Legal Stuff

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

Stand: 19. Juli 2021

Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.

[Brauchen Sie eine unterzeichnete Ausführung? Klicken Sie hier.]

In dieser HubSpot-Vereinbarung zur Datenverarbeitung und ihren Anlagen („DPA“) ist die Übereinkunft zwischen Ihnen (dem Kunden) und uns (HubSpot) bezüglich der Bedingungen für die Verarbeitung personenbezogener Daten durch uns in Ihrem Namen im Rahmen der Bereitstellung der HubSpot-Abonnementdienste gemäß den HubSpot Nutzungsbedingungen für Kunden (in dieser DPA auch „Vertrag“ genannt) niedergelegt.

Diese DPA ist ein integraler Bestandteil des Vertrags und sie tritt mit ihrer Aufnahme in den Vertrag in Kraft. Auf die Aufnahme in den Vertrag kann im Vertrag selbst, in einer Bestellung oder einer rechtswirksamen Änderung des Vertrags hingewiesen werden. Im Falle eines Konflikts zwischen den Bestimmungen des Vertrags und der DPA oder widersprüchlicher Angaben im Vertrag und in der DPA sind die Bestimmungen der DPA hinsichtlich des jeweiligen Konflikts oder Widerspruchs vorrangig gegenüber den Bestimmungen des Vertrags.

Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie ein aktives HubSpot-Abonnement haben, benachrichtigen wir Sie über etwaige Aktualisierungen per E-Mail (sofern Sie über den Link in unseren Rahmenbedingungen entsprechende E-Mail-Benachrichtigungen abonniert haben) oder per In-App-Benachrichtigung. Archivierte Versionen der DPA finden Sie hier.

Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern in dieser DPA keine andere Bedeutung angegeben ist.

1. Definitionen
2. Pflichten des Kunden
3. Pflichten von HubSpot
4. Anfragen betroffener Personen
5. Unterauftragsverarbeiter
6. Datenübermittlung
7. Zusätzliche Bestimmungen für Daten europäischer Bürger
8. Dritter Unterauftragsverarbeiter

• Allgemeine Regelungen
• Vertragsparteien dieser DPA

Anlage 1 – Details zur Verarbeitung

Anlage 2 – Sicherheitsmaßnahmen

Anlage 3 – Standardvertragsklauseln

Anlage 4 – Liste der Unterauftragsverarbeiter

1. Definitionen

„Personenbezogene Daten kalifornischer Bürger“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.

„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018).

Die Begriffe „Kunde“, „Unternehmen“, „Verkaufen“ und „Dienstleister“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Consumer“ (Kunde), „Business“ (Unternehmen), „Sell“ (Verkaufen) und „Service Provider“ (Dienstleister) festgelegt sind. 

„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

„Datenschutzrecht“ sind alle anwendbaren, weltweiten Gesetze bezüglich des Datenschutzes und des Schutzes der Persönlichkeitsrechte, die für die jeweilige Vertragspartei bei der Verarbeitung der in dem Vertrag definierten personenbezogenen Daten gelten. Dies umfasst unter anderen das europäische Datenschutzrecht, den CCPA und die Datenschutzgesetze und Gesetze zum Schutz von Persönlichkeitsrechten von Australien und Singapur, in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form. 

„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.

„Europa“ ist die Europäische Union, der Europäische Wirtschaftsraum und/oder die jeweiligen Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich. 

„Personenbezogene Daten europäischer Bürger“ sind personenbezogene Daten, die dem Schutz des europäischen Datenschutzrechts unterliegen.

„Europäisches Datenschutzrecht“ bezeichnet in Europa geltende Datenschutzgesetze, darunter in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii); oder (iii) die DSGVO als Teil des innerstaatlichen Rechts des Vereinigten Königreichs auf Grundlage von Abschnitt 3 des European Union (Withdrawal) Act 2018 (Gesetz über den Austritt aus der Europäischen Union, „UK DSGVO“); und (iv) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und dessen Verordnung.  

„Weisungen“ steht für die schriftlichen und verbrieften Anweisungen, mit denen ein für die Verarbeitung Verantwortlicher einen Auftragsverarbeiter zu einer bestimmten oder allgemeinen Maßnahme hinsichtlich der Handhabung personenbezogener Daten auffordert (zum Beispiel Anonymisierung, Sperrung, Löschung, Verfügbarmachung).

„Zulässige verbundene Unternehmen“ sind jegliche verbundenen Unternehmen von Ihnen, die (i) die Abonnementdienste gemäß dem Vertrag nutzen dürfen, jedoch keine entsprechende separate Vereinbarung mit uns unterzeichnet haben und gemäß der Definition im Vertrag nicht als „Kunde“ gelten; (ii) als für die Verarbeitung Verantwortliche der von uns verarbeiteten personenbezogenen Daten gelten; und (iii) dem europäischen Datenschutzrecht unterliegen.

„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern diese Informationen Bestandteil der Kundendaten sind und unter ähnlichem Schutz anwendbaren Datenschutzrechts stehen wie personenbezogene Daten oder Informationen zur Identifizierung einer Person.

„Verletzung des Schutzes personenbezogener Daten“ steht für einen Sicherheitsverstoß, der zu versehentlichen oder ungesetzlichen Löschungen, Verlusten, Veränderungen bzw. unbefugten Offenlegungen von oder Zugriffen auf personenbezogene(n) Daten führt, die von uns und/oder unseren Unterauftragsverarbeitern in Verbindung mit der Bereitstellung der Abonnementdienste übermittelt, gespeichert oder anderweitig verarbeitet werden. „Verletzung des Schutzes personenbezogener Daten“ steht nicht für gescheiterte Versuche oder Aktivitäten, welche die Sicherheit personenbezogener Daten nicht gefährden, einschließlich misslungener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe gegen Firewalls oder vernetzte Systeme.

