kenntnis setzen, ehe er im gesetzlich zulässigen Umfang mit der Datenverarbeitung beginnt; und (ii) er muss jegliche Datenverarbeitung (abgesehen vom reinen Speichern und der Aufrechterhaltung der Sicherheitsvorkehrungen für die betreffenden personenbezogenen Daten) so lange einstellen, bis der für die Verarbeitung Verantwortliche neue Anweisungen gibt, die zu erfüllen der Auftragsverarbeiter in der Lage ist. Wenn diese Regelung zur Anwendung kommt, ist der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen gegenüber so lange nicht haftbar für nicht erbrachte Leistungen, bis der für die Verarbeitung Verantwortliche neue Anweisungen für die Verarbeitung gibt.

b. Datensicherheit Der Auftragsverarbeiter muss angemessene technische und organisatorische Maßnahmen zum adäquaten Schutz personenbezogener Daten vor versehentlicher oder ungesetzlicher Vernichtung, Manipulation oder Verlust sowie vor unbefugter Offenlegung oder unbefugten Zugriffen treffen, so wie in Anhang 2 der Standardvertragsklauseln beschrieben. Solcherlei Maßnahmen umfassen unter anderem:

i. Vorkehrungen gegen den Zugang Unbefugter zu Systemen zur Verarbeitung personenbezogener Daten;

ii. Vorkehrungen gegen die unbefugte Benutzung von Systemen zur Verarbeitung personenbezogener Daten;

iii. Gewährleistung, dass die zur Benutzung eines Systems zur Verarbeitung personenbezogener Daten berechtigten Personen ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung oder Nutzung sowie nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können;

iv. Gewährleistung, dass personenbezogene Daten bei der elektronischen Übermittlung bzw. während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgelegt und verifiziert werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung erfolgt bzw. erfolgt ist;

v. Gewährleistung, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, in ihnen verändert oder aus ihnen entfernt wurden;

vi. Gewährleistung, dass personenbezogene Daten nur entsprechend den Weisungen des für die Verarbeitung Verantwortlichen verarbeitet werden;

vii. Gewährleistung, dass personenbezogene Daten gegen versehentliche Zerstörung oder versehentlichen Verlust geschützt sind.

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Implementierung von Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten (einschließlich gegebenenfalls der Verpflichtungen des für die Verarbeitung Verantwortlichen nach den Artikeln 32 bis 34 [beide eingeschlossen] der DSGVO), indem er (i) die in Anhang 2 beschriebenen Sicherheitsvorkehrungen implementiert und unterhält, (ii) die Regelungen aus Abschnitt 4.d (Verletzungen des Schutzes personenbezogener Daten) befolgt; und (iii) dem für die Verarbeitung Verantwortlichen die notwendigen Informationen im Zusammenhang mit der Verarbeitung gemäß Abschnitt 5 (Prüfungen) zur Verfügung stellt.

c. Vertraulichkeit. Der Auftragsverarbeiter muss gewährleisten, dass sämtliches Personal, welches der Auftragsverarbeiter zur Verarbeitung personenbezogener Daten in seinem Auftrag befugt, bezüglich der besagten personenbezogenen Daten einer Vertraulichkeitsverpflichtung unterliegt. Die Verpflichtung zur Wahrung der Vertraulichkeit muss über die Beendigung der oben genannten Tätigkeiten hinaus wirksam bleiben.

d. Verletzungen des Schutzes personenbezogener Daten. Der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Auf die Aufforderung des für die Verarbeitung Verantwortlichen hin muss der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um den für die Verarbeitung Verantwortlichen in die Lage zu versetzen, eine relevante Verletzung des Schutzes personenbezogener Daten den zuständigen Behörden oder den berührten betroffenen Personen zu melden, sofern der für die Verarbeitung Verantwortliche dazu gemäß anwendbarem Datenschutzrecht verpflichtet ist.

e. Löschung oder Abrufen personenbezogener Daten. Unbeschadet eventuell anderslautender Regelungen anwendbaren Datenschutzrechts muss der Auftragsverarbeiter auf die Beendigung des Vertrags hin alle personenbezogenen Daten (einschließlich Kopien) löschen oder zurückgeben, die in Erfüllung vorliegender DPA verarbeitet wurden. Wenn der Auftragsverarbeiter die personenbezogenen Daten aus technischen oder sonstigen Gründen nicht löschen kann, muss der Auftragsverarbeiter Maßnahmen ergreifen, um zu gewährleisten, dass die personenbezogenen Daten für jede weitere Datenverarbeitung gesperrt werden.

