Talk legal to me
Letzte Änderung: 27. September 2021
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
Stand: 27. September 2021
Dieser Vertrag wird lediglich als Gefälligkeit zur Verfügung gestellt. Es gilt ausschließlich die englische Fassung dieses Vertrags, und in keinem Fall darf die deutsche Sprachfassung dieses Vertrags dahingehend ausgelegt werden, dass sie die englische Fassung dieses Vertrags ändert oder auf andere Weise die Beziehung der Vertragspartner untereinander regelt.
[Brauchen Sie eine unterzeichnete Ausführung? Klicken Sie hier.]
In dieser HubSpot-Vereinbarung zur Datenverarbeitung und ihren Anlagen („DPA“) ist die Übereinkunft zwischen Ihnen (dem Kunden) und uns (HubSpot) bezüglich der Bedingungen für die Verarbeitung personenbezogener Daten durch uns in Ihrem Namen im Rahmen der Bereitstellung der HubSpot-Abonnementdienste gemäß den HubSpot-Nutzungsbedingungen für Kunden (in dieser DPA auch „Vertrag“ genannt) niedergelegt.
Diese DPA ist ein integraler Bestandteil des Vertrags und sie tritt mit ihrer Aufnahme in den Vertrag in Kraft. Auf die Aufnahme in den Vertrag kann im Vertrag selbst, in einer Bestellung oder einer rechtswirksamen Änderung des Vertrags hingewiesen werden. Im Falle eines Konflikts zwischen den Bestimmungen des Vertrags und der DPA oder widersprüchlicher Angaben im Vertrag und in der DPA sind die Bestimmungen der DPA hinsichtlich des jeweiligen Konflikts oder Widerspruchs vorrangig gegenüber den Bestimmungen des Vertrags.
Wir aktualisieren diese Bedingungen regelmäßig. Wenn Sie ein aktives HubSpot-Abonnement haben, benachrichtigen wir Sie über etwaige Aktualisierungen per E-Mail (sofern Sie über den Link in unseren Rahmenbedingungen entsprechende E-Mail-Benachrichtigungen abonniert haben) oder per In-App-Benachrichtigung. Archivierte Versionen der DPA finden Sie hier.
Die Laufzeit dieser DPA richtet sich nach der Laufzeit des Vertrags. Alle Begriffe haben die im Vertrag angegebene Bedeutung, sofern in dieser DPA keine andere Bedeutung angegeben ist.
Anlage 1 – Details zur Verarbeitung
Anlage 2 – Sicherheitsmaßnahmen
Anlage 3 – Liste der Unterauftragsverarbeiter
Anlage 4 – Standardvertragsklauseln
„Personenbezogene Daten kalifornischer Bürger“ sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.
„CCPA“ bedeutet die §§ 1798.100 ff. des California Civil Code (auch bekannt als „California Consumer Privacy Act“ von 2018).
Die Begriffe „Kunde“, „Unternehmen“, „Verkaufen“ und „Dienstleister“ werden mit der Bedeutung verwendet, die im CCPA für die entsprechenden englischen Begriffe „Consumer“ (Kunde), „Business“ (Unternehmen), „Sell“ (Verkaufen) und „Service Provider“ (Dienstleister) festgelegt sind.
„Für die Verarbeitung Verantwortlicher“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
„Datenschutzrecht“ bezeichnet alle anwendbaren, weltweiten Gesetze bezüglich des Datenschutzes und des Schutzes der Persönlichkeitsrechte, die für die jeweilige Vertragspartei bei der Verarbeitung der in dem Vertrag definierten personenbezogenen Daten gelten. Dies umfasst unter anderen das europäische Datenschutzrecht, den CCPA und die Datenschutzgesetze und Gesetze zum Schutz von Persönlichkeitsrechten von Australien und Singapur, in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form.
„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.
„Europa“ ist die Europäische Union, der Europäische Wirtschaftsraum und/oder die jeweiligen Mitgliedstaaten sowie die Schweiz und das Vereinigte Königreich.
„Europäische Daten“ sind personenbezogene Daten, die dem Schutz des europäischen Datenschutzrechts unterliegen.
„Europäisches Datenschutzrecht“ bezeichnet in Europa geltende Datenschutzgesetze, darunter in der jeweils nach Änderungen, Widerrufungen, Konsolidierungen oder Novellierungen geltenden Form: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii); oder (iii) die DSGVO als Teil des innerstaatlichen Rechts des Vereinigten Königreichs auf Grundlage von Abschnitt 3 des European Union (Withdrawal) Act 2018 (Gesetz über den Austritt aus der Europäischen Union, „UK DSGVO“); und (iv) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und dessen Verordnung („Schweizer Datenschutzgesetz“).
„Weisungen“ steht für die schriftlichen und verbrieften Anweisungen, mit denen ein für die Verarbeitung Verantwortlicher einen Auftragsverarbeiter zu einer bestimmten oder allgemeinen Maßnahme hinsichtlich der Handhabung personenbezogener Daten auffordert (zum Beispiel Anonymisierung, Sperrung, Löschung, Verfügbarmachung).
„Zulässige verbundene Unternehmen“ sind jegliche verbundenen Unternehmen von Ihnen, die (i) die Abonnementdienste gemäß dem Vertrag nutzen dürfen, jedoch keine entsprechende separate Vereinbarung mit uns unterzeichnet haben und gemäß der Definition im Vertrag nicht als „Kunde“ gelten; (ii) als für die Verarbeitung Verantwortliche der von uns verarbeiteten personenbezogenen Daten gelten; und (iii) dem europäischen Datenschutzrecht unterliegen.
„Personenbezogene Daten“ steht für jegliche Art von Informationen zu einer identifizierten oder identifizierbaren Person, sofern diese Informationen Bestandteil der Kundendaten sind und unter ähnlichem Schutz anwendbaren Datenschutzrechts stehen wie personenbezogene Daten oder Informationen zur Identifizierung einer Person.
„Verletzung des Schutzes personenbezogener Daten“ steht für einen Sicherheitsverstoß, der zu versehentlichen oder ungesetzlichen Löschungen, Verlusten, Veränderungen bzw. unbefugten Offenlegungen von oder Zugriffen auf personenbezogene(n) Daten führt, die von uns und/oder unseren Unterauftragsverarbeitern in Verbindung mit der Bereitstellung der Abonnementdienste übermittelt, gespeichert oder anderweitig verarbeitet werden. „Verletzung des Schutzes personenbezogener Daten“ steht nicht für gescheiterte Versuche oder Aktivitäten, welche die Sicherheit personenbezogener Daten nicht gefährden, einschließlich misslungener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe gegen Firewalls oder vernetzte Systeme.
„Privacy-Shield-Abkommen“ ist das Selbstzertifizierungsprogramm für das EU-US Privacy-Shield-Abkommen und das Swiss-US Privacy Shield des US-Handelsministeriums (U.S. Department of Commerce), das von der Europäischen Kommission gemäß ihrer Entscheidung vom 12. Juli 2016 und vom Schweizerischen Bundesrat gemäß seiner Entscheidung vom 11. Januar 2017 angenommen wurde (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).
„Datenschutzgrundsätze der Privacy-Shield-Abkommen“ sind die Datenschutzgrundsätze der Privacy-Shield-Abkommen (ergänzt um die Zusatzgrundsätze) aus Anhang II des Beschlusses der Europäischen Kommission vom 12. Juli 2016 (in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form).
„Verarbeitung“ steht für jeden Vorgang oder jede Abfolge von Vorgängen im Zusammenhang mit personenbezogenen Daten, der oder die eine Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abrufung, Abfrage, Verwendung, Offenlegung durch Übermittlung, Weitergabe oder anderweitige Bereitstellung, einen Datenabgleich oder eine Datenzusammenführung, Beschränkung oder Löschung personenbezogener Daten umfasst. Die Begriffe „Verarbeiten“ und „Verarbeitet“ u. Ä. sind entsprechend auszulegen.
