Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Stand: 7. April 2020

Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.

[Klicken Sie hier, um eine unterzeichnete Ausführung anzufordern (auf Englisch).]

In dieser HubSpot Vereinbarung zur Datenverarbeitung und ihren Anlagen („DPA“) ist die Übereinkunft zwischen HubSpot und dem Kunden bezüglich der Bedingungen für die Verarbeitung personenbezogener Daten durch HubSpot im Namen des Kunden im Rahmen der Bereitstellung der HubSpot-Abonnementdienste gemäß den HubSpot Nutzungsbedingungen für Kunden (der „Vertrag“) niedergelegt.  

Diese DPA ist ein integraler Bestandteil des Vertrags und sie tritt mit ihrer Aufnahme in den Vertrag in Kraft. Auf die Aufnahme in den Vertrag kann im Vertrag selbst, in einer Bestellung oder einer rechtswirksamen Änderung des Vertrags hingewiesen werden. Im Falle eines Konflikts zwischen den Bestimmungen des Vertrags und der DPA oder widersprüchlicher Angaben im Vertrag und in der DPA sind die Bestimmungen der DPA hinsichtlich des jeweiligen Konflikts oder Widerspruchs vorrangig gegenüber den Bestimmungen des Vertrags.

Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie ein aktives HubSpot-Abonnement haben, benachrichtigen wir Sie über etwaige Aktualisierungen per E-Mail (sofern Sie über den Link in unserem Vertrag entsprechende E-Mail-Benachrichtigungen abonniert haben) oder In-App-Benachrichtigung. Archivierte Versionen der Bedingungen finden Sie hier.

Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern hierin keine andere Bedeutung angegeben ist.

1. Definitionen
2. Pflichten des Kunden
3. Pflichten von HubSpot
4. Anfragen betroffener Personen
5. Unterauftragsverarbeiter
6. Datenübermittlung
7. Zusätzliche Bestimmungen für Daten europäischer Bürger
8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger
9. Allgemeine Regelungen
10. Vertragsparteien dieser DPA

Anlage 1 – Details zur Verarbeitung

Anlage 2 – Sicherheitsmaßnahmen

Anlage 3 – Standardvertragsklauseln

Anlage 4 – Liste der Unterauftragsverarbeiter

1. Definitionen

„Personenbezogene Daten kalifornischer Bürger“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.

„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018).

Die Begriffe „Kunde“, „Unternehmen“, „Verkaufen“ und „Dienstleister“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Consumer“ (Kunde), „Business“ (Unternehmen), „Sell“ (Verkaufen) und „Service Provider“ (Dienstleister) festgelegt sind. 

„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

„Datenschutzrecht“ sind alle anwendbaren, weltweiten Gesetze bezüglich des Datenschutzes und des Schutzes der Persönlichkeitsrechte, die für die jeweilige Vertragspartei bei der Verarbeitung der in dem Vertrag definierten personenbezogenen Daten gelten. Dies umfasst unter anderen das europäische Datenschutzrecht, den CCPA und die Datenschutzgesetze und Gesetze zum Schutz von Persönlichkeitsrechten von Australien und Singapur, in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form. 

„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.

„Europa“ ist die Europäische Union, der Europäische Wirtschaftsraum und/oder die jeweiligen Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich. 

„Personenbezogene Daten europäischer Bürger“ sind personenbezogene Daten, die dem Schutz des europäischen Datenschutzrechts unterliegen.

„Europäisches Datenschutzrecht“ sind in Europa geltende Datenschutzgesetze, darunter in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii); oder (iii) mit Bezug auf das Vereinigte Königreich jegliche anwendbare nationale Gesetzgebung, welche im Zuge des Ausscheidens des Vereinigten Königreichs aus der Europäischen Union die DSGVO ersetzt oder in innerstaatliches Recht umsetzt, sowie jegliches andere Gesetz in Bezug auf den Datenschutz und den Schutz auf Persönlichkeitsrecht; und (iv) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und dessen Verordnung.  

„Weisungen“ steht für die schriftlichen und verbrieften Anweisungen, mit denen ein für die Verarbeitung Verantwortlicher einen Auftragsverarbeiter zu einer bestimmten oder allgemeinen Maßnahme hinsichtlich der Handhabung personenbezogener Daten auffordert (zum Beispiel Anonymisierung, Sperrung, Löschung, Verfügbarmachung).

„Zulässige verbundene Unternehmen“ sind jegliche verbundenen Unternehmen des Kunden, die (i) die Abonnementdienste gemäß dem Vertrag nutzen dürfen, jedoch keine entsprechende separate Vereinbarung mit HubSpot unterzeichnet haben und gemäß der Definition im Vertrag nicht als „Kunde“ gelten; (ii) als für die Verarbeitung Verantwortliche der von HubSpot verarbeiteten personenbezogenen Daten gelten; und (iii) dem europäischen Datenschutzrecht unterliegen.

„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern diese Informationen Bestandteil der Kundendaten sind und unter ähnlichem Schutz anwendbaren Datenschutzrechts stehen wie personenbezogene Daten oder Informationen zur Identifizierung einer Person.

„Verletzung des Schutzes personenbezogener Daten“ steht für einen Sicherheitsverstoß, der zu versehentlichen oder ungesetzlichen Zerstörungen, Verlusten, Veränderungen bzw. unbefugten Offenlegungen von oder Zugriffen auf personenbezogene(n) Daten führt, die von HubSpot und/oder seinen Unterauftragsverarbeitern in Verbindung mit der Bereitstellung der Abonnementdienste übermittelt, gespeichert oder anderweitig verarbeitet werden. „Verletzung des Schutzes personenbezogener Daten“ steht nicht für gescheiterte Versuche oder Aktivitäten, welche die Sicherheit personenbezogener Daten nicht gefährden, einschließlich misslungener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe gegen Firewalls oder vernetzte Systeme.

