Weiter zum Hauptinhalt

Rechtliches

Nachtrag zur Datenverarbeitung

Seite herunterladen

Dieser Nachtrag zur Datenverarbeitung („Data Processing Addendum, DPA) ist Bestandteil der Vereinbarung zwischen The Rocket Science Group LLC d/b/a Mailchimp (im Folgenden zusammen mit seinen verbundenen Unternehmen „Mailchimp“) und dem Kundenunternehmen, das als Vertragspartei an der Vereinbarung beteiligt ist („Kunde“), und unterliegt den darin enthaltenen Bedingungen.

Alle Begriffe, die in diesem Nachtrag zur Datenverarbeitung nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Um Zweifel auszuschließen, müssen alle Verweise auf die „Vereinbarung“ diesen Nachtrag zur Datenverarbeitung (einschließlich der SCCs (falls zutreffend), wie hierin definiert) enthalten.

1. Definitionen:

„Zusätzliche Datenschutzgesetze“ sind die US-Datenschutzgesetze; der kanadische Personal Information Protection and Electronic Dokumente Act („PI PEDA“); das brasilianische allgemeine Datenschutzgesetz („LGPD“), das Federal Law Nr. 13.709/2018 und der australische Privacy Act 1988 (Cth) in der aktuellsten Fassung („Australisches Datenschutzgesetz“).

„Verbundenes Unternehmen“ steht für eine juristische Person, die direkt oder indirekt eine andere juristische Person kontrolliert, von dieser kontrolliert wird oder mit ihr gemeinsam die Kontrolle ausübt.

„Vereinbarung“ bezieht sich auf die Standard-Nutzungsbedingungen von Mailchimp oder eine andere schriftliche oder elektronische Vereinbarung, in der die Bereitstellung des Service für den Kunden regelt wird, und zwar in der jeweils aktuellsten Fassung.

„Kontrolle“ bedeutet die Eigentümerschaft, das Stimmrecht oder ein ähnlicher Anspruch einer juristischen Person in Höhe von fünfzig Prozent (50 %) der Anteile oder mehr. Der Begriff „kontrolliert“ ist entsprechend auszulegen.

„Kundendaten“ sind alle personenbezogenen Daten, die Mailchimp im Namen des Kunden über den Dienst verarbeitet, so wie in diesem Nachtrag zur Datenverarbeitung genauer beschrieben.

„Datenschutz-Framework“ bedeutet (falls zutreffend) der Datenschutzrahmen EU-USA (EU-US Data Privacy Framework, DPF), das Swiss-US Data Privacy Framework und die UK Extension zu den Selbstzertifizierungsprogrammen des Datenschutzrahmen EU-USA, die vom U.S. Department of Commerce betrieben werden, und ihre jeweiligen Vorgänger („DPF“).

„Grundsätze des Datenschutzrahmen“ sind die Grundsätze und ergänzenden Grundsätze, die im jeweiligen Datenschutzrahmen enthalten sind, in der jeweils aktuellsten Fassung.

„Datenschutzgesetze“ sind alle Datenschutzgesetze und Datenschutzvorschriften, die für die Verarbeitung von Kundendaten durch eine Partei im Rahmen der Vereinbarung gelten, einschließlich gegebenenfalls europäischer Datenschutzgesetze und zusätzlicher außereuropäische Datenschutzgesetze.

„Europäische Datenschutzgesetze“ sind alle für Europa geltenden Datenschutzgesetze und Datenschutzvorschriften (in ihrer jeweils aktuellsten Fassung), einschließlich (i) Verordnung 2016/679 des Europäischen Rats und des Rats zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im elektronischen Kommunikationssektor; (iii) die geltenden nationalen Umsetzungen von (i) und (ii); (iv) die DSGVO, da sie gemäß Abschnitt 3 des UK Social Union (Withdrawal) Act 2018 und des UK Data Protection Act 2018 (zusammen „britische Datenschutzgesetze“) Teil des britischen Rechts ist; und (v) das Bundesdatenschutzgesetz vom 19. Juni 1992 und seine Verfügung (Schweizer Datenschutzgesetz, DSG).

„Europa“ bezeichnet im Sinne dieses Nachtrags zur Datenverarbeitung den Europäischen Wirtschaftsraum und seine Mitgliedstaaten („EWR“), die Schweiz und das Vereinigte Königreich („Vereinigtes Königreich“).

„Mailchimp Group“ bedeutet The Rocket Science Group LLC d/b/a Mailchimp oder ein anderes verbundenes Unternehmen.

„SCCs“ sind (i) die Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 verabschiedet wurden und sich derzeit hier befinden (die „Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter“ 2021); oder (ii) die Standardvertragsklauseln zwischen Auftragsverarbeitern, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 angenommen wurden und sich derzeit hier befinden (die „Auftragsverarbeiter-zu-Auftragsverarbeiter-Klauseln 2021“), je gemäß Abschnitt 6.3.

„Sicherheitsvorfall“ bezeichnet unbefugte oder rechtswidrige Datenschutzverletzungen, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust oder zur Änderung von Kundendaten bzw. zur unbefugten Veröffentlichung oder zum Zugriff auf Kundendaten auf Systemen führt, die von Mailchimp betrieben oder anderweitig überwacht werden.

„Sensible Daten“ bedeutet: (a) Sozialversicherungsnummer, Steuernummer, Reisepassnummer, Führerscheinnummer, oder ähnliche Kennungen (oder Teile davon); (b) Kredit- oder Debitkartennummer (außer der gekürzten Nummer (letzte vier Ziffern) einer Kredit- oder Debitkarte); (c) Beschäftigungs-, Finanz-, Kredit- und oder Gesundheitsinformationen sowie genetische und biometrische Daten; (d) Informationen zu Rasse, Ethnizität, politischer oder religiöser Zugehörigkeit, Gewerkschaftsmitgliedschaft, Sexualleben, sexueller Orientierung oder Vorstrafen; (e) Account-Passwörter; (f) sonstige Informationen, die unter die Definition von „besonderen Datenkategorien“ gemäß den geltenden Datenschutzgesetzen fallen.

„Dienst“ sind die im Rahmen der geltenden Vereinbarung bereitgestellten Dienstleistungen.

„Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der von Mailchimp oder seinen verbundenen Unternehmen mit der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung des Dienstes gemäß der Vereinbarung oder dieses Nachtrags zur Datenverarbeitung beauftragt wird. Bei den Unterauftragsverarbeitern kann es sich um Dritte oder Tochtergesellschaften von Mailchimp handeln. Mitarbeiter, Auftragnehmer oder Berater von Mailchimp sind hiervon jedoch ausgeschlossen.