Der für die Verarbeitung Verantwortliche muss bei Beendigung oder Ablauf des Vertrags anhand entsprechender Weisung angemessene Maßnahmen vorgeben, anhand welcher gespeicherte Daten innerhalb einer vom Auftragsverarbeiter festgelegten Frist zurückgegeben oder gelöscht werden sollen. Entstehen nach Beendigung oder Ablauf des Vertrags zusätzliche Kosten durch die Rückgabe oder Löschung der Daten, so trägt diese der für die Verarbeitung Verantwortliche.

Der Auftragsverarbeiter ermöglicht es dem für die Verarbeitung Verantwortlichen, personenbezogene Daten von Endnutzern mithilfe der Funktionen des Abonnementdienstes zu löschen.

f. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. In dem Maße, wie dem Auftragsverarbeiter die erforderlichen Informationen zur Verfügung stehen und wie der für die Verarbeitung Verantwortliche nicht anderweitig Zugang zu den erforderlichen Informationen hat, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor Rückfragen an die Aufsichtsbehörden oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche nach vernünftigem Ermessen des für die Verarbeitung Verantwortlichen gemäß den Artikeln 35 oder 36 der DSGVO oder vergleichbaren Regelungen anderen Datenschutzrechts jeweils ausschließlich in Verbindung mit der Verarbeitung personenbezogener Daten erforderlich ist.

5. Anfragen betroffener Personen

Der Auftragsverarbeiter ermöglicht dem für die Verarbeitung Verantwortlichen Anfragen von betroffenen Personen nachzukommen, die von ihren Rechten gemäß anwendbarem Datenschutzrecht Gebrauch machen möchten, und dies auf eine mithilfe der Funktionen des Abonnementdienstes durchführbare Weise. In dem Umfang, wie der für die Verarbeitung Verantwortliche nicht in der Lage ist, auf die Anfrage einer betroffenen Person einzugehen, muss der Auftragsverarbeiter auf die Aufforderung des für die Verarbeitung Verantwortlichen hin diesen bei der Erfüllung der betreffenden Anfrage der betroffenen Person in dem Umfang unterstützen, wie ihm das möglich ist und wie es gemäß dem anwendbaren Datenschutzrecht erforderlich ist. Der für die Verarbeitung Verantwortliche erstattet dem Auftragsverarbeiter die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.

Der Auftragsverarbeiter muss durch angemessene Unterstützung, einschließlich angemessener technischer und organisatorischer Maßnahmen und unter Berücksichtigung der Art der Datenverarbeitung, den für die Verarbeitung Verantwortlichen in die Lage versetzen, auf jedwede Anfrage seitens betroffener Personen zu reagieren, die gemäß geltendem Datenschutzrecht von ihren Rechten an ihren personenbezogenen Daten (einschließlich – und wie jeweils anwendbar – Zugriff, Korrektur, Beschränkungen, Löschung oder Übertragbarkeit) Gebrauch machen, und zwar im gesetzlich zulässigen Umfang. Wenn eine solche Anfrage direkt an den Auftragsverarbeiter gerichtet wird, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich informieren und die betroffenen Personen darauf hinweisen, dass sie ihre Anfrage an den für die Verarbeitung Verantwortlichen richten müssen. Die Beantwortung von Anfragen betroffener Personen obliegt ausschließlich dem für die Verarbeitung Verantwortlichen.

6. Prüfungen

Der Auftragsverarbeiter muss im Einklang mit dem Datenschutzrecht und auf eine angemessene schriftliche Aufforderung des für die Verarbeitung Verantwortlichen hin diesem solcherlei im Besitz oder unter Kontrolle des Auftragsverarbeiters befindliche Daten zur Verfügung stellen, die mit der Erfüllung seiner datenschutzrechtlichen Pflichten bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in Verbindung stehen.

