Nachstehend findest du eine übersetzte Version des Nachtrags zur Datenverarbeitung von Mailchimp. Bei Abweichungen zwischen der Übersetzung und der englischen Version ist die englische Version maßgeblich.
Dieser Nachtrag zur Datenverarbeitung (Data Processing Addendum, „DPA“) ist Bestandteil von und unterliegt den Bedingungen der Vereinbarung zwischen The Rocket Science Group LLC d/b/a Mailchimp (zusammen mit seinen verbundenen Unternehmen, „Mailchimp“) und der Einheit des Kunden, der als Mitglied an der Vereinbarung beteiligt ist („Kunde“).
Alle großgeschriebenen Begriffe, die in diesem DPA nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Zur Vermeidung von Zweifeln umfassen alle Verweise auf die „Vereinbarung“ diesen DPA (einschließlich der SCCs (falls zutreffend), wie hierin definiert).
1. Definitionen
„Verbundenes Unternehmen“ steht für eine juristische Person, die direkt oder indirekt eine andere juristische Person kontrolliert, von dieser kontrolliert wird oder mit ihr gemeinsam die Kontrolle ausübt.
„Vereinbarung“ bezeichnet die Standard-Nutzungsbedingungen von Mailchimp oder eine andere schriftliche oder elektronische Vereinbarung über die Bereitstellung des Service für den Kunden, da diese Bedingungen ebenso wie die Vereinbarung von Zeit zu Zeit aktualisiert werden können.
„Kontrolle“ bedeutet eine Eigentümerschaft, ein Stimmrecht oder einen ähnlichen Anspruch an einer juristischen Person in Höhe von fünfzig Prozent (50 %) der Anteile oder mehr. Der Begriff „kontrolliert“ ist entsprechend auszulegen.
„Kundendaten“ sind alle personenbezogenen Daten, die Mailchimp im Auftrag des Kunden über den Service verarbeitet, wie in diesem DPA näher beschrieben.
„Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze und -bestimmungen, die für die Verarbeitung von Kundendaten durch eine Partei im Rahmen der Vereinbarung gelten, einschließlich der europäischen und nicht-europäischen Datenschutzgesetze, soweit zutreffend.
„Europäische Datenschutzgesetze“ bezeichnet alle in Europa geltenden Datenschutzgesetze und -vorschriften. Dazu gehören unter anderem: (i) die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im elektronischen Kommunikationssektor; (iii) alle geltenden nationalen Implementierungen von (i) und (ii); (iv) die DSGVO, da diese aufgrund von Abschnitt 3 Teil des UK European Union (Withdrawal) Act 2018 und des UK Data Protection Act 2018 (zusammen „UK-Datenschutzgesetze“) ist; (v) das Schweizerisches Bundesdatenschutzgesetz vom 19. Juni 1992, einschließlich der diesbezüglichen Verordnung („Swiss DPA“).
„Europa“ bezeichnet im Sinne dieses DPA den Europäischen Wirtschaftsraum und seine Mitgliedsstaaten („EWR“), die Schweiz und Großbritannien („UK“).
„Nicht-europäische Datenschutzgesetze“ bezeichnet den California Consumer Privacy Act („CCPA“), den Canadian Personal Information Protection and Electronic Documents Act („PIPEDA“), das brasilianische Datenschutzgesetz („LGPD“), das Bundesgesetz Nr. 13,709/2018 und den Privacy Act 1988 (Cth) von Australien in seiner jeweils gültigen Fassung („australisches Datenschutzgesetz“).
„SCCs“ bezeichnen nach Abschnitt 6.3. entweder (i) die Standardvertragsklauseln, die für Verantwortliche und Auftragsverarbeiter gemäß dem Durchführungsbeschluss der Europäischen Kommission (EU) 2021/91 vom 4. Juni 2021 gelten und die zurzeit hier einsehbar sind (die „ Klauseln für Verantwortliche und Auftragsverarbeiter 2021“), oder (ii) die Standardvertragsklauseln zwischen Auftragsverarbeitern gemäß dem Durchführungsbeschluss der Europäischen Kommission (EU) 2021/91 vom 4. Juni 2021 (die „Klauseln für Auftragsverarbeiter 2021“). Diese sind zurzeit hier einsehbar.
„Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Sicherheitsverletzung, die zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust oder zur Änderung von Kundendaten beziehungsweise zur ihrer unbefugten Offenlegung oder zum unbefugten Zugriff auf diese in Systemen führt, die von Mailchimp verwaltet oder anderweitig kontrolliert werden.
„Sensible Daten“ umfassen: (a) Sozialversicherungsnummer, Steuernummer, Reisepassnummer, Führerscheinnummer, oder ähnliche Kennungen (oder Teile davon); (b) Kredit- oder Debitkartennummer (außer der gekürzten Nummer (letzte vier Ziffern) einer Kredit- oder Debitkarte); (c) Beschäftigungs-, Finanz-, Kredit- und oder Gesundheitsinformationen sowie genetische und biometrische Daten; (d) Informationen zu Rasse, Ethnizität, politischer oder religiöser Zugehörigkeit, Gewerkschaftsmitgliedschaft, Sexualleben, sexueller Orientierung oder Vorstrafen; (e) Account-Passwörter; (f) sonstige Informationen, die unter die Definition von „besonderen Datenkategorien“ gemäß den geltenden Datenschutzgesetzen fallen.
„Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der von Mailchimp oder seinen Tochtergesellschaften beauftragt wird, bei der Erfüllung unserer Verpflichtungen in Bezug auf die Bereitstellung des Service gemäß der Vereinbarung oder diesem DPA zu helfen. Bei den Unterauftragsverarbeitern kann es sich um Dritte oder Tochtergesellschaften von Mailchimp handeln. Mitarbeiter, Auftragnehmer oder Berater von Mailchimp sind hiervon jedoch ausgeschlossen.
"UK Addendum" bezeichnet das vom Information Commissioners Office herausgegebene International Data Transfer Addendum S.119(A) (Version B1.0) zum UK Data Protection Act 2018 in der jeweils gültigen Fassung.
Die Begriffe „personenbezogene Daten“, „Verantwortlicher“, „betroffene Person“, „Auftragsverarbeiter“ und „Verarbeitung“ haben die Bedeutung, die ihnen gemäß den geltenden Datenschutzgesetzen zugewiesen wird, soweit sie in diesen definiert sind. Andernfalls gelten die Definitionen der DSGVO und die Begriffe „Verarbeitung“und „verarbeiten“" ____sind in Bezug auf Kundendaten entsprechend zu interpretieren.
2. Rollen und Verantwortlichkeiten
2.1 Die Rollen der Parteien. Wenn die Europäischen Datenschutzgesetze oder die LGPD für die Verarbeitung von Kundendaten durch eine der Parteien gelten, erkennen die Parteien an und vereinbaren, dass Mailchimp in Bezug auf die Verarbeitung von Kundendaten ein Auftragsverarbeiter ist, der im Namen des Kunden handelt (unabhängig davon, ob selbst ein Verantwortlicher oder ein Auftragsverarbeiter). Um Zweifel auszuschließen, gilt dieser DPA nicht für Fälle, in denen Mailchimp der Datenverantwortliche ist (gemäß der Definition in den europäischen Datenschutzgesetzen), sofern nicht in Anhang C (Bedingungen der spezifischen Gerichtsbarkeit) dieses DPA etwas anderes vorgesehen ist.
2.2 Zweckbindung. Mailchimp verarbeitet Kundendaten wie in Anhang A (Einzelheiten zur Datenverarbeitung) dieses DPA näher beschrieben, nur in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, wie in diesem DPA dargelegt, wie es zur Einhaltung geltenden Rechts erforderlich ist oder wie anderweitig schriftlich vereinbart („zulässige Zwecke“). Die Parteien vereinbaren, dass die Vereinbarung, einschließlich dieses DPA, zusammen mit der Konfiguration oder Nutzung des Kunden von Einstellungen, Funktionen oder Optionen im Dienst (die der Kunde von Zeit zu Zeit ändern kann) die kompletten und endgültigen Anweisungen des Kunden an Mailchimp in Bezug auf die Verarbeitung von Kundendaten (einschließlich für die Zwecke der SCCs) darstellen, und die Verarbeitung außerhalb des Rahmens dieser Anweisungen (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen den Parteien erfordert.