„Auftragsverarbeiter“ steht für die natürliche oder juristische Person, Behörde, Dienststelle oder Körperschaft, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
„Standardvertragsklauseln“ steht für die Standardvertragsklauseln für Auftragsverarbeiter im Anhang des Beschlusses der Europäischen Kommission vom 4. Juni 2021, bekannt gegeben unter Aktenzeichen (EU) 2021/914), in Anlage 4 in der jeweils nach Änderungen, Novellierungen oder Ersetzungen geltenden Form.
„Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der von uns oder unseren verbundenen Unternehmen damit beauftragt wird, uns bei der Erfüllung seiner Pflichten im Rahmen der Bereitstellung der Abonnementdienste gemäß Vertrag zu unterstützen. Unterauftragsverarbeiter sind gegebenenfalls Drittanbieter oder verbundene Unternehmen von uns, nicht jedoch Mitarbeiter oder Berater von HubSpot.
a. Einhaltung von Gesetzen. Sie sind im Rahmen des Vertrags und im Zuge Ihrer Inanspruchnahme der Leistungen verantwortlich für die Erfüllung aller geltenden Anforderungen, denen Sie gemäß anwendbarem Datenschutzrecht hinsichtlich der Verarbeitung personenbezogener Daten und gemäß den Weisungen, die Sie uns geben, unterliegen.
Insbesondere gilt, dass Sie unbeschadet der Allgemeingültigkeit des Vorausgehenden zustimmen, dass Sie allein die Verantwortung tragen für: (i) die Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie der Mittel, mit denen Sie personenbezogene Daten erhalten; (ii) die Einhaltung aller Anforderungen auf Rechtmäßigkeit und Transparenz gemäß anwendbarem Datenschutzrecht hinsichtlich der Erhebung und Verwendung personenbezogener Daten, einschließlich der Einholung jeglicher erforderlichen Zustimmungen und Berechtigungen (insbesondere bei Verwendung zu Marketingzwecken durch Sie); (iii) die Gewährleistung, dass Sie dazu berechtigt sind, die personenbezogenen Daten zum Zwecke der Verarbeitung in Übereinstimmung mit den Bestimmungen des Vertrags (einschließlich dieser DPA) an uns zu übermitteln oder uns Zugriff darauf zu geben; (iv) die Gewährleistung, dass Ihre Weisungen an uns hinsichtlich der Verarbeitung von personenbezogenen Daten mit den anwendbaren Gesetzen, einschließlich des Datenschutzrechts, übereinstimmen; und (v) die Einhaltung aller geltenden Gesetze (einschließlich des Datenschutzrechts) hinsichtlich der E-Mails oder anderer Inhalte, die über die Abonnementdienste erstellt, versendet oder verwaltet werden, einschließlich der Gesetze bezüglich der Einholung des Einverständnisses (soweit erforderlich) für den Versand von E-Mails, den Inhalt von E-Mails und die E-Mail-Versandpraktiken. Sie müssen uns unverzüglich darüber informieren, wenn Sie nicht dazu in der Lage sind, Ihre Pflichten gemäß diesem Abschnitt „Einhaltung von Gesetzen“ oder dem anwendbaren Datenschutzrecht nachzukommen.
b. Weisungen des für die Verarbeitung Verantwortlichen. Die Vertragsparteien vereinbaren, dass der Vertrag (einschließlich vorliegender DPA) sowie die Verwendung des Abonnementdienstes durch Sie in Übereinstimmung mit dem Vertrag die vollständigen Weisungen des Kunden an uns bezüglich der Verarbeitung von personenbezogenen Daten darstellen, sofern Sie im Abonnementzeitraum zusätzliche Anweisungen über die Weisungen erteilen können, die mit dem Vertrag, der Art und der rechtmäßigen Nutzung des Abonnementdienstes übereinstimmen.
c. Datensicherheit Sie müssen eigenständig prüfen, ob die im Rahmen des Abonnementdienstes gewährleistete Datensicherheit in angemessener Weise Ihren Pflichten gemäß dem anwendbaren Datenschutzrecht entspricht. Sie sind außerdem für die sichere Nutzung des Abonnementdienstes verantwortlich, einschließlich der Gewährleistung von Sicherheit bei der Übermittlung personenbezogener Daten im Zusammenhang mit dem Abonnementdienst (dazu zählen Sicherung und Verschlüsselung solcher personenbezogenen Daten).
3. Pflichten von HubSpot
a. Befolgung der Weisungen. Wir verarbeiten personenbezogene Daten ausschließlich zu den in dieser DPA beschriebenen Zwecken oder wie im Rahmen der rechtmäßigen Weisungen des Kunden vereinbart, ausgenommen wenn und nur in dem Umfang, in dem dies von geltendem Recht vorgeschrieben ist. Wir unterliegen nicht der Einhaltung des für Sie oder Ihre Branche geltenden Datenschutzrechts, welches nicht auch generell für uns anwendbar ist.
b. Kollisionsrecht. Wenn wir bemerken, dass wir personenbezogene Daten aufgrund jeglicher anwendbaren gesetzlichen Anforderungen nicht gemäß den Weisungen des Kunden verarbeiten können, werden wir (i) Sie im gesetzlich zulässigen Umfang unverzüglich von der betreffenden gesetzlichen Vorschrift in Kenntnis setzen; und (ii) falls erforderlich jegliche Verarbeitung (abgesehen vom reinen Speichern und der Aufrechterhaltung der Sicherheitsvorkehrungen für die betreffenden personenbezogenen Daten) so lange einstellen, bis Sie neue Weisungen geben, die wir in der Lage sind, zu erfüllen. Wenn diese Regelung zur Anwendung kommt, sind wir Ihnen gegenüber gemäß Vertrag so lange nicht haftbar für die Nichterbringung der betroffenen Abonnementdienste, bis Sie neue, rechtmäßige Weisungen für die Verarbeitung geben.
c. Datensicherheit Wir werden alle angemessenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten, um die Verletzung des Schutzes personenbezogener Daten, wie in Anlage 2 dieser DPA dargelegt, („Sicherheitsmaßnahmen“) zu verhindern. Unbeschadet anderslautender Bestimmungen dürfen wir diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt eine Änderung oder Aktualisierung führt nicht zu einer wesentlichen Beeinträchtigung des Schutzes, der durch diese Sicherheitsmaßnahmen geboten wird.
d. Vertraulichkeit. Wir müssen gewährleisten, dass sämtliches Personal, welches wir zur Verarbeitung personenbezogener Daten in unserem Auftrag befugen, bezüglich der besagten personenbezogenen Daten einer Vertraulichkeitsverpflichtung (vertragliche oder gesetzliche Verpflichtung) unterliegt.
e. Verletzungen des Schutzes personenbezogener Daten. Wir werden Sie unverzüglich darüber informieren, wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Wir werden Ihnen zudem Informationen hinsichtlich der Verletzung des Schutzes personenbezogener Daten zeitnah bereitstellen, sobald diese bekannt oder im angemessenen Rahmen durch Sie angefragt werden. Auf Ihre Aufforderung hin werden wir Ihnen unverzüglich jegliche nach vernünftigem Ermessen vertretbare Unterstützung leisten, die notwendig ist, um Sie in die Lage zu versetzen, eine relevante Verletzung des Schutzes personenbezogener Daten den zuständigen Behörden und/oder den berührten betroffenen Personen zu melden, sofern Sie dazu gemäß anwendbarem Datenschutzrecht verpflichtet sind.