Der für die Verarbeitung Verantwortliche kann nach schriftlicher Anfrage mit mindestens 30-tägigem Vorlauf an den Auftragsverarbeiter zu den üblichen Geschäftszeiten, ohne Störung des Betriebs des Auftragsverarbeiters und mit dessen Einverständnis, welches nicht unbegründet vorenthalten werden darf, persönlich eine Prüfung der Arbeitsabläufe des Auftragsverarbeiters durchführen oder durch einen sachkundigen externen Prüfer durchführen lassen.

Der Auftragsverarbeiter verpflichtet sich, dem für die Verarbeitung Verantwortlichen auf dessen schriftliche, mit mindestens 30 Tagen Vorlauf erfolgenden Aufforderung hin alle Auskünfte zu geben, die zur Durchführung einer solchen Kontrolle erforderlich sind, und zwar im dem Maße, wie dem Auftragsverarbeiter solcherlei Informationen zur Verfügung stehen und es dem Auftragsverarbeiter nicht gesetzlich, vertraglich, wegen einer Vertraulichkeitsverpflichtung oder irgendeiner sonstigen Verpflichtung gegenüber Dritten untersagt ist, die betreffenden Informationen weiterzugeben.

7. Unterauftragsverarbeiter

a. Ernennung von Unterauftragsverarbeitern. Der für die Verarbeitung Verantwortliche (a) stimmt der Beauftragung verbundener Unternehmen des Auftragsverarbeiters und externer Parteien, die auf der Unterauftragsverarbeiter-Seite aufgeführt sind, als Unterauftragsverarbeiter zu, und er (b) stimmt zu, dass der Auftragsverarbeiter und die verbundenen Unternehmen des Auftragsverarbeiters im Zusammenhang mit dem Erbringen des Abonnementdienstes jeweils externe Unterauftragsverarbeiter beauftragen können. Der Klarheit halber: Oben genannte Autorisierung entspricht einer vorherigen schriftlichen Genehmigung des für die Verarbeitung Verantwortlichen für die Untervergabe der Verarbeitung durch den Auftragsverarbeiter zu den in den Standardvertragsklauseln unter Klausel 11 genannten Zwecken.

Wenn der Auftragsverarbeiter Unterauftragsverarbeiter engagiert, geht der Auftragsverarbeiter mit den Unterauftragsverarbeitern ein Vertragsverhältnis ein, welches dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die gemäß vorliegender DPA für den Auftragsverarbeiter gelten. Wenn der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen gegenüber haftbar für die Erfüllung der Verpflichtungen, die dem Unterauftragsverarbeiter übertragen wurden.

Wenn ein Unterauftragsverarbeiter herangezogen wird, muss dem für die Verarbeitung Verantwortlichen das Recht gewährt werden, die Aktivitäten des Unterauftragsverarbeiters gemäß vorliegender DPA und dem Datenschutzrecht zu prüfen, wozu auch gehört, vom Auftragsverarbeiter auf schriftliche Anfrage hin Informationen zum Inhalt des betreffenden Vertrags und zur Umsetzung der datenschutzrelevanten Verpflichtungen gemäß dem Untervergabevertrag anzufordern, was gegebenenfalls durch Einsicht in die relevanten Vertragsunterlagen erfolgen kann.

Die Regelungen aus vorliegendem Abschnitt 6 kommen für alle Beteiligten zur Anwendung, wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter in einem Land außerhalb des Europäischen Wirtschaftsraums („EWR“) beauftragt, das von der EU-Kommission nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet. Wenn HubSpot im Zuge der Erfüllung vorliegender DPA irgendwelche personenbezogenen Daten an einen Unterauftragsverarbeiter mit Sitz außerhalb des EWR übermittelt, muss HubSpot vor einer solchen Übermittlung sicherstellen, dass juristische Vorkehrungen getroffen werden, um eine adäquate Datenverarbeitung zu gewährleisten.