„Privacy-Shield-Abkommen“ ist das Selbstzertifizierungsprogramm für das EU-US Privacy-Shield-Abkommen und das Swiss-U.S. Privacy Shield des US-Handelsministeriums (US Department of Commerce), das von der Europäischen Kommission gemäß ihrer Entscheidung vom 12. Juli 2016 und vom Schweizerischen Bundesrat gemäß seiner Entscheidung vom 11. Januar 2017 angenommen wurde.

„Datenschutzgrundsätze der Privacy-Shield-Abkommen“ sind die Datenschutzgrundsätze der Privacy-Shield-Abkommen (ergänzt um die Zusatzgrundsätze) aus Anhang II des Beschlusses der Europäischen Kommission vom 12. Juli 2016.

„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „Verarbeiten“ und „Verarbeitet“ u. Ä. sind entsprechend auszulegen.

„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

„Standardvertragsklauseln“ steht für die Standardvertragsklauseln für Auftragsverarbeiter, die gemäß Beschluss der Europäischen Kommission vom 5. Februar 2010 (bekannt gegeben unter Aktenzeichen K(2010) 593) in der in Anlage 3 festgelegten Form angenommen wurden.

„Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der von HubSpot oder den verbundenen Unternehmen von HubSpot damit beauftragt wird, HubSpot bei der Erfüllung seiner Pflichten im Rahmen der Bereitstellung der Abonnementdienste gemäß Vertrag zu unterstützen.  Unterauftragsverarbeiter sind gegebenenfalls Drittanbieter oder verbundene Unternehmen von HubSpot, nicht jedoch Mitarbeiter oder Berater von HubSpot.  

2. Pflichten des Kunden

a. Einhaltung von Gesetzen. Der Kunde ist im Rahmen des Vertrags und im Zuge seiner Inanspruchnahme der Leistungen verantwortlich für die Erfüllung aller geltenden Anforderungen, denen er gemäß anwendbarem Datenschutzrecht hinsichtlich der Verarbeitung personenbezogener Daten und gemäß den Weisungen, die er HubSpot gibt, unterliegt.

Insbesondere gilt, dass der Kunde unbeschadet der Allgemeingültigkeit des Vorausgehenden zustimmt, dass er allein die Verantwortung trägt für: (i) die Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie der Mittel, mit denen der Kunde personenbezogene Daten erhält; (ii) die Einhaltung aller Anforderungen auf Rechtmäßigkeit und Transparenz gemäß anwendbarem Datenschutzrecht hinsichtlich der Erhebung und Verwendung personenbezogener Daten, einschließlich der Einholung jeglicher erforderlichen Zustimmungen und Berechtigungen (insbesondere bei Verwendung durch den Kunden zu Marketingzwecken); (iii) die Gewährleistung, dass er dazu berechtigt ist, die personenbezogenen Daten zum Zwecke der Verarbeitung in Übereinstimmung mit den Bestimmungen des Vertrags (einschließlich dieser DPA) an HubSpot zu übermitteln oder HubSpot Zugriff darauf zu geben; (iv) die Gewährleistung, dass seine Weisungen an HubSpot hinsichtlich der Verarbeitung von personenbezogenen Daten mit den anwendbaren Gesetzen, einschließlich des Datenschutzrechts, übereinstimmen; und (v) die Einhaltung aller geltenden Gesetze (einschließlich des Datenschutzrechts) hinsichtlich der E-Mails oder anderer Inhalte, die über die Abonnementdienste erstellt, versendet oder verwaltet werden, einschließlich der Gesetze bezüglich der Einholung des Einverständnisses (soweit erforderlich) für den Versand von E-Mails, den Inhalt von E-Mails und die E-Mail-Versandpraktiken. Der Kunde muss HubSpot unverzüglich darüber informieren, wenn er nicht dazu in der Lage ist, seinen Pflichten gemäß diesem Abschnitt (a) oder dem anwendbaren Datenschutzrecht nachzukommen.

b. Weisungen des für die Verarbeitung Verantwortlichen. Die Vertragsparteien vereinbaren, dass der Vertrag (einschließlich vorliegender DPA) sowie die Verwendung des Abonnementdienstes durch den Kunden in Übereinstimmung mit dem Vertrag die vollständigen und endgültigen Weisungen des Kunden an HubSpot bezüglich der Verarbeitung von personenbezogenen Daten darstellen und dass zusätzliche Anweisungen über die Weisungen hinaus nur gültig sind, wenn sie vorab schriftlich zwischen dem Kunden und HubSpot vereinbart wurden.

3. Pflichten von HubSpot

a. Befolgung der Weisungen. HubSpot verarbeitet personenbezogene Daten ausschließlich zu den in dieser DPA beschriebenen Zwecken oder wie im Rahmen der rechtmäßigen Weisungen des Kunden vereinbart, ausgenommen wenn und nur in dem Umfang, in dem dies von geltendem Recht vorgeschrieben ist. HubSpot unterliegt nicht der Einhaltung des für den Kunden oder die Branche des Kunden geltenden Datenschutzrechts, welches nicht auch generell für HubSpot anwendbar ist.

b. Kollisionsrecht. Wenn HubSpot bemerkt, dass es personenbezogene Daten aufgrund jeglicher anwendbaren gesetzlichen Anforderungen nicht gemäß den Weisungen des Kunden verarbeiten kann, wird HubSpot (i) den Kunden im gesetzlich zulässigen Umfang unverzüglich von der betreffenden gesetzlichen Vorschrift in Kenntnis setzen; und (ii) falls erforderlich jegliche Verarbeitung (abgesehen vom reinen Speichern und der Aufrechterhaltung der Sicherheitsvorkehrungen für die betreffenden personenbezogenen Daten) so lange einstellen, bis der Kunde neue Weisungen gibt, die HubSpot in der Lage ist, zu erfüllen. Wenn diese Regelung zur Anwendung kommt, ist HubSpot dem Kunden gegenüber gemäß Vertrag so lange nicht haftbar für die Nichterbringung der betroffenen Abonnementdienste, bis der Kunde neue, rechtmäßige Weisungen für die Verarbeitung gibt.