„Privacy-Shield-Abkommen“ ist das Selbstzertifizierungsprogramm für das EU-US Privacy-Shield-Abkommen und das Swiss-U.S. Privacy Shield des US-Handelsministeriums (US Department of Commerce), das von der Europäischen Kommission gemäß ihrer Entscheidung vom 12. Juli 2016 und vom Schweizerischen Bundesrat gemäß seiner Entscheidung vom 11. Januar 2017 angenommen wurde (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).

„Datenschutzgrundsätze der Privacy-Shield-Abkommen“ sind die Datenschutzgrundsätze der Privacy-Shield-Abkommen (ergänzt um die Zusatzgrundsätze) aus Anhang II des Beschlusses der Europäischen Kommission vom 12. Juli 2016 (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).

„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „Verarbeiten“ und „Verarbeitet“ u. Ä. sind entsprechend auszulegen.

„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

„Standardvertragsklauseln“ steht für die Standardvertragsklauseln für Auftragsverarbeiter, die gemäß Beschluss der Europäischen Kommission vom 5. Februar 2010 (bekannt gegeben unter Aktenzeichen K(2010) 593) in der in Anlage 3 in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form angenommen wurden.

„Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der von uns oder unseren verbundenen Unternehmen damit beauftragt wird, uns bei der Erfüllung seiner Pflichten im Rahmen der Bereitstellung der Abonnementdienste gemäß Vertrag zu unterstützen.  Unterauftragsverarbeiter sind gegebenenfalls Drittanbieter oder verbundene Unternehmen von uns, nicht jedoch Mitarbeiter oder Berater von HubSpot.  

2. Pflichten des Kunden

a. Einhaltung von Gesetzen. Sie sind im Rahmen des Vertrags und im Zuge Ihrer Inanspruchnahme der Leistungen verantwortlich für die Erfüllung aller geltenden Anforderungen, denen Sie gemäß anwendbarem Datenschutzrecht hinsichtlich der Verarbeitung personenbezogener Daten und gemäß den Weisungen, die Sie uns geben, unterliegen.

Insbesondere gilt, dass Sie unbeschadet der Allgemeingültigkeit des Vorausgehenden zustimmen, dass Sie allein die Verantwortung tragen für: (i) die Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie der Mittel, mit denen Sie personenbezogene Daten erhalten; (ii) die Einhaltung aller Anforderungen auf Rechtmäßigkeit und Transparenz gemäß anwendbarem Datenschutzrecht hinsichtlich der Erhebung und Verwendung personenbezogener Daten, einschließlich der Einholung jeglicher erforderlichen Zustimmungen und Berechtigungen (insbesondere bei Verwendung zu Marketingzwecken durch Sie); (iii) die Gewährleistung, dass Sie dazu berechtigt sind, die personenbezogenen Daten zum Zwecke der Verarbeitung in Übereinstimmung mit den Bestimmungen des Vertrags (einschließlich dieser DPA) an uns zu übermitteln oder uns Zugriff darauf zu geben; (iv) die Gewährleistung, dass Ihre Weisungen an uns hinsichtlich der Verarbeitung von personenbezogenen Daten mit den anwendbaren Gesetzen, einschließlich des Datenschutzrechts, übereinstimmen; und (v) die Einhaltung aller geltenden Gesetze (einschließlich des Datenschutzrechts) hinsichtlich der E-Mails oder anderer Inhalte, die über die Abonnementdienste erstellt, versendet oder verwaltet werden, einschließlich der Gesetze bezüglich der Einholung des Einverständnisses (soweit erforderlich) für den Versand von E-Mails, den Inhalt von E-Mails und die E-Mail-Versandpraktiken. Sie müssen uns unverzüglich darüber informieren, wenn Sie nicht dazu in der Lage sind, Ihre Pflichten gemäß diesem Abschnitt „Einhaltung von Gesetzen“ oder dem anwendbaren Datenschutzrecht nachzukommen.

b. Weisungen des für die Verarbeitung Verantwortlichen. Die Vertragsparteien vereinbaren, dass der Vertrag (einschließlich vorliegender DPA) sowie die Verwendung des Abonnementdienstes durch Sie in Übereinstimmung mit dem Vertrag die vollständigen und endgültigen Weisungen des Kunden an uns bezüglich der Verarbeitung von personenbezogenen Daten darstellen und dass zusätzliche Anweisungen über die Weisungen hinaus nur gültig sind, wenn sie vorab schriftlich zwischen uns vereinbart wurden.

c. Datensicherheit Sie müssen eigenständig prüfen, ob die im Rahmen des Abonnementdienstes gewährleistete Datensicherheit in angemessener Weise Ihren Pflichten gemäß dem anwendbaren Datenschutzrecht entspricht. Sie sind außerdem für die sichere Nutzung des Abonnementdienstes verantwortlich, einschließlich der Gewährleistung von Sicherheit bei der Übermittlung personenbezogener Daten im Zusammenhang mit dem Abonnementdienst (dazu zählen Sicherung und Verschlüsselung solcher personenbezogenen Daten).