b. Aktuelle Auftragsverarbeiterliste sowie Benachrichtigung über neue Unterauftragsverarbeiter bzw. Einwände gegen solche. Wenn der Auftragsverarbeiter andere als die auf der Unterauftragsverarbeiter-Seite gelisteten Unterauftragsverarbeiter beauftragen möchte, muss der Auftragsverarbeiter dies dem für die Verarbeitung Verantwortlichen mitteilen, indem er die Unterauftragsverarbeiter-Seite aktualisiert, und er muss dem für die Verarbeitung Verantwortlichen Gelegenheit geben, binnen 30 Tagen nach entsprechender Mitteilung gegen die Beauftragung der neuen Unterauftragsverarbeiter Widerspruch einzulegen. Ein solcher Widerspruch muss fundiert sein. Wenn der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche bezüglich des Widerspruchs keine Lösung finden, darf jede der Vertragsparteien den Vertrag per schriftlicher Mitteilung an die andere Vertragspartei kündigen. Danach erhält der für die Verarbeitung Verantwortliche eine Rückerstattung von entrichteten, jedoch noch nicht in Anspruch genommenen Gebühren für die Zeit nach dem Zeitpunkt des Inkrafttretens der Beendigung. Wenn der für die Verarbeitung Verantwortliche von einer Aktualisierung der Unterauftragsverarbeiter-Seite per E-Mail in Kenntnis gesetzt werden möchte, muss das hier verfügbare Formular verwendet werden.

8. Datenübermittlung

Der für die Verarbeitung Verantwortliche bestätigt und stimmt zu, dass im Zusammenhang mit der Erbringung der Leistungen gemäß dem Vertrag personenbezogene Daten an HubSpot, Inc., in den Vereinigten Staaten übermittelt werden. Der Auftragsverarbeiter hat die Möglichkeit des weltweiten Zugriffs auf beziehungsweise der weltweiten Verarbeitung von personenbezogene/n Daten in dem Umfang, wie es für die Erbringung des Abonnementdienstes notwendig ist, und in Übereinstimmung mit den HubSpot Nutzungsbedingungen für Kunden.

Zur Vorsehung geeigneter Garantien für solcherlei Datenübermittlungen gemäß Artikel 46 der DSGVO ist HubSpot, Inc. zertifiziert für die Einhaltung des vom U.S. Department of Commerce verordneten EU-US Privacy-Shield-Abkommens und des Swiss-U.S. Privacy Shield. Die Standardvertragsklauseln aus Anlage 1 gelten für personenbezogene Daten, die in Gebiete außerhalb des EWR übermittelt werden, sei es direkt oder per Weiterleitung in jedwedes Land, das von der EU-Kommission (gemäß geltendem Datenschutzrecht) nicht als Land mit einem angemessenen Schutzniveau für personenbezogene Daten erachtet wird.

Insoweit der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ein gesetzliches Verfahren zur Standardisierung internationaler Datenübermittlungen anwendet und dieses Verfahren später widerrufen oder von einem zuständigen Gericht als ungültig angesehen wird, stimmen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter zu, in gutem Glauben zusammenzuarbeiten, um ein geeignetes alternatives Verfahren zur rechtsgültigen Durchführung der Datenübermittlung anzuwenden.

9. Allgemeine Regelungen

In Bezug auf Aktualisierungen und Änderungen an dieser DPA gelten die Bedingungen unter „Änderung; kein Verzicht“ im Abschnitt „Schlussbestimmungen“ des Vertrags.

Bei Widersprüchen sind die Bestimmungen dieser DPA vorrangig gegenüber den Bestimmungen des Vertrags. Sollten einzelne Regelungen dieser DPA unwirksam oder nicht durchsetzbar sein, so berührt dies nicht die Wirksamkeit der übrigen Regelungen dieser DPA.

Mit der Aufnahme dieser DPA in den Vertrag stimmen die unten in Abschnitt 7 genannten Vertragsparteien (Vertragsparteien dieser DPA) den Standardvertragsklauseln (wenn und soweit anwendbar) einschließlich sämtlichen diesen beigefügten Anhängen zu. Im Falle eines Konflikts oder widersprüchlicher Angaben zwischen dieser DPA und den Standardvertragsklauseln in Anlage 1 sind die Standardvertragsklauseln maßgebend, wobei jedoch gilt: (a) der für die Verarbeitung Verantwortliche kann von seinem Prüfungsrecht nach Klausel 5(f) der Standardvertragsklauseln Gebrauch machen, und zwar gemäß Abschnitt 5 vorliegender DPA und unter Beachtung der dort enthaltenen Anforderungen; und (b) der Auftragsverarbeiter kann Unterauftragsverarbeiter benennen, und zwar gemäß Abschnitt 4 und 6 vorliegender DPA und unter Beachtung der dort enthaltenen Anforderungen.

