Secureframe-Datenverarbeitungsvereinbarung für Kunden

Zuletzt aktualisiert: 25. Mai 2023

Diese Datenverarbeitungsvereinbarung, einschließlich ihrer Anhänge und der Standardvertragsklauseln (zusammenfassend die "DPA"), ist in die Geschäftsbedingungen der Secureframe-Nutzungsbedingungen ("Vereinbarung") zwischen der in der Vereinbarung identifizierten Secureframe-Vertragseinheit ("Secureframe") und der als Kunde in der Vereinbarung identifizierten Partei ("Kunde") integriert und unterliegt diesen, gemäß denen Secureframe dem Kunden bestimmte Dienstleistungen erbringt.

Alle in dieser DPA nicht definierten Begriffe haben die in der Vereinbarung festgelegte Bedeutung. Diese DPA ergänzt die Vereinbarung und legt die Rollen und Pflichten fest, die gelten, wenn Secureframe personenbezogene Daten im Namen des Kunden verarbeitet, wenn die Dienstleistungen gemäß dem anwendbaren Datenschutzrecht unter der Vereinbarung geschützt sind.

Durch den Abschluss der Vereinbarung tritt der Kunde in diese DPA und die Standardvertragsklauseln (sofern zutreffend und wie unten definiert) im eigenen Namen und, soweit nach anwendbarem Datenschutzrecht erforderlich, im Namen und im Auftrag seiner berechtigten verbundenen Unternehmen (falls vorhanden), die die Dienstleistungen nutzen dürfen, ein. Für die Zwecke dieser DPA und soweit nicht anders angegeben, schließt der Begriff "Kunde" den Kunden und solche verbundenen Unternehmen ein.

Die Parteien vereinbaren Folgendes:

1. Definitionen
1.1.
"Verbundene Unternehmen" bedeutet eine Einheit, die direkt oder indirekt eine andere Einheit kontrolliert, von einer anderen Einheit kontrolliert wird oder unter gemeinsamer Kontrolle mit einer anderen Einheit steht. "Kontrolle" bedeutet ein Eigentums-, Stimmrechts- oder ähnliches Interesse, das fünfzig Prozent (50%) oder mehr der insgesamt ausstehenden Anteile (auf voll verwässerter Basis gemessen) der fraglichen Einheit darstellt. Der Begriff "Kontrolliert" wird entsprechend ausgelegt.

1.2. "Anwendbares Datenschutzgesetz" bedeutet alle Datenschutz- und Privatsphäregesetze und -vorschriften, die allgemein für die Erbringung der Dienstleistungen durch Secureframe gegenüber seinen Kunden gelten, einschließlich, aber nicht beschränkt auf das europäische Datenschutzrecht und das US-Datenschutzrecht (ohne Rücksicht auf die besondere Nutzung der Dienstleistungen durch den Kunden).

1.3. "Verantwortlicher" bedeutet eine Einheit, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Für die Zwecke dieser DPA umfasst ein Verantwortlicher ein "Unternehmen", wie dieser Begriff nach US-Datenschutzrecht oder einer ähnlichen Bezeichnung nach anwendbarem Datenschutzrecht definiert ist.

1.4. "Kundendaten" bedeutet alle personenbezogenen Daten, die von Secureframe gemäß Abschnitt 2.1 dieser DPA im Zusammenhang mit den Dienstleistungen verarbeitet werden, und wie in den Anhängen 1 und 2 dieser DPA (sofern zutreffend) näher beschrieben.

1.5. "Europa" bedeutet im Sinne dieser DPA die Mitgliedstaaten des Europäischen Wirtschaftsraums ("EWR"), die Schweiz und das Vereinigte Königreich ("UK").

1.6. "European Data Protection Law" means (i) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data (General Data Protection Regulation) ("EUGDPR"); (ii) the EU GDPR as saved into UK law by virtue of section 3 of the UK's European Union (Withdrawal) Act 2018 and the UK Data Protection Act 2018 (collectively referred to for these purposes as the "UK GDPR"); (iii) the Swiss Federal Data Protection Act of 19 June 1992 and its corresponding ordinances ("Swiss DPA"); (iv) the e-Privacy Directive (Directive 2002/58/EC); (v) any applicable national data protection laws made under or pursuant to or that apply in conjunction with (i), (ii), (iii) or (iv) (in each case, as superseded, amended or replaced from time to time).

1.7. Personal Data” means all information relating to an identified or identifiable natural person or consumer ("Data Subject"), including any data or information that is deemed “personal data”, "personally identifiable information" and/or “personal information” under Applicable Data Protection Law.

1.8. "Process," "Processes," "Processing," "Processed" means any operation or set of operations which is performed on Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or otherwise making available, alignment or combination, restriction, erasure, destruction, or creating information from, Personal Data.