„Nachtrag für das Vereinigte Königreich“ bezeichnet das vom Information Commissioners Office herausgegebene International Data Transfer Addendum (Version B1.0) zu S.119(A) des UK Data Protection Act 2018 in der jeweils gültigen Fassung.

„US-Datenschutzgesetze“ bezeichnet alle einschlägigen Datenschutzgesetze auf Bundes-, Landes- und Kommunalebene (sowie alle Durchführungsbestimmungen und Änderungen dazu), alle Gesetze zur Überwachung von Mitarbeitern und alle Gesetze zur Regelung des Abhörens von Kommunikation, die für die Verarbeitung personenbezogener Daten im Sinne der Vereinbarung und/oder des Dienstes gelten. Dazu kann je nach Umständen und unbeschränkt der California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 ff.), in der durch den California Privacy Right Act von 2023 sowie dessen Durchführungsbestimmungen („CCPA“) gehören.

Die Begriffe „personenbezogene Daten“ , für die Verarbeitung Verantwortlicher“, „betroffene Person , „Verarbeiter“ und „Verarbeitung“ haben die Bedeutung, die ihnen im Rahmen der geltenden Datenschutzgesetze oder, falls darin nicht definiert ist, der DSGVO zugewiesen wird, wobei „verarbeiten“ , „ verarbeitete“ und „verarbeitet“ in Bezug auf Kundendaten entsprechend ausgelegt werden.

2. Aufgabenbereich und Zuständigkeiten

2.1 Die Rolle der Parteien Für die zulässigen Zwecke (wie unten definiert) bestätigen und vereinbaren die Parteien, dass Mailchimp bei der Verarbeitung von Kundendaten als Datenverarbeiter im Auftrag des Kunden handelt (unabhängig davon, ob Mailchimp selbst der für die Verarbeitung Verantwortliche oder ein Datenverarbeiter im Auftrag eines Dritten ist). Zur Klarstellung: Dieser Nachtrag zur Datenverarbeitung gilt nicht für Fälle, in denen Mailchimp der Verantwortliche für Kundendaten ist, es sei denn, in Anhang C (Rechtsspezifische Bedingungen) dieses Nachtrags zur Datenverarbeitung ist etwas anderes angegeben.

2.2 Zweckbindung. Mailchimp verarbeitet die Kundendaten wie im Anhang A (Einzelheiten der Datenverarbeitung) dieses Nachtrags zur Datenverarbeitung beschrieben nur in Übereinstimmung mit den gesetzlich dokumentierten Weisungen des Kunden, gemäß den Bestimmungen dieses Nachtrags zur Datenverarbeitung, soweit dies zur Einhaltung der geltenden Gesetze erforderlich ist, oder wie anderweitig schriftlich vereinbart („zulässige Zwecke“). Die Parteien vereinbaren, dass die Vereinbarung, einschließlich dieses Nachtrags zur Datenverarbeitung, zusammen mit der Konfiguration oder Nutzung von Einstellungen, Funktionen oder Optionen des Dienstes durch den Kunden (die der Kunde gegebenenfalls von Zeit zu Zeit ändern kann) die vollständigen und endgültigen Anweisungen des Kunden an Mailchimp zur Verarbeitung seiner Kundendaten (einschließlich für die Zwecke der SCCs) darstellen, und dass die Verarbeitung außerhalb des Anwendungsbereichs dieser Anweisungen (falls zutreffend) eine vorherige schriftliche Vereinbarung zwischen den Parteien erfordert.

2.3 Verbotene Daten Der Kunde wird Mailchimp keine vertrauliche Daten zur Verarbeitung im Rahmen der Vereinbarung zur Verfügung stellen (oder deren Bereitstellung veranlassen), und Mailchimp übernimmt keinerlei Haftung für vertrauliche Daten, weder im Zusammenhang mit einem Sicherheitsvorfall oder anderweitig. Um Zweifel auszuschließen: Dieser Nachtrag zur Datenverarbeitung gilt nicht für vertrauliche Daten.

2.4 Kundenseitige Einhaltung der Vorschriften Der Kunde sichert zu und gewährleistet, dass (i) er alle für die Verarbeitung von Kundendaten geltenden Gesetze, einschließlich der Datenschutzgesetze, und alle Verarbeitungsanweisungen, die er Mailchimp erteilt, beachtet hat und weiterhin beachten wird; und (ii) er alle erforderlichen Mitteilungen gemacht hat und weiterhin machen wird und alle nach den Datenschutzgesetzen erforderlichen Zustimmungen und Genehmigungen eingeholt hat und weiterhin einholen wird, damit Mailchimp die Kundendaten für die im Vertrag beschriebenen Zwecke verarbeiten kann. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen die Kundendaten erworben wurden. Unbeschadet der Allgemeingültigkeit des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er für die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze) verantwortlich ist, die für Kampagnen (wie in der Vereinbarung definiert) oder andere über den Dienst erstellte, versendete oder verwaltete Inhalte gelten, einschließlich derjenigen, die sich auf die Einholung von Genehmigungen (sofern erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und die Methoden zur Bereitstellung von E-Mails beziehen.

2.5 Rechtmäßigkeit der Kundenanweisungen Der Kunde stellt sicher, dass die weisungsgemäße Verarbeitung der Kundendaten durch Mailchimp nicht dazu führt, dass Mailchimp gegen geltende Gesetze, Vorschriften oder Regeln verstößt, insbesondere nicht gegen Datenschutzgesetze. Sofern nicht durch die europäischen Datenschutzgesetze untersagt, wird Mailchimp den Kunden unverzüglich schriftlich benachrichtigen, wenn es Kenntnis davon erhält oder die Vermutung hat, dass eine Datenverarbeitungsanweisung des Kunden gegen die europäischen Datenschutzgesetze verstößt. Wo der Kunde als Auftragsverarbeiter im Auftrag eines Dritten (oder eines anderen Mittelsmannes des eigentlichen Verantwortlichen) handelt, sichert der Kunde zu, dass seine Verarbeitungsanweisungen gemäß der Vereinbarung und diesem Nachtrag zur Datenverarbeitung (einschließlich der Ermächtigung von Mailchimp zur Ernennung von Unterverarbeitern im Sinne dieses Nachtrags zur Datenverarbeitung) vom jeweiligen Verantwortlichen genehmigt wurden. Der Kunde dient als einziger Ansprechpartner für Mailchimp und Mailchimp braucht nicht direkt mit potenziellen Kunden zu interagieren (einschließlich der Bereitstellung von Benachrichtigungen oder der Einholung von Autorisierungen), wenn die Interaktion über die reguläre Bereitstellung des Dienstes in dem im Rahmen der Vereinbarung erforderlichen Umfang hinausgeht. Der Kunde ist dafür verantwortlich, alle im Rahmen dieses Nachtrags zur Datenverarbeitung erhaltenen Mitteilungen gegebenenfalls an den jeweiligen Verantwortlichen weiterzuleiten.