c. Datensicherheit HubSpot wird alle angemessenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten, um die Verletzung des Schutzes personenbezogener Daten, wie in Anlage 2 dieser DPA dargelegt, („Sicherheitsmaßnahmen“) zu verhindern. Unbeschadet anderslautender Bestimmungen darf HubSpot diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung des Schutzes, der durch diese Sicherheitsmaßnahmen geboten wird. 

d. Vertraulichkeit. HubSpot muss gewährleisten, dass sämtliches Personal, welches HubSpot zur Verarbeitung personenbezogener Daten in seinem Auftrag befugt, bezüglich der besagten personenbezogenen Daten einer Vertraulichkeitsverpflichtung (vertragliche oder gesetzliche Verpflichtung) unterliegt.

e. Verletzungen des Schutzes personenbezogener Daten. HubSpot wird den Kunden unverzüglich darüber informieren, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. HubSpot wird dem Kunden zudem Informationen hinsichtlich der Verletzung des Schutzes personenbezogener Daten zeitnah bereitstellen, sobald diese bekannt werden oder wie im angemessenen Rahmen vom Kunden angefragt. Auf die Aufforderung des Kunden hin wird HubSpot dem Kunden unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um den Kunden in die Lage zu versetzen, eine relevante Verletzung des Schutzes personenbezogener Daten den zuständigen Behörden und/oder den berührten betroffenen Personen zu melden, sofern der Kunde dazu gemäß anwendbarem Datenschutzrecht verpflichtet ist.

f. Löschung oder Rückgabe personenbezogener Daten. HubSpot wird alle in Übereinstimmung mit dieser DPA verarbeiteten Kundendaten (einschließlich personenbezogener Daten und Kopien davon) bei Kündigung oder Ablauf Ihres Abonnementdienstes gemäß den im Vertrag festgelegten Verfahren und Fristen löschen oder zurückgeben. Diese Bestimmung gilt jedoch nicht, sofern HubSpot gesetzlich dazu verpflichtet ist, bestimmte oder alle Kundendaten aufzubewahren, oder für Kundendaten, die HubSpot in seinen Backup-Systemen archiviert hat, welche HubSpot sicher getrennt speichern, vor weiterer Verarbeitung schützen und im Einklang mit seinen Löschverfahren löschen wird. Sie können nach Ablauf oder Kündigung Ihres Abonnements einen Antrag auf Löschung Ihres HubSpot-Accounts stellen, indem Sie ein entsprechendes Gesuch an privacy@hubspot.com senden oder indem Sie die hier verfügbaren Anweisungen befolgen. Sie können Ihre Kundendaten in Ihrem Account in Übereinstimmung mit den Abschnitten zum Thema „Abruf von Kundendaten“ der produktspezifischen Bedingungen abrufen.

4. Anfragen betroffener Personen

Der Abonnementdienst stellt dem Kunden eine Reihe von Funktionen zur Verfügung, mit denen der Kunde personenbezogene Daten aufrufen, verbessern und löschen oder den Zugriff darauf einschränken kann. Diese Funktionen kann der Kunde nutzen, um seinen Pflichten gemäß Datenschutzrecht nachzukommen, einschließlich seiner Pflichten hinsichtlich der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß anwendbarem Datenschutzrecht geltend machen möchten („Anfragen betroffener Personen“). 

Sofern der Kunde nicht in der Lage ist, der Anfrage einer betroffenen Person über den Abonnementdienst allein nachzukommen, wird HubSpot dem Kunden auf schriftliche Nachfrage des Kunden hin angemessene Unterstützung geben, um jeglichen Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten gemäß dem Vertrag nachzukommen. Der Kunde erstattet HubSpot die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.

Wenn eine Anfrage oder eine andere Kommunikation einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gemäß dem Vertrag direkt an HubSpot gerichtet wird, wird HubSpot den Kunden unverzüglich darüber informieren und die betroffene Person darauf hinweisen, dass sie ihre Anfrage an den Kunden richten muss. Die wirksame Beantwortung von Anfragen oder Mitteilungen betroffener Personen bezüglich personenbezogener Daten obliegt ausschließlich dem Kunden.

5. Unterauftragsverarbeiter

Der Kunde stimmt zu, dass HubSpot Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten im Namen des Kunden beauftragen darf. Aktuell beauftragt HubSpot als Unterauftragsverarbeiter die verbundenen Unternehmen von HubSpot und die Drittanbieter, die in Anlage 4 zu dieser DPA aufgeführt sind. HubSpot informiert den Kunden im Vorfeld darüber, wenn es Unterauftragsverarbeiter von Anlage 4 entfernt oder neue hinzufügt, sofern der Kunde einer entsprechenden Benachrichtigung per E-Mail zustimmt, indem er dieses Formular ausfüllt.

Wenn HubSpot Unterauftragsverarbeiter beauftragt, erlegt HubSpot ihnen Datenschutzbestimmungen auf, durch die personenbezogene Daten mindestens genauso gut schützt sind wie unter der DPA, sofern für die Art der von den Unterauftragsverarbeitern bereitgestellten Dienstleistungen zutreffend. HubSpot ist verantwortlich dafür, dass jeder Unterauftragsverarbeiter die Bestimmungen der DPA einhält ebenso wie für jegliche Handlungen oder unterlassenen Handlungen dieser Unterauftragsverarbeiter, die dazu führen, dass HubSpot gegen eine seiner Pflichten gemäß DPA verstößt.

6. Datenübermittlung

Der Kunde stimmt zu, dass HubSpot zwecks Bereitstellung des Abonnementdienstes und gemäß dem Vertrag auf weltweiter Ebene auf personenbezogene Daten zugreifen und diese auf weltweiter Ebene verarbeiten kann. Der Kunde stimmt insbesondere zu, dass die Übermittlung und Verarbeitung personenbezogener Daten an bzw. durch HubSpot, Inc. in den/die USA und andere/n Jurisdiktionen, in denen verbundene Unternehmen und Unterauftragsverarbeiter von HubSpot vertreten sind, erfolgt. HubSpot gewährleistet, dass diese Übermittlungen in Übereinstimmung mit den Vorschriften des Datenschutzrechts erfolgen.