3. Pflichten von HubSpot

a. Befolgung der Weisungen. Wir verarbeiten personenbezogene Daten ausschließlich zu den in dieser DPA beschriebenen Zwecken oder wie im Rahmen der rechtmäßigen Weisungen des Kunden vereinbart, ausgenommen wenn und nur in dem Umfang, in dem dies von geltendem Recht vorgeschrieben ist. Wir unterliegen nicht der Einhaltung des für Sie oder Ihre Branche geltenden Datenschutzrechts, welches nicht auch generell für uns anwendbar ist.

b. Kollisionsrecht. Wenn wir bemerken, dass wir personenbezogene Daten aufgrund jeglicher anwendbaren gesetzlichen Anforderungen nicht gemäß den Weisungen des Kunden verarbeiten können, werden wir (i) Sie im gesetzlich zulässigen Umfang unverzüglich von der betreffenden gesetzlichen Vorschrift in Kenntnis setzen; und (ii) falls erforderlich jegliche Verarbeitung (abgesehen vom reinen Speichern und der Aufrechterhaltung der Sicherheitsvorkehrungen für die betreffenden personenbezogenen Daten) so lange einstellen, bis Sie neue Weisungen geben, die wir in der Lage sind, zu erfüllen. Wenn diese Regelung zur Anwendung kommt, sind wir Ihnen gegenüber gemäß Vertrag so lange nicht haftbar für die Nichterbringung der betroffenen Abonnementdienste, bis Sie neue, rechtmäßige Weisungen für die Verarbeitung geben.

c. Datensicherheit Wir werden alle angemessenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten, um die Verletzung des Schutzes personenbezogener Daten, wie in Anlage 2 dieser DPA dargelegt, („Sicherheitsmaßnahmen“) zu verhindern. Unbeschadet anderslautender Bestimmungen dürfen wir diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung des Schutzes, der durch diese Sicherheitsmaßnahmen geboten wird. 

d. Vertraulichkeit. Wir müssen gewährleisten, dass sämtliches Personal, welches wir zur Verarbeitung personenbezogener Daten in unserem Auftrag befugen, bezüglich der besagten personenbezogenen Daten einer Vertraulichkeitsverpflichtung (vertragliche oder gesetzliche Verpflichtung) unterliegt.

e. Verletzungen des Schutzes personenbezogener Daten. Wir werden Sie unverzüglich darüber informieren, wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Wir werden Ihnen zudem Informationen hinsichtlich der Verletzung des Schutzes personenbezogener Daten zeitnah bereitstellen, sobald diese bekannt oder im angemessenen Rahmen durch Sie angefragt werden. Auf Ihre Aufforderung hin werden wir Ihnen unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um Sie in die Lage zu versetzen, eine relevante Verletzung des Schutzes personenbezogener Daten den zuständigen Behörden und/oder den berührten betroffenen Personen zu melden, sofern Sie dazu gemäß anwendbarem Datenschutzrecht verpflichtet sind.

f. Löschung oder Rückgabe personenbezogener Daten. Wir werden alle in Übereinstimmung mit dieser DPA verarbeiteten Kundendaten (einschließlich personenbezogener Daten und Kopien davon) bei Kündigung oder Ablauf Ihres Abonnementdienstes gemäß den in den produktspezifischen Klauseln festgelegten Verfahren löschen oder zurückgeben. Diese Bestimmung gilt jedoch nicht, sofern wir gesetzlich dazu verpflichtet sind, bestimmte oder alle Kundendaten aufzubewahren, oder für Kundendaten, die wir in unserem Backup-Systemen archiviert haben, welche wir sicher getrennt speichern, vor weiterer Verarbeitung schützen und im Einklang mit unserem Löschverfahren löschen werden. Sie können nach Ablauf oder Kündigung Ihres Abonnements einen Antrag auf Löschung Ihres HubSpot-Accounts stellen, indem Sie ein entsprechendes Gesuch hier abgeben. Sie können Ihren Account außerdem entsprechend den Bestimmungen im Abschnitt „Frühzeitige Kündigung“ der Nutzungsbedingungen für Kunden kündigen und eine dauerhafte Löschung beantragen, indem Sie die hier verfügbaren Anweisungen befolgen. Sie können Ihre Kundendaten in Ihrem Account in Übereinstimmung mit den Abschnitten zum Thema „Abruf von Kundendaten“ der produktspezifischen Bedingungen abrufen.

4. Anfragen betroffener Personen

Der Abonnementdienst stellt Ihnen eine Reihe von Funktionen zur Verfügung, mit denen Sie personenbezogene Daten aufrufen, verbessern und löschen oder den Zugriff darauf einschränken können. Sie können diese Funktionen nutzen, um Ihren Pflichten gemäß Datenschutzrecht nachzukommen, einschließlich Ihrer Pflichten hinsichtlich der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß anwendbarem Datenschutzrecht geltend machen möchten („Anfragen betroffener Personen“). 

Sofern Sie nicht in der Lage sind, der Anfrage einer betroffenen Person über den Abonnementdienst allein nachzukommen, werden wir Ihnen auf schriftliche Nachfrage hin angemessene Unterstützung geben, um jeglichen Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten gemäß dem Vertrag nachzukommen. Sie erstatten uns die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.

Wenn eine Anfrage oder eine andere Kommunikation einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gemäß dem Vertrag direkt an uns gerichtet wird, werden wir Sie unverzüglich darüber informieren und die betroffene Person darauf hinweisen, dass sie ihre Anfrage an Sie richten muss. Die wirksame Beantwortung von Anfragen oder Mitteilungen betroffener Personen bezüglich personenbezogener Daten obliegt ausschließlich Ihnen.

5. Unterauftragsverarbeiter

Sie stimmen zu, dass wir Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten in Ihrem Namen beauftragen dürfen. Aktuell beauftragen wir als Unterauftragsverarbeiter die verbundenen Unternehmen von HubSpot und die Drittanbieter, die in Anlage 4 zu dieser DPA aufgeführt sind. Wir informieren Sie im Vorfeld darüber, wenn wir Unterauftragsverarbeiter von Anlage 4 entfernen oder neue hinzufügen, sofern Sie einer entsprechenden Benachrichtigung per E-Mail zustimmen, indem Sie dieses Formular ausfüllen.