2.3 Unerlaubte Daten. Der Kunde wird Mailchimp im Rahmen der Vereinbarung keine sensiblen Daten zur Verarbeitung zur Verfügung stellen (oder zur Verfügung stellen lassen), und Mailchimp übernimmt keinerlei Haftung für sensible Daten, ob im Zusammenhang mit einem Sicherheitsvorfall oder anderweitig. Um Zweifel auszuschließen, gilt dieser DPA nicht für sensible Daten.
2.4 Einhaltung durch den Kunden. Der Kunde sichert zu und gewährleistet, dass (i) er alle anwendbaren Gesetze, einschließlich der Datenschutzgesetze, hinsichtlich seiner Verarbeitung von Kundendaten und jeglicher Anweisungen zur Verarbeitung, die er Mailchimp erteilt, eingehalten hat und weiterhin einhalten wird; und (ii) er alle Mitteilungen gemacht hat und weiterhin machen wird und alle Einwilligungen und Rechte eingeholt hat und weiterhin einholen wird, die laut den Datenschutzgesetzen notwendig sind, damit Mailchimp Kundendaten für die in der Vereinbarung beschriebenen Zwecke verarbeiten kann. Der Kunde trägt die alleinige Verantwortung für die Korrektheit, Qualität und Rechtmäßigkeit der Kundendaten und für die Mittel, mit denen er die Kundendaten eingeholt hat. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, erklärt sich der Kunde damit einverstanden, dass er für die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze) verantwortlich ist, die für Kampagnen (wie in der Vereinbarung definiert) oder andere Inhalte gelten, die über den Dienst erstellt, gesendet oder verwaltet werden, einschließlich derjenigen, die sich auf die Einholung von Genehmigungen (soweit erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und seine E-Mail-Bereitstellungspraktiken beziehen.
2.5 Rechtmäßigkeit der Anweisungen des Kunden. Der Kunde stellt sicher, dass die Verarbeitung der Kundendaten durch Mailchimp gemäß den Anweisungen des Kunden nicht dazu führt, dass Mailchimp gegen geltende Gesetze, Vorschriften oder Regeln verstößt, einschließlich, aber nicht beschränkt auf Datenschutzgesetze. Mailchimp wird den Kunden unverzüglich schriftlich darüber informieren, wenn es feststellt oder davon ausgeht, dass eine Anweisung zur Datenverarbeitung des Kunden gegen europäische Datenschutzgesetze verstößt, es sei denn, dass dies gemäß den europäischen Datenschutzgesetzen nicht zulässig ist. Handelt der Kunde als Auftragsverarbeiter im Auftrag eines Drittverantwortlichen (oder eines anderen Mittelsmanns des letztlich für die Verarbeitung Verantwortlichen), gewährleistet der Kunde, dass seine Anweisungen zur Verarbeitung, wie sie in der Vereinbarung und diesem DPA dargelegt sind, einschließlich seiner Genehmigungen an Mailchimp zur Ernennung von Unterauftragsverarbeitern in Übereinstimmung mit diesem DPA, von dem jeweiligen Verantwortlichen genehmigt wurden. Der Kunde dient als alleiniger Ansprechpartner für Mailchimp, und Mailchimp muss nicht direkt mit einem Drittverantwortlichen interagieren (einschließlich der Übermittlung von Benachrichtigungen an oder der Einholung von Genehmigungen von), sofern es sich nicht um die reguläre Bereitstellung des Dienstes in dem nach der Vereinbarung erforderlichen Rahmen handelt. Der Kunde ist für die Weiterleitung von Benachrichtigungen, die er im Rahmen dieses DPA erhält, an den jeweiligen Verantwortlichen verantwortlich, sofern dies angemessen ist.
3. Unterverarbeitung
3.1 Genehmigte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass Mailchimp Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten im Namen des Kunden beauftragen kann. Die im Moment von Mailchimp beauftragten und vom Kunden genehmigten Unterauftragsverarbeiter sind hier einsehbar. Mailchimp benachrichtigt den Kunden mindestens 10 Tage vor einer solchen Änderung, wenn es Unterauftragsverarbeiter ergänzt oder entfernt, sofern der Kunde sich für den Erhalt solcher Benachrichtigungen entscheidet, indem er hier klickt.