7. Zusätzliche Bestimmungen für Daten europäischer Bürger

a. Anwendungsbereich für Abschnitt 7. Dieser Abschnitt (7; Zusätzliche Bestimmungen für Daten europäischer Bürger) betrifft ausschließlich personenbezogene Daten europäischer Bürger.

b. Rollen der Vertragsparteien. Die Vertragsparteien nehmen zur Kenntnis und vereinbaren, dass im Rahmen der Verarbeitung von personenbezogenen Daten europäischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde die Rolle des Datenverantwortlichen bzw. für die Verarbeitung Verantwortlichen und HubSpot die Rolle des Auftragsverarbeiters der Daten hat.

c. Weisungen. Wenn HubSpot der Meinung ist, dass eine Weisung des Kunden das europäische Datenschutzrecht (falls anwendbar) verletzt, wird HubSpot den Kunden unverzüglich darüber in Kenntnis setzen.

d. Benachrichtigung über neue Unterauftragsverarbeiter bzw. Einwände gegen solche. HubSpot wird den Kunden über jegliche Änderungen hinsichtlich seiner Unterauftragsverarbeiter informieren, indem es Anlage 4 zu dieser DPA aktualisiert. HubSpot gibt dem Kunden außerdem die Möglichkeit, binnen 30 Tagen nach entsprechender Mitteilung aus angemessenen Gründen bezüglich des Schutzes personenbezogener Daten gegen die Beauftragung der neuen Unterauftragsverarbeiter Widerspruch einzulegen. Wenn der Kunde HubSpot einen solchen Einwand entgegenbringt, werden die Vertragsparteien die Angelegenheit in gutem Glauben besprechen, um eine geschäftlich angemessene Lösung zu finden. Falls eine solche Resolution nicht erreicht werden kann, wird HubSpot nach eigenem Ermessen den neuen Unterauftragsverarbeiter entweder nicht beauftragen oder dem Kunden ermöglichen, den betroffenen Abonnementdienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die der Kunde bereits vor Aussetzung oder Kündigung zu entrichten hatte).

e. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. Wenn HubSpot die erforderlichen Informationen zur Verfügung stehen und der Kunde nicht anderweitig Zugang zu den erforderlichen Informationen hat, wird HubSpot den Kunden vor Rückfragen an die Aufsichtsbehörden oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche gemäß europäischem Datenschutzrecht erforderlich ist.

f. Datenübermittlungsmechanismen.

(A) HubSpot übermittelt personenbezogene Daten europäischer Bürger nicht an Länder oder Empfänger, deren Bereitstellung eines angemessenen Schutzes personenbezogener Daten nicht anerkannt ist (entsprechend europäischem Datenschutzrecht), sofern HubSpot nicht im Vorfeld alle erforderlichen Maßnahmen trifft, um eine Übermittlung in Übereinstimmung mit dem europäischen Datenschutzrecht zu gewährleisten. Solche Maßnahmen umfassen unter anderem (jedoch ohne Einschränkung) die Datenübermittlung an Empfänger, die eine Selbstzertifizierung für das Privacy-Shield-Abkommen vorgenommen haben, die eine Autorisierung ihrer verbindlichen unternehmensinternen Vorschriften in Übereinstimmung mit europäischem Datenschutzrecht erhalten haben, oder die entsprechende von der Europäischen Kommission angenommene oder bewilligte Standardvertragsklauseln erfüllen.

(B) Der Kunde bestätigt und stimmt zu, dass im Zusammenhang mit der Erbringung der Abonnementdienste HubSpot, Inc. ein Empfänger personenbezogener Daten in den Vereinigten Staaten ist. Die Vertragsparteien vereinbaren, dass HubSpot die folgenden Übermittlungsmechanismen verfügbar macht:

• (a) Standardvertragsklauseln: HubSpot, Inc. stimmt zu, die Standardvertragsklauseln einzuhalten und personenbezogene Daten europäischer Bürger in Übereinstimmung mit den Standardvertragsklauseln zu verarbeiten. Unbeschadet des Vorhergehenden vereinbaren die Vertragsparteien, dass für den Fall, dass HubSpot, Inc. nicht das vertragsschließende HubSpot-Unternehmen gemäß Vertrag ist, die vertragsschließende Partei (nicht HubSpot, Inc.) dem Kunden gegenüber für die Erfüllung der Standardvertragsklauseln durch HubSpot, Inc. haftet und die volle und alleinige Verantwortung dafür trägt. Im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsklauseln (falls anwendbar) sind die Standardvertragsklauseln hinsichtlich des jeweiligen Konflikts maßgebend.

• (b) Privacy-Shield-Abkommen: Solange HubSpot, Inc. eine Selbstzertifizierung für das Privacy-Shield-Abkommen hält und falls die Standardvertragsklauseln entweder widerrufen oder von einem zuständigen Gericht als ungültig erklärt werden, vereinbaren die Vertragsparteien, dass: (i) HubSpot, Inc. einen angemessenen Schutz für personenbezogene Daten europäischer Bürger bietet (Bedeutung gemäß europäischem Datenschutzrecht), da HubSpot eine Selbstzertifizierung für das Privacy-Shield-Abkommen hält; (ii) HubSpot, Inc. personenbezogene Daten europäischer Bürger in Übereinstimmung mit dem Privacy-Shield-Abkommen verarbeitet; und (iii) falls HubSpot, Inc. nicht dazu in der Lage ist, dieser Voraussetzung nachzukommen, HubSpot den Kunden darüber informieren wird.