Wenn wir Unterauftragsverarbeiter beauftragen, erlegen wir ihnen Datenschutzbestimmungen auf, durch die personenbezogene Daten mindestens genauso gut schützt sind wie unter der DPA (einschließlich, falls zutreffend, Standardvertragsklauseln), sofern für die Art der von den Unterauftragsverarbeitern bereitgestellten Dienstleistungen zutreffend. Wir sind dafür verantwortlich, dass jeder Unterauftragsverarbeiter die Bestimmungen der DPA einhält ebenso wie für jegliche Handlungen oder unterlassenen Handlungen dieser Unterauftragsverarbeiter, die dazu führen, dass wir gegen eine seiner Pflichten gemäß DPA verstoßen.

6. Datenübermittlung

Sie stimmen zu, dass wir zwecks Bereitstellung des Abonnementdienstes und gemäß dem Vertrag auf weltweiter Ebene auf personenbezogene Daten zugreifen und diese auf weltweiter Ebene verarbeiten können. Sie stimmen insbesondere zu, dass die Übermittlung und Verarbeitung personenbezogener Daten an bzw. durch HubSpot, Inc. in den/die USA und andere/n Jurisdiktionen, in denen verbundene Unternehmen und Unterauftragsverarbeiter von HubSpot vertreten sind, erfolgen kann. Bei der Übermittlung personenbezogener Daten außerhalb des Ursprungslandes gewährleisten beide Vertragsparteien, dass diese Übermittlungen in Übereinstimmung mit den Vorschriften des Datenschutzrechts erfolgen.

7. Zusätzliche Bestimmungen für Daten europäischer Bürger

a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für Daten europäischer Bürger“ betrifft ausschließlich personenbezogene Daten europäischer Bürger.

b. Rollen der Vertragsparteien. Die Vertragsparteien nehmen zur Kenntnis und vereinbaren, dass im Rahmen der Verarbeitung von personenbezogenen Daten europäischer Bürger in Übereinstimmung mit den Weisungen des Kunden Sie die Rolle des Datenverantwortlichen bzw. für die Verarbeitung Verantwortlichen und wir die Rolle des Auftragsverarbeiters der Daten haben.

c. Weisungen. Wenn wir der Meinung sind, dass Ihre Weisung das europäische Datenschutzrecht (falls anwendbar) verletzt, werden wir Sie unverzüglich darüber in Kenntnis setzen.

d. Benachrichtigung über neue Unterauftragsverarbeiter bzw. Einwände gegen solche. Wir werden Sie über jegliche Änderungen hinsichtlich der Unterauftragsverarbeiter informieren, indem wir Anlage 4 zu dieser DPA aktualisieren. Wir geben Ihnen außerdem die Möglichkeit, binnen 30 Tagen nach entsprechender Mitteilung aus angemessenen Gründen bezüglich des Schutzes personenbezogener Daten gegen die Beauftragung der neuen Unterauftragsverarbeiter Widerspruch einzulegen. Wenn Sie uns einen solchen Einwand entgegenbringen, werden wir die Angelegenheit in gutem Glauben besprechen, um eine geschäftlich angemessene Lösung zu finden. Falls eine solche Lösung nicht erreicht werden kann, werden wir nach eigenem Ermessen den neuen Unterauftragsverarbeiter entweder nicht beauftragen oder Ihnen ermöglichen, den betroffenen Abonnementdienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten).

e. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. Wenn Ihnen die erforderlichen Informationen zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, werden wir Sie vor Rückfragen an die Aufsichtsbehörden oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche gemäß europäischem Datenschutzrecht erforderlich ist.

f. Datenübermittlungsmechanismen.

(A) HubSpot übermittelt personenbezogene Daten europäischer Bürger nicht an Länder oder Empfänger, deren Bereitstellung eines angemessenen Schutzes personenbezogener Daten nicht anerkannt ist (Bedeutung gemäß geltendem europäischem Datenschutzrecht), sofern HubSpot nicht im Vorfeld alle erforderlichen Maßnahmen trifft, um eine Übermittlung in Übereinstimmung mit dem europäischen Datenschutzrecht zu gewährleisten. Solche Maßnahmen umfassen unter anderem (jedoch ohne Einschränkung) die Datenübermittlung an Empfänger, die durch geeignete von den einschlägigen Behörden oder Gerichten anerkannte Rahmenbedingungen oder andere rechtlich angemessene Übermittlungsmechanismen für die Gewährleistung eines angemessenen Schutzes für personenbezogene Daten abgedeckt sind, die eine Autorisierung ihrer verbindlichen unternehmensinternen Vorschriften in Übereinstimmung mit europäischem Datenschutzrecht erhalten haben, oder die entsprechende von der Europäischen Kommission angenommene oder bewilligte Standardvertragsklauseln in jedem Fall in Übereinstimmung mit anwendbarem europäischem Datenschutzrecht erfüllen.

(B) Sie bestätigen und stimmen zu, dass im Zusammenhang mit der Erbringung der Abonnementdienste HubSpot, Inc. ein Empfänger personenbezogener Daten in den Vereinigten Staaten ist. Die Vertragsparteien vereinbaren Folgendes:

• (a) Standardvertragsklauseln: Die Vertragsparteien stimmen zu, die Standardvertragsklauseln einzuhalten und personenbezogene Daten europäischer Bürger in Übereinstimmung mit den Standardvertragsklauseln zu verarbeiten.