3. Unterauftragsverarbeitung

3.1 Autorisierte Unterauftragsverarbeiter. Der Kunde autorisiert Mailchimp oder ein Mitglied der Mailchimp-Gruppe im Namen oder zugunsten von Mailchimp, Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten gemäß Abschnitt 3.2 zu beauftragen, um Mailchimp bei der Erfüllung seiner vereinbarungsgemäßen Verpflichtungen zur Bereitstellung des Dienstes zu unterstützen. Die derzeit von Mailchimp eingesetzten und vom Kunden autorisierten Unterauftragsverarbeiter sind hier abrufbar. Mailchimp benachrichtigt den Kunden mindestens 10 Tage vor einem solchen Wechsel, wenn Unterauftragsverarbeiter eingesetzt oder entfernt werden, sofern der Kunde sich für den Erhalt solcher E-Mail-Benachrichtigungen durch Klicken auf diesen Link anmeldet.

3.2 Pflichten von Unterauftragsverarbeitern. Mailchimp verpflichtet sich: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung unter Einbeziehung von Datenschutzverpflichtungen abzuschließen, die mindestens dasselbe Datenschutzniveau für Kundendaten vorsehen wie in diesem Nachtrag zur Datenverarbeitung, soweit anwendbar auf die erbrachten Dienstleistung und (ii) weiterhin für die Einhaltung der Pflichten dieses Nachtrags zur Datenverarbeitung durch den Unterauftragsverarbeiter sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass Mailchimp gegen eine seiner Pflichten aus diesem Nachtrag zur Datenverarbeitung verstößt. Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass Mailchimp, soweit zutreffend, seinen Verpflichtungen gemäß Klausel 9 der 2021-Controller-to-Processor-Klauseln und 2021-Processor-to-Processor-Klauseln (soweit zutreffend) nachkommt, indem es diese Klausel 3 einhält und dass Mailchimp aufgrund von Verschwiegenheitsauflagen daran gehindert werden kann, Vereinbarungen mit Unterauftragsverarbeitern gegenüber dem Kunden offenzulegen, jedoch wird Mailchimp auf Anfrage alle zumutbaren Anstrengungen unternehmen, um dem Kunden alle relevanten Informationen im Zusammenhang mit Vereinbarungen mit Unterauftragsverarbeitern zur Verfügung zu stellen, die ihm nach vernünftigem Ermessen zur Verfügung stehen.

4. Sicherheit

4.1 Sicherheitsmaßnahmen Mailchimp wird angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen und aufrechterhalten, um die Sicherheit und Vertraulichkeit der Kundendaten zu wahren und vor Sicherheitsvorfällen gemäß den in Anhang B („Sicherheitsmaßnahmen“) dieses Nachtrags zur Datenverarbeitung beschriebenen Sicherheitsstandards von Mailchimp zu schützen.

4.2 Geheimhaltung bei der Verarbeitung Mailchimp stellt sicher, dass jeder von uns autorisierte Verarbeiter von Kundendaten (einschließlich unserer Mitarbeiter, Vertreter und Unterauftragnehmer), einer angemessenen Vertraulichkeitspflicht unterliegt (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Pflicht handelt).

4.3 Änderung der Sicherheitsmaßnahmen Der Kunde ist dafür verantwortlich, die von Mailchimp zur Verfügung gestellten Informationen in Bezug auf die Datensicherheit zu prüfen und eine unabhängige Entscheidung darüber zu treffen, ob der Dienst den Anforderungen und gesetzlichen Datenschutzpflichten des Kunden entspricht. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der technischen Entwicklung unterliegen und dass Mailchimp berechtigt ist, sie von Zeit zu Zeit zu aktualisieren oder zu ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit des für den Kunden bereitgestellten Dienstes führen.

4.4 Reaktion auf Datenschutzvorfälle. Erfährt Mailchimp von einem Sicherheitsvorfall, wird Mailchimp (i) den Kunden unverzüglich benachrichtigen; (ii) dem Kunden Informationen zur Verfügung stellen, die den Datenschutz- und Datensicherheitsrichtlinien, Verschwiegenheits- und Rechtsvorschriften von Mailchimp unterliegen und nach vernünftigem Ermessen für die Benachrichtigungs- und Meldepflichten des Kunden erforderlich sind; und (iii) geeignete Maßnahmen ergreifen, um die Ursache des Sicherheitsvorfalls zu ermitteln und die Kundendaten im Rahmen des Möglichen zu reduzieren und zu sichern, soweit die Behebung des Vorfalls im zumutbaren Einflussbereich von Mailchimp liegt. Die Benachrichtigung oder Reaktion seitens Mailchimp auf einen Sicherheitsvorfall laut dieses Nachtrags zur Datenverarbeitung darf nicht als Anerkennung eines Fehlverhaltens oder einer Haftung seitens Mailchimp im Zusammenhang mit dem Sicherheitsvorfall ausgelegt werden. Mailchimp wird den Inhalt von Kundendaten nicht bewerten, um spezifische Berichts- oder andere rechtliche Verpflichtungen zu ermitteln, die für den Kunden gelten. Alle regulatorischen Verpflichtungen und/oder Meldeverpflichtungen von betroffenen Personen im Zusammenhang mit dem Sicherheitsvorfall liegen in der Verantwortung des Kunden. Benachrichtigungen über Sicherheitsvorfälle von Mailchimp sind an die in der Vereinbarung angegebene E-Mail-Adresse oder Adresse zu senden. Der Kunde trägt die alleinige Verantwortung dafür, dass die Kontaktdaten zur Benachrichtigung (z. B. Telefon und E-Mail) aktuell und korrekt sind.

4.5 Verantwortung des Kunden. Ungeachtet des Vorstehenden stimmt der Kunde zu, mit Ausnahme der in diesem Nachtrag zur Datenverarbeitung festgelegten Bestimmungen für die sichere Nutzung des Dienstes zu sorgen, einschließlich der Sicherheit seiner Anmeldedaten für das Konto, des Datenschutzes bei der Übertragung von Kundendaten zum und vom Dienst und der Ergreifung geeigneter Maßnahmen zur sicheren Verschlüsselung oder Sicherung aller in den Dienst hochgeladenen Kundendaten.