3.2 Pflichten des Unterauftragsverarbeiters. Mailchimp muss: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung eingehen, die Datenschutzverpflichtungen enthält, die mindestens das gleiche Schutzniveau für Kundendaten bieten wie die in diesem DPA, sofern dies für die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistung gilt; und (ii) für die Einhaltung der Pflichten aus diesem DPA durch diesen Unterauftragsverarbeiter und für alle Handlungen oder Unterlassungen dieses Unterauftragsverarbeiters, die zu einem Verstoß von Mailchimp gegen seine Verpflichtungen aus diesem DPA führen, verantwortlich bleiben. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Mailchimp seine Verpflichtungen gemäß Klausel 9 der Klauseln zwischen Verantwortlichem und Auftragsverarbeiter aus dem Jahr 2021 sowie der Klauseln zwischen Auftragsverarbeitern aus dem Jahr 2021 (je nach Anwendbarkeit) erfüllt, indem es diesen Abschnitt 3 befolgt, und dass Mailchimp aufgrund von Vertraulichkeitsbeschränkungen daran gehindert sein kann, dem Kunden die Vereinbarungen mit Unterauftragsverarbeitern offenzulegen. Mailchimp wird jedoch auf Anfrage in angemessener Weise versuchen, dem Kunden alle relevanten Informationen zur Verfügung zu stellen, die es im Zusammenhang mit den Vereinbarungen mit Unterauftragsverarbeitern vernünftigerweise erhalten kann.
4. Sicherheit
4.1 Sicherheitsmaßnahmen. Mailchimp implementiert und pflegt angemessene technische und organisatorische Sicherheitsmaßnahmen, um Kundendaten vor Sicherheitsvorfällen zu schützen und ihre Sicherheit und Vertraulichkeit gemäß den in Anhang B („Sicherheitsmaßnahmen“) dieses DPA beschriebenen Sicherheitsstandards von Mailchimp zu gewährleisten.
4.2 Vertraulichkeit der Verarbeitung. Mailchimp stellt sicher, dass jeder von uns autorisierte Verarbeiter von Kundendaten (einschließlich unserer Mitarbeiter, Vertreter und Unterauftragnehmer), einer angemessenen Vertraulichkeitsverpflichtung unterliegt (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt).
4.3 Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde ist dafür verantwortlich, die von Mailchimp zur Verfügung gestellten Informationen in Bezug auf die Datensicherheit zu überprüfen und unabhängig zu entscheiden, ob der Service seine Anforderungen und gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen erfüllt. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen vom technischen Fortschritt und der Entwicklung abhängen und von Mailchimp von Zeit zu Zeit aktualisiert oder geändert werden können, vorausgesetzt, dass diese Aktualisierungen und Änderungen nicht zur Beeinträchtigung der Gesamtsicherheit des Service führen, der für den Kunden bereitgestellt wird.
4.4 Reaktion auf Sicherheitsvorfälle. Sobald Mailchimp von einem Sicherheitsvorfall Kenntnis erlangt, müssen wir: (i) den Kunden unverzüglich und möglichst innerhalb von 48 Stunden nach dem Bekanntwerden benachrichtigen; (ii) rechtzeitig Informationen zu dem Sicherheitsvorfall bereitstellen, sobald er bekannt wird oder wie vom Kunden im angemessenen Rahmen angefordert; und (iii) unverzüglich angemessene Schritte ergreifen, um jeden Sicherheitsvorfall zu untersuchen und einzudämmen. Wenn Mailchimp über einen Sicherheitsvorfall gemäß diesem Abschnitt 4.4 benachrichtigt oder darauf reagiert, darf dies nicht als Eingeständnis eines von Mailchimp begangenen Fehlers oder als Haftungsübernahme in Bezug auf den Sicherheitsvorfall ausgelegt werden.
4.5 Verantwortlichkeiten des Kunden. Ungeachtet vorstehender Bestimmungen erklärt sich der Kunde damit einverstanden, selbst die Verantwortung für seine sichere Nutzung des Service zu übernehmen, soweit dieser DPA keine anderen Regelungen vorsieht, einschließlich der Sicherung seiner Account-Authentifizierungsdaten, des Schutzes der Sicherheit von Kundendaten während der Übertragung zum und