Secureframe Kunden-Datenverarbeitungszusatzvereinbarung

Letzte Aktualisierung: 25. Mai 2023

Dieser Datenverarbeitungszusatz, einschließlich seiner Anlagen und der Standardvertragsklauseln (zusammen der "DPA") ist Bestandteil der Bedingungen und Konditionen der Secureframe Servicebedingungen ("Vereinbarung") zwischen der in der Vereinbarung angegebenen Secureframe-Vertragpartei ("Secureframe") und der in der Vereinbarung als Kunde bezeichneten Partei ("Kunde") gemäß derer Secureframe dem Kunden bestimmte Dienstleistungen bereitstellt.

Alle in dieser DPA nicht definierten Großbegriffe haben die in der Vereinbarung festgelegten Bedeutungen. Diese DPA ist ergänzend zur Vereinbarung und legt die Rollen und Pflichten fest, die gelten, wenn Secureframe personenbezogene Daten im Auftrag des Kunden verarbeitet, wenn die durch anwendbares Datenschutzrecht geschützten Dienstleistungen bereitgestellt werden.

Durch den Abschluss der Vereinbarung tritt der Kunde in diese DPA und die Standardvertragsklauseln (soweit zutreffend und nachstehend definiert) im eigenen Namen und, soweit nach anwendbarem Datenschutzrecht erforderlich, im Namen und im Auftrag seiner verbundener Unternehmen (sofern vorhanden) ein, die die Dienstleistungen nutzen dürfen. Für die Zwecke dieser DPA und außer wenn anders angegeben, umfasst der Begriff "Kunde" den Kunden und solche verbundenen Unternehmen.

Die Parteien vereinbaren Folgendes:

1. Definitionen
1.1.
"Verbundene Unternehmen" bezeichnet ein Unternehmen, dass direkt oder indirekt ein Unternehmen kontrolliert, von einem Unternehmen kontrolliert wird oder unter gemeinsamer Kontrolle mit einem Unternehmen steht. "Kontrolle" bedeutet einen Eigentums-, Stimmrechts- oder ähnlichen Anteil, der fünfzig Prozent (50%) oder mehr der insgesamt ausstehenden Anteile (auf voll verwässerter Basis gemessen) des betreffenden Unternehmens ausmacht. Der Begriff "Kontrolliert" wird entsprechend ausgelegt.

1.2. "Anwendbares Datenschutzrecht" bezeichnet alle Datenschutz- und Privatsphäre-Gesetze und -Verordnungen, die allgemein für die Bereitstellung der Dienstleistungen durch Secureframe für seine Kunden gelten, einschließlich, ohne Einschränkung, dem europäischen Datenschutzrecht und dem US-Datenschutzrecht (unabhängig davon, wie der Kunde die Dienstleistungen nutzt).

1.3. "Verantwortlicher" bezeichnet eine Einheit, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festlegt. Für die Zwecke dieser DPA umfasst ein Verantwortlicher ein "Unternehmen", wie dieser Begriff nach US-Datenschutzrecht definiert ist oder eine ähnliche Bezeichnung nach anwendbarem Datenschutzrecht.

1.4. "Kundendaten" bezeichnet alle von Secureframe gemäß Abschnitt 2.1 dieser DPA in Verbindung mit den Dienstleistungen verarbeiteten personenbezogenen Daten, wie in den Anlagen 1 und 2 dieser DPA (soweit zutreffend) näher beschrieben.

1.5. "Europa" bezeichnet für die Zwecke dieser DPA die Mitgliedstaaten des Europäischen Wirtschaftsraums ("EWR"), die Schweiz und das Vereinigte Königreich ("UK").

1.6. "Europäisches Datenschutzrecht" bezeichnet (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) ("EU DSGVO"); (ii) die EU-DSGVO, die gemäß Artikel 3 des britischen Gesetzes über den Austritt aus der Europäischen Union von 2018 und dem britischen Datenschutzgesetz von 2018 in das britische Recht übernommen wurde (zusammenfassend für diese Zwecke als "UK GDPR" bezeichnet); (iii) das schweizerische Bundesdatenschutzgesetz vom 19. Juni 1992 und seine entsprechenden Verordnungen ("Schweizer DSG"); (iv) die e-Privacy-Richtlinie (Richtlinie 2002/58/EG); (v) alle anwendbaren nationalen Datenschutzgesetze, die gemäß oder in Verbindung mit (i), (ii), (iii) oder (iv) erlassen wurden oder gelten (in jedem Fall in der jeweils gültigen Fassung).

1.7. Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person oder Verbraucher ("Betroffene Person") beziehen, einschließlich aller Daten oder Informationen, die gemäß dem geltenden Datenschutzrecht als „personenbezogene Daten“, "personenbezogene Informationen" und/oder „persönliche Informationen“ gelten.

1.8. "Verarbeiten", "Verarbeitungen", "Verarbeitung", "verarbeitet" bezeichnet jede Operation oder jeden Vorgang, der an personenbezogenen Daten durchgeführt wird, ob automatisiert oder nicht, wie Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung, Zerstörung oder Erstellung von Informationen aus personenbezogenen Daten.

1.9. "Auftragsverarbeiter" bezeichnet eine Einheit, die personenbezogene Daten im Auftrag und gemäß den Anweisungen eines Verantwortlichen verarbeitet. Für die Zwecke dieser DPA umfasst ein Auftragsverarbeiter auch einen "Dienstleister", wie dieser Begriff im US-amerikanischen Datenschutzrecht definiert ist, oder jede ähnliche Bezeichnung gemäß dem geltenden Datenschutzrecht.

1.10. "Übermittlung personenbezogener Daten eingeschränkt“ bedeutet: (i) wenn die DSGVO gilt, eine Übermittlung personenbezogener Daten vom EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsentscheidung der Europäischen Kommission ist; (ii) wenn die UK GDPR gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in jedes andere Land, das nicht auf der Grundlage von Angemessenheitsvorschriften gemäß Abschnitt 17A des britischen Datenschutzgesetzes von 2018 erfolgt; und (iii) wenn die Schweizer DSG gilt, eine Übermittlung personenbezogener Daten in ein Land außerhalb der Schweiz, das nicht in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der angemessenen Rechtsordnungen aufgeführt ist.

1.11. "Sicherheitsvorfall" bezeichnet eine Verletzung des Schutzes personenbezogener Daten oder eine bestätigte Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, unbefugten Offenlegung oder zum unbefugten Zugang zu Kundendaten führt, die von Secureframe im Zusammenhang mit der Erbringung der Dienstleistungen übermittelt, gespeichert oder anderweitig verarbeitet werden. "Sicherheitsvorfall" umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und anderer Netzwerkangriffen auf Firewalls oder vernetzte Systeme.

1.12. "Standard Contractual Clauses" oder "SCCs" bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 angenommen wurden.

1.13. "Unterauftragsverarbeiter" bezeichnet jede dritte Partei, die Zugriff auf die Kundendaten hat und von Secureframe oder seinen verbundenen Unternehmen beauftragt wird, bei der Erfüllung seiner Verpflichtungen im Zusammenhang mit der Erbringung der Dienstleistungen gemäß der Vereinbarung oder dieser DPA zu unterstützen. Unterauftragsverarbeiter können Dritte oder verbundene Unternehmen von Secureframe sein, schließen jedoch jeden Secureframe-Mitarbeiter, -Auftragnehmer oder -Berater aus.

1.14. Aufsichtsbehörde” bezeichnet jede Aufsichts-, Regulierungs-, Regierungs-, Staatsbehörde, Generalstaatsanwalt oder andere zuständige Behörde, die die Zuständigkeit oder Aufsicht über die Einhaltung des geltenden Datenschutzrechts hat.

1.15. "UK Addendum" bezeichnet das "UK Addendum zu den EU-Standardvertragsklauseln" welches vom Information Commissioner's Office gemäß s.119A(1) des UK Data Protection Act 2018 herausgegeben wurde.

1.16. "US-Datenschutzgesetz" bezeichnet alle Datenschutzgesetze und -vorschriften, die in den Vereinigten Staaten anwendbar sind, einschließlich des California Consumer Privacy Act, wie durch den California Privacy Rights Act ("CCPA") geändert, sowie alle Vorschriften und Richtlinien, die in deren Rahmen erlassen werden können; und, soweit anwendbar, (ii) das Virginia Consumer Data Protection Act ("CDPA"); (iii) das Colorado Privacy Act ("CPA"); (iv) das Utah Consumer Privacy Act („UCPA“); (v) das Connecticut Data Privacy Act ("CTDPA"); jeweils in der jeweiligen Fassung oder durch Nachfolgeregelungen ersetzt.

2. Geltungsbereich und Beziehung der Parteien

2.1. Geltungsbereich. Diese DPA gilt insoweit, als Secureframe im Laufe der Erbringung der Dienstleistungen gemäß der Vereinbarung personenbezogene Daten des Kunden verarbeitet, die durch das geltende Datenschutzrecht geschützt sind, wie folgt:

2.1.1. Wenn der Kunde ein Verantwortlicher der durch diese DPA abgedeckten Kundendaten ist, wird Secureframe als Auftragsverarbeiter die Kundendaten im Namen des Kunden verarbeiten und diese DPA gilt entsprechend;

2.1.2. Wenn und soweit Secureframe und/oder jedes relevante verbundene Unternehmen von Secureframe die Kundendaten als Verantwortlicher verarbeiten, wird Secureframe solche Kundendaten nur in Übereinstimmung mit dem geltenden Datenschutzrecht, der Datenschutzrichtlinie von Secureframe, die unter https://secureframe.com/privacy zu finden ist, und den Abschnitten 3, 5.1, 5.2, 6, 7, und 9.1.3 dieser DPA verarbeiten, soweit dies anwendbar ist.

2.2. Verarbeitung personenbezogener Daten durch Secureframe. Als Auftragsverarbeiter wird Secureframe Kundendaten nur für die in den Anhängen 1 und 2 dieser DPA beschriebenen Zwecke (die "Geschäftszwecke") und nur gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden verarbeiten, außer soweit dies durch geltendes Datenschutzrecht vorgeschrieben ist. Die Parteien stimmen zu, dass diese DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Kunden an Secureframe in Bezug auf die Verarbeitung von Kundendaten darstellen und (falls zutreffend) alle Anweisungen von Dritten, die für die Datensammlung verantwortlich sind, sowie die Verarbeitung außerhalb dieses Anweisungsbereichs (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Secureframe erfordern. Unbeschadet Abschnitt 2.3 wird Secureframe den Kunden schriftlich benachrichtigen, es sei denn, dies ist nach geltendem Datenschutzrecht untersagt, wenn Secureframe Kenntnis davon erlangt oder glaubt, dass eine Anweisungen des Kunden gegen geltendes Datenschutzrecht verstößt. Gegebenenfalls ist der Kunde für alle Mitteilungen, Benachrichtigungen, Unterstützung und/oder Genehmigungen verantwortlich, die Secureframe möglicherweise einem Drittverantwortlichen bereitstellen muss oder von einem Drittverantwortlichen erhalten muss.

2.3. Pflichten des Kunden. Der Kunde ist verantwortlich für die Rechtmäßigkeit der Verarbeitung von Kundendaten im Rahmen oder in Verbindung mit der Vereinbarung. Der Kunde erklärt und gewährleistet, dass (i) er alle erforderlichen Mitteilungen gemacht und weiterhin machen wird sowie alle erforderlichen Zustimmungen, Genehmigungen und Rechte gemäß geltendem Datenschutzrecht eingeholt hat und weiterhin einholen wird, damit Secureframe die Kundendaten rechtmäßig zu den im Rahmen der Vereinbarung vorgesehenen Zwecken verarbeiten kann; (ii) er als für die Datensammlung Verantwortlicher des Kunden die geltenden Datenschutzgesetze eingehalten hat und die Kundendaten an Secureframe und dessen Unterauftragsverarbeiter weitergeben darf; und (iii) er sicherstellen wird, dass seine Verarbeitungsanweisungen im Einklang mit den geltenden Gesetzen (einschließlich des geltenden Datenschutzrechts) stehen und dass die Verarbeitung der Kundendaten durch Secureframe gemäß den Anweisungen des Kunden nicht dazu führt, dass Secureframe gegen geltendes Datenschutzrecht verstößt.

2.4. Aggregierte Daten. Ungeachtet des Vorstehenden oder entgegenstehender Bestimmungen in der Vereinbarung erkennt der Kunde an, dass Secureframe und seine verbundenen Unternehmen das Recht haben, anonymisierte, aggregierte und/oder de-identifizierte Informationen (wie durch geltendes Datenschutzrecht definiert) für eigene legitime Geschäftszwecke zu sammeln und zu erstellen.

3. Secureframe als für die Datensammlung Verantwortlicher

3.1. Jede Partei ist individuell und getrennt verantwortlich für die Einhaltung der Verpflichtungen, die ihr als eigene und unabhängige für die Datensammlung Verantwortliche gemäß geltendem Datenschutzrecht obliegen, und keine Partei ist verantwortlich für die Einhaltung des geltenden Datenschutzrechts durch die andere Partei.

4. Unterauftragsverarbeitung

4.1. Autorisierte Unterauftragsverarbeiter. Der Kunde erteilt hiermit eine allgemeine Genehmigung an Secureframe, Unterauftragsverarbeiter zu beauftragen, um Kundendaten im Namen des Kunden zu verarbeiten (in Bezug auf seine Rolle als Auftragsverarbeiter). Die von Secureframe beauftragten Unterauftragsverarbeiter hängen von den vom Kunden erworbenen Dienstleistungen ab und sind auf der Website von Secureframe unter www.secureframe.com/subprocessors verfügbar ("Liste der Unterauftragsverarbeiter").

4.2. Benachrichtigung. Secureframe wird den Kunden mindestens zehn (10) Tage vor solchen Änderungen per E-Mail an die vom Kunden angegebene E-Mail-Adresse über jede neue Beauftragung eines Unterauftragsverarbeiters benachrichtigen.

5. Sicherheit und Audits

5.1. Sicherheitsmaßnahmen. Secureframe wird angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit von Kundendaten zu gewährleisten. Solche Maßnahmen umfassen mindestens die in Anhang 3 dieser DPA beschriebenen Maßnahmen ("Sicherheitsmaßnahmen"). Secureframe stellt sicher, dass jede Person, die von Secureframe autorisiert ist, Kundendaten zu verarbeiten, einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es vertraglich oder gesetzlich).

5.2. Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Secureframe die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren und/oder modifizieren kann, vorausgesetzt, dass solche Aktualisierungen und/oder Modifikationen nicht zu einer wesentlichen Verschlechterung der Gesamtsicherheit der vom Kunden gekauften Dienstleistungen führen.

5.3. Kunden-Sicherheitsverantwortlichkeiten. Ungeachtet des Vorstehenden stimmt der Kunde zu, dass er, außer wie in dieser DPA vorgesehen, für die sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung seiner Authentifizierungsdaten, des Schutzes der Sicherheit von Kundendaten während der Übertragung zu und von den Diensten und der Ergreifung geeigneter Maßnahmen zur sicheren Verschlüsselung oder Sicherung von Kundendaten, die im Zusammenhang mit den Diensten verarbeitet werden. Der Kunde wird angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, personenbezogene Daten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit von personenbezogenen Daten zu gewährleisten, solange sie sich in seiner Herrschaft und Kontrolle befinden.

5.4. Reaktion auf Sicherheitsvorfälle. Sobald Secureframe von einem Sicherheitsvorfall Kenntnis erlangt, wird es den Kunden unverzüglich benachrichtigen und zeitnahe Informationen zum Sicherheitsvorfall bereitstellen, sobald diese bekannt werden oder wie vernünftigerweise vom Kunden angefordert. Die Benachrichtigung oder Reaktion von Secureframe auf einen Sicherheitsvorfall gemäß diesem Abschnitt wird nicht als Anerkennung von Fehlern oder Haftung von Secureframe in Bezug auf den Sicherheitsvorfall ausgelegt.

5.5. Sicherheitsaudits. Auf schriftliche Anfrage des Kunden wird Secureframe schriftliche Antworten (einschließlich Auditberichts Zusammenfassungen/Auszüge) auf alle angemessenen Informationsanfragen des Kunden geben, die sich auf die Verarbeitung von Kundendaten durch Secureframe beziehen und die erforderlich sind, um die Einhaltung dieser DPA zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal in einem rollierenden 12-Monats-Zeitraum ausübt. Ungeachtet des Vorstehenden kann der Kunde dieses Prüfrecht auch ausüben, wenn der Kunde ausdrücklich aufgefordert oder verpflichtet ist, diese Informationen einer Datenschutzbehörde bereitzustellen, oder Secureframe einen Sicherheitsvorfall erlebt hat oder ähnlich begründet. Nichts hierin wird so ausgelegt, dass Secureframe verpflichtet ist: (i) Geschäftsgeheimnisse oder geschützte Informationen bereitzustellen; (ii) Informationen bereitzustellen, die gegen die Vertraulichkeitsverpflichtungen, vertraglichen Verpflichtungen oder geltendes Recht von Secureframe verstoßen würden; oder (iii) Informationen bereitzustellen, deren Offenlegung die Sicherheit, Vertraulichkeit oder Integrität der Infrastruktur, Netzwerke, Systeme oder Daten von Secureframe bedrohen, gefährden oder anderweitig gefährden könnte.

6. Internationale Übertragungen

6.1. Verarbeitungsorte. Der Kunde erkennt an und stimmt zu, dass Secureframe und seine Unterauftragsverarbeiter Kundendaten in die Vereinigten Staaten und überall sonst in der Welt, wo Secureframe, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Verarbeitungsoperationen unterhalten, übertragen (einschließlich der Durchführung eingeschränkter Übertragungen) und verarbeiten können, wie im Unterauftragsverarbeiter-Verzeichnis näher beschrieben. Die Parteien werden sicherstellen, dass solche Übertragungen in Übereinstimmung mit den Anforderungen des geltenden Datenschutzrechts und dieser DPA erfolgen.

7. Löschen von Kundendaten

7.1. Deletion. Upon termination or expiry of the Agreement, on Customer's request Secureframe shall delete all Customer Data Processed by Secureframe as a Processor (including copies) in its possession or control in accordance with the Agreement, save that this requirement shall not apply to the extent Secureframe is required by applicable law to retain some or all of the Customer Data, or to Customer Data it has archived on back-up systems, which data Secureframe shall securely isolate and protect from any further Processing and delete in accordance with its deletion practices, except to the extent required by applicable law. Customer Data Processed by Secureframe as a Controller will be deleted or retained in accordance with the Secureframe Privacy Statement. 

8. Rights of Individuals and Cooperation

8.1. Data Subject Requests. To the extent Customer is unable to independently access the relevant Customer Data within the Services, Secureframe shall, at Customer's expense and taking into account the nature of the Processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the Processing of Customer Data under the Agreement. In the event that any such request is made to Secureframe directly, and Secureframe is able to readily discern that such request is associated with Customer, Secureframe shall not respond to such communication directly without Customer's prior authorization, unless legally compelled to do so. If Secureframe is required to respond to such a request, Secureframe shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.

9. Jurisdiction Specific Terms

9.1. Europe. To the extent Customer Data is subject to European Data Protection Law, the following terms shall apply in addition to the terms in the remainder of this DPA:

9.1.1. Sub-processor Obligations. Secureframe shall: (i) enter into a written agreement with each Sub-processor imposing data protection terms that require Sub-processor to protect Customer Data to the standard required by applicable European Data Protection Law and this DPA; and (ii) remain responsible for its compliance with the obligations of this DPA and for any acts or omissions of the Sub-processor that cause Secureframe to breach any of its obligations under this DPA. Secureframe shall use reasonable efforts to provide relevant extracts of the agreement with any Sub-processor it appoints to Customer upon request.

9.1.2. Objections to Sub-processors. Customer may object in writing to Secureframe’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g., if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Secureframe promptly in writing within five (5) calendar days of receipt of Secureframe’s notice in accordance with Section 4.1 above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Secureframe will, at its sole discretion, either not appoint the Sub-processor, or permit Customer to suspend or terminate the affected Product in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer before suspension or termination). If such objection right is not exercised by Customer in the terms described above, silence shall be deemed to constitute an approval of such engagement.

9.1.3. Restricted Transfers. The parties agree that when the transfer of Personal Data from Customer (as "data exporter") to Secureframe (as "data importer") is a Restricted Transfer, it shall be subject to the Standard Contractual Clauses, which shall be automatically incorporated by reference and form an integral part of this DPA, as follows:

A. Secureframe als Auftragsverarbeiter. In Bezug auf Kundendaten, die durch die EU-DSGVO geschützt und gemäß Abschnitt 2.1.1 dieser DPA verarbeitet werden, gelten die SCCs, vervollständigt wie folgt: i. Modul Zwei gilt; ii. In Klausel 7 gilt die optionale Andockklausel; iii. In Klausel 9 gilt Option 2, und die Frist für die vorherige Ankündigung von Änderungen des Unterauftragsverarbeiters ist in Abschnitt 4 oben angegeben; iv. In Klausel 11 gilt die optionale Sprache nicht; v. In Klausel 17 gilt Option 1, und die SCCs unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, und falls ein solches Recht nicht existiert, irischem Recht; vi. In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Rechts des EU-Mitgliedstaates beigelegt, in dem der Datenexporteur niedergelassen ist, und falls ein solches Recht nicht existiert, irischem Recht; vii. Anhang I der SCCs gilt als vervollständigt mit den in Anhang 1 dieses DPA angegebenen Informationen; und viii. Vorbehaltlich der Abschnitte 5.1 und 5.2 dieses DPA gilt Anhang II der SCCs als vervollständigt mit den in Anhang 3 dieses DPA angegebenen Informationen;

B. Secureframe als Verantwortlicher. In Bezug auf Kundendaten, die durch die EU-DSGVO geschützt und gemäß Abschnitt 2.1.2 dieser DPA verarbeitet werden, gelten die SCCs, vervollständigt wie folgt: i. Modul Eins gilt; ii. In Klausel 7 gilt die optionale Andockklausel; iii. In Klausel 11 gilt die optionale Sprache nicht; iv. In Klausel 17 gilt Option 1, und die SCCs unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, und falls ein solches Recht nicht existiert, irischem Recht;

C. Übertragungen im Zusammenhang mit dem Vereinigten Königreich. In Bezug auf Kundendaten, die durch die britische DSGVO geschützt sind, gelten die SCCs: (i) wie in den obigen Unterabschnitten (A) und (B) vervollständigt; und (ii) gelten als geändert, wie im britischen Zusatzdokument angegeben, das als Anhang 4 angehängt ist, welches als von den Parteien ausgeführt und in dieses DPA aufgenommen und Bestandteil davon betrachtet wird. Jeder Konflikt zwischen den Bedingungen der SCCs und dem britischen Zusatzdokument wird gemäß Abschnitt 10 und Abschnitt 11 des britischen Zusatzdokuments gelöst.

D. Übertragungen in Bezug auf die Schweiz. In Bezug auf Kundendaten, die durch das Schweizer DSG geschützt sind, gelten die SCCs, wie in den obigen Unterabschnitten (A) und (B) umgesetzt, mit den folgenden Änderungen: i. Verweise auf "Verordnung (EU) 2016/679" werden als Verweise auf das Schweizer DSG interpretiert; ii. Verweise auf spezifische Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt des Schweizer DSG ersetzt; iii. Verweise auf "EU", "Union", "Mitgliedstaat" und "Mitgliedstaatenrecht" werden durch Verweise auf "Schweiz" oder "Schweizer Recht" ersetzt; iv. der Begriff "Mitgliedstaat" wird nicht so interpretiert, dass er betroffene Personen in der Schweiz von der Möglichkeit ausschließt, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d. h. Schweiz) einzuklagen; v. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die "zuständige Aufsichtsbehörde" ist der Schweizerische Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte; vi. Verweise auf die "zuständige Aufsichtsbehörde" und die "zuständigen Gerichte" werden durch Verweise auf den "Schweizerischen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten" und "zuständige Gerichte der Schweiz" ersetzt; vii. in Klausel 17 unterliegen die SCCs dem Recht der Schweiz; viii. Klausel 18(b) besagt, dass Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt werden; und ix. die SCCs schützen auch die Daten von juristischen Personen bis zum Inkrafttreten des revidierten Schweizer Datenschutzgesetzes.

E. Konflikte. Es ist nicht die Absicht einer der Parteien, irgendeine der Bestimmungen der SCCs zu widersprechen oder einzuschränken, und daher haben im Falle eines Konflikts zwischen den Bedingungen der SCCs und einer Bestimmung der Vereinbarung (einschließlich dieser DPA) die SCCs im Umfang eines solchen Konflikts Vorrang.

9.1.4. Alternative Transfer Arrangement. Falls und soweit Secureframe eine alternative Datenauslöselösung annimmt (einschließlich der Annahme verbindlicher Unternehmensregeln oder einer neuen Version oder eines Nachfolgers der SCCs oder des Privacy Shield gemäß dem geltenden europäischen Datenschutzrecht) für die Übermittlung von Kundendaten gemäß den geltenden europäischen Datenschutzgesetzen ("Alternative Transfer Mechanism"), gilt der Alternative Transfer Mechanism anstelle eines gemäß dieser DPA beschriebenen Übertragungsmechanismus (aber nur soweit dieser Alternative Transfer Mechanismus dem geltenden europäischen Datenschutzrecht entspricht und für die Gebiete gilt, in die Kundendaten übertragen werden) und der Kunde stimmt zu, solche anderen und weiteren Dokumente zu unterzeichnen und solche anderen und weiteren Maßnahmen zu ergreifen, die vernünftigerweise notwendig sind, um diesem Alternativen Übertragungsmechanismus rechtliche Wirkung zu verleihen. Darüber hinaus, falls und soweit ein zuständiges Gericht oder eine Aufsichtsbehörde mit bindender Autorität anordnet (aus welchem Grund auch immer), dass die in dieser DPA beschriebenen Maßnahmen nicht zur rechtmäßigen Übertragung von Kundendaten in ein Land, das kein angemessenes Schutzniveau bietet (im Sinne des geltenden europäischen Datenschutzrechts), herangezogen werden können, werden die Parteien in angemessener Weise kooperieren, um sich auf Maßnahmen oder Sicherungsmaßnahmen zu einigen und diese zu ergreifen, die möglicherweise vernünftigerweise erforderlich sind und die nicht in dieser DPA beschrieben sind oder alternative Übertragungsmechanismen ("Alternative Transfer Arrangements") implementieren, um die rechtmäßige Übertragung solcher Kundendaten zu ermöglichen.

9.1.5. Datenschutz-Folgenabschätzung. Soweit Secureframe gemäß dem geltenden europäischen Datenschutzrecht erforderlich ist, wird Secureframe auf angemessene Weise angeforderte Informationen bezüglich der Secureframe-Verarbeitung von Kundendaten unter dem Abkommen und der DPA bereitstellen, um dem Kunden die Durchführung von Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Aufsichtsbehörden zu ermöglichen, wie gesetzlich vorgeschrieben.

9.2. Vereinigte Staaten. Secureframe erfüllt die Anforderungen der US-Datenschutzgesetze (soweit anwendbar). In diesem Abschnitt 9.2 verwendete, aber nicht definierte Begriffe haben die gleiche Bedeutung wie unter den US-Datenschutzgesetzen. Die Parteien stimmen zu, dass Secureframe ein „Dienstleister“ bei der Erfüllung seiner Verpflichtungen hierunter ist und dass der Kunde ein „Unternehmen“ ist und dass die Übermittlung von Kundendaten an Secureframe nicht als „Verkauf“ oder „Teilen“ betrachtet wird.

9.2.1. Secureframe wird Kundendaten nur für die Geschäftszwecke verarbeiten.

9.2.2. Als Dienstleister wird Secureframe nicht: a) Kundendaten verkaufen oder teilen, wie diese Begriffe unter US-Datenschutzgesetzen definiert sind; b) Kundendaten für andere Zwecke als die Geschäftszwecke aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von Kundendaten für einen kommerziellen Zweck, der nicht die Geschäftszwecke ist, oder wie anderweitig durch US-Datenschutzgesetze erlaubt; c) Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen Secureframe und dem Kunden aufbewahren, verwenden oder offenlegen; oder d) Kundendaten, die Secureframe von oder im Auftrag des Kunden erhält, mit persönlichen Informationen kombinieren, die es von oder im Auftrag einer anderen Person oder Personen erhält oder aus eigenen Interaktionen mit dem Verbraucher sammelt, vorausgesetzt, dass Secureframe persönliche Informationen kombinieren darf, um jeden Geschäftszweck in Übereinstimmung mit US-Datenschutzgesetzen zu erfüllen.

9.2.3. Secureframe wird: (a) angemessene Unterstützung für den Kunden bereitstellen, wenn eine Risikoanalyse, Cybersicherheitsaudit oder ähnliches gemäß US-Datenschutzgesetzen erforderlich ist und/oder eine Anfrage, Untersuchung, Beschwerde oder vorherige Konsultation mit einer Aufsichtsbehörde zur Einhaltung der US-Datenschutzgesetze erforderlich ist; (b) dem Kunden das Recht gewähren, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass Secureframe Kundendaten in einer Weise verwendet, die den Verpflichtungen des Kunden gemäß US-Datenschutzgesetzen entspricht; (c) den Kunden benachrichtigen, wenn Secureframe feststellt, dass es seine Verpflichtungen gemäß US-Datenschutzgesetzen nicht mehr erfüllen kann; (d) dem Kunden das Recht gewähren, nach angemessener Vorankündigung angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung von Kundendaten zu stoppen und zu beheben.

9.2.4. To the extent required by US Data Protection Law, Customer shall inform Secureframe of any consumer requests made pursuant to US Data Protection Law that Secureframe must comply with, and shall provide all information reasonably necessary for Secureframe to comply with such request.

10. Miscellaneous

10.1. Disclosures. Customer acknowledges that Secureframe may disclose this DPA (including the Standard Contractual Clauses) and any relevant privacy provisions in the Agreement to the U.S. Department of Commerce, the Federal Trade Commission, a European data protection authority or any other U.S. or European judicial or regulatory body upon their request.

10.2. Necessary Modifications. Notwithstanding anything to the contrary in the Agreement, Secureframe may modify the terms of this DPA where necessary to (i) comply with a request or order by a Supervisory Authority; (ii) comply with Applicable Data Protection Law; or (iii) implement or adhere to standard contractual clauses, approved codes of conduct or certifications, binding corporate rules, or other compliance mechanisms, which may be permitted under Applicable Data Protection Law. Supplemental terms may be added as an Annex to this DPA where such terms only apply to the Processing of Customer Data under the Applicable Data Protection Law of specific countries or jurisdictions. Secureframe shall provide notice of such changes to Customer, and the modified DPA shall become effective in accordance with the terms of the Agreement or, if not specified in the Agreement, as otherwise provided on Secureframe's website.

10.3. Conflicts. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect. If there is any conflict between this DPA and the Agreement, this DPA shall prevail to the extent of that conflict.

10.4. Claims. Any claims brought under or in connection with this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In particular, any claim or remedy Customer or its Affiliates may have against Secureframe, its Affiliates, employees, contractors, agents and Sub-processors, arising under or in connection with this DPA, whether in contract, tort (including negligence) or under any other theory of liability, shall to the maximum extent permitted by law be subject to the limitations and exclusions of liability in the Agreement. Accordingly, any reference in the Agreement to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together. Notwithstanding the foregoing, in no event may any party limit its liability with respect to any data subject rights or data protection authorities under this DPA.

10.5. Severability. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.

10.6. Governing Law. This DPA shall be governed by and construed in accordance with the governing law and jurisdiction provisions in the Agreement, unless required otherwise by Applicable Data Protection Law or the SCCs.

ANLAGE 1 (C2P-ÜBERTRAGUNGEN)

Beschreibung der Verarbeitungstätigkeiten / Übertragung

Anhang 1(A) Liste der Parteien:

Data Exporter Data Importer
Name: the party identified as the "Customer" in the Agreement and this DPA Name: Secureframe, Inc. ("Secureframe")
Address: As set out in the Agreement Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com
Activities relevant to the transfer: See Annex 1(B) below Activities relevant to the transfer: See Annex 1(B) below
Role: Controller Role: Processor

Anlage 1(B) Beschreibung der Übertragung

  Description
Categories of data subjects:
  • Personal data of Customer’s employees and end-users
  • Personal data submitted to the Services as part of Customer Data
Categories of personal data: Depending on the Services selected by Customer, Secureframe may process the following categories of personal data:
  • Name
  • Username
  • Email address
  • Job Title
  • Employment Status (e.g. employee v contractor, employment start/end dates)
  • Organization Name
  • Online identifiers such as IP addresses
  • Device IDs
  • Device operating system, version, and characteristics (e.g. whether a screen lock, encryption or anti-virus is enabled)
  • Geolocation data (based on IP address)
And any other personal data submitted to the Services as part of Customer Data.
Sensitive data (if applicable) and applied restrictions or safeguards: N/A. Customer shall not use the Services to collect, transmit, provide, or otherwise make available sensitive data.
Frequency of the transfer: Customer Data is transferred in accordance with Customer’s documented lawful instructions as described in Section 2.2. of the DPA.
Nature of processing: Customer Data transferred will be processed in accordance with the Agreement and with this DPA.
Purpose(s) of the data transfer and further processing: Providing the Services to Customer.
Retention period (or, if not possible to determine, the criteria used to determine that period): See Section 7.1. of the DPA.

Anlage 1(C): Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde wird gemäß dem europäischen Datenschutzrecht bestimmt.

ANHANG 2 (C2C ÜBERTRAGUNGEN)

Beschreibung der Verarbeitungstätigkeiten / Übertragung

Anlage 1(A) Liste der Parteien:

Data Exporter Data Importer
Name: the party identified as the "Customer" in the Agreement and this DPA Name: Secureframe, Inc. ("Secureframe")
Address: As set out in the Agreement Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com
Activities relevant to the transfer: See Annex 1(B) below Activities relevant to the transfer: See Annex 1(B) below
Role: Controller Role: Controller

Anlage 1(B) Beschreibung der Übertragung:

  Description
Categories of data subjects:
  • Personal data of Customer’s employees and end-users
  • Personal data submitted to the Services as part of Customer Data
Categories of personal data: Personal data may include:
  • account registration and management data (such as name, contact details, company, geographic area, preferences, job title, and password)
  • billing data
  • data related to Customer communications and support (such as name, contact details and the content of the communications)
  • usage data (including performance metrics, feedback or any other information related to the utilization of the Services and offerings and the security thereof)
Sensitive data (if applicable) and applied restrictions or safeguards: N/A.
Frequency of the transfer: Frequency of transfer depends on Customer’s use of the Services.
Nature of processing: Secureframe offers automated security and compliance solutions. The Services are set out in the Agreement.
Purpose(s) of the data transfer and further processing: Secureframe will process the personal data for the following business purposes (i) account registration, (ii) order and purchase, (iii) customer communications and support, and (iv) to operate and enhance Secureframe offerings.
Retention period (or, if not possible to determine, the criteria used to determine that period): See Secureframe’s Privacy Policy as applicable.

Anlage 1(C) Zuständige Aufsichtsbehörde:

Die zuständige Aufsichtsbehörde wird gemäß dem europäischen Datenschutzrecht bestimmt.

ANHANG 3

Technische und organisatorische Maßnahmen

Die folgenden technischen und organisatorischen Maßnahmen sind in allen Diensten implementiert, um die von Secureframe verarbeiteten personenbezogenen Daten zu schützen.

Measure Description
Measures of pseudonymisation and encryption of personal data Secureframe uses encryption at rest and encryption in transit for the protection of personal data
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure confidentiality, integrity and availability of its systems for the benefit of customers.
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident Secureframe performs routine backups and retains such backups for a necessary period of time to ensure restoration and access, if relevant.
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing Secureframe performs internal audits and external audits at least annually to ensure the effectiveness of technical and organisational measures.
Measures for user identification and authorisation Customers may login via Google Workspace or Office 365 and are therefore responsible for such user identification and authorisation.
Measures for the protection of data during transmission Secureframe uses encryption in transit to protect data during transmission.
Measures for the protection of data during storage Secureframe uses encryption at rest to protect data during storage.
Measures for ensuring physical security of locations at which personal data are processed. Secureframe’s services and data are hosted in AWS’ facilities in the USA and protected by AWS in accordance with their security protocols. Access limited to approved personnel.
Measures for ensuring events logging Secureframe uses logging and monitoring to capture events.
Measures for ensuring system configuration, including default configuration Secureframe monitors for drift configuration.
Measures for internal IT and IT security governance and management Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure security governance and management.
Measures for certification/assurance of processes and products Secureframe is SOC 2 and ISO 27001 compliant.
Measures for ensuring data minimisation Secureframe limits the data which it captures and stores only such data necessary to deliver the services.
Measures for ensuring data quality Customers are in-control of the data provided to Secureframe and Secureframe ensures that such data is valid.
Measures for ensuring limited data retention Secureframe only retains data for as long you are a customer and will remove such data upon request.
Measures for ensuring accountability Secureframe follows a set of policies including data protection and processing policies in order to ensure accountability to external third-parties.
Measures for allowing data portability and ensuring erasure Secureframe follows standard data portability practices.

ANHANG 4

UK-Addendum

Dieser Anhang 4 ist Bestandteil dieser DPA und gilt gemäß Abschnitt 9.1.3(C) (Übertragungen im Zusammenhang mit dem Vereinigten Königreich) der DPA.

Start Date The date of the Agreement.
Parties Exporter Importer
Parties’ details Name: The entity identified as the Customer in the Agreement and this DPA.

Address: The address for the Customer associated with its account or otherwise specified in this DPA or the Agreement. Contact person’s name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account
Name: Secureframe, Inc. ("Secureframe") Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA


Contact person’s name, position and contact details: Legal Department, legal@secureframe.com

Addendum SCCs The Approved SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the approved SCCs brought into effect for the purposes of this Addendum: See Section 9.1.3(C) of the DPA.

Appendix Information See Schedules 1 and 2

Ending this Addendum when the Approved Addendum changes Neither Party

Mandatory Clauses Part 2: Mandatory Clauses of the UK Addendum, as it is revised under Section 18 of those Mandatory Clauses