5. Sicherheitsberichte und Audits

5.1 Audit-Rechte. Mailchimp stellt dem Kunden alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses Nachtrags zur Datenverarbeitung nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen durch den Kunden, um die Einhaltung dieses Nachtrags zur Datenverarbeitung zu beurteilen, und trägt dazu bei. Der Kunde erkennt an und erklärt sich damit einverstanden, dass er seine Prüfungsrechte gemäß dieses Nachtrags zur Datenverarbeitung (einschließlich dieses Abschnitts 5.1 und gegebenenfalls der SCCs) und alle durch Datenschutzgesetze gewährten Prüfungsrechte ausüben wird, indem er Mailchimp anweist, die in den Abschnitten 5.2 und 5.3 unten beschriebenen Prüfungsmaßnahmen einzuhalten.

5.2 Sicherheitsberichte. Der Kunde erkennt an, dass Mailchimp regelmäßig von unabhängigen bzw. internen Prüfern nach branchenführenden Standards geprüft wird. Auf schriftliche Anfrage hier stellt Mailchimp dem Kunden (auf vertraulicher Basis) eine Zusammenfassung seines aktuellsten Auditberichts ( „Bericht“ ) zur Verfügung, damit der Kunde die Compliance der Auditstandards, anhand derer bewertet wurde, und dieses Nachtrags zur Datenverarbeitung überprüfen kann.

5.3 Sicherheits-Due-Diligence. Zusätzlich zum Bericht reagiert Mailchimp auf alle angemessenen Informationsanfragen des Kunden, um die Compliance mit diesem Nachtrag zur Datenverarbeitung durch Mailchimp zu bestätigen, indem es auf schriftliche Anfrage des Kunden hier zusätzliche Informationen zum Informationssicherheitsprogramm zur Verfügung stellt, vorausgesetzt, dass der Kunde dieses Recht nicht öfter als einmal pro Kalenderjahr ausübt. Kunden können ihre Anfragen hier einreichen.

6. Internationale Übertragungen

6.1 Standorte von Rechenzentren. Vorbehaltlich Abschnitt 6.2 erkennt der Kunde an, dass Mailchimp Kundendaten weltweit in die USA und andere Länder übertragen und dort verarbeiten kann, in denen Mailchimp, seine Tochtergesellschaften oder seine Unterauftragsverarbeiter als Datenverarbeiter operieren. Mailchimp stellt jederzeit sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze und dieses Nachtrags zur Datenverarbeitung erfolgen.

6.2 Australische Daten. Soweit Mailchimp Kundendaten empfängt, die dem australischen Datenschutzgesetz unterliegen, erkennen die Parteien an und stimmen zu, dass Mailchimp solche Kundendaten außerhalb Australiens übertragen kann, soweit die von den Parteien vereinbarten Bedingungen dies zulassen und vorausgesetzt, dass Mailchimp dabei diesen Nachtrag zur Datenverarbeitung und das australische Datenschutzgesetz einhält.

6.3 Datenübertragungen EWR. Soweit Mailchimp Empfänger von Kundendaten in einem Land außerhalb des EWR ist, das nicht als Land mit einem ausreichenden Schutzniveau für personenbezogene Daten gilt (wie in den geltenden europäischen Datenschutzgesetzen festgelegt) und durch europäische Datenschutzgesetze geschützt ist, verpflichten sich die Parteien, diese Kundendaten gemäß den folgenden Bestimmungen zu verarbeiten:

  • (a) Datenschutzrahmen. Mailchimp verpflichtet sich, den Datenschutzrahmen einzuhalten, um Kundendaten in den Vereinigten Staaten rechtmäßig zu erheben, und sicherzustellen, dass diese Kundendaten mindestens in dem Maße geschützt werden, wie es die Grundsätze des Datenschutzrahmens vorschreiben. Sollte Mailchimp dieser Aufforderung nicht nachkommen können, wird es den Kunden darüber informieren.
  • (b) Standardvertragsklauseln. Wenn die europäischen Datenschutzgesetze die Einführung geeigneter Schutzmaßnahmen vorschreiben (z. B. weil die Übermittlung an Mailchimp nicht durch den Datenschutzrahmen geregelt ist und/oder der Datenschutzrahmen ungültig ist), werden die Zusatzbedingungen in diesen Nachtrag zur Datenverarbeitung aufgenommen und bilden einen integralen Bestandteil davon.
  • (c) Datenübertragungen aus dem Vereinigten Königreich. Bei Übertragungen, auf die die britischen Datenschutzgesetze Anwendung finden, gelten die SCCs, wo dies gemäß (b) oben anwendbar ist, und gelten als gemäß dem Nachtrag für das Vereinigte Königreich geändert. Der Nachtrag für das Vereinigte Königreich gilt als von den Parteien unterzeichnet und wird als integraler Bestandteil in diesen vorliegenden Nachtrag zur Datenverarbeitung aufgenommen. Weiterhin gilt: Die Tabellen 1 bis 3 in Teil 1 des Nachtrags für das Vereinigte Königreich werden unter Berücksichtigung der in den Anhängen I und II der relevanten SCCs aufgeführten Informationen als vollständig ausgefüllt betrachtet; und Tabelle 4 in Teil 1 des Nachtrags für das Vereinigte Königreich wird bei Auswahl des Eintrag „keine der Parteien“ als vollständig ausgefüllt betrachtet.
  • (d) Datenübertragungen in die Schweiz. Bei Übertragungen, auf die das Schweizer Datenschutzgesetz (DSG) zutrifft, gelten die SCC, soweit unter b) oben vorgesehen, mit folgenden Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ sind als Verweise auf das Schweizer Datenschutzgesetz zu verstehen; (ii) Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ sind durch den entsprechenden Artikel oder Abschnitt des 3. Verweise auf „EU“, „Union“ und „Recht der Mitgliedstaaten“ werden durch „Schweiz“ ersetzt; 4. Klausel 13(a) und Teil C von Anhang II werden gestrichen; 5. Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch „den Schweizerischen Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und ‚zuständigen Gerichte in der Schweiz‘ ersetzt; (vi) Klausel 17 wird durch folgenden Wortlaut ersetzt: ‚Die Klauseln unterliegen dem Recht der Schweiz‘; und (vii) Klausel 18 wird durch folgenden Wortlaut ersetzt: „Alle Streitigkeiten, die sich aus den vorliegenden Klauseln ergeben, werden von den zuständigen Gerichten der Schweiz beigelegt. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen“.