f. Löschung oder Rückgabe personenbezogener Daten. Wir werden alle in Übereinstimmung mit dieser DPA verarbeiteten Kundendaten (einschließlich personenbezogener Daten und Kopien davon) bei Kündigung oder Ablauf Ihres Abonnementdienstes gemäß den in den produktspezifischen Klauseln festgelegten Verfahren löschen oder zurückgeben. Diese Bestimmung gilt jedoch nicht, sofern wir gesetzlich dazu verpflichtet sind, bestimmte oder alle Kundendaten aufzubewahren, oder für Kundendaten, die wir in unserem Backup-Systemen archiviert haben, welche wir sicher getrennt speichern, vor weiterer Verarbeitung schützen und im Einklang mit unserem Löschverfahren löschen werden. Sie können nach Ablauf oder Kündigung Ihres Abonnements einen Antrag auf Löschung Ihres HubSpot-Accounts stellen, indem Sie ein entsprechendes Gesuch hier abgeben. Sie können Ihren Account außerdem entsprechend den Bestimmungen im Abschnitt „Frühzeitige Kündigung“ der Nutzungsbedingungen für Kunden kündigen und eine dauerhafte Löschung beantragen, indem Sie die hier verfügbaren Anweisungen befolgen. Sie können Ihre Kundendaten in Ihrem Account in Übereinstimmung mit den Abschnitten zum Thema „Abruf von Kundendaten“ der produktspezifischen Bedingungen abrufen.
4. Anfragen betroffener Personen
Der Abonnementdienst stellt Ihnen eine Reihe von Funktionen zur Verfügung, mit denen Sie personenbezogene Daten aufrufen, verbessern und löschen oder den Zugriff darauf einschränken können. Sie können diese Funktionen nutzen, um Ihren Pflichten gemäß Datenschutzrecht nachzukommen, einschließlich Ihrer Pflichten hinsichtlich der Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß anwendbarem Datenschutzrecht geltend machen möchten („Anfragen betroffener Personen“).
Sofern Sie nicht in der Lage sind, der Anfrage einer betroffenen Person über den Abonnementdienst allein nachzukommen, werden wir Ihnen auf schriftliche Nachfrage hin angemessene Unterstützung geben, um jeglichen Anfragen betroffener Personen oder Anfragen von Datenschutzbehörden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten gemäß dem Vertrag nachzukommen. Sie erstatten uns die durch diese Unterstützung entstandenen, geschäftlich angemessenen Kosten.
Wenn eine Anfrage oder eine andere Kommunikation einer betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gemäß dem Vertrag direkt an uns gerichtet wird, werden wir Sie unverzüglich darüber informieren und die betroffene Person darauf hinweisen, dass sie ihre Anfrage an Sie richten muss. Die wirksame Beantwortung von Anfragen oder Mitteilungen betroffener Personen bezüglich personenbezogener Daten obliegt ausschließlich Ihnen.
5. Unterauftragsverarbeiter
Sie stimmen zu, dass wir Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten in Ihrem Namen beauftragen dürfen. Aktuell beauftragen wir als Unterauftragsverarbeiter die verbundenen Unternehmen von HubSpot und die Drittanbieter, die in Anlage 3 zu dieser DPA aufgeführt sind. Wir informieren Sie mindestens 30 Tage vor einer solchen Änderung darüber, wenn wir Anlage 3 neue Unterauftragsverarbeiter hinzufügen oder Unterauftragsverarbeiter ersetzen, sofern Sie vor der Änderung einer entsprechenden Benachrichtigung per E-Mail zustimmen, indem Sie dieses Formular ausfüllen.
Wenn wir Unterauftragsverarbeiter beauftragen, erlegen wir ihnen Datenschutzbestimmungen auf, durch die personenbezogene Daten mindestens genauso gut schützt sind wie unter der DPA (einschließlich, falls zutreffend, Standardvertragsklauseln), sofern für die Art der von den Unterauftragsverarbeitern bereitgestellten Dienstleistungen zutreffend. Wir sind dafür verantwortlich, dass jeder Unterauftragsverarbeiter die Bestimmungen der DPA einhält ebenso wie für jegliche Handlungen oder unterlassenen Handlungen dieser Unterauftragsverarbeiter, die dazu führen, dass wir gegen eine seiner Pflichten gemäß DPA verstoßen.
6. Datenübermittlung
Sie stimmen zu, dass wir zwecks Bereitstellung des Abonnementdienstes und gemäß dem Vertrag auf weltweiter Ebene auf personenbezogene Daten zugreifen und diese auf weltweiter Ebene verarbeiten können. Sie stimmen insbesondere zu, dass die Übermittlung und Verarbeitung personenbezogener Daten an bzw. durch HubSpot, Inc. in den/die USA und andere/n Jurisdiktionen, in denen verbundene Unternehmen und Unterauftragsverarbeiter von HubSpot vertreten sind, erfolgen kann. Bei der Übermittlung personenbezogener Daten außerhalb des Ursprungslandes gewährleisten beide Vertragsparteien, dass diese Übermittlungen in Übereinstimmung mit den Vorschriften des Datenschutzrechts erfolgen.
7. Zusätzliche Bestimmungen für europäische Daten
a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für europäische Daten“ betrifft ausschließlich europäische Daten.
b. Rollen der Vertragsparteien. Die Vertragsparteien nehmen zur Kenntnis und vereinbaren, dass im Rahmen der Verarbeitung von europäischen Daten in Übereinstimmung mit den Weisungen des Kunden Sie die Rolle des Datenverantwortlichen bzw. für die Verarbeitung Verantwortlichen und wir die Rolle des Auftragsverarbeiters der Daten haben.
c. Weisungen. Wenn wir der Meinung sind, dass Ihre Weisung das europäische Datenschutzrecht (falls anwendbar) verletzt, werden wir Sie unverzüglich darüber in Kenntnis setzen.
d. Einwände gegen neue Unterauftragsverarbeiter. Wir geben Ihnen die Möglichkeit, binnen 30 Tagen nach Mitteilung in Übereinstimmung mit dem Abschnitt „Unterauftragsverarbeiter“ aus angemessenen Gründen bezüglich des Schutzes personenbezogener Daten gegen die Beauftragung der neuen Unterauftragsverarbeiter Widerspruch einzulegen. Wenn Sie uns einen solchen Einwand entgegenbringen, werden wir die Angelegenheit in gutem Glauben besprechen, um eine geschäftlich angemessene Lösung zu finden. Falls eine solche Lösung nicht erreicht werden kann, werden wir nach eigenem Ermessen den neuen Unterauftragsverarbeiter entweder nicht beauftragen oder Ihnen ermöglichen, den betroffenen Abonnementdienst gemäß den Kündigungsbestimmungen des Vertrags auszusetzen oder zu kündigen, ohne dass eine der Vertragsparteien haftbar gemacht wird (jedoch unbeschadet jeglicher Gebühren, die Sie bereits vor Aussetzung oder Kündigung zu entrichten hatten). Die Parteien sind sich einig, dass HubSpot durch die Einhaltung dieses Unterabschnitts (d) seine Verpflichtungen gemäß Abschnitt 9 der Standardvertragsklauseln erfüllt.
e. Untervergabevereinbarung. Für die Zwecke von Klausel 9(c) der Standardvertragsklauseln erkennen Sie an, dass wir möglicherweise nicht zur Offenlegung von Untervergabevereinbarungen befugt sind. Wir werden aber in angemessener Weise versuchen, von jedem unserer Unterauftragsverarbeiter die Erlaubnis einzuholen, die jeweilige Untervergabevereinbarung Ihnen gegenüber offenzulegen, und werden (auf vertraulicher Basis) alle Informationen zur Verfügung stellen, die begründeterweise erforderlich sind.
f. Datenschutz-Folgenabschätzung und Rückfragen an die Aufsichtsbehörden. Wenn Ihnen die erforderlichen Informationen zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, werden wir Sie vor Rückfragen an die Aufsichtsbehörden oder andere für den Datenschutz zuständige Behörden auf angemessene Art bei der Datenschutz-Folgenabschätzung unterstützen, wenn eine solche gemäß europäischem Datenschutzrecht erforderlich ist.
g. Datenübermittlungsmechanismen.