g. Nachweis der Einhaltung. HubSpot stellt dem Kunden alle in angemessenem Maße erforderlichen Informationen bereit, um seine Einhaltung dieser DPA unter Beweis zu stellen. HubSpot ermöglicht und unterstützt zudem die Durchführung von entsprechenden Prüfungen (Audits), darunter Kontrollen durch den Kunden zwecks Überprüfung der Einhaltung dieser DPA. Der Kunde stimmt zu, dass er seine Auditrechte gemäß dieser DPA in Anspruch nehmen wird, indem er HubSpot dazu auffordert, die Auditmaßnahmen in diesem Abschnitt (g) zu erfüllen. Der Kunde erkennt an, dass der Abonnementdienst von den Rechenzentrumspartnern von HubSpot gehostet wird, welche unabhängig validierte Sicherheitsprogramme verfolgen (darunter SOC 2 und ISO 27001), und dass die Systeme von HubSpot regelmäßig durch unabhängige Drittanbieter von Penetrationstests geprüft werden. Auf Nachfrage stellt HubSpot dem Kunden (auf vertraulicher Basis) eine Zusammenfassung von solchen Penetrationstestberichten bereit, damit der Kunde die Einhaltung dieser DPA durch HubSpot überprüfen kann.  Darüber hinaus wird HubSpot auf schriftliche Anfrage des Kunden hin (auf vertraulicher Basis) schriftliche Antworten auf alle angemessenen Informationsanfragen des Kunden bereitstellen, die für die Überprüfung der Einhaltung dieser DPA durch HubSpot erforderlich sind, sofern der Kunde höchstens einmal pro Kalenderjahr von diesem Recht Gebrauch macht. 

8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger

a. Anwendungsbereich für Abschnitt 8. Dieser Abschnitt (8; Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger) betrifft ausschließlich personenbezogene Daten kalifornischer Bürger.

b. Rollen der Vertragsparteien. Die Vertragsparteien vereinbaren, dass im Rahmen der Anwendung des CCPA bei der Verarbeitung personenbezogener Daten kalifornischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde ein Unternehmen ist und HubSpot ein Dienstleister.

c. Zuständigkeiten. Die Vertragsparteien stimmen zu, dass HubSpot die personenbezogenen Daten kalifornischer Bürger in seiner Rolle des Dienstleisters nur für Zwecke der Bereitstellung der Abonnementdienste gemäß dem Vertrag verarbeitet (der „Geschäftszweck“). HubSpot verwendet Servicedaten für seinen eigenen legitimen Geschäftszweck gemäß unserer Produkt-Datenschutzrichtlinie. Die Vertragsparteien vereinbaren, dass HubSpot (a) personenbezogene Daten kalifornischer Bürger (gemäß Definition des CCPA) nicht verkaufen darf; (b) personenbezogene Daten kalifornischer Bürger nicht für andere geschäftliche Zwecke als den Geschäftszweck oder andere gemäß CCPA erlaubten Zwecke aufbewahren, verwenden oder offenlegen darf; oder (c) personenbezogene Daten kalifornischer Bürger nicht außerhalb der direkten geschäftlichen Beziehung zwischen dem Kunden und HubSpot aufbewahren, verwenden oder offenlegen darf.

d. Zertifizierung. HubSpot bestätigt, dass es die Einschränkungen aus Abschnitt 8(c) („Zuständigkeiten“) zur Kenntnis genommen hat und diese befolgen wird.

9. Allgemeine Regelungen

a. Änderungen. Unbeschadet gegensätzlicher Regelungen im Vertrag und Abschnitt 3(c) („Datensicherheit“) behält HubSpot sich das Recht vor, diese DPA zu aktualisieren und zu ändern, und es gelten die Bedingungen unter Abschnitt 9(a) („Änderungen; kein Verzicht“) des Vertrags.

b. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser DPA als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser DPA.

c. Haftungsbeschränkung. Die Haftung der jeweiligen Vertragsparteien und ihrer jeweiligen verbundenen Unternehmen hinsichtlich vertraglicher, deliktischer oder auf jeder sonstigen Haftungstheorie beruhenden Ansprüche, die sich aus dieser DPA (und jeder weiteren DPA zwischen den Vertragsparteien) sowie den Standardvertragsklauseln (sofern anwendbar) ergeben oder damit verbunden sind, unterliegt zusammengenommen den Haftungsbeschränkungen und -ausschlüssen, die in dem Abschnitt des Vertrags mit dem Titel „Haftungsbeschränkung“ dargelegt sind, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Vertragspartei bezeichnet die Gesamthaftung dieser Vertragspartei und all ihrer verbundenen Unternehmen gemäß Vertrag (einschließlich dieser DPA).  Zwecks Ausschluss jeglichen Zweifels gilt, dass sofern HubSpot, Inc. keine Vertragspartei des Vertrags ist, der Abschnitt des Vertrags mit dem Titel „Haftungsbeschränkung“ als zwischen dem Kunden und HubSpot, Inc. vereinbart gilt. Bezugnahmen auf „HubSpot“, „wir“, „uns“, „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist.

d. Anwendbares Recht. Diese DPA unterliegt den geltenden Gesetzen und den Bestimmungen zur Gerichtsbarkeit im Vertrag und wird ihnen entsprechend ausgelegt, ausgenommen anderslautender Bestimmungen im Datenschutzrecht.