6.4 Einhaltung der SCCs. Die Parteien vereinbaren, dass Mailchimp den Kunden unverzüglich über seine Unfähigkeit zur Einhaltung der SCC (sofern zutreffend) informieren muss. Wenn der Kunde beabsichtigt, die Übermittlung europäischer Daten auszusetzen und/oder die betroffenen Teile des Dienstes zu beenden, muss er Mailchimp zunächst benachrichtigen und Mailchimp eine angemessene Zeit einräumen, um die Nichteinhaltung zu beheben. Während dieser Zeit zwischen Mailchimp und dem Kunden in angemessener Weise zusammenarbeiten, um zu vereinbaren, welche zusätzlichen Schutzmaßnahmen oder Maßnahmen, wenn überhaupt, vernünftigerweise erforderlich sein können. Der Kunde ist nur dann berechtigt, die Datenübertragung auszusetzen und/oder die betroffenen Teile des Dienstes wegen der Nichteinhaltung der SCCs zu kündigen, wenn Mailchimp die Nichteinhaltung nicht innerhalb einer angemessenen Frist beheben kann.

6.5 Alternativer Übertragungsmechanismus. Soweit Mailchimp einen alternativen rechtmäßigen Datenübertragungsmechanismus für die Übermittlung europäischer Daten anwendet, die nicht in diesem Nachtrag zur Datenverarbeitung beschrieben werden, gilt der alternative Übertragungsmechanismus anstelle der in diesem Nachtrag zur Datenverarbeitung beschriebenen Übertragungsmechanismen (aber nur für die sofern ein solcher alternativer Übertragungsmechanismus den geltenden europäischen Datenschutzgesetzen entspricht und sich auf die Länder erstreckt, in die europäischen Daten übermittelt werden). Darüber hinaus, wenn und soweit ein zuständiges Gericht oder eine Aufsichtsbehörde (aus welchen Gründen auch immer) anweist, dass die in diesem Nachtrag zur Datenverarbeitung beschriebenen Maßnahmen nicht für die rechtmäßige Übermittlung europäischer Daten (im Sinne der geltenden europäischen Datenschutzgesetze) herangezogen werden können kann Mailchimp alle zusätzlichen Maßnahmen oder Schutzmaßnahmen ergreifen, die angemessen erforderlich sind, um die rechtmäßige Übermittlung europäischer Daten zu ermöglichen.

7. Rückgabe oder Löschung von Daten

Löschung oder Herausgabe bei Kündigung Bei Kündigung oder Vertragsablauf ergreift Mailchimp angemessene Maßnahmen, um dem Kunden (nach dessen Wahl) Werkzeuge zur Verfügung zu stellen, mit denen er alle in seinem Besitz oder unter seinem Einfluss befindlichen Kundendaten (einschließlich Kopien) löschen oder an den Kunden herausgeben kann, wobei diese Anforderung nicht gilt, soweit Mailchimp nach geltendem Recht oder Branchenvorschriften verpflichtet ist, Kundendaten teilweise oder vollständig aufzubewahren, oder für Kundendaten, die auf Sicherungssystemen archiviert wurden. Diese Kundendaten werden von Mailchimp gesichert isoliert, vor jeglicher weiterer Verarbeitung geschützt und schließlich gemäß den Löschungsrichtlinien von Mailchimp gelöscht, soweit nicht gesetzlich anders vorgeschrieben. Die Parteien vereinbaren, dass die in Klausel 8.5 und 16(d) der Klauseln 2021 für die Datenverarbeitung und 2021 für die Datenverarbeitung beschriebene Löschungsbescheinigung von Mailchimp dem Kunden nur auf dessen schriftliche Anfrage hin ausgehändigt wird.

8. Rechte und Zusammenarbeit der betroffenen Personen

8.1 Auskunftsanfragen von betroffenen Personen. Im Rahmen des Dienstes stellt Mailchimp dem Kunden eine Reihe von Self-Service-Funktionen zur Verfügung, mit denen Kundendaten abgerufen, korrigiert, gelöscht oder deren Nutzung eingeschränkt werden kann. Diese Funktionen kann der Kunde im Zusammenhang mit seinen (oder den Pflichten des für die Verarbeitung verantwortlichen Dritten) gemäß den Datenschutzgesetzen bei der Beantwortung von Anfragen betroffener Personen über das Konto des Kunden ohne Zusatzkosten nutzen. Darüber hinaus wird Mailchimp dem Kunden unter Berücksichtigung der Art der Verarbeitung angemessene zusätzliche Unterstützung leisten, soweit dies möglich ist, damit der Kunde (oder sein externer Verantwortlicher) seinen Datenschutzverpflichtungen in Bezug auf die Rechte betroffener Personen gemäß den Datenschutzgesetzen nachkommen kann. Für den Fall, dass eine solche Anfrage direkt an Mailchimp gerichtet wird, wird Mailchimp ohne die vorherige Genehmigung des Kunden nicht direkt auf diese Kommunikation reagieren, es sei denn, dass angemessen ist (z. B. um die betroffene Person anzuweisen, den Kunden zu kontaktieren) oder gesetzlich vorgeschrieben. Wenn Mailchimp auf eine solche Anfrage reagieren muss, wird Mailchimp den Kunden unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zukommen lassen, sofern der Kunde identifiziert oder anhand der Anfrage identifizierbar ist, es sei denn, Mailchimp ist dies gesetzlich untersagt. Zur Klarstellung: Nichts in der Vereinbarung (einschließlich dieses Nachtrags zur Datenverarbeitung) schränkt oder hindert Mailchimp daran, auf Anfragen betroffener Personen oder Datenschutzbehörden in Bezug auf personenbezogene Daten zu reagieren, für die Mailchimp der Verantwortliche ist.

8.2 Datenschutz-Folgenabschätzung. Soweit nach den geltenden Datenschutzgesetzen erforderlich, stellt Mailchimp (unter Berücksichtigung der Art der Verarbeitung und der Mailchimp zur Verfügung stehenden Informationen) alle angemessenerweise angeforderten Informationen über den Dienst zur Verfügung, um dem Kunden die Durchführung von Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit dem Datenschutzbehörden gemäß den Datenschutzgesetzen zu ermöglichen. Mailchimp kommt den vorstehenden Bestimmungen nach, indem es: (i) Abschnitt 5 (Sicherheitsberichte und Audits) einhält; (ii) die in der Vereinbarung, einschließlich dieses Nachtrags zur Datenverarbeitung, enthaltenen Daten bereitstellt; und leistet (iii) wenn die vorstehenden Unterabschnitte (i) und (ii) für datenschutzrechtlichen Kundenzwecke nicht ausreichen, auf Anfrage zusätzliche angemessene Unterstützung (kostenpflichtig für den Kunden).