(A) HubSpot übermittelt europäische Daten nicht an Länder oder Empfänger, deren Bereitstellung eines angemessenen Schutzes personenbezogener Daten nicht anerkannt ist (Bedeutung gemäß geltendem europäischem Datenschutzrecht), sofern HubSpot nicht im Vorfeld alle erforderlichen Maßnahmen trifft, um eine Übermittlung in Übereinstimmung mit dem europäischen Datenschutzrecht zu gewährleisten. Solche Maßnahmen umfassen unter anderem (jedoch ohne Einschränkung) die Datenübermittlung an Empfänger, die durch geeignete von den einschlägigen Behörden oder Gerichten anerkannte Rahmenbedingungen oder andere rechtlich angemessene Übermittlungsmechanismen für die Gewährleistung eines angemessenen Schutzes für personenbezogene Daten abgedeckt sind, die eine Autorisierung ihrer verbindlichen unternehmensinternen Vorschriften in Übereinstimmung mit europäischem Datenschutzrecht erhalten haben, oder die entsprechende von der Europäischen Kommission angenommene oder bewilligte Standardvertragsklauseln in jedem Fall in Übereinstimmung mit anwendbarem europäischem Datenschutzrecht erfüllen.
(B) Sie bestätigen und stimmen zu, dass im Zusammenhang mit der Erbringung der Abonnementdienste HubSpot, Inc. ein Empfänger europäischer Daten in den Vereinigten Staaten ist. Die Vertragsparteien vereinbaren Folgendes:
h. Nachweis der Einhaltung. Wir stellen Ihnen alle in angemessenem Maße erforderlichen Informationen bereit, um unsere Einhaltung dieser DPA unter Beweis zu stellen. Wir ermöglichen und unterstützen zudem die Durchführung von entsprechenden Prüfungen (Audits), darunter von Ihnen oder Ihrem Prüfer durchgeführte Kontrollen zwecks Überprüfung der Einhaltung dieser DPA. Sie stimmen zu, dass Sie Ihre Auditrechte gemäß dieser DPA und Klausel 8.9 der Standardvertragsklauseln in Anspruch nehmen werden, indem Sie uns dazu auffordern, die Auditmaßnahmen in diesem Abschnitt „Nachweis der Einhaltung“ zu erfüllen. Sie erkennen an, dass der Abonnementdienst von den Rechenzentrumspartnern von HubSpot gehostet wird, welche unabhängig validierte Sicherheitsprogramme verfolgen (darunter SOC 2 und ISO 27001), und dass die Systeme von HubSpot regelmäßig durch unabhängige Drittanbieter von Penetrationstests geprüft werden. Auf Nachfrage stellen wir Ihnen (auf vertraulicher Basis) eine Zusammenfassung von solchen Penetrationstestberichten bereit, damit Sie die Einhaltung dieser DPA durch HubSpot überprüfen können. Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin (auf vertraulicher Basis) schriftliche Antworten auf alle Ihre angemessenen Informationsanfragen geben, die zur Überprüfung der Einhaltung dieser DPA durch uns erforderlich sind, sofern Sie höchstens einmal pro Kalenderjahr von diesem Recht Gebrauch machen, es sei denn, Sie haben die begründete Vermutung, dass die DPA nicht eingehalten wird.
8. Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger
a. Anwendungsbereich. Der Abschnitt „Zusätzliche Bestimmungen für personenbezogene Daten kalifornischer Bürger“ betrifft ausschließlich personenbezogene Daten kalifornischer Bürger.
b. Rollen der Vertragsparteien. Die Vertragsparteien vereinbaren, dass im Rahmen der Anwendung des CCPA bei der Verarbeitung personenbezogener Daten kalifornischer Bürger in Übereinstimmung mit den Weisungen des Kunden der Kunde ein Unternehmen ist und HubSpot ein Dienstleister.
c. Zuständigkeiten. Die Vertragsparteien vereinbaren, dass wir personenbezogene Daten kalifornischer Bürger als Dienstleister nur für den Zweck der Bereitstellung der Abonnementdienste gemäß dem Vertrag (der „Geschäftszweck“) oder für andere gemäß CCPA erlaubte Zwecke, einschließlich den im Abschnitt „Datenpraktiken und Servicedaten“ unserer Produkt-Datenschutzrichtlinie beschriebenen Zwecke, verarbeiten.
9. Allgemeine Regelungen
a. Änderungen. Unbeschadet gegensätzlicher Regelungen im Vertrag und unbeschadet der Allgemeingültigkeit der Abschnitte „Befolgung der Weisungen“ und „Datensicherheit“ dieser DPA behält HubSpot sich das Recht vor, diese DPA zu aktualisieren und zu ändern, und es gelten die Bedingungen im Abschnitt „Änderungen; kein Verzicht“ der Rahmenbedingungen.
b. Salvatorische Klausel. Sollten einzelne Bestimmungen dieser DPA als unwirksam oder nicht durchsetzbar beurteilt werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen dieser DPA.
c. Haftungsbeschränkung. Die Haftung der jeweiligen Vertragsparteien und ihrer jeweiligen verbundenen Unternehmen hinsichtlich vertraglicher, deliktischer oder auf jeder sonstigen Haftungstheorie beruhenden Ansprüche, die sich aus dieser DPA (und jeder weiteren DPA zwischen den Vertragsparteien) sowie den Standardvertragsklauseln (sofern anwendbar) ergeben oder damit verbunden sind, unterliegt zusammengenommen den Haftungsbeschränkungen und -ausschlüssen, die in dem Abschnitt der Rahmenbedingungen „Haftungsbeschränkung“ dargelegt sind, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Vertragspartei bezeichnet die Gesamthaftung dieser Vertragspartei und all ihrer verbundenen Unternehmen gemäß Vertrag (einschließlich dieser DPA). Zwecks Ausschluss jeglichen Zweifels gilt, dass sofern HubSpot, Inc. keine Vertragspartei des Vertrags ist, der Abschnitt der Rahmenbedingungen „Haftungsbeschränkung“ als zwischen dem Kunden und HubSpot, Inc. vereinbart gilt. Bezugnahmen auf „HubSpot“, „wir“, „uns“, „unser“ u. Ä. gelten in diesem Fall sowohl für HubSpot, Inc. als auch für das HubSpot-Unternehmen, das eine Vertragspartei des Vertrags ist. Unter keinen Umständen wird die Haftung der Vertragsparteien bezüglich der Datenschutzrechte Einzelner im Rahmen dieser DPA (einschließlich der Standardvertragsklauseln) oder anderweitiger Bestimmungen beschränkt.
d. Anwendbares Recht. Diese DPA unterliegt den im Abschnitt „Vertragsschließende Partei; geltendes Recht; Mitteilung“ der rechtsgebietsspezifischen Klauseln geltenden Gesetzen und wird diesen entsprechend ausgelegt, ausgenommen anderslautender Bestimmungen im Datenschutzrecht.