10. Vertragsparteien dieser DPA

a. Zulässige verbundene Unternehmen. Durch Unterzeichnung des Vertrags nimmt der Kunde diese DPA in seinem eigenen Namen und, sofern erforderlich gemäß anwendbarem Datenschutzrecht, im Namen seiner zulässigen verbundenen Unternehmen an, wodurch separate DPAs zwischen HubSpot und jedem dieser zulässigen verbundenen Unternehmen geschlossen werden, welche dem Vertrag und Abschnitten 9 und 10 dieser DPA unterliegen. Jedes zulässige verbundene Unternehmen stimmt zu, dass es an die Verpflichtungen dieser DPA und, im anwendbaren Maße, an den Vertrag gebunden ist. Für die ausschließlichen Zwecke dieser DPA, und sofern nicht anders angegeben, umfasst der Begriff „Kunde“ den Kunden und solche zulässigen verbundenen Unternehmen.

b. Autorisierung. Der Rechtsträger, welcher dieser DPA als Kunde zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA in seinem eigenen Namen und, falls zutreffend, im Namen jedes seiner zulässigen verbundenen Unternehmen ermächtigt ist.

c. Rechtsmittel. Ausgenommen ein zulässiges verbundenes Unternehmen ist durch anwendbares Datenschutzrecht dazu verpflichtet, bezüglich dieser DPA gegen HubSpot selbst mittelbar von einem Recht Gebrauch zu machen oder einen Rechtsbehelf einzulegen, vereinbaren die Vertragsparteien, dass (i) ausschließlich das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, im Namen seiner verbundenen Unternehmen von einem Recht Gebrauch machen oder einen Rechtsbehelf einlegen kann, das bzw. der einem zulässigen verbundenen Unternehmen gemäß dieser DPA zusteht; und (ii) das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, diese Rechte gemäß dieser DPA nicht separat für jedes zulässige verbundene Unternehmen geltend machen kann, sondern in kombinierter Form für sich selbst und alle seine zulässigen verbundenen Unternehmen. Das Kundenunternehmen, welches die vertragsabschließende Partei ist, ist verantwortlich für die Koordination der gesamten Kommunikation mit HubSpot gemäß dieser DPA und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner zulässigen verbundenen Unternehmen anzunehmen und durchzuführen. 

d. Andere Rechte. Die Vertragsparteien vereinbaren, dass der Kunde im Rahmen der Prüfung von HubSpots Einhaltung dieser DPA gemäß Abschnitt 7(g) („Nachweis der Einhaltung“) alle angemessenen Maßnahmen ergreift, um negative Auswirkungen auf den Betrieb von HubSpot und seiner verbundenen Unternehmen einzuschränken, indem er mehrere Auditanfragen, die im Namen des Kundenunternehmens, welches die vertragsabschließende Partei des Vertrags ist, und all seiner zulässigen verbundenen Unternehmen ausgeführt werden, in einem einzigen Audit zusammenfasst.

Anlage 1 – Details zur Verarbeitung

Diese Anlage ist Bestandteil der DPA. 

HubSpot verarbeitet personenbezogene Daten im erforderlichen Maße, um die Abonnementdienste gemäß dem Vertrag, den Angaben im Bestellformular und den Anweisungen des Kunden im Rahmen seiner Nutzung der Abonnementdienste, bereitzustellen.

B.  Dauer der Verarbeitung

Gemäß dem Abschnitt „Löschung oder Rückgabe personenbezogener Daten“ in vorliegender DPA wird HubSpot personenbezogene Daten für den im Vertrag festgelegten Zeitraum verarbeiten, sofern nicht anders schriftlich festgelegt.  

Der Kunde kann bei seiner Verwendung des Abonnementdienstes personenbezogene Daten übermitteln, wobei der Kunde den Umfang dieser Übermittlung nach eigenem Ermessen bestimmt und kontrolliert. Die übermittelten Daten können unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen enthalten:

Die Kontakte des Kunden und weitere Endnutzer einschließlich der Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer des Kunden. Betroffene Personen umfassen unter Umständen auch Einzelpersonen, die versuchen, personenbezogene Daten an die Endnutzer des Kunden zu übermitteln oder mit diesen zu kommunizieren.

Der Kunde kann personenbezogene Daten an die Abonnementdienste übermitteln, wobei der Kunde den Umfang dieser Übermittlung nach eigenem Ermessen bestimmt und kontrolliert. Die übermittelten Daten können unter anderem die folgenden Kategorien personenbezogener Daten enthalten: 

• – Kontaktinformationen (gemäß Definition in den HubSpot Nutzungsbedingungen für Kunden)
• – Jegliche anderen personenbezogenen Daten, die vom Kunden oder den Endnutzern des Kunden über den Abonnementdienst übermittelt, gesendet oder empfangen wurden

Die Vertragsparteien gehen nicht von einer Übermittlung von Daten besonderer Datenkategorie aus.

Personenbezogene Daten werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen: 

Anlage 2 – Sicherheitsmaßnahmen

Diese Anlage ist Bestandteil der DPA.

HubSpot befolgt aktuell die in Anlage 2 beschriebenen Sicherheitsverfahren. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die im Vertrag festgelegt ist.

a) Zugangskontrolle

i)    Schutz vor unbefugtem Produktzugriff

Ausgelagerte Verarbeitung: HubSpot hostet seine Dienste über ausgelagerte Betreiber von Cloud-Infrastruktur. Zusätzlich unterhält HubSpot Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer Vereinbarung zur Datenverarbeitung anbieten zu können. HubSpot unterhält vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Complianceprogramme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.

Physischer Schutz und Umweltsicherheit: HubSpot hostet seine Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.

Authentifizierung: HubSpot hat eine einheitliche Passwortrichtlinie für seine Kundenprodukte implementiert. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen HubSpot-Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.

Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.

HubSpot implementiert den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen seine Produkte beruhen.

Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.

Angriffserkennung und Prävention: HubSpot hat eine Web Application Firewall (WAF) implementiert, um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.

Statische Code-Analyse: Der im Quellcode-Repository von HubSpot gespeicherte Code wird bei Sicherheitsüberprüfungen mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.

Penetrationstests: HubSpot arbeitet mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nimmt pro Jahr vier Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen.

Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. HubSpot hat ein solches Bug-Bounty-Programm implementiert, um das große Potenzial der Sicherheitscommunity zu aktivieren und den Schutz seiner Produkte gegen ausgefeilte Angriffstechniken zu verbessern.

iii)    Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen

Produktzugriff: Eine Gruppe von HubSpot-Mitarbeitern hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“-Zugriffsanfrage; alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Die Mitarbeiterrollen werden mindestens alle sechs Monate überprüft.

Hintergrundüberprüfung: Alle HubSpot-Mitarbeiter unterziehen sich unter Beachtung der anwendbaren Gesetze und wie in deren Rahmen zulässig einer externen Hintergrundüberprüfung, bevor ihnen eine Anstellung angeboten wird. Die Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.