1.9. "Processor" means an entity that Processes Personal Data on behalf, and in accordance with the instructions, of a Controller. For purposes of this DPA, a Processor includes a "service provider" as such term is defined by US Data Protection Law, or any similar or analogous designation under Applicable Data Protection Law.

1.10. "Restricted Transfer" means: (i) where the GDPR applies, a transfer of Personal Data from the EEA to a country outside of the EEA which is not subject to an adequacy determination by the European Commission; (ii) where the UK GDPR applies, a transfer of Personal Data from the UK to any other country which is not based on adequacy regulations pursuant to Section 17A of the Data Protection Act 2018; and (iii) where the Swiss DPA applies, a transfer of Personal Data to a country outside of Switzerland which is not included on the list of adequate jurisdictions published by the Swiss Federal Data Protection and Information Commissioner.

1.11. "Security Incident" means a personal data breach or any confirmed breach of security that leads to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to Customer Data transmitted, stored or otherwise Processed by Secureframe in connection with the provision of the Services. "Security Incident" shall not include unsuccessful attempts or activities that do not compromise the security of Personal Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks and other network attacks on firewalls or networked systems.

1.12. "Standardvertragsklauseln" oder "SCCs" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 angenommen wurden.

1.13. "Unterauftragsverarbeiter" bezeichnet jede Drittpartei, die auf die Kundendaten zugreifen kann und von Secureframe oder seinen verbundenen Unternehmen beauftragt wird, bei der Erfüllung der Verpflichtungen im Zusammenhang mit der Erbringung der Dienstleistungen gemäß dem Vertrag oder dieser DPA zu unterstützen. Unterverarbeiter können Drittparteien oder Secureframe-Partner sein, jedoch keine Mitarbeiter, Auftragnehmer oder Berater von Secureframe.

1.14. "Aufsichtsbehörde" bezeichnet jede Regulierungs-, Aufsichts-, Regierungs-, staatliche Agentur, Generalstaatsanwalt oder andere zuständige Behörde, die die Einhaltung des geltenden Datenschutzrechts überwacht.

1.15. "UK Addendum" bezeichnet das "UK Addendum zu den EU-Standardvertragsklauseln", das vom Information Commissioner's Office gemäß § 119A(1) des UK Data Protection Act 2018 herausgegeben wurde.

1.16. "US-Datenschutzgesetz" bezeichnet alle in den Vereinigten Staaten geltenden Datenschutzgesetze und -vorschriften, einschließlich des California Consumer Privacy Act, geändert durch den California Privacy Rights Act ("CCPA"), sowie alle dazu erlassenen Vorschriften und Leitlinien; und, soweit anwendbar, (ii) den Virginia Consumer Data Protection Act ("CDPA"); (iii) den Colorado Privacy Act ("CPA"); (iv) den Utah Consumer Privacy Act ("UCPA"); (v) den Connecticut Data Privacy Act ("CTDPA"); jeweils in der geänderten oder ersetzten Fassung.

2. Umfang und Beziehung der Parteien

2.1. Umfang. Diese DPA gilt, soweit Secureframe Kundendaten verarbeitet, die durch geltendes Datenschutzrecht im Rahmen der Erbringung der Dienstleistungen gemäß dem Vertrag geschützt sind, wie folgt:

2.1.1. Wenn der Kunde ein Verantwortlicher der unter diese DPA fallenden Kundendaten ist, ist Secureframe ein Auftragsverarbeiter, der Kundendaten im Auftrag des Kunden verarbeitet. Entsprechend gilt diese DPA.

2.1.2. Wenn und soweit Secureframe und/oder jedes relevante Secureframe-Partner Kundendaten als Verantwortlicher verarbeiten, verarbeitet Secureframe solche Kundendaten nur in Übereinstimmung mit dem geltenden Datenschutzrecht, der Privacy Policy von Secureframe, die unter https://secureframe.com/privacy, und den Abschnitten 3, 5.1, 5.2, 6, 7 und 9.1.3 dieser DPA zu finden ist.

2.2. Secureframe Verarbeitung personenbezogener Daten. Als Auftragsverarbeiter verarbeitet Secureframe Kundendaten nur für die in den Schedules 1 und 2 dieser DPA beschriebenen Zwecke (die "Geschäftszwecke") und nur gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden, es sei denn, es ist nach dem geltenden Datenschutzrecht erforderlich. Die Parteien vereinbaren, dass diese DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Kunden an Secureframe in Bezug auf die Verarbeitung von Kundendaten festlegen und (falls zutreffend) alle Anweisungen von Dritten enthalten und mit diesen übereinstimmen. Eine Verarbeitung außerhalb des Rahmens dieser Anweisungen (falls vorhanden) erfordert eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Secureframe. Unbeschadet der Bestimmung 2.3 informiert Secureframe den Kunden schriftlich, es sei denn, dies ist nach dem geltenden Datenschutzrecht untersagt, wenn Secureframe Kenntnis davon erlangt oder der Ansicht ist, dass eine Verarbeitung gemäß den Anweisungen des Kunden gegen das geltende Datenschutzrecht verstößt. Gegebenenfalls ist der Kunde verantwortlich für alle Mitteilungen, Benachrichtigungen, Unterstützung und/oder Genehmigungen, die Secureframe gegenüber oder von einem Dritten erteilen oder erhalten muss.