10. Vertragsparteien dieser DPA
a. Zulässige verbundene Unternehmen. Durch Unterzeichnung des Vertrags nehmen Sie diese DPA (einschließlich, falls anwendbar, die Standardvertragsklauseln) in Ihrem eigenen Namen und im Namen Ihrer zulässigen verbundenen Unternehmen an. Für die ausschließlichen Zwecke dieser DPA, und sofern nicht anders angegeben, umfasst der Begriff „Kunde“, „Sie“ und „Ihr(e)“ den Kunden und solche zulässigen verbundenen Unternehmen.
b. Autorisierung. Der Rechtsträger, welcher dieser DPA als Kunde zustimmt, versichert, dass er zur Vereinbarung und zum Abschluss dieser DPA in seinem eigenen Namen und, falls zutreffend, im Namen jedes seiner zulässigen verbundenen Unternehmen ermächtigt ist.
c. Rechtsmittel. Die Vertragsparteien vereinbaren, dass (i) ausschließlich das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, im Namen seiner zulässigen verbundenen Unternehmen von einem Recht Gebrauch machen oder einen Rechtsbehelf einlegen kann, das bzw. der einem zulässigen verbundenen Unternehmen gemäß dieser DPA zusteht; und (ii) das Kundenunternehmen, welches die vertragsabschließende Partei des Vertrags ist, diese Rechte gemäß dieser DPA nicht separat für jedes zulässige verbundene Unternehmen geltend machen kann, sondern in kombinierter Form für sich selbst und alle seine zulässigen verbundenen Unternehmen. Das Kundenunternehmen, welches die vertragsabschließende Partei ist, ist verantwortlich für die Koordination jeglicher Weisungen, Ermächtigungen und Kommunikation mit uns gemäß dieser DPA und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner zulässigen verbundenen Unternehmen anzunehmen und durchzuführen.
d. Andere Rechte. Die Vertragsparteien vereinbaren, dass Sie im Rahmen der Prüfung von unserer Einhaltung dieser DPA gemäß Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen, um negative Auswirkungen auf den Betrieb von HubSpot und seiner verbundenen Unternehmen einzuschränken, indem Sie mehrere Auditanfragen, die im Namen des Kundenunternehmens, welches die vertragsabschließende Partei des Vertrags ist, und all seiner zulässigen verbundenen Unternehmen ausgeführt werden, in einem einzigen Audit zusammenfassen.
Anlage 1 – Details zur Verarbeitung
A. Liste der Parteien
Datenexporteur:
Name: Der Kunde gemäß den HubSpot-Nutzungsbedingungen für Kunden (in seinem eigenen Namen oder im Namen seiner zulässigen verbundenen Unternehmen)
Adresse: Die Adresse des Kunden, wie im Bestellformular angegeben
Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten des Kunden, wie im Bestellformular und/oder im HubSpot-Account des Kunden angegeben
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Nutzungsbedingungen
Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): für die Verarbeitung Verantwortlicher
Datenimporteur:
Name: HubSpot, Inc.
Adresse: 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Name, Position und Kontaktdaten der Kontaktperson: Nicholas Knoop, Data Protection Officer, HubSpot, Inc. 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung der HubSpot-Abonnementdienste durch den Kunden gemäß den HubSpot-Nutzungsbedingungen
Rolle (für die Verarbeitung Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
B. Beschreibung der Übermittlung
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
Sie können bei Ihrer Verwendung des Abonnementdienstes personenbezogene Daten übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen enthalten:
Ihrer Kontakte und weitere Endnutzer einschließlich Ihrer Angestellten, Vertragsnehmer, Mitarbeiter, Kunden, potenziellen Kunden, Zulieferer und Untervertragsnehmer. Betroffene Personen umfassen unter Umständen auch Einzelpersonen, die versuchen, personenbezogene Daten an Ihre Endnutzer zu übermitteln oder mit diesen zu kommunizieren.
Kategorien der übermittelten personenbezogenen DatenSie können personenbezogene Daten an die Abonnementdienste übermitteln, wobei Sie den Umfang dieser Übermittlung nach eigenem Ermessen bestimmen und kontrollieren. Die übermittelten Daten können unter anderem die folgenden Kategorien personenbezogener Daten enthalten:
Die Vertragsparteien gehen nicht von einer Übermittlung von sensiblen Daten aus.
Häufigkeit der Übermittlung
Kontinuierlich
Art der Verarbeitung
Personenbezogene Daten werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen:
Zweck der Übermittlung und weitere Datenverarbeitung
Wir verarbeiten personenbezogene Daten im erforderlichen Maße, um die Abonnementdienste gemäß dem Vertrag, den Angaben im Bestellformular und Ihren Anweisungen im Rahmen Ihrer Nutzung der Abonnementdienste, bereitzustellen.
Zeitraum, für den die personenbezogenen Daten aufbewahrt werden
Gemäß dem Abschnitt „Löschung oder Rückgabe personenbezogener Daten“ in vorliegender DPA werden wir personenbezogene Daten für den im Vertrag festgelegten Zeitraum verarbeiten, sofern nicht anders schriftlich festgelegt.
Zuständige Aufsichtsbehörde
Für die Zwecke der Standardvertragsklauseln ist die Aufsichtsbehörde, die als zuständige Aufsichtsbehörde fungiert, entweder (i) wenn der Kunde in einem EU-Mitgliedstaat niedergelassen ist, die Aufsichtsbehörde, die für die Einhaltung der DSGVO durch den Kunden zuständig ist; (ii) wenn der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den extraterritorialen Anwendungsbereich der DSGVO fällt und einen Vertreter benannt hat, die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der Vertreter des Kunden niedergelassen ist; oder (iii) wenn der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den extraterritorialen Anwendungsbereich der DSGVO fällt, ohne einen Vertreter benennen zu müssen, die Aufsichtsbehörde des EU-Mitgliedstaats, in dem sich die betroffenen Personen überwiegend aufhalten. In Bezug auf personenbezogene Daten, die der britischen DSGVO oder dem Schweizer Datenschutzgesetz unterliegen, ist die zuständige Aufsichtsbehörde der Datenschutzbeauftragte des Vereinigten Königreichs oder der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (je nach Fall).
Anlage 2 – Sicherheitsmaßnahmen
Diese Anlage ist Bestandteil der DPA.
Wir befolgen aktuell die in Anlage 2 beschriebenen Sicherheitsverfahren. Alle hervorgehobenen Begriffe, die nicht andernorts definiert sind, werden mit der Bedeutung verwendet, die in den Rahmenbedingungen festgelegt ist.
a) Zugangskontrolle
i) Schutz vor unbefugtem Produktzugriff
Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer DPA anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.
Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produktinfrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Die Kontrollen der physischen Schutzmaßnahmen und der Umweltsicherheit werden auf die Erfüllung von SOC 2 Typ II, ISO 27001 und anderer Zertifikate hin überprüft.
Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.
Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.
Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.
ii) Schutz vor unbefugter ProduktnutzungWir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.
Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.
Angriffserkennung und Prävention: Wir implementieren eine Web Application Firewall (WAF), um die gehosteten Kundenwebsites und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF ist dafür ausgelegt, Angriffe auf öffentlich zugängliche Netzwerkdienste zu identifizieren und zu verhindern.
Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird bei Sicherheitsüberprüfungen mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.
Penetrationstests: Wir arbeiten mit branchenweit anerkannten Penetrationstest-Anbietern zusammen und nehmen pro Jahr vier Penetrationstests vor. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu bereinigen.
Bug-Bounty-Programm: Im Rahmen von Bug-Bounty-Programmen werden unabhängige Sicherheitsforscher mit Anreizen dazu angeregt, auf ethische Weise Sicherheitslücken aufzuspüren und offenzulegen. Wir implementieren ein solches Bug-Bounty-Programm, um das große Potenzial der Community von Sicherheitsexperten zu nutzen und den Schutz unserer Produkte gegen ausgefeilte Angriffstechniken zu verbessern.
iii) Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen
Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“-Zugriffsanfrage; alle Anfragen dieser Art werden protokolliert. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden täglich Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Die Mitarbeiterrollen werden mindestens alle sechs Monate überprüft.