10. Vertragsparteien dieser DPA

Diese DPA ist eine Änderung des Vertrags und Bestandteil desselben. Mit der Aufnahme dieser DPA in den Vertrag (i) werden der für die Verarbeitung Verantwortliche und die Rechtsperson HubSpot, welche jeweils eine Vertragspartei des Vertrags sind, ebenfalls zu Vertragsparteien dieser DPA, und (ii) ist die Körperschaft HubSpot, Inc. in dem Maße, wie sie keine Vertragspartei des Vertrags ist, dennoch Vertragspartei der DPA, jedoch nur bezüglich der Vereinbarung der Standardvertragsklauseln gemäß DPA, vorliegenden Abschnitts 7 der DPA und der Standardvertragsklauseln selbst.

Ist HubSpot, Inc. keine Vertragspartei des Vertrags, so gilt der Abschnitt des Vertrags mit dem Titel „Haftungsbeschränkung“ als zwischen dem für die Verarbeitung Verantwortlichen und HubSpot, Inc. vereinbart. Bezugnahmen auf „HubSpot“, „wir“, „uns“ „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist.

Der Rechtsträger, welcher dieser DPA als für die Verarbeitung Verantwortlicher zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA ermächtigt ist und dass er diese DPA allein für den für die Verarbeitung Verantwortlichen schließt.

ANLAGE 1 – STANDARDVERTRAGSKLAUSELN

Folgendes gilt im Sinne von Artikel 26(2) der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die keinen angemessenen Datenschutz gewährleisten:

Der Kunde gemäß den HubSpot Nutzungsbedingungen für Kunden (der „Datenexporteur“)

und

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA (der „Datenimporteur“),

jeweils eine „Vertragspartei“, zusammen „die Vertragsparteien“,

HABEN die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Sicherheitsmaßnahmen bezüglich des Schutzes der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten vom Datenexporteur an den Datenimporteur herbeizuführen:

Klausel 1

Definitionen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1. Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.
4. Die Vertragsparteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staats verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Aufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, welche die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) er den Datenexporteur unverzüglich informiert über:

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Vertragsparteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Vertragspartei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannten Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
   (a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen oder
   (b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
2. Die Vertragsparteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Aufsichtsbehörde gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt die Gesetzgebung des Mitgliedsstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Vertragsänderungen

Die Vertragsparteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Vertragsparteien allerdings frei, erforderlichenfalls weitere geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Unterauftragsverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs untervergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der vertraglichen Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.
3. Für Datenschutzbestimmungen im Zusammenhang mit der Untervergabe von Datenverarbeitungsaufträgen gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der vom Datenimporteur gemäß den Klauseln mit Unterauftragsverarbeitern geschlossenen Vereinbarungen, von denen er seitens des Datenimporteurs nach Klausel 5 Buchstabe j jeweils in Kenntnis gesetzt wurde. Das Verzeichnis wird der Aufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Vertragsparteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs entweder alle übermittelten, personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten vernichten und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, welcher der Datenimporteur unterliegt, diesem die Rückübermittlung oder Vernichtung sämtlicher übermittelter, personenbezogener Daten oder von Teilen davon nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten, personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Überprüfung der im Absatz Anhang 1 – Details zur Verarbeitung genannten Maßnahmen zur Verfügung stellen.

Dieser Anhang ist Bestandteil der Klauseln. Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

A. Datenexporteur

Der Datenexporteur ist der Kunde gemäß der Definition in den HubSpot-Nutzungsbedingungen für Kunden („Vertrag“).

Der Datenimporteur ist HubSpot, Inc., ein internationaler Anbieter von Inbound Marketing- und Sales-Software.

C. Betroffene Personen

Kategorien betroffener Personen gemäß Abschnitt 2 der Vereinbarung zur Datenverarbeitung, der die Klauseln beigefügt sind.

D. Kategorien von Daten

Kategorien personenbezogener Daten gemäß Abschnitt 2 der Vereinbarung zur Datenverarbeitung, der die Klauseln beigefügt sind.