• (b)  Privacy-Shield-Abkommen: Obwohl sich HubSpot, Inc. angesichts des Urteils des Europäischen Gerichtshofs in der Rechtssache C-311/18 nicht auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten berufen muss, verarbeitet HubSpot, Inc. personenbezogene Daten europäischer Bürger in Übereinstimmung mit dem Privacy-Shield-Abkommen, solange HubSpot, Inc. eine Selbstzertifizierung für das Privacy-Shield-Abkommen hält, falls HubSpot, Inc. nicht dazu in der Lage ist, dieser Voraussetzung nachzukommen, wird Sie HubSpot darüber informieren.
• (C) Die Vertragsparteien vereinbaren, dass für die Zwecke der Standardvertragsklauseln (i) HubSpot, Inc. als „Datenimporteur“ und der Kunde als „Datenexporteur“ gelten; (ii) für den Fall, dass HubSpot, Inc. nicht das vertragsschließende HubSpot-Unternehmen gemäß Vertrag ist, die vertragsschließende Partei (nicht HubSpot, Inc.) Ihnen gegenüber für die Erfüllung der Standardvertragsklauseln durch HubSpot, Inc. haftet und die volle und alleinige Verantwortung dafür trägt und Sie alle Anweisungen, Ansprüche oder Anfragen in Bezug auf die Standardvertragsklauseln an diese vertragsschließende Partei richten; und (iii) im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsklauseln (falls anwendbar) die Standardvertragsklauseln hinsichtlich des jeweiligen Konflikts maßgebend sind.

g. Nachweis der Einhaltung. Wir stellen Ihnen alle in angemessenem Maße erforderlichen Informationen bereit, um unsere Einhaltung dieser DPA unter Beweis zu stellen. Wir ermöglichen und unterstützen zudem die Durchführung von entsprechenden Prüfungen (Audits), darunter von Ihnen durchgeführte Kontrollen zwecks Überprüfung der Einhaltung dieser DPA. Sie stimmen zu, dass Sie Ihre Auditrechte gemäß dieser DPA in Anspruch nehmen werden, indem Sie uns dazu auffordern, die Auditmaßnahmen in diesem Abschnitt „Nachweis der Einhaltung“ zu erfüllen. Sie erkennen an, dass der Abonnementdienst von den Rechenzentrumspartnern von HubSpot gehostet wird, welche unabhängig validierte Sicherheitsprogramme verfolgen (darunter SOC 2 und ISO 27001), und dass die Systeme von HubSpot regelmäßig durch unabhängige Drittanbieter von Penetrationstests geprüft werden. Auf Nachfrage stellen wir Ihnen (auf vertraulicher Basis) eine Zusammenfassung von solchen Penetrationstestberichten bereit, damit Sie die Einhaltung dieser DPA durch HubSpot überprüfen können.  Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin (auf vertraulicher Basis) schriftliche Antworten auf alle Ihre angemessenen Informationsanfragen bereitstellen, die für die Überprüfung der Einhaltung dieser DPA durch uns erforderlich sind, sofern Sie höchstens einmal pro Kalenderjahr von diesem Recht Gebrauch machen.

8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger

a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger“ betrifft ausschließlich personenbezogene Daten kalifornischer Bürger.

b. Rollen der Vertragsparteien. Die Vertragsparteien vereinbaren, dass im Rahmen der Anwendung des CCPA bei der Verarbeitung personenbezogener Daten kalifornischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde ein Unternehmen ist und HubSpot ein Dienstleister.

c. Zuständigkeiten. Die Vertragsparteien vereinbaren, dass HubSpot personenbezogene Daten kalifornischer Bürger in seiner Rolle des Dienstleisters nur für Zwecke der Bereitstellung der Abonnementdienste gemäß dem Vertrag verarbeitet (der „Geschäftszweck“) oder für andere gemäß CCPA erlaubten Zwecke, einschließlich den im Abschnitt „Datenpraktiken und maschinelles Lernen“ unserer produktspezifischen Klauseln beschrieben Zwecken.

9. Allgemeine Regelungen

a. Änderungen. Unbeschadet gegensätzlicher Regelungen im Vertrag und unbeschadet der Allgemeingültigkeit der Abschnitte „Befolgung der Weisungen“ und „Datensicherheit“ dieser DPA behält HubSpot sich das Recht vor, diese DPA zu aktualisieren und zu ändern, und es gelten die Bedingungen im Abschnitt „Änderungen; kein Verzicht“ der Rahmenbedingungen.

b. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser DPA als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser DPA.

c. Haftungsbeschränkung. Die Haftung der jeweiligen Vertragsparteien und ihrer jeweiligen verbundenen Unternehmen hinsichtlich vertraglicher, deliktischer oder auf jeder sonstigen Haftungstheorie beruhenden Ansprüche, die sich aus dieser DPA (und jeder weiteren DPA zwischen den Vertragsparteien) sowie den Standardvertragsklauseln (sofern anwendbar) ergeben oder damit verbunden sind, unterliegt zusammengenommen den Haftungsbeschränkungen und -ausschlüssen, die in dem Abschnitt der Rahmenbedingungen „Haftungsbeschränkung“ dargelegt sind, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Vertragspartei bezeichnet die Gesamthaftung dieser Vertragspartei und all ihrer verbundenen Unternehmen gemäß Vertrag (einschließlich dieser DPA).  Zwecks Ausschluss jeglichen Zweifels gilt, dass sofern HubSpot, Inc. keine Vertragspartei des Vertrags ist, der Abschnitt der Rahmenbedingungen „Haftungsbeschränkung“ als zwischen dem Kunden und HubSpot, Inc. vereinbart gilt. Bezugnahmen auf „HubSpot“, „wir“, „uns“, „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist. Unter keinen Umständen wird die Haftung der Vertragsparteien bezüglich der Datenschutzrechte Einzelner im Rahmen dieser DPA (einschließlich der Standardvertragsklauseln) oder anderweitiger Bestimmungen beschränkt.

d. Anwendbares Recht. Diese DPA unterliegt den im Abschnitt „Vertragsschließende Partei und maßgebendes Recht“ der rechtsgebietsspezifischen Klauseln geltenden Gesetzen und wird diesen entsprechend ausgelegt, ausgenommen anderslautender Bestimmungen im Datenschutzrecht.