2.3. Kundenverantwortlichkeiten. Der Kunde ist für die Rechtmäßigkeit der Verarbeitung der Kundendaten gemäß oder in Verbindung mit der Vereinbarung verantwortlich. Der Kunde erklärt und garantiert, dass (i) er alle erforderlichen Benachrichtigungen bereitgestellt und alle erforderlichen Einwilligungen, Berechtigungen und Rechte gemäß dem geltenden Datenschutzrecht eingeholt hat und weiterhin einholen wird, damit Secureframe Kundendaten rechtmäßig für die im Rahmen der Vereinbarung vorgesehenen Zwecke verarbeiten kann; (ii) er das geltende Datenschutzrecht als Verantwortlicher für die Erhebung und Bereitstellung solcher Kundendaten an Secureframe und seine Unterauftragsverarbeiter eingehalten hat; und (iii) er sicherstellen wird, dass seine Verarbeitungsanweisungen mit den geltenden Gesetzen (einschließlich des geltenden Datenschutzrechts) übereinstimmen und dass die Verarbeitung der Kundendaten durch Secureframe gemäß den Anweisungen des Kunden Secureframe nicht dazu veranlasst, gegen das geltende Datenschutzrecht zu verstoßen.

2.4. Aggregierte Daten. Ungeachtet des Vorstehenden oder anderslautender Bestimmungen in der Vereinbarung erkennt der Kunde an, dass Secureframe und seine verbundene Unternehmen das Recht haben, anonymisierte, aggregierte und/oder de-identifizierte Informationen (wie nach dem geltenden Datenschutzrecht definiert) für eigene legitime Geschäftszwecke zu sammeln und zu erstellen.

3. Secureframe als Verantwortlicher

3.1. Jede Partei ist individuell und getrennt verantwortlich für die Einhaltung der Verpflichtungen, die für sie als separater und unabhängiger Verantwortlicher nach dem geltenden Datenschutzrecht gelten, und keine Partei ist für die Einhaltung des geltenden Datenschutzrechts durch die andere Partei verantwortlich.

4. Unterauftragsverarbeitung

4.1. Autorisierte Unterauftragsverarbeiter. Der Kunde erteilt hiermit eine allgemeine Genehmigung für Secureframe, Unterauftragsverarbeiter zu beauftragen, um Kundendaten im Namen des Kunden (in Bezug auf die Rolle als Auftragsverarbeiter) zu verarbeiten. Die von Secureframe beauftragten Unterauftragsverarbeiter hängen von den vom Kunden gekauften Dienstleistungen ab und sind auf der Secureframe-Website unter www.secureframe.com/subprocessors verfügbar ("Unterauftragsverarbeiter-Liste").

4.2. Benachrichtigung. Secureframe benachrichtigt den Kunden mindestens zehn (10) Tage vor solchen Änderungen über die neue Beauftragung eines Unterauftragsverarbeiters, indem es eine E-Mail an die vom Kunden angegebene E-Mail-Adresse sendet.

5. Sicherheit und Audits

5.1. Sicherheitsmaßnahmen. Secureframe wird geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit von Kundendaten zu wahren. Diese Maßnahmen umfassen mindestens die in Anhang 3 dieses DPA beschriebenen Maßnahmen ("Sicherheitsmaßnahmen"). Secureframe stellt sicher, dass jede Person, die von Secureframe zur Verarbeitung von Kundendaten autorisiert ist, einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Pflicht).

5.2. Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und Secureframe die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren und/oder modifizieren kann, vorausgesetzt, dass solche Aktualisierungen und/oder Modifikationen nicht zu einer wesentlichen Verschlechterung der Gesamtsicherheit der vom Kunden gekauften Dienstleistungen führen.

5.3. Verantwortlichkeiten des Kunden im Bereich Sicherheit. Ungeachtet des Vorstehenden stimmt der Kunde zu, dass er, außer wie in diesem DPA vorgesehen, für die sichere Nutzung der Dienstleistungen verantwortlich ist, einschließlich der Sicherung seiner Authentifizierungsdaten für Konten, des Schutzes der Sicherheit von Kundendaten während der Übertragung zu und von den Dienstleistungen und der Durchführung geeigneter Schritte zur sicheren Verschlüsselung oder Sicherung der im Zusammenhang mit den Dienstleistungen verarbeiteten Kundendaten. Der Kunde muss geeignete technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, personenbezogene Daten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit personenbezogener Daten während ihrer Kontrolle und Verwaltung zu wahren.

5.4. Reaktion auf Sicherheitsvorfälle. Bei Bekanntwerden eines Sicherheitsvorfalls benachrichtigt Secureframe den Kunden unverzüglich und stellt zeitnah Informationen zum Sicherheitsvorfall zur Verfügung, sobald diese bekannt werden oder vom Kunden angemessen angefordert werden. Secureframes Benachrichtigung über oder Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt wird nicht als Anerkennung von Secureframe einer Schuld oder Haftung in Bezug auf den Sicherheitsvorfall ausgelegt.

5.5. Sicherheitsaudits. Auf schriftliche Anfrage des Kunden stellt Secureframe schriftliche Antworten (die Prüfberichts-Zusammenfassungen/Auszüge enthalten können) auf alle angemessenen Informationsanforderungen des Kunden bezüglich der Verarbeitung von Kundendaten zur Verfügung, die notwendig sind, um die Einhaltung dieses DPA durch Secureframe zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal in einem rollierenden Zeitraum von 12 Monaten ausübt. Ungeachtet des Vorstehenden kann der Kunde dieses Prüfungsrecht auch ausüben, wenn der Kunde ausdrücklich aufgefordert oder verpflichtet ist, diese Informationen einer Datenschutzbehörde bereitzustellen, oder Secureframe einen Sicherheitsvorfall erlebt hat oder auf einer anderen ähnlich vernünftigen Grundlage. Nichts hierin wird so ausgelegt, dass Secureframe verpflichtet ist: (i) Geschäftsgeheimnisse oder proprietäre Informationen bereitzustellen; (ii) jegliche Informationen bereitzustellen, die gegen die Vertraulichkeitsverpflichtungen von Secureframe, vertragliche Verpflichtungen oder geltendes Recht verstoßen würden; oder (iii) jegliche Informationen bereitzustellen, deren Offenlegung die Sicherheit, Vertraulichkeit oder Integrität der Infrastruktur, Netzwerke, Systeme oder Daten von Secureframe bedrohen, kompromittieren oder anderweitig gefährden könnte.

6. Internationale Übertragungen

6.1. Verarbeitungsstandorte. Der Kunde erkennt an und stimmt zu, dass Secureframe und seine Unterauftragsverarbeiter Kundendaten in die Vereinigten Staaten und überall sonst in der Welt, wo Secureframe, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Verarbeitungstätigkeiten unterhalten, übertragen (einschließlich eingeschränkte Übertragungen durchführen) und verarbeiten dürfen, wie im Unterauftragsverarbeiter-Verzeichnis näher beschrieben. Die Parteien stellen sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen des geltenden Datenschutzrechts und dieses DPA erfolgen.

7. Löschung von Kundendaten

7.1. Deletion. Upon termination or expiry of the Agreement, on Customer's request Secureframe shall delete all Customer Data Processed by Secureframe as a Processor (including copies) in its possession or control in accordance with the Agreement, save that this requirement shall not apply to the extent Secureframe is required by applicable law to retain some or all of the Customer Data, or to Customer Data it has archived on back-up systems, which data Secureframe shall securely isolate and protect from any further Processing and delete in accordance with its deletion practices, except to the extent required by applicable law. Customer Data Processed by Secureframe as a Controller will be deleted or retained in accordance with the Secureframe Privacy Statement.

8. Rights of Individuals and Cooperation

8.1. Data Subject Requests. To the extent Customer is unable to independently access the relevant Customer Data within the Services, Secureframe shall, at Customer's expense and taking into account the nature of the Processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the Processing of Customer Data under the Agreement. In the event that any such request is made to Secureframe directly, and Secureframe is able to readily discern that such request is associated with Customer, Secureframe shall not respond to such communication directly without Customer's prior authorization, unless legally compelled to do so. If Secureframe is required to respond to such a request, Secureframe shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.

9. Jurisdiction Specific Terms

9.1. Europe. To the extent Customer Data is subject to European Data Protection Law, the following terms shall apply in addition to the terms in the remainder of this DPA:

9.1.1. Sub-processor Obligations. Secureframe shall: (i) enter into a written agreement with each Sub-processor imposing data protection terms that require Sub-processor to protect Customer Data to the standard required by applicable European Data Protection Law and this DPA; and (ii) remain responsible for its compliance with the obligations of this DPA and for any acts or omissions of the Sub-processor that cause Secureframe to breach any of its obligations under this DPA. Secureframe shall use reasonable efforts to provide relevant extracts of the agreement with any Sub-processor it appoints to Customer upon request.

9.1.2. Objections to Sub-processors. Customer may object in writing to Secureframe’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g., if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Secureframe promptly in writing within five (5) calendar days of receipt of Secureframe’s notice in accordance with Section 4.1 above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Secureframe will, at its sole discretion, either not appoint the Sub-processor, or permit Customer to suspend or terminate the affected Product in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer before suspension or termination). If such objection right is not exercised by Customer in the terms described above, silence shall be deemed to constitute an approval of such engagement.

9.1.3. Restricted Transfers. The parties agree that when the transfer of Personal Data from Customer (as "data exporter") to Secureframe (as "data importer") is a Restricted Transfer, it shall be subject to the Standard Contractual Clauses, which shall be automatically incorporated by reference and form an integral part of this DPA, as follows:

A. Secureframe als Auftragsverarbeiter. In Bezug auf Kundendaten, die durch die EU-DSGVO geschützt sind und in Übereinstimmung mit Abschnitt 2.1.1 dieser DPA verarbeitet werden, gelten die SCCs, wie folgt ausgefüllt: i. Modul Zwei gilt; ii. In Klausel 7 gilt die optionale Docking-Klausel; iii. In Klausel 9 gilt Option 2, und der Zeitraum für die Vorabbenachrichtigung über Änderungen des Unterauftragsverarbeiters ist in Abschnitt 4 oben festgelegt; iv. In Klausel 11 gilt die optionale Formulierung nicht; v. In Klausel 17 gilt Option 1, und die SCCs werden dem Recht des EU-Mitgliedstaats unterliegen, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, dem irischen Recht; vi. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des EU-Mitgliedstaats beigelegt, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, nach irischem Recht; vii. Anhang I der SCCs gilt als ausgefüllt mit den Informationen im Anhang 1 dieser DPA; und viii. Vorbehaltlich der Abschnitte 5.1 und 5.2 dieser DPA gilt Anhang II der SCCs als ausgefüllt mit den Informationen im Anhang 3 dieser DPA;

B. Secureframe als Verantwortlicher. In Bezug auf Kundendaten, die durch die EU-DSGVO geschützt sind und gemäß Abschnitt 2.1.2 dieser DPA verarbeitet werden, gelten die SCCs, wie folgt ausgefüllt: i. Modul Eins gilt; ii. In Klausel 7 gilt die optionale Docking-Klausel; iii. In Klausel 11 gilt die optionale Formulierung nicht; iv. In Klausel 17 gilt Option 1, und die SCCs werden dem Recht des EU-Mitgliedstaats unterliegen, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, dem irischen Recht; v. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des EU-Mitgliedstaats beigelegt, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, nach irischem Recht; vi. Anhang I der SCCs gilt als ausgefüllt mit den Informationen im Anhang 2 dieser DPA; und vii. Vorbehaltlich der Abschnitte 5.1 und 5.2 dieser DPA gilt Anhang II der SCCs als ausgefüllt mit den Informationen im Anhang 3 dieser DPA.

C. Übertragungen im Zusammenhang mit dem Vereinigten Königreich. In Bezug auf Kundendaten, die durch die britische DSGVO geschützt sind, gelten die SCCs: (i) wie in den Absätzen (A) und (B) oben ausgefüllt; und (ii) gelten als geändert, wie im britischen Addendum festgelegt, das als Anhang 4 beigefügt ist, der als von den Parteien ausgeführt gilt und integraler Bestandteil dieser DPA ist. Jeder Konflikt zwischen den Bestimmungen der SCCs und dem britischen Addendum wird in Übereinstimmung mit Abschnitt 10 und Abschnitt 11 des britischen Addendums gelöst.

D. Übertragungen im Zusammenhang mit der Schweiz. In Bezug auf Kundendaten, die durch die schweizerische DSGVO geschützt sind, gelten die unter den Absätzen (A) und (B) oben umgesetzten SCCs mit den folgenden Änderungen: i. Verweise auf "Verordnung (EU) 2016/679" sind als Verweise auf die schweizerische DSGVO zu interpretieren; ii. Verweise auf spezifische Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der schweizerischen DSGVO ersetzt; iii. Verweise auf "EU", "Union", "Mitgliedstaat" und "Mitgliedstaatengesetz" werden durch Verweise auf "Schweiz" oder "Schweizerisches Recht" ersetzt; iv. der Begriff "Mitgliedstaat" darf nicht so interpretiert werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d.h. in der Schweiz) geltend zu machen; v. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet und die "zuständige Aufsichtsbehörde" ist der Schweizerische Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; vi. Verweise auf die "zuständige Aufsichtsbehörde" und "zuständige Gerichte" werden durch Verweise auf den "Schweizerischen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten" und die "zuständigen Gerichte der Schweiz" ersetzt; vii. in Klausel 17 unterliegen die SCCs dem Recht der Schweiz; viii. Klausel 18(b) besagt, dass Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt werden; und ix. die SCCs schützen auch die Daten juristischer Personen bis zum Inkrafttreten des revidierten Bundesgesetzes über den Datenschutz.

E. Konflikte. Es ist nicht die Absicht einer der Parteien, irgendwelche Bestimmungen der SCCs zu widersprechen oder einzuschränken, und daher, falls und soweit die SCCs mit einer Bestimmung der Vereinbarung (einschließlich dieser DPA) in Konflikt stehen, haben die SCCs im Umfang dieses Konflikts Vorrang.

9.1.4. Alternative Übertragungsvereinbarung. Sollte Secureframe eine alternative Datenschutzlösung (einschließlich der Annahme von verbindlichen Unternehmensregeln oder einer neuen Version der Standardvertragsklauseln (SCCs) oder des Privacy Shield gemäß den geltenden europäischen Datenschutzgesetzen) für die Übermittlung von Kundendaten einführen, wie es von den geltenden europäischen Datenschutzgesetzen vorgeschrieben ist ("Alternative Übertragungsmechanismus"), so gilt der Alternative Übertragungsmechanismus anstelle eines anwendbaren Übertragungsmechanismus, der in dieser DPA beschrieben ist (aber nur insoweit, als dieser Alternative Übertragungsmechanismus den geltenden europäischen Datenschutzgesetzen entspricht und sich auf die Gebiete erstreckt, in die Kundendaten übermittelt werden) und der Kunde verpflichtet sich, die erforderlichen Dokumente zu unterzeichnen und weitere vernünftigerweise notwendige Maßnahmen zu ergreifen, um dem Alternativen Übertragungsmechanismus Rechtswirkung zu verleihen. Darüber hinaus gilt, wenn und soweit ein zuständiges Gericht oder eine Aufsichtsbehörde mit bindender Autorität anordnet (aus welchem Grund auch immer), dass die in dieser DPA beschriebenen Maßnahmen nicht für die rechtmäßige Übermittlung von Kundendaten in ein Land, das kein angemessenes Schutzniveau gewährleistet (im Sinne der geltenden europäischen Datenschutzgesetze), herangezogen werden können, werden die Parteien in angemessener Weise zusammenarbeiten, um etwaige zusätzliche Maßnahmen oder Schutzmechanismen zu vereinbaren und zu ergreifen, die nicht in dieser DPA beschrieben sind, oder alternative Übertragungsmechanismen ("Alternative Übertragungsvereinbarungen"), um die rechtmäßige Übermittlung dieser Kundendaten zu ermöglichen.

9.1.5. Datenschutz-Folgenabschätzung. Soweit Secureframe nach geltendem europäischen Datenschutzrecht verpflichtet ist, stellt Secureframe die angemessen angeforderten Informationen über die Verarbeitung der Kundendaten durch Secureframe im Rahmen der Vereinbarung und DPA zur Verfügung, um dem Kunden die Durchführung von Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit Aufsichtsbehörden zu ermöglichen, wie es gesetzlich vorgesehen ist.

9.2. Vereinigte Staaten. Secureframe erfüllt die Anforderungen der US-Datenschutzgesetze (soweit anwendbar). Die in Abschnitt 9.2 verwendeten, aber nicht definierten, großgeschriebenen Begriffe haben die gleiche Bedeutung wie in den US-Datenschutzgesetzen. Die Parteien stimmen zu, dass Secureframe ein „Diensteanbieter“ bei der Erfüllung seiner Verpflichtungen aus diesem Vertrag ist und dass der Kunde ein „Unternehmen“ ist und dass die Übermittlung von Kundendaten an Secureframe nicht als „Verkauf“ oder „Teilen“ gilt.

9.2.1. Secureframe wird die Kundendaten nur für die geschäftlichen Zwecke verarbeiten.

9.2.2. Als Diensteanbieter wird Secureframe nicht: a) Kundendaten verkaufen oder teilen, wie diese Begriffe nach US-Datenschutzrecht definiert sind; b) Kundendaten für andere Zwecke als die geschäftlichen Zwecke aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung von Kundendaten für kommerzielle Zwecke, die nicht die geschäftlichen Zwecke sind, oder wie es sonst nach US-Datenschutzgesetzen erlaubt ist; c) Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen Secureframe und dem Kunden aufbewahren, verwenden oder offenlegen; oder d) Kundendaten, die Secureframe von oder im Namen des Kunden erhält, mit personenbezogenen Daten kombinieren, die es von oder im Namen einer anderen Person oder Personen erhält oder aus der eigenen Interaktion mit dem Verbraucher sammelt, vorausgesetzt, dass Secureframe personenbezogene Daten kombinieren darf, um geschäftliche Zwecke gemäß US-Datenschutzrecht zu erfüllen.

9.2.3. Secureframe wird: (a) dem Kunden angemessene Unterstützung bieten, wenn eine Risikobewertung, eine Cybersicherheitsaudit oder ähnliches nach US-Datenschutzrecht erforderlich ist und/oder eine Anfrage, Erkundigung, Beschwerde oder vorherige Konsultation mit einer Aufsichtsbehörde über die Einhaltung des US-Datenschutzrechts erforderlich ist; (b) dem Kunden das Recht einräumen, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass Secureframe Kundendaten in Übereinstimmung mit den Verpflichtungen des Kunden gemäß US-Datenschutzrecht verwendet; (c) den Kunden benachrichtigen, wenn Secureframe feststellt, dass es seine Verpflichtungen nach US-Datenschutzrecht nicht mehr erfüllen kann; (d) dem Kunden das Recht einräumen, nach angemessener Vorankündigung angemessene und geeignete Schritte zu unternehmen, um jede unbefugte Nutzung von Kundendaten zu stoppen und zu beheben.

9.2.4. To the extent required by US Data Protection Law, Customer shall inform Secureframe of any consumer requests made pursuant to US Data Protection Law that Secureframe must comply with, and shall provide all information reasonably necessary for Secureframe to comply with such request.

10. Miscellaneous

10.1. Disclosures. Customer acknowledges that Secureframe may disclose this DPA (including the Standard Contractual Clauses) and any relevant privacy provisions in the Agreement to the U.S. Department of Commerce, the Federal Trade Commission, a European data protection authority or any other U.S. or European judicial or regulatory body upon their request.

10.2. Necessary Modifications. Notwithstanding anything to the contrary in the Agreement, Secureframe may modify the terms of this DPA where necessary to (i) comply with a request or order by a Supervisory Authority; (ii) comply with Applicable Data Protection Law; or (iii) implement or adhere to standard contractual clauses, approved codes of conduct or certifications, binding corporate rules, or other compliance mechanisms, which may be permitted under Applicable Data Protection Law. Supplemental terms may be added as an Annex to this DPA where such terms only apply to the Processing of Customer Data under the Applicable Data Protection Law of specific countries or jurisdictions. Secureframe shall provide notice of such changes to Customer, and the modified DPA shall become effective in accordance with the terms of the Agreement or, if not specified in the Agreement, as otherwise provided on Secureframe's website.

10.3. Conflicts. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect. If there is any conflict between this DPA and the Agreement, this DPA shall prevail to the extent of that conflict.

10.4. Claims. Any claims brought under or in connection with this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In particular, any claim or remedy Customer or its Affiliates may have against Secureframe, its Affiliates, employees, contractors, agents and Sub-processors, arising under or in connection with this DPA, whether in contract, tort (including negligence) or under any other theory of liability, shall to the maximum extent permitted by law be subject to the limitations and exclusions of liability in the Agreement. Accordingly, any reference in the Agreement to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together. Notwithstanding the foregoing, in no event may any party limit its liability with respect to any data subject rights or data protection authorities under this DPA.

10.5. Severability. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.

10.6. Governing Law. This DPA shall be governed by and construed in accordance with the governing law and jurisdiction provisions in the Agreement, unless required otherwise by Applicable Data Protection Law or the SCCs.

ANHANG 1 (C2P ÜBERMITTLUNGEN)

Beschreibung der Verarbeitungstätigkeiten / Übermittlung

Anhang 1(A) Liste der Parteien:

Data Exporter Data Importer
Name: the party identified as the "Customer" in the Agreement and this DPA Name: Secureframe, Inc. ("Secureframe")
Address: As set out in the Agreement Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com
Activities relevant to the transfer: See Annex 1(B) below Activities relevant to the transfer: See Annex 1(B) below
Role: Controller Role: Processor

Anhang 1(B) Beschreibung der Übertragung

  Description
Categories of data subjects:
  • Personal data of Customer’s employees and end-users
  • Personal data submitted to the Services as part of Customer Data
Categories of personal data: Depending on the Services selected by Customer, Secureframe may process the following categories of personal data:
  • Name
  • Username
  • Email address
  • Job Title
  • Employment Status (e.g. employee v contractor, employment start/end dates)
  • Organization Name
  • Online identifiers such as IP addresses
  • Device IDs
  • Device operating system, version, and characteristics (e.g. whether a screen lock, encryption or anti-virus is enabled)
  • Geolocation data (based on IP address)
And any other personal data submitted to the Services as part of Customer Data.
Sensitive data (if applicable) and applied restrictions or safeguards: N/A. Customer shall not use the Services to collect, transmit, provide, or otherwise make available sensitive data.
Frequency of the transfer: Customer Data is transferred in accordance with Customer’s documented lawful instructions as described in Section 2.2. of the DPA.
Nature of processing: Customer Data transferred will be processed in accordance with the Agreement and with this DPA.
Purpose(s) of the data transfer and further processing: Providing the Services to Customer.
Retention period (or, if not possible to determine, the criteria used to determine that period): See Section 7.1. of the DPA.

Anhang 1(C): Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde wird gemäß dem europäischen Datenschutzrecht bestimmt.

ANHANG 2 (C2C ÜBERTRAGUNGEN)

Beschreibung der Verarbeitungstätigkeiten / Übertragung

Anhang 1(A) Liste der Parteien:

Data Exporter Data Importer
Name: the party identified as the "Customer" in the Agreement and this DPA Name: Secureframe, Inc. ("Secureframe")
Address: As set out in the Agreement Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com
Activities relevant to the transfer: See Annex 1(B) below Activities relevant to the transfer: See Annex 1(B) below
Role: Controller Role: Controller

Anhang 1(B) Beschreibung der Übertragung:

  Description
Categories of data subjects:
  • Personal data of Customer’s employees and end-users
  • Personal data submitted to the Services as part of Customer Data
Categories of personal data: Personal data may include:
  • account registration and management data (such as name, contact details, company, geographic area, preferences, job title, and password)
  • billing data
  • data related to Customer communications and support (such as name, contact details and the content of the communications)
  • usage data (including performance metrics, feedback or any other information related to the utilization of the Services and offerings and the security thereof)
Sensitive data (if applicable) and applied restrictions or safeguards: N/A.
Frequency of the transfer: Frequency of transfer depends on Customer’s use of the Services.
Nature of processing: Secureframe offers automated security and compliance solutions. The Services are set out in the Agreement.
Purpose(s) of the data transfer and further processing: Secureframe will process the personal data for the following business purposes (i) account registration, (ii) order and purchase, (iii) customer communications and support, (iv) to operate and enhance Secureframe offerings; (v) to prevent, detect and investigate security incidents; and (vi) to resist and respond to malicious, deceptive, fraudulent or illegal actions.
Retention period (or, if not possible to determine, the criteria used to determine that period): See Secureframe’s Privacy Policy as applicable.

Anhang 1(C) Zuständige Aufsichtsbehörde:

Die zuständige Aufsichtsbehörde wird gemäß dem europäischen Datenschutzrecht bestimmt.

ANHANG 3

Technische und organisatorische Maßnahmen

Die folgenden technischen und organisatorischen Maßnahmen sind für die Dienste vorgesehen, um die von Secureframe verarbeiteten personenbezogenen Daten zu schützen.

Measure Description
Measures of pseudonymisation and encryption of personal data Secureframe uses encryption at rest and encryption in transit for the protection of personal data
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure confidentiality, integrity and availability of its systems for the benefit of customers.
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident Secureframe performs routine backups and retains such backups for a necessary period of time to ensure restoration and access, if relevant.
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing Secureframe performs internal audits and external audits at least annually to ensure the effectiveness of technical and organisational measures.
Measures for user identification and authorisation Customers may login via Google Workspace or Office 365 and are therefore responsible for such user identification and authorisation.
Measures for the protection of data during transmission Secureframe uses encryption in transit to protect data during transmission.
Measures for the protection of data during storage Secureframe uses encryption at rest to protect data during storage.
Measures for ensuring physical security of locations at which personal data are processed. Secureframe’s services and data are hosted in AWS’ facilities in the USA and protected by AWS in accordance with their security protocols. Access limited to approved personnel.
Measures for ensuring events logging Secureframe uses logging and monitoring to capture events.
Measures for ensuring system configuration, including default configuration Secureframe monitors for drift configuration.
Measures for internal IT and IT security governance and management Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure security governance and management.
Measures for certification/assurance of processes and products Secureframe is SOC 2 and ISO 27001 compliant.
Measures for ensuring data minimisation Secureframe limits the data which it captures and stores only such data necessary to deliver the services.
Measures for ensuring data quality Customers are in-control of the data provided to Secureframe and Secureframe ensures that such data is valid.
Measures for ensuring limited data retention Secureframe only retains data for as long you are a customer and will remove such data upon request.
Measures for ensuring accountability Secureframe follows a set of policies including data protection and processing policies in order to ensure accountability to external third-parties.
Measures for allowing data portability and ensuring erasure Secureframe follows standard data portability practices.

ANHANG 4

UK-Anhang

Dieser Anhang 4 ist Teil dieser DPA und gilt gemäß Abschnitt 9.1.3(C) (Übertragungen im Zusammenhang mit dem Vereinigten Königreich) der DPA.

Start Date The date of the Agreement.
Parties Exporter Importer
Parties’ details Name: The entity identified as the Customer in the Agreement and this DPA.

Address: The address for the Customer associated with its account or otherwise specified in this DPA or the Agreement. Contact person’s name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account
Name: Secureframe, Inc. ("Secureframe") Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA


Contact person’s name, position and contact details: Legal Department, legal@secureframe.com

Addendum SCCs The Approved SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the approved SCCs brought into effect for the purposes of this Addendum: See Section 9.1.3(C) of the DPA.

Appendix Information See Schedules 1 and 2

Ending this Addendum when the Approved Addendum changes Neither Party

Mandatory Clauses Part 2: Mandatory Clauses of the UK Addendum, as it is revised under Section 18 of those Mandatory Clauses