Während des Transfers: HubSpot stellt für jede mit HubSpot-Produkten gehostete Kundenwebsite kostenlos und auf allen seinen Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) zur Verfügung. HubSpot verwendet für seine HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.

Während der Speicherung: HubSpot speichert Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen.  HubSpot hat Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird. 

Erkennung: Die Infrastruktur von HubSpot ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanforderungen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. HubSpot-Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind für das Reagieren auf bekannte Vorfälle geschult.

Reaktion und Nachverfolgung: HubSpot zeichnet bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leitet HubSpot angemessene Schritte ein, um Schäden am Produkt oder für den Kunden zu minimieren und eine nicht-autorisierte Weitergabe zu verhindern. Die Benachrichtigung des Kunden erfolgt in Übereinstimmung mit den Bestimmungen der DPA oder des Vertrags. 

Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk und Klimatisierung ein.

Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.

Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.

Die Produkte von HubSpot wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt HubSpot bei der Wartung und Aktualisierung seiner Produktanwendungen und Backend-Tätigkeiten und es begrenzt die Ausfallzeiten.

Anlage 3 – Standardvertragsklauseln

Folgendes gilt im Sinne von Artikel 26(2) der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die keinen angemessenen Datenschutz gewährleisten:

Der Kunde gemäß den HubSpot Nutzungsbedingungen für Kunden (der „Datenexporteur“)

und

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA (der „Datenimporteur“),

jeweils eine „Vertragspartei“, zusammen „die Vertragsparteien“,

HABEN die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Sicherheitsmaßnahmen bezüglich des Schutzes der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten vom Datenexporteur an den Datenimporteur herbeizuführen:

Klausel 1

Definitionen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1.  Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

4. Die Vertragsparteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staats verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Aufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, welche die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) er den Datenexporteur unverzüglich informiert über:

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Vertragsparteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Vertragspartei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannten Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

(a)   die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen; oder
(b)   die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2. Die Vertragsparteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Aufsichtsbehörde gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt die Gesetzgebung des Mitgliedsstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Vertragsänderungen

Die Vertragsparteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Vertragsparteien allerdings frei, erforderlichenfalls weitere geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Unterauftragsverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs untervergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der vertraglichen Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Untervergabe von Datenverarbeitungsaufträgen gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der vom Datenimporteur gemäß den Klauseln mit Unterauftragsverarbeitern geschlossenen Vereinbarungen, von denen er seitens des Datenimporteurs nach Klausel 5 Buchstabe j jeweils in Kenntnis gesetzt wurde. Das Verzeichnis wird der Aufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Vertragsparteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs entweder alle übermittelten, personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten vernichten und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, welcher der Datenimporteur unterliegt, diesem die Rückübermittlung oder Vernichtung sämtlicher übermittelter, personenbezogener Daten oder von Teilen davon nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten, personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Überprüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln.

Alle in diesem Anhang 1 verwendeten Begriffe werden mit der Bedeutung verwendet, die im Vertrag (einschließlich der DPA) festgelegt ist.

Datenexporteur

Der Datenexporteur ist der Rechtsträger, der in der DPA als „Kunde“ definiert ist. 

Datenimporteur

Der Datenimporteur ist HubSpot, Inc.

Betroffene Personen

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der betroffenen Personen. 

Kategorien von Daten

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der Datenkategorien. 

Besondere Datenkategorien (falls zutreffend)

Die Vertragsparteien gehen nicht von einer Übermittlung von Daten besonderer Datenkategorie aus.

Rechtsgrundlage für die Verarbeitung

HubSpot, Inc. verarbeitet personenbezogene Daten im erforderlichen Maße, um dem Datenexporteur die Abonnementdienste gemäß dem Vertrag bereitstellen zu können.  

Verarbeitung

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der Verarbeitungstätigkeiten. 

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln. 

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Wir verweisen Sie auf Anlage 2 dieser DPA für eine Beschreibung der von HubSpot implementierten technischen und organisatorischen Sicherheitsmaßnahmen. 

Anhang 3 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln. 

Dieser Anhang beschreibt die individuellen Auslegungen der Vertragsparteien ihrer jeweiligen Pflichten gemäß spezifischen Bestimmungen der Standardvertragsklauseln („Klauseln“). Erfüllt eine Vertragspartei ihre Pflichten entsprechend der in diesem Anhang festgelegten Auslegung, erkennt die andere Vertragspartei an, dass erstere Vertragspartei ihren Pflichten gemäß den Klauseln nachgekommen ist.  

Im Rahmen dieses Anhangs bedeutet „DPA“ die zwischen dem Kunden und HubSpot geltende Vereinbarung zur Datenverarbeitung, als deren Bestandteil diese Klauseln gelten. Der Begriff „Vertrag“ wird mit der Bedeutung verwendet, der ihm in der DPA gegeben wurde. 

Klausel 4 Buchstabe h und 8: Offenlegung dieser Klauseln  

a. Der Datenexporteur stimmt zu, dass diese Klauseln die vertraulichen Informationen (mit der Bedeutung aus dem Vertrag) des Datenimporteurs darstellen und dass der Datenexporteur diese nicht ohne die vorherige schriftliche Einwilligung des Datenimporteurs einem Dritten offenlegen darf, es sei denn, Gegensätzliches ist im Vertrag festgehalten.  Dies beschränkt jedoch nicht die Offenlegung dieser Klauseln gegenüber einer betroffenen Person gemäß Klausel 4 Buchstabe h oder einer Aufsichtsbehörde gemäß Klausel 8.