10. Vertragsparteien dieser DPA

a. Zulässige verbundene Unternehmen. Durch Unterzeichnung des Vertrags nehmen Sie diese DPA in Ihrem eigenen Namen und, sofern erforderlich gemäß anwendbarem Datenschutzrecht, im Namen Ihrer zulässigen verbundenen Unternehmen an, wodurch separate DPAs zwischen uns und jedem dieser zulässigen verbundenen Unternehmen geschlossen werden, welche dem Vertrag und den Abschnitten „Allgemeine Regelungen“ und „Vertragsparteien dieser DPA“ dieser DPA unterliegen. Jedes zulässige verbundene Unternehmen stimmt zu, dass es an die Verpflichtungen dieser DPA und, im anwendbaren Maße, an den Vertrag gebunden ist. Für die ausschließlichen Zwecke dieser DPA, und sofern nicht anders angegeben, umfasst der Begriff „Kunde“, „Sie“ und „Ihr(e)“ den Kunden und solche zulässigen verbundenen Unternehmen.

b. Autorisierung. Der Rechtsträger, welcher dieser DPA als Kunde zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA in seinem eigenen Namen und, falls zutreffend, im Namen jedes seiner zulässigen verbundenen Unternehmen ermächtigt ist.

c. Rechtsmittel.Ausgenommen ein zulässiges verbundenes Unternehmen ist durch anwendbares Datenschutzrecht dazu verpflichtet, bezüglich dieser DPA gegen uns selbst mittelbar von einem Recht Gebrauch zu machen oder einen Rechtsbehelf einzulegen, vereinbaren die Vertragsparteien, dass (i) ausschließlich das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, im Namen seiner verbundenen Unternehmen von einem Recht Gebrauch machen oder einen Rechtsbehelf einlegen kann, das bzw. der einem zulässigen verbundenen Unternehmen gemäß dieser DPA zusteht; und (ii) das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, diese Rechte gemäß dieser DPA nicht separat für jedes zulässige verbundene Unternehmen geltend machen kann, sondern in kombinierter Form für sich selbst und alle seine zulässigen verbundenen Unternehmen. Das Kundenunternehmen, welches die vertragsabschließende Partei ist, ist verantwortlich für die Koordination der gesamten Kommunikation mit uns gemäß dieser DPA und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner zulässigen verbundenen Unternehmen anzunehmen und durchzuführen.

d. Andere Rechte. Die Vertragsparteien vereinbaren, dass Sie im Rahmen der Prüfung von unserer Einhaltung dieser DPA gemäß Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen, um negative Auswirkungen auf den Betrieb von HubSpot und seiner verbundenen Unternehmen einzuschränken, indem Sie mehrere Auditanfragen, die im Namen des Kundenunternehmens, welches die vertragsabschließende Partei des Vertrags ist, und all seiner zulässigen verbundenen Unternehmen ausgeführt werden, in einem einzigen Audit zusammenfassen.

Anlage 1 – Details zur Verarbeitung

Diese Anlage ist Bestandteil der DPA. 

Wir verarbeiten personenbezogene Daten im erforderlichen Maße, um die Abonnementdienste gemäß dem Vertrag, den Angaben im Bestellformular und Ihren Anweisungen im Rahmen Ihrer Nutzung der Abonnementdienste, bereitzustellen.

B.  Dauer der Verarbeitung

Gemäß dem Abschnitt „Löschung oder Rückgabe personenbezogener Daten“ in vorliegender DPA werden wir personenbezogene Daten für den im Vertrag festgelegten Zeitraum verarbeiten, sofern nicht anders schriftlich festgelegt.  

Sie können bei Ihrer Verwendung des Abonnementdienstes personenbezogene Daten übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen enthalten:

Ihrer Kontakte und weitere Endnutzer einschließlich Ihrer Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer. Betroffene Personen umfassen unter Umständen auch Einzelpersonen, die versuchen, personenbezogene Daten an Ihre Endnutzer zu übermitteln oder mit diesen zu kommunizieren.

Sie können personenbezogene Daten an die Abonnementdienste übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem die folgenden Kategorien personenbezogener Daten enthalten: 

• – Kontaktinformationen (gemäß Definition in den Rahmenbedingungen)
• – Jegliche anderen personenbezogenen Daten, die von Ihnen oder Ihren Endnutzern über den Abonnementdienst übermittelt, gesendet oder empfangen wurden

Die Vertragsparteien gehen nicht von einer Übermittlung von Daten besonderer Datenkategorie aus.

Personenbezogene Daten werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen: 

Anlage 2 – Sicherheitsmaßnahmen

Diese Anlage ist Bestandteil der DPA.

Wir befolgen aktuell die in Anlage 2 beschriebenen Sicherheitsverfahren. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die in den Rahmenbedingungen festgelegt ist.

a) Zugangskontrolle

i) Schutz vor unbefugtem Produktzugriff

Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer DPA anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.

Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.

Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.

Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.

Wir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.

Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.

Angriffserkennung und Prävention: Wir implementieren eine Web Application Firewall (WAF), um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.

Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird bei Sicherheitsüberprüfungen mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.

Penetrationstests: Wir arbeiten mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nehmen pro Jahr vier Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen.

Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. Wir implementieren ein solches Bug-Bounty-Programm, um das große Potenzial der Community von Sicherheitsexperten zu nutzen und den Schutz unserer Produkte gegen ausgefeilte Angriffstechniken zu verbessern.

iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen

Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“-Zugriffsanfrage; alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Die Mitarbeiterrollen werden mindestens alle sechs Monate überprüft.