Die Vertragsparteien gehen nicht von einer Übermittlung von Daten besonderer Datenkategorie aus.

Die Verarbeitungsaktivitäten gemäß Abschnitt 2 der Vereinbarung zur Datenverarbeitung, der die Klauseln beigefügt sind:

Anhang 2 – Technische und organisatorische Sicherheitsmaßnahmen

Dieser Anhang ist Bestandteil der Klauseln.

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

HubSpot befolgt aktuell die in Anhang 2 beschriebenen Sicherheitsverfahren. Unbeschadet anderslautender Bestimmungen, denen der Datenexporteur zugestimmt hat, darf HubSpot diese Verfahren nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer Beeinträchtigung des Schutzes, der durch diese Verfahren geboten wird. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die im Vertrag festgelegt ist.

a) Zugangskontrolle

i) Schutz vor unbefugtem Produktzugriff

Ausgelagerte Verarbeitung: HubSpot hostet seine Dienste über ausgelagerte Betreiber von Cloud-Infrastruktur. Zusätzlich unterhält HubSpot Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer Vereinbarung zur Datenverarbeitung anbieten zu können. HubSpot unterhält vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Complianceprogramme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.

Physischer Schutz und Umweltsicherheit: HubSpot hostet seine Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.

Authentifizierung: HubSpot hat eine einheitliche Passwortrichtlinie für seine Kundenprodukte implementiert. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen HubSpot-Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.

Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.

HubSpot implementiert den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen seine Produkte beruhen.

Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.

Angriffserkennung und Prävention: HubSpot hat eine Web Application Firewall (WAF) implementiert, um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.

Statische Code-Analyse: Der im Quellcode-Repository von HubSpot gespeicherte Code wird bei Sicherheitsüberprüfungen mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.

Penetrationstests: HubSpot arbeitet mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nimmt pro Jahr vier Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen.

Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. HubSpot hat ein solches Bug-Bounty-Programm implementiert, um das große Potenzial der Sicherheitscommunity zu aktivieren und den Schutz seiner Produkte gegen ausgefeilte Angriffstechniken zu verbessern.

iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen

Produktzugriff: Eine Gruppe von HubSpot-Mitarbeitern hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“-Zugriffsanfrage; alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Die Mitarbeiterrollen werden mindestens alle sechs Monate überprüft.

Hintergrundüberprüfung: Alle HubSpot-Mitarbeiter unterziehen sich unter Beachtung der anwendbaren Gesetze und wie in deren Rahmen zulässig einer externen Hintergrundüberprüfung, bevor ihnen eine Anstellung angeboten wird. Die Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.

Während des Transfers: HubSpot stellt für jede mit HubSpot-Produkten gehostete Kundenwebsite kostenlos und auf allen seinen Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) zur Verfügung. HubSpot verwendet für seine HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.

Während der Speicherung: HubSpot speichert Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen. HubSpot hat Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird. 

Erkennung: Die Infrastruktur von HubSpot ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanforderungen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. HubSpot-Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind für das Reagieren auf bekannte Vorfälle geschult.

Reaktion und Nachverfolgung: HubSpot zeichnet bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leitet HubSpot angemessene Schritte ein, um Schäden am Produkt oder für den Kunden zu minimieren und eine nicht-autorisierte Weitergabe zu verhindern.

Kommunikation: Sollte HubSpot einen unrechtmäßigen Zugriff auf in den Produkten gespeicherte Kundendaten bemerken, wird HubSpot nach eigenem Ermessen: 1) die betroffenen Kunden über den Vorfall informieren; 2) eine Beschreibung der durch HubSpot eingeleiteten Schritte zur Behebung der Störung vorlegen; und 3) Status-Updates für den Kundenkontakt bereitstellen. Benachrichtigungen über Vorfälle erfolgen gegebenenfalls auf einem von HubSpot gewählten Weg (u. a. per E-Mail oder telefonisch) an einen oder mehrere Kundenkontakte.

Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk und Klimatisierung ein.

Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.

Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.

Die Produkte von HubSpot wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt HubSpot bei der Wartung und Aktualisierung seiner Produktanwendungen und Backend-Tätigkeiten und es begrenzt die Ausfallzeiten.