Klausel 5 Buchstabe a: Aussetzung der Datenübermittlung und Kündigung

a. Die Vertragsparteien vereinbaren, dass der Datenimporteur die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den vorliegenden Klauseln verarbeiten darf.

b. Falls der Datenimporteur die obige Vereinbarung aus irgendwelchen Gründen nicht einhalten kann, vereinbaren die Vertragsparteien, dass der Datenimporteur den Datenexporteur unverzüglich davon in Kenntnis setzen muss, und dass der Datenexporteur unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten.

c. Falls der Datenexporteur die Übermittlung personenbezogener Daten aussetzen und/oder von den Klauseln zurücktreten möchte, wird er versuchen, den Datenimporteur darüber in Kenntnis zu setzen und ihm ein angemessenes Zeitfenster zur Behebung der Nichteinhaltung („Behebungsfrist“) einzuräumen.

d. Falls der Datenimporteur die Nichteinhaltung nach dieser Behebungsfrist nicht beheben konnte, kann der Datenexporteur die Übermittlung personenbezogener Daten unmittelbar aussetzen oder beenden.  Der Datenexporteur muss keine solche Benachrichtigung an den Datenimporteur richten, falls der Datenexporteur davon ausgeht, dass ein beträchtliches Risiko besteht, dass eine betreffende Person oder ihre personenbezogenen Daten dadurch Schaden erleiden werden.

Klausel 5 Buchstabe f: Prüfungen

a. Der Datenexporteur stimmt zu, dass er seine Auditrechte gemäß Klausel 5 Buchstabe f in Anspruch nehmen wird, indem er den Datenimporteur dazu auffordert, die Auditmaßnahmen in Abschnitt 7 Buchstabe g („Nachweis der Einhaltung“) dieser DPA zu erfüllen.  

Klausel 5 Buchstabe j: Offenlegung von Unteraufträgen

a. Die Vertragsparteien erkennen an, dass der Datenimporteur dazu verpflichtet ist, dem Datenexporteur unverzüglich eine Kopie jeglichen Unterauftrags zuzuschicken, den er gemäß den Klauseln geschlossen hat.

b. Die Vertragsparteien erkennen außerdem an, dass der Datenimporteur aufgrund von Vertraulichkeitsverpflichtungen gegenüber seinen Unterauftragsverarbeitern unter Umständen nicht dazu befugt ist, dem Datenexporteur abgeschlossene Unteraufträge offenzulegen.  Der Datenimporteur muss trotzdem in angemessener Weise dafür Sorge tragen, dass er von jedem von ihm beauftragten Unterauftragsverarbeiter einfordert, dem Datenexporteur den jeweiligen Unterauftrag offenzulegen.

c. Auch in Fällen, in denen der Datenimporteur dem Datenexporteur einen Unterauftrag nicht offenlegen darf, vereinbaren die Vertragsparteien, dass der Datenimporteur auf Anfrage des Datenexporteurs dem Datenexporteur (auf vertraulicher Basis) alle Informationen bereitstellen wird, die dieser in Verbindung mit solch einem Unterauftrag als angemessenen betrachtet.

Klausel 6: Haftung

Klausel 11:  Vergabe von Unteraufträgen

a. Die Vertragsparteien vereinbaren, dass gemäß FAQ II.1 aus dem WP 176 der Artikel 29-Datenschutzgruppe mit dem Titel „Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“ der Datenexporteur dem Datenimporteur eine generelle vorherige Zustimmung zur Vergabe von Unteraufträgen erteilen kann.

b. In diesem Sinne erteilt der Datenexporteur dem Datenimporteur gemäß Klausel 11 dieser Klauseln eine generelle Erlaubnis zur Vergabe von Unteraufträgen.  Diese Erlaubnis unterliegt der Einhaltung durch den Datenimporteur der Bestimmungen, die in Abschnitt 7 Buchstabe d der DPA („Benachrichtigung über neue Unterauftragsverarbeiter bzw. Einwände gegen solche“) festgehalten sind. 

Klausel 12: Pflichten nach Beendigung der Datenverarbeitungsdienste

a. Der Datenimporteur stimmt zu, dass der Datenexporteur seinen Pflichten zur Rückgabe oder Vernichtung aller personenbezogenen Daten nach Beendigung der Bereitstellung von Datenverarbeitungsdiensten nachgekommen ist, wenn der Datenexporteur die Bestimmungen aus dem Abschnitt der DPA mit dem Titel „Löschung oder Rückgabe personenbezogener Daten“ erfüllt hat.  

Anlage 4 – Liste der Unterauftragsverarbeiter

Amazon Web Services, Inc.

Google, Inc.

Cloudflare, Inc.

Twilio, Inc.

Message Systems, Inc.

SendGrid, Inc.

Snowflake, Inc.* 

HubSpot, Inc.

HubSpot Ireland, Ltd.

HubSpot Germany GmbH

HubSpot Australia Pty. Ltd.

HubSpot Asia Pte. Ltd.

HubSpot Japan KK

HubSpot Latin America, S.A.S.

HubSpot Sweden

* Betrifft HubSpot-Kunden, die Dienste am 11. März 2020 oder danach kaufen: Ihre Daten werden automatisch von Snowflake, unserem neuen Unterauftragsverarbeiter, gespeichert/verarbeitet. Bestehende HubSpot-Kunden, die unsere Dienste vor dem 11. März 2020 gekauft haben, erhalten in den kommenden Wochen eine E-Mail-Benachrichtigung bezüglich der Hinzufügung von Snowflake als Unterauftragsverarbeiter. 

In dieser E-Mail werden Sie darüber unterrichtet, dass Sie im Rahmen der Vereinbarung zur Datenverarbeitung das Recht haben, gegen das Hochladen Ihrer Kundendaten (gemäß Definition in den HubSpot Nutzungsbedingungen für Kunden) auf Snowflake Widerspruch einzulegen und somit auf das Hochladen auf Snowflake zu verzichten. Ihre Daten werden erst nach Ablauf der 30-tägigen Opt-out-Frist auf Snowflake hochgeladen. Bei Fragen wenden Sie sich bitte an snowflakemigration@hubspot.com. 

Wenn Sie gerne per E-Mail über Aktualisierungen der Anlage 4 in Kenntnis gesetzt werden möchten, dann klicken Sie hier.