Hintergrundüberprüfung: Alle HubSpot-Mitarbeiter unterziehen sich unter Beachtung der anwendbaren Gesetze und wie in deren Rahmen zulässig einer externen Hintergrundüberprüfung, bevor ihnen eine Anstellung angeboten wird. Alle HubSpot-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.

Verschlüsselung der Datenübertragung: Wir stellen für jede mit HubSpot-Produkten gehostete Kundenwebsite kostenlos und auf allen unseren Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) zur Verfügung. Wir verwenden für unsere HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.

Während der Speicherung: Wir speichern Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen.  Wir haben Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird. 

Erkennung: Unsere Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. Unsere Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind dafür geschult, auf bekannte Vorfälle reagieren zu können.

Reaktion und Nachverfolgung: Wir zeichnen bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum jeweiligen Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leiten wir angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Wir benachrichtigen Sie in Übereinstimmung mit den Bestimmungen des Vertrags. 

Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk und Klimatisierung ein.

Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.

Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.

Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und es begrenzt die Ausfallzeiten.

Anlage 3 – Standardvertragsklauseln

Folgendes gilt im Sinne von Artikel 26(2) der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die keinen angemessenen Datenschutz gewährleisten:

Der Kunde gemäß den HubSpot Nutzungsbedingungen für Kunden (der „Datenexporteur“)

und

HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA (der „Datenimporteur“),

jeweils eine „Vertragspartei“, zusammen „die Vertragsparteien“,

HABEN die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Sicherheitsmaßnahmen bezüglich des Schutzes der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten vom Datenexporteur an den Datenimporteur herbeizuführen:

Klausel 1

Definitionen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1.  Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

4. Die Vertragsparteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staats verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Aufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, welche die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) er den Datenexporteur unverzüglich informiert über:

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Aufsichtsbehörde ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

Klausel 6

Haftung

1. Die Vertragsparteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Vertragspartei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannten Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

(a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen oder
(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2. Die Vertragsparteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Aufsichtsbehörde gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt die Gesetzgebung des Mitgliedsstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Vertragsänderungen

Die Vertragsparteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Vertragsparteien allerdings frei, erforderlichenfalls weitere geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Unterauftragsverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs untervergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der vertraglichen Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Untervergabe von Datenverarbeitungsaufträgen gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der vom Datenimporteur gemäß den Klauseln mit Unterauftragsverarbeitern geschlossenen Vereinbarungen, von denen er seitens des Datenimporteurs nach Klausel 5 Buchstabe j jeweils in Kenntnis gesetzt wurde. Das Verzeichnis wird der Aufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Vertragsparteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs entweder alle übermittelten, personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten vernichten und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, welcher der Datenimporteur unterliegt, diesem die Rückübermittlung oder Vernichtung sämtlicher übermittelter, personenbezogener Daten oder von Teilen davon nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten, personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Überprüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln („Klauseln“).

Alle in diesem Anhang 1 verwendeten Begriffe werden mit der Bedeutung verwendet, die im Vertrag (einschließlich der DPA) festgelegt ist.

Datenexporteur

Der Datenexporteur ist der Rechtsträger, der in der DPA als „Kunde“ definiert ist. 

Datenimporteur

Der Datenimporteur ist HubSpot, Inc.

Betroffene Personen

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der betroffenen Personen. 

Kategorien von Daten

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der Datenkategorien. 

Besondere Datenkategorien (falls zutreffend)

Die Vertragsparteien gehen nicht von einer Übermittlung von Daten besonderer Datenkategorie aus.

Rechtsgrundlage für die Verarbeitung

HubSpot, Inc. verarbeitet personenbezogene Daten im erforderlichen Maße, um dem Datenexporteur die Abonnementdienste gemäß dem Vertrag bereitstellen zu können.  

Verarbeitung

Wir verweisen Sie auf Anlage 1 dieser DPA für eine Beschreibung der Verarbeitungstätigkeiten. 

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln („Klauseln“). 

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Wir verweisen Sie auf Anlage 2 dieser DPA für eine Beschreibung der von HubSpot implementierten technischen und organisatorischen Sicherheitsmaßnahmen. 

Anhang 3 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln („Klauseln“).

Dieser Anhang beschreibt die individuellen Auslegungen der Vertragsparteien ihrer jeweiligen Pflichten gemäß spezifischen Bestimmungen der Klauseln. Erfüllt eine Vertragspartei ihre Pflichten entsprechend der in diesem Anhang festgelegten Auslegung, erkennt die andere Vertragspartei an, dass erstere Vertragspartei ihren Pflichten gemäß den Klauseln nachgekommen ist.  

Im Rahmen dieses Anhangs bedeutet „DPA“ die zwischen dem Kunden und HubSpot geltende Vereinbarung zur Datenverarbeitung, als deren Bestandteil diese Klauseln gelten. Der Begriff „Vertrag“ wird mit der Bedeutung verwendet, der ihm in der DPA gegeben wurde. 

Klausel 4 Buchstabe h und 8: Offenlegung dieser Klauseln  

a. Der Datenexporteur stimmt zu, dass diese Klauseln die vertraulichen Informationen (mit der Bedeutung aus dem Vertrag) des Datenimporteurs darstellen und dass der Datenexporteur diese nicht ohne die vorherige schriftliche Einwilligung des Datenimporteurs einem Dritten offenlegen darf, es sei denn, Gegensätzliches ist im Vertrag festgehalten.  Dies beschränkt jedoch nicht die Offenlegung dieser Klauseln gegenüber einer betroffenen Person gemäß Klausel 4 Buchstabe h oder einer Aufsichtsbehörde gemäß Klausel 8.