Hintergrundüberprüfung: Alle HubSpot-Mitarbeiter unterziehen sich unter Beachtung der anwendbaren Gesetze und wie in deren Rahmen zulässig einer externen Hintergrundüberprüfung, bevor ihnen eine Anstellung angeboten wird. Alle HubSpot-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.
b) ÜbertragungssteuerungVerschlüsselung der Datenübertragung: Wir stellen für jede mit HubSpot-Produkten gehostete Kundenwebsite kostenlos und auf allen unseren Login-Schnittstellen eine HTTPS-Verschlüsselung (auch SSL oder TLS genannt) zur Verfügung. Wir verwenden für unsere HTTPS-Anwendungen Algorithmen und Zertifikate gemäß Branchenstandards.
Während der Speicherung: Wir speichern Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen. Wir haben Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird.
c) EingabesteuerungErkennung: Unsere Infrastruktur ist so konzipiert, dass umfassende Informationen über das Systemverhalten, den empfangenen Datenverkehr, Systemauthentifizierungen und andere Anwendungsanfragen protokolliert werden. Interne Systeme sammeln Protokolldaten und warnen die entsprechenden Mitarbeiter bei bedrohlichen, unbeabsichtigten oder ungewöhnlichen Aktivitäten. Unsere Mitarbeiter, darunter Sicherheits-, Betriebs- und Support-Mitarbeiter, sind dafür geschult, auf bekannte Vorfälle reagieren zu können.
Reaktion und Nachverfolgung: Wir zeichnen bekannte sicherheitsrelevante Ereignisse auf. Diese Protokolle enthalten Beschreibungen, Daten und Zeitangaben zu relevanten Aktivitäten und nähere Angaben zum jeweiligen Vorfall. Vermutete und bestätigte sicherheitsrelevante Ereignisse werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern überprüft; angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leiten wir angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Wir benachrichtigen Sie in Übereinstimmung mit den Bestimmungen des Vertrags.
d) VerfügbarkeitskontrolleVerfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit von mindestens 99,95 % zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk und Klimatisierung ein.
Fehlertoleranz: Es werden Strategien für Sicherheitskopien und Replikation angewendet, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert.
Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.
Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und begrenzt die Ausfallzeiten.
Anlage 3 – Liste der Unterauftragsverarbeiter
Dritter Unterauftragsverarbeiter | Zweck | Anwendbarer Service | US-Rechenzentrumsstandort Unterauftragsverarbeiter: USA | EU-Rechenzentrumsstandort Unterauftragsverarbeiter: EU oder sonstige |
Ably.io | Nachrichten- und Chat-Funktionen | Unterstützung von Nachrichten-/Chat-Funktionen des HubSpot-Produkts | USA | Irland und Deutschland |
Amazon Web Services, Inc. | Hosting und Infrastruktur | On-Demand-Zugriff auf Cloud-Computing-Plattformen und -APIs | USA | Deutschland |
Google, Inc. | Lokale Datenverarbeitung | Anbieter für Datenhosting | USA | Deutschland |
Google reCAPTCHA | Spamschutz für Formulareinsendungen | Spamschutz für HubSpot-Formulareinsendungen | USA | * USA |
Cloudflare | Content Delivery Network | Web-Infrastruktur und Website-Sicherheit zur Bereitstellung von CDN-Services, Schutz vor DDoS-Angriffen, Internetsicherheit und verteilten DNS-Services | USA |
Regional bekannte Persönlichkeiten ** Rechenzentren auf der ganzen Welt. Traffic wird automatisch an das nächstgelegene Rechenzentrum weitergeleitet. |
ConvertAPI | Funktionen im Zusammenhang mit Produktdateien | Konvertierung von Dateien und Dokumenten für Websites und Web-/Desktop-Anwendungen | USA | Deutschland |
HelloSign | Produktbezogene eSignature-Funktionen | eSignature-Lösungen für Deals im Zusammenhang mit HubSpot-Produkten | USA | Deutschland |
Litmus | E-Mail-Funktionen | E-Mail-Vorschau | USA | Nicht verfügbar im EU-Rechenzentrum |
Mux | Videofunktionen | Bereitstellung von Videodiensten durch HubSpot-Anbieter | USA | * USA |
Snowflake, Inc. | Berichterstattung | Data-Warehouse-Lösung als Daten-Repository | USA | Deutschland |
Twilio, Inc. | Kommunikationsfunktionen | Anrufdienste in HubSpot | USA | * USA |
* Bei den oben genannten durch Unterauftragsverarbeiter bereitgestellten Funktionen, die mit einem Sternchen markiert sind, besteht die Möglichkeit, auf die Nutzung zu verzichten. Weitere Informationen finden Sie in der Richtlinie für regionales Datenhosting von HubSpot.
** Weitere Informationen zu Cloudflare finden Sie hier.
Unterauftragsverarbeiter von HubSpot | Zweck | Standort |
HubSpot, Inc. | Services & Support | USA |
HubSpot Ireland, Ltd. | Services & Support | Irland |
HubSpot Germany GmbH | Services & Support | HubSpot Germany GmbH |
HubSpot Australia Pty. Ltd. | Services & Support | HubSpot Australia Pty. Ltd. |
HubSpot Asia Pte. Ltd. | Services & Support | HubSpot Asia Pte. Ltd. |
HubSpot Japan KK | Services & Support | HubSpot Japan KK |
HubSpot Latin America, S.A.S. | Services & Support | Kolumbien |
HubSpot Sweden | Services & Support | Schweden |
HubSpot France, S.A.S | Services & Support | Frankreich |
HubSpot UK Holdings Ltd. | Services & Support | Vereinigtes Königreich |
HubSpot Canada Inc. | HubSpot Canada Inc. | Kanada |
Wenn Sie gerne per E-Mail über Aktualisierungen der Anlage 3 in Kenntnis gesetzt werden möchten, dann klicken Sie hier.
Anlage 4 – Standardvertragsklauseln
Modul Zwei: Übermittlung vom für die Verarbeitung Verantwortlichen zum Auftragsverarbeiter (C2P)
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
(a) Der Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.
(b) Die Parteien:
(i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (nachstehend „Entität(en)“ genannt), die die personenbezogenen Daten übermitteln, wie in Anlage I.A. aufgeführt (nachstehend „Datenexporteur“), und
(ii) die Entität(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt von einer anderen Entität, die ebenfalls Vertragspartei dieser Klauseln ist und in Anlage I.A. aufgeführt ist, erhält/erhalten (nachstehend „Datenimporteur“)
haben diesen Standardvertragsklauseln (nachstehend „Klauseln“) zugestimmt.
(c) Diese Klauseln gelten für die Übermittlung von personenbezogenen Daten, wie in Anlage I.B beschrieben.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anlagen enthält, ist Bestandteil dieser Klauseln.Klausel 2
Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln enthalten Sicherheitsmaßnahmen, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe (c) der Verordnung (EU) 2016/679 und – in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an andere Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Vertragsparteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Sicherheitsmaßnahmen hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
(a) Die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, wobei folgende Ausnahmen gelten:
(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
(ii) Klausel 8 – Klausel 8.1(b), 8.9(a), (c), (d) und (e);
(iii) Klausel 9 – Klausel 9(a), (c), (d) und (e);
(iv) Klausel 12 – Klausel 12(a), (d) und (f);
(v) Klausel 13;
(vi) Klausel 15.1(c), (d) und (e);
(vii) Klausel 16(e);
(viii) Klausel 18 – Klausel 18(a) und (b).
(b) Buchstabe (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.