9. Gerichtsstandsspezifische Bedingungen

Soweit Mailchimp Kundendaten verarbeitet, die aus Datenschutzgesetzen in einer der in Anhang C aufgeführten Rechtsgebiete stammen und durch Datenschutzgesetze geschützt sind, gelten die in Anhang C aufgeführten Bedingungen in Bezug auf das/die geltende Rechtsgebiet(e) („Gesetzespezifische Bedingungen“) zusätzlich zu den Bedingungen dieses Nachtrags zur Datenverarbeitung. Im Falle eines Konflikts zwischen den länderspezifischen Bedingungen oder Unklarheiten zwischen den länderspezifischen Bedingungen und anderen Bedingungen dieses Nachtrags zur Datenverarbeitung haben die geltenden länderspezifischen Bedingungen Vorrang, jedoch nur insoweit, als sie für Mailchimp gelten.

10. Haftungsbeschränkungen.

10.1 Die Haftung der Parteien und ihrer verbundenen Unternehmen, die sich aus diesem Nachtrag zur Datenverarbeitung ergeben oder damit im Zusammenhang stehen, (einschließlich der SCCs) unterliegt den in der Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen.

10.2 Alle Ansprüche, die gegen Mailchimp oder seine verbundenen Unternehmen im Rahmen oder in Verbindung mit diesem Nachtrag zur Datenverarbeitung (einschließlich gegebenenfalls der SCCs) geltend gemacht werden, können ausschließlich von dem Unternehmen, das Vertragspartei ist, geltend gemacht werden.

10.3 Keiner der Beteiligten darf in irgendeiner Weise sein Haftungsrisiko für die Datenschutzrechte von Einzelpersonen im Rahmen des vorliegenden Nachtrags zur Datenverarbeitung oder anderweitig einschränken.

11. Beziehung zur Vereinbarung

11.1 Dieser Nachtrag zur Datenverarbeitung bleibt so lange in Kraft, wie Mailchimp Kundendatenverarbeitungsvorgänge im Namen des Kunden durchführt oder bis zur Beendigung der Vereinbarung (und der Löschung und Rückgabe alle Kundendaten gemäß Abschnitt 7.1).

11.2 Die Parteien erklären sich damit einverstanden, dass dieser Nachtrag zur Datenverarbeitung alle bestehenden Datenverarbeitungsvereinbarungen oder ähnlichen Dokumente ersetzt, die von Parteien möglicherweise zuvor im Zusammenhang mit dem Dienst abgeschlossen wurden.

11.3 Im Falle eines Konflikts oder einer Unstimmigkeit zwischen diesem Nachtrag zur Datenverarbeitung und den AGB haben die Bestimmungen der folgenden Dokumente (in der Reihenfolge der Priorität) Vorrang: (i) SCCs; dann (ii) dieser Nachtrag zur Datenverarbeitung und dann (iii) die AGB.

11.4 Mit Ausnahme der durch diesen Nachtrag zur Datenverarbeitung vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang wirksam.

11.5 Außer den Vertragsparteien dieses Nachtrags zur Datenverarbeitung, ihren Rechtsnachfolgern und zulässigen Bevollmächtigten ist niemand berechtigt, eine der Bestimmungen dieser Vereinbarung durchzusetzen.

11.6 Dieser Nachtrag zur Datenverarbeitung unterliegt den geltenden Rechten und den darin enthaltenen Gerichtsstandsbestimmungen und wird in Übereinstimmung mit diesen ausgelegt, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.

Anhang A – Einzelheiten zur Datenverarbeitung

(a) Kategorien von betroffenen Personen :

Zu den Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden, gehören (i) Mitglieder (d. h. einzelne Endbenutzer mit Zugriff auf einen Mailchimp-Account) und (ii) Kontakte (d. h. Abonnenten von Mitgliedern und andere Personen, über die ein Mitglied uns Informationen zur Verfügung gestellt hat oder hat anderweitig mit einem Mitglied über den Dienst interagiert).

(b) Kategorien personenbezogener Daten :

Der Kunde kann bestimmte personenbezogene Daten in den Dienst hochladen, übermitteln oder anderweitig bereitstellen, deren Umfang in der Regel vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgenden Arten personenbezogener Daten umfassen kann:

  • Für Mitglieder: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzinformationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen); Einzelheiten zur Beschäftigung (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich);
  • Kontakte: Identifikations- und Kontaktdaten (Name, Geburtsdatum, Geschlecht, allgemeine Informationen, Beruf oder andere demografische Informationen, Adresse, Titel, Kontaktdaten, einschließlich E-Mail-Adresse); persönliche Interessen oder Vorlieben (einschließlich Kaufhistorie, Marketingpräferenzen und öffentlich verfügbare Social-Media-Profilinformationen); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten); Finanzinformationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen).

(c) Verarbeitete vertrauliche Daten (falls zutreffend) :

Mailchimp möchte im Zusammenhang mit der Bereitstellung des Dienstes weder vertrauliche Daten erheben noch verarbeiten und tut dies nicht absichtlich.

(d) Häufigkeit der Verarbeitung :

Kontinuierlich und wie vom Kunden und dem jeweiligen Dienst festgelegt.

(e) Gegenstand und Art der Verarbeitung :

Mailchimp stellt einen E-Mail-Dienst, eine Automatisierungs- und Marketingplattform sowie andere damit verbundene Dienste bereit, wie in der Vereinbarung näher beschrieben. Gegenstand der Datenverarbeitung im Rahmen dieses Nachtrags zur Datenverarbeitung sind die Kundendaten. Kundendaten werden in Übereinstimmung mit der Vereinbarung (einschließlich des Nachtrags zur Datenverarbeitung) verarbeitet und können den folgenden Verarbeitungstätigkeiten unterliegen:

  • Speicherung und sonstige Verarbeitung, die zur Bereitstellung, Aufrechterhaltung und Verbesserung des dem Kunden gemäß der Vereinbarung bereitgestellten Dienstes erforderlich sind; und/oder
  • Offenlegungen gemäß der Vereinbarung und/oder gemäß geltendem Recht.