Klausel 5 Buchstaben a und b: Aussetzung der Datenübermittlung und Kündigung

a. Die Vertragsparteien vereinbaren, dass der Datenimporteur die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den vorliegenden Klauseln verarbeiten darf.

b. Falls der Datenimporteur die obige Vereinbarung gemäß Klausel 5 Buchstaben a und b aus irgendwelchen Gründen nicht einhalten kann, vereinbaren die Vertragsparteien, dass der Datenimporteur den Datenexporteur unverzüglich davon in Kenntnis setzen muss, und dass der Datenexporteur unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag für die betroffenen Dienste in Übereinstimmung mit den Bedingungen des Vertrags zu beenden.

c. Falls der Datenexporteur die Übermittlung personenbezogener Daten aussetzen und/oder die betroffenen Dienste beenden möchte, wird er versuchen, den Datenimporteur darüber in Kenntnis zu setzen und ihm ein angemessenes Zeitfenster zur Behebung der Nichteinhaltung („Behebungsfrist“) einzuräumen.

d. Falls erforderlich, arbeiten die Vertragsparteien während der Behebungsfrist in angemessener Weise zusammen, um (sofern zutreffend) zusätzliche angemessene Sicherheits- oder sonstigen Maßnahmen zu vereinbaren, die die Einhaltung der Klauseln und des anwendbaren Datenschutzrechts durch den Datenimporteur gewährleisten.

e. Falls der Datenimporteur die Nichteinhaltung nach dieser Behebungsfrist nicht beheben konnte, kann der Datenexporteur die betroffenen Dienste gemäß den Bestimmungen im Vertrag aussetzen oder beenden, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die der Datenexporteur bereits vor Aussetzung oder Kündigung zu entrichten hatte). Der Datenexporteur muss keine solche Benachrichtigung an den Datenimporteur richten, falls der Datenexporteur davon ausgeht, dass ein beträchtliches Risiko besteht, dass eine betreffende Person oder ihre personenbezogenen Daten dadurch Schaden erleiden werden.

Klausel 5 Buchstabe f: Prüfungen

a. Der Datenexporteur stimmt zu, dass er seine Auditrechte gemäß Klausel 5 Buchstabe f in Anspruch nehmen wird, indem er den Datenimporteur dazu auffordert, die Auditmaßnahmen in Abschnitt „Nachweis der Einhaltung“ dieser DPA zu erfüllen.  

Klausel 5 Buchstabe j: Offenlegung von Unteraufträgen

a. Die Vertragsparteien erkennen an, dass der Datenimporteur dazu verpflichtet ist, dem Datenexporteur unverzüglich eine Kopie jeglichen Unterauftrags zuzuschicken, den er gemäß den Klauseln geschlossen hat.

b. Die Vertragsparteien erkennen außerdem an, dass der Datenimporteur aufgrund von Vertraulichkeitsverpflichtungen gegenüber seinen Unterauftragsverarbeitern unter Umständen nicht dazu befugt ist, dem Datenexporteur abgeschlossene Unteraufträge offenzulegen.  Der Datenimporteur muss trotzdem in angemessener Weise dafür Sorge tragen, dass er von jedem von ihm beauftragten Unterauftragsverarbeiter einfordert, dem Datenexporteur den jeweiligen Unterauftrag offenzulegen.

c. Auch in Fällen, in denen der Datenimporteur dem Datenexporteur einen Unterauftrag nicht offenlegen darf, vereinbaren die Vertragsparteien, dass der Datenimporteur auf Anfrage des Datenexporteurs dem Datenexporteur (auf vertraulicher Basis) alle Informationen bereitstellen wird, die dieser in Verbindung mit solch einem Unterauftrag als angemessenen betrachtet.

Klausel 6: Haftung

Klausel 11: Vergabe von Unteraufträgen

a. Die Vertragsparteien vereinbaren, dass gemäß FAQ II.1 aus dem WP 176 der Artikel 29-Datenschutzgruppe mit dem Titel „Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“ der Datenexporteur dem Datenimporteur eine generelle vorherige Zustimmung zur Vergabe von Unteraufträgen erteilen kann.

b. In diesem Sinne erteilt der Datenexporteur dem Datenimporteur gemäß Klausel 11 dieser Klauseln eine generelle Erlaubnis zur Vergabe von Unteraufträgen.  Diese Erlaubnis unterliegt der Einhaltung durch den Datenimporteur der Bestimmungen, die im Abschnitt „Benachrichtigung über neue Unterauftragsverarbeiter bzw. Einwände gegen solche“ der DPA festgehalten sind. 

Klausel 12: Pflichten nach Beendigung der Datenverarbeitungsdienste

a. Der Datenimporteur stimmt zu, dass der Datenexporteur seinen Pflichten zur Rückgabe oder Vernichtung aller personenbezogenen Daten nach Beendigung der Bereitstellung von Datenverarbeitungsdiensten nachgekommen ist, wenn der Datenexporteur die Bestimmungen aus dem Abschnitt „Löschung oder Rückgabe personenbezogener Daten“ der DPA erfüllt hat.  

Anlage 4 – Liste der Unterauftragsverarbeiter

* Bei den oben genannten durch Unterauftragsverarbeiter bereitgestellten Funktionen, die mit einem Sternchen markiert sind, besteht die Möglichkeit, auf die Nutzung zu verzichten. Weitere Informationen finden Sie in der Richtlinie für regionales Daten-Hosting von HubSpot.

** Weitere Informationen zu Cloudflare finden Sie hier.

Wenn Sie gerne per E-Mail über Aktualisierungen der Anlage 4 in Kenntnis gesetzt werden möchten, dann klicken Sie hier.