Klausel 4
Interpretation
(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.
(b) Diese Klauseln sind in Übereinstimmung mit den Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.
Klausel 5
Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.
Klausel 6
Beschreibung der Übermittlung(en)
Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Übermittlungszweck/e, sind in Anlange I.B aufgeführt.
Klausel 7
Kopplungsklausel
(a) Eine Entität, die nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie den Anhang ausfüllt und Anlage I.A unterzeichnet.
(b) Sobald die beitretende Entität den Anhang ausgefüllt und Anlage I.A unterzeichnet hat, wird sie Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anlage I.A.
(c) Die beitretende Entität übernimmt keine Rechte und Pflichten aus Klauseln, die aus der Zeit vor dem Beitritt stammen.
ABSCHNITT II – VERPFLICHTUNGEN DER VERTRAGSPARTEIEN
Klausel 8
Sicherheitsmaßnahmen zum Datenschutz
Der Datenexporteur garantiert, sich in angemessener Weise vergewissert zu haben, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.
8.1 Anleitung
(a) Der Datenimporteur darf die personenbezogenen Daten nur nach der dokumentierten Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen während der gesamten Laufzeit des Vertrags erteilen.
(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
8.2 Zweckbeschränkung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur zum spezifischen Zweck der Übermittlung gemäß Anlage I.B, sofern der Datenexporteur keine weiteren Weisungen erteilt.8.3 Transparenz
Der Datenexporteur stellt der betroffenen Person auf Anfrage unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Vertragsparteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anlage II beschriebenen Maßnahmen, sowie dem Schutz von personenbezogenen Daten erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Vertragsparteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.
8.4 Richtigkeit
Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, hat er dies dem Datenexporteur unverzüglich mitzuteilen. In diesem Fall muss der Datenimporteur mit dem Datenexporteur zusammenarbeiten, um die Daten zu löschen oder zu berichtigen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anlage I.B angegebene Dauer. Nach Beendigung der Verarbeitungsdienste löscht der Datenimporteur auf Wunsch des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln gewährleisten. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, weiterhin die Einhaltung dieser Klauseln zu gewährleisten und die Daten nur in dem Umfang und so lange zu verarbeiten, wie es die örtlichen Gesetze vorschreiben. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs laut Klausel 14 Buchstabe (e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, falls Grund zur Annahme besteht, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen in Klausel 14 Buchstabe (a) in Einklang stehen.
8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur (und bei der Übermittlung auch der Datenexporteur) ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führen (nachstehend „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, die Umstände und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Vertragsparteien erwägen insbesondere die Nutzung von Verschlüsselung oder Pseudonymisierung – auch während der Übermittlung –, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen laut diesem Absatz nach, indem er zumindest die in Anlange II aufgeführten technischen und organisatorischen Maßnahmen implementiert. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Datenpanne zu beheben, was auch Maßnahmen zur Abschwächung ihrer nachteiligen Auswirkungen umfasst. Der Datenimporteur benachrichtigt den Datenexporteur auch unverzüglich, nachdem er von dem Verstoß Kenntnis erlangt hat. Eine solche Benachrichtigung enthält eine Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Datenpanne (möglichst einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), die voraussichtlichen Folgen der Datenpanne und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen. Falls es nicht möglich ist, alle Informationen gleichzeitig zur Verfügung zu stellen, muss die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen enthalten. Weitere Informationen müssen sobald sie verfügbar sind und ohne unangemessene Verzögerung nachgereicht werden.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere was die Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen betrifft, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.
8.7 Sensible Daten
Enthält die Übermittlung personenbezogene Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend „sensible Daten“ genannt), so wendet der Datenimporteur die in Anlage I.B beschriebenen besonderen Beschränkungen und/oder zusätzlichen Sicherheitsmaßnahmen an.
8.8 Weiterübermittlungen
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weitergeben. Darüber hinaus dürfen die Daten nur dann an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist bzw. sich damit einverstanden erklärt, oder wenn:
(i) die Weiterübermittlung in ein Land mit einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679, der die Weiterübermittlung abdeckt, erfolgt;
(ii) der Dritte anderweitig angemessene Sicherheitsmaßnahmen gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
(iii) die Weiterübermittlung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder
(iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Sicherheitsmaßnahmen, die in diesen Klauseln enthalten sind, durch den Datenimporteur, was insbesondere für die Zweckbeschränkung gilt.
8.9 Dokumentation und Compliance
(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung laut diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.
(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten anlegen.
(c) Der Datenimporteur muss dem Datenexporteur alle Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung der in diesen Klauseln beschriebenen Verpflichtungen erforderlich sind, und ermöglicht auf Ersuchen des Datenexporteurs in angemessenen Abständen oder bei Hinweisen auf eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und beteiligt sich an diesen Audits. Bei der Entscheidung zwischen einer Überprüfung oder einem Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
(d) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen der Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls nach angemessener Vorankündigung durchgeführt.
(e) Die Vertragsparteien stellen die in den Buchstaben (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
Klausel 9
Beauftragung von Unterauftragsverarbeitern
(a) Der Datenimporteur erhält die allgemeine Genehmigung des Datenexporteurs, Unterauftragsverarbeiter aus einer vereinbarten Liste zu beauftragen. Der Datenimporteur informiert den Datenexporteur mindestens 30 Arbeitstage im Voraus schriftlich über beabsichtigte Änderungen dieser Liste (Hinzufügen oder Ersetzen von Unterauftragsverarbeitern), damit der Datenexporteur genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur jene Informationen zur Verfügung, die der Datenexporteur benötigt, um sein Widerspruchsrecht auszuüben.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies mit einem schriftlichen Vertrag, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die für den Datenimporteur nach diesen Klauseln gelten, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Vertragsparteien vereinbaren, dass der Datenimporteur mit der Einhaltung dieser Klausel seine Verpflichtungen laut Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter jene Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur legt dem Datenexporteur auf Anfrage eine Kopie der Untervergabevereinbarung und aller nachfolgenden Änderungen vor. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur informiert den Datenexporteur, falls der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10
Rechte der betroffenen Personen
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich über jeden Antrag einer betroffenen Person. Er beantwortet den Antrag nicht selbst, sofern er nicht vom Datenexporteur dazu ermächtigt wurde.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anlage II die geeigneten technischen und organisatorischen Maßnahmen dieser Unterstützung (unter Berücksichtigung der Art der Verarbeitung) fest und beschreiben den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben (a) und (b) hat der Datenimporteur die Weisungen des Datenexporteurs zu befolgen.
Klausel 11
Entschädigung
(a) Der Datenimporteur informiert die betroffenen Personen auf transparente, leicht zugängliche Weise durch eine persönliche Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet unverzüglich alle Beschwerden, die er von einer betroffenen Person erhält.
(b) Bei Streitigkeiten zwischen einer betroffenen Person und einer der Vertragsparteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei, die Angelegenheit rechtzeitig gütlich zu regeln. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls zu deren Beilegung zusammen.
(c) Macht die betroffene Person gemäß Klausel 3 Rechte als Drittbegünstigte geltend, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar:
(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;
(ii) die Streitigkeit den zuständigen Gerichten entsprechend Klausel 18 vorzulegen.
(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
(e) Der Datenimporteur muss sich an eine Entscheidung halten, die nach geltendem Recht der EU oder eines Mitgliedstaats verbindlich ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen und verfahrensrechtlichen Rechte beeinträchtigt, gemäß den geltenden Rechtsvorschriften Rechtsbehelfe einzulegen.
Klausel 12
Haftung
(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
(b) Der Datenimporteur haftet der betroffenen Person gegenüber für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.
(c) Ungeachtet des Buchstabens (b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, falls der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.
(d) Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe (c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur jenen Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entsteht, so haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person hat das Recht, jede dieser Parteien gerichtlich in Anspruch zu nehmen.
(f) Die Vertragsparteien sind sich darüber einig, dass eine Vertragspartei, die gemäß Buchstabe (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Vertragspartei(en) jenen Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.
Klausel 13
Supervision
(a) Die Aufsichtsbehörde, die dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung einhält und die in Anlage I.C angegeben ist, handelt als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, einzuhalten. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen wurden.
ABSCHNITT III – ÖRTLICHE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH
BEHÖRDEN
Klausel 14
Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen
(a) Die Vertragsparteien gewährleisten, keinen Grund zur Annahme zu haben, dass die im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Praktiken, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugangs von Behörden, den Datenimporteur daran hindern, seinen Verpflichtungen nach diesen Klauseln nachzukommen. Dies beruht auf der Annahme, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Vertragsparteien erklären, dass sie bei der Übernahme der unter Buchstabe (a) genannten Garantie insbesondere die folgenden Punkte berücksichtigt haben:
(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; die beabsichtigten Weiterübermittlungen; die Art des Empfängers; den Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; den Wirtschaftszweig, in dem die Übermittlung stattfindet; den Speicherort der übermittelten Daten;
(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes – einschließlich jener, die die Weitergabe von Daten an Behörden vorschreiben oder diesen Behörden Zugriff gewähren –, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Sicherheitsmaßnahmen;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der in diesen Klauseln enthaltenen Sicherheitsmaßnahmen ergriffen wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.
(c) Der Datenimporteur gewährleistet, dass er sich bei der Beurteilung laut Buchstabe (b) nach besten Kräften bemüht, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
(d) Die Vertragsparteien vereinbaren, die Bewertung laut Buchstabe (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zur Annahme besteht, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen unter Buchstabe (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. eines Offenlegungsersuchens), die auf eine Anwendung dieser Gesetze hinweist, welche nicht mit den Anforderungen laut Buchstabe (a) übereinstimmt.
(f) Nach einer Meldung gemäß Buchstabe (e) oder wenn der Datenexporteur Grund zur Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um sich mit der Situation zu befassen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine angemessenen Sicherheitsmaßnahmen für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, da er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln vorsieht. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nicht etwas anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 Buchstaben (d) und (e).
Klausel 15
Verpflichtungen des Datenimporteurs im Falle des Zugriffs durch Behörden
15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (eventuell mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich der Justizbehörden, nach den Gesetzen des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält, wobei eine solche Meldung Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten muss; oder
(ii) Kenntnis von einem direkten Zugriff von Behörden auf personenbezogene Daten erhält, die gemäß diesen Klauseln in Übereinstimmung mit den Rechtsvorschriften des Bestimmungslandes übermittelt wurden. Diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich um eine Befreiung von diesem Verbot zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
(c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, anfragende Behörden, ob gegen das Ersuchen Widerspruch eingelegt wurde und wie dieser ausgegangen ist etc.), sofern dies nach dem Recht des Bestimmungslandes zulässig ist.
(d) Der Datenimporteur verpflichtet sich, die unter den Buchstaben (a) bis (c) genannten Informationen während der Laufzeit des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Die Buchstaben (a) bis (c) gelten ungeachtet der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe (e) sowie Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere, ob es die der Behörde eingeräumten Befugnisse nicht überschreitet, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Rechtsverkehrs rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen. Beim Anfechten eines Ersuchens muss der Datenimporteur einstweilige Maßnahmen mit dem Ziel beantragen, die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Zulässigkeit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14 Buchstabe (e).
(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und dem Datenexporteur die Dokumentation zur Verfügung zu stellen, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Offenlegungsersuchens das zulässige Mindestmaß an Informationen für eine angemessene Auslegung des Ersuchens zur Verfügung zu stellen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16
Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Klauseln nicht einhalten kann.
(b) Falls der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe (f).
(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit dies die Verarbeitung personenbezogener Daten laut diesen Klauseln betrifft, zu kündigen, wenn:
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb eines angemessenen Zeitraums, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder
(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt.
In diesen Fällen muss er die zuständige Aufsichtsbehörde über die Nichteinhaltung informieren. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nicht etwas anderes vereinbart haben.
(d) Personenbezogene Daten, die vor der Beendigung des Vertragsverhältnisses gemäß Buchstabe (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Dies gilt auch für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bestätigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln gewährleisten. Für den Fall, dass für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellen wird und die Daten nur in jenem Umfang und so lange verarbeiten wird, wie es das örtliche Recht verlangt.
(e) Jede Vertragspartei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 betreffend die Übermittlung personenbezogener Daten, für die diese Klauseln gelten, erlässt oder (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmenwerks des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaates, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass diese Klauseln dem Abschnitt „Vertragsschließende Partei; geltendes Recht; Mitteilung“ der rechtsgebietsspezifischen Klauseln oder, wenn in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, dem Recht der Republik Irland (ohne Bezugnahme auf die Grundsätze des Kollisionsrechts) unterliegen.
Klausel 18
Gerichtsstand und Gerichtsbarkeit
(a) Für Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaates zuständig.
(b) Die Vertragsparteien vereinbaren, dass dies die Gerichte des in Klausel 17 genannten Gerichtsstands sind.
(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.
(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.
ZUSATZ ZU DEN STANDARDVERTRAGSKLAUSELN FÜR DAS VEREINIGTE KÖNIGREICH UND DIE SCHWEIZ
(a) Dieser Zusatz ändert die Standardvertragsklauseln in jenem Maße, das erforderlich ist, damit sie für Übermittlungen durch den Datenexporteur an den Datenimporteur gelten, sofern die DSGVO des Vereinigten Königreichs oder das Schweizer Datenschutzgesetz (wie im Addendum zur Datenverarbeitung von HubSpot definiert) für die Verarbeitung durch den Datenexporteur bei der Übermittlung gelten.
(b) Die Standardvertragsklauseln werden wie folgt geändert:
(i) Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf die DSGVO des Vereinigten Königreichs oder das Schweizer Datenschutzgesetz (je nach Anwendbarkeit) zu verstehen;
(ii) Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte der DSGVO des Vereinigten Königreichs oder des Schweizer Datenschutzgesetzes (je nach Anwendbarkeit) ersetzt;
(iii) Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen;
(iv) Verweise auf „EU“, „Union“ und „Mitgliedstaat“ werden durch Verweise auf das „Vereinigte Königreich" oder die „Schweiz“ (je nach Anwendbarkeit) ersetzt;
(v) Klausel 13(a) und Teil C von Anlage II werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der United Kingdom Information Commissioner oder der Schweizer Eidgenössische Datenschutzbeauftragte (je nach Anwendbarkeit);
(vi) Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch Verweise auf den „Information Commissioner“ und die „Gerichte von England und Wales“ oder den „Eidgenössischen Datenschutzbeauftragten“ und die „zuständigen Gerichte der Schweiz“ (je nach Anwendbarkeit) ersetzt;
(vii) in Klausel 17 unterliegen die Standardvertragsklauseln den Gesetzen von England und Wales oder der Schweiz (je nach Anwendbarkeit); und
(viii) soweit die DSGVO des Vereinigten Königreichs für die Verarbeitung gilt, wird Klausel 18 durch folgenden Wortlaut ersetzt: „Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte von England und Wales zuständig. Eine betroffene Person kann auch vor den Gerichten einer beliebigen Region im Vereinigten Königreich gegen den Datenexporteur und/oder Datenimporteur klagen. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen“; und
(ix) falls das Schweizer Datenschutzgesetz für die Verarbeitung gilt, wird Klausel 18 durch folgenden Wortlaut ersetzt: „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den zuständigen Gerichten der Schweiz entschieden. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.“