(f) Zweck der Verarbeitung :

Mailchimp verarbeitet Kundendaten nur für die zulässigen Zwecke, was Folgendes umfasst: (i) die Verarbeitung so, wie es erforderlich ist, um den Dienst in Übereinstimmung mit der Vereinbarung bereitzustellen; (ii) eine vom Kunden bei der Nutzung des Dienstes initiierte Verarbeitung; und (iii) die Verarbeitung zur Einhaltung aller anderen angemessenen Anweisungen des Kunden (z. B. per E-Mail oder Support-Tickets), die mit den Bedingungen der Vereinbarung übereinstimmen.

(g) Dauer der Verarbeitung und Zeitraum, für den personenbezogene Daten gespeichert werden :

Mailchimp verarbeitet Kundendaten wie in Abschnitt 7 (Herausgabe oder Löschung von Daten) des vorliegenden Nachtrags zur Datenverarbeitung beschrieben.

Anhang B – Sicherheitsmaßnahmen

Die für den Dienst geltenden Sicherheitsmaßnahmen sind hier beschrieben (und werden gemäß Abschnitt 4.3 dieses Nachtrags zur Datenverarbeitung regelmäßig aktualisiert). Weitere Informationen über unsere technischen und organisatorischen Maßnahmen zum Schutz von Kundendaten vor einem Datenschutzvorfall sind im Intuit Security Center zu finden.

Anhang C – Gerichtsstandsspezifische Bedingungen

Europa:

  1. Einspruch gegen Unterauftragsverarbeiter. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Mailchimp innerhalb von fünf (5) Kalendertagen nach Erhalt der Benachrichtigung gemäß Abschnitt 3.1 des vorliegenden Nachtrags zur Datenverarbeitung schriftlich widersprechen, sofern ein solcher Einspruch auf angemessenen Gründen in Bezug auf den Datenschutz beruht. In einem solchen Fall werden die Parteien diese Bedenken nach Treu und Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu erreichen. Wenn keine solche Lösung erzielt werden kann, wird Mailchimp nach eigenem Ermessen diesen Unterauftragsverarbeiter entweder nicht ernennen oder dem Kunden gestatten, den betroffenen Dienst gemäß den Kündigungsbestimmungen in der Vereinbarung auszusetzen oder zu kündigen, ohne dass eine der Parteien haftbar ist (aber unbeschadet etwaiger Kosten, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind).

  2. Datenzugriffsanfragen von Behörden. In der Regel gewährt Mailchimp staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu Mailchimp-Accounts oder Informationen darüber (einschließlich Kundendaten). Wenn Mailchimp eine zwingende Anfrage (sei es durch eine Vorladung, einen Gerichtsbeschluss, einen Durchsuchungsbefehl oder ein anderes gültiges rechtliches Verfahren) von einer Regierungsbehörde oder -stelle (einschließlich Strafverfolgungsbehörden) erhält, um Zugriff auf oder Informationen über ein Mailchimp-Account (einschließlich Kundendaten) zu erhalten, dessen primäre Kontaktinformationen darauf hinweisen, dass der Kunde in Europa ansässig ist, wird Mailchimp: (i) die Rechtmäßigkeit der Anfrage überprüfen; (ii) die Regierungsbehörde darüber informieren, dass Mailchimp ein Datenverarbeiter ist; iii) versuchen, die Stelle dazu zu bewegen, die Daten direkt vom Kunden anzufordern; (iv) den Kunden per E-Mail an die primäre Kontakt-E-Mail-Adresse des Kunden über die Anfrage benachrichtigen, damit der Kunde eine rechtliche Abwehr oder einen anderen geeigneten Rechtsbehelf beantragen kann; und (v) bei der Beantwortung der Anfrage durch die Stelle oder Behörde auf der Grundlage einer angemessenen Auslegung der Anfrage das Mindestmaß an Informationen bereitstellen. Im Rahmen dieser Bemühungen kann Mailchimp der Stelle die Haupt- und Rechnungskontaktinformationen des Kunden zur Verfügung stellen. Mailchimp ist nicht zur Einhaltung von Absatz 2 verpflichtet, wenn dies gesetzlich verboten ist oder wenn Mailchimp nach Treu und Glauben davon ausgeht, dass ein dringender Zugriff erforderlich ist, um die drohende Gefahr eines ernsthaften Schadens für Einzelpersonen, die öffentliche Sicherheit, oder das Eigentum von Mailchimp, die Mailchimp-Site oder den Service zu beeinträchtigen, aber wenn es Mailchimp gesetzlich untersagt ist, den Kunden über Anfragen zu informieren, wird es sich nach besten Kräften bemühen, eine Aufhebung des Verbots zu erreichen.

Kalifornien:

In den Fällen, in denen Mailchimp personenbezogene Daten gemäß den US-Datenschutzgesetzen verarbeitet, gilt Folgendes:

  1. Sofern nicht anders beschrieben, umfassen die Definitionen von: „Datenverantwortlicher“ auch „Unternehmen“; „Datenverarbeiter“ umfasst auch „Dienstleister“; „betroffene Person“, „Verbraucher“; „personenbezogene Daten“, „personenbezogene Daten“; jeweils wie im California Consumer Privacy Act (California Consumer Privacy Act) definiert. Die Begriffe „Verkaufen“; „weitergeben“; „Geschäftszweck“ und „kommerzieller Zweck“ haben die im CCPA definierte Bedeutung.
  2. Sofern und soweit Mailchimp bei der Verarbeitung von Kundendaten gemäß Abschnitt 2 oben als Auftragsverarbeiter oder Verantwortlicher fungiert, übernimmt Mailchimp gegebenenfalls dieselbe Verarbeitungsverantwortung im Rahmen aller anderen US-Datenschutzgesetze außer dem CCPA.
  3. Bei personenbezogenen Daten, die dem California Consumer Privacy Act (CCPA) unterliegen, erklären sich die Parteien damit einverstanden und erkennen an, dass (i) Mailchimp in Fällen, in denen es gemäß anderen geltenden Datenschutzgesetzen als Datenverantwortlicher fungiert, im Rahmen des CCPA auch als „Dienstanbieter“ auftreten kann und (ii) Mailchimp das Recht hat, Kundendaten für alle nach dem CCPA für Dienstanbieter zulässigen Zwecke zu verarbeiten. Mailchimp wird alle im CCPA und in Abschnitt 7051 der CCPA-Ausführungsvorschriften und/oder in allen Nachfolgevorschriften festgelegten Anforderungen einhalten, und diese Bestimmungen werden durch Verweis in die vorliegende Vereinbarung aufgenommen.
  4. Die in Abschnitt 8 (Rechte und Zusammenarbeit der betroffenen Person) des vorliegenden Nachtrags zur Datenverarbeitung beschriebenen Pflichten von Mailchimp bei Anfragen Betroffener erstrecken sich auch auf Anfragen zu den Rechten nach US-Datenschutzgesetzen. Mailchimp wird Kundendaten im selben Umfang schützen, wie es der CCPA vorschreibt, und wird: (i) den Kunden bei der Beantwortung von Kundenanfragen (gemäß Definition in den US-Datenschutzgesetzen) zwecks Ausübung von Rechten gemäß den US-Datenschutzgesetzen unterstützen; und (ii) den Kunden unverzüglich benachrichtigen, wenn Mailchimp die Vorgaben der US-Datenschutzgesetze nicht erfüllen kann. In Fällen, in denen Mailchimp zwar ein Dienstleister im Sinne des CCPA ist, aber an anderer Stelle ein Datenverantwortlicher im Sinne der Datenschutzgesetze ist und ein Verbraucher einen Anfrage in Ausübung von Datenschutz nach CCPA direkt an Mailchimp stellt, weist der Kunde Mailchimp hiermit an, direkt auf eine solche Verbraucheranfrage zu antworten. Der Kunde ist jetzt und jederzeit selbst für die Einhaltung der Vorschriften des US-Datenschutzrechts bei der Nutzung der Dienste und der eigenen Verarbeitung personenbezogener Daten verantwortlich.
  5. Die Parteien erkennen an, dass Kundendaten, die der Kunde an Mailchimp weitergibt, nur für die begrenzten und angegebenen Zwecke zur Verfügung gestellt werden, die als „Zulässige Zwecke“ aufgeführt sind. Die Parteien erklären sich damit einverstanden, dass alle Kundendaten vom Kunden für die zulässigen Zwecke an Mailchimp übermittelt werden und dass ihre Nutzung oder Bekanntgabe durch den Kunden an Mailchimp notwendig ist, um diese zulässigen Zwecke zu erfüllen.
  6. Ungeachtet der an anderer Stelle in dieses Nachtrags zur Datenverarbeitung enthaltenen Nutzungsbeschränkungen verarbeitet Mailchimp Kundendaten, um den Service zu erbringen, für die zulässigen Zwecke und/oder in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden oder soweit dies anderweitig nach geltendem Recht zulässig oder erforderlich ist.
  7. Ungeachtet etwaiger Nutzungsbeschränkungen, die an anderer Stelle in diesem Anhang C enthalten sind, kann Mailchimp Kundendaten im Rahmen der Erbringung des in diesem Nachtrag zur Datenverarbeitung und der Vereinbarung festgelegten Dienstes anonymisieren oder aggregieren.
  8. Bei der Verarbeitung von Kundendaten durch Unterauftragsverarbeiter stellt Mailchimp sicher, dass diese Unterauftragsverarbeiter Dienstleister im Sinne des CCPA sind, mit denen Mailchimp einen schriftlichen Vertrag abgeschlossen hat, der Bedingungen enthält, die im Wesentlichen diesem Abschnitt von Anhang C entsprechen, oder anderweitig vom CCPA freigestellt sind. Mailchimp führt bei seinen Unterauftragsverarbeitern eine angemessene Due-Diligence-Prüfung durch.
  9. Ohne Einschränkung der hierin festgelegten Rechte zur Datennutzung wird Mailchimp als Dienstleister: (a.) Kundendaten nicht verkaufen oder weitergeben; (b.) Kundendaten nicht (i) für andere Zwecke als die zulässigen Verwendungszwecke, einschließlich für kommerzielle Zwecke, oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder bekanntgeben, es sei denn, dies ist zur Erfüllung der zulässigen Verwendungszwecke erforderlich oder anderweitig durch die US-amerikanischen Datenschutzgesetze erforderlich ist oder anderweitig zulässig ist; oder (c.) Kundendaten, die von oder im Namen des Kunden erhoben wurden, mit personenbezogenen Daten zu kombinieren, die von oder im Namen eines Dritten erhoben wurden oder die aus der eigenen Interaktion von Mailchimp mit Einzelpersonen oder betroffenen Personen stammen, es sei denn, dies dient der Erfüllung eines zulässigen Zwecks gemäß dem CCPA (einschließlich etwaiger Durchführungsbestimmungen dazu), der Vereinbarung und dieses Nachtrags zur Datenverarbeitung.
  10. Der Kunde kann angemessene und geeignete Maßnahmen ergreifen, um (a) sicherzustellen, dass die erhobenen Kundendaten in einer Weise verarbeitet werden, die mit den geschäftlichen Verpflichtungen des Unternehmens gemäß dem CCPA vereinbar ist, und (b) jede unbefugte Verarbeitung von Kundendaten zu unterbinden und zu beseitigen, und (c) sicherzustellen, dass alle einschlägigen personenbezogenen Daten in einer dem CCPA entsprechenden Weise verwendet werden.

Kanada:

  1. Mailchimp ergreift Maßnahmen, um sicherzustellen, dass die Unterauftragsverarbeiter von Mailchimp, wie in Abschnitt 3 (Unterverarbeitung) des Nachtrags zur Datenverarbeitung beschrieben, Dritte im Rahmen von PIPEDA sind, mit denen Mailchimp einen schriftlichen Vertrag abgeschlossen hat, der Bedingungen enthält, die im Wesentlichen diesem Nachtrag zur Datenverarbeitung ähneln. Mailchimp führt bei seinen Unterauftragsverarbeitern eine angemessene Due-Diligence-Prüfung durch.
  2. Mailchimp implementiert technische und organisatorische Maßnahmen gemäß Abschnitt 4 (Sicherheit) des Nachtrags zur Datenverarbeitung.
  3. Mailchimp kann Kundendaten unter Einhaltung der geltenden Datenschutzgesetze und unter der Voraussetzung, dass Mailchimp alle erforderlichen Vorkehrungen trifft, damit Kundendaten auch nach einer solchen Übertragung weiterhin in Übereinstimmung mit dem geltenden Datenschutzrecht behandelt werden, in Länder außerhalb des Rechtsraums, aus dem die Kundendaten stammen, übermitteln. Der Kunde hat alle erforderlichen Beurteilungen durchzuführen, um eine solche Übermittlung möglich zu machen.

Wirksam ab 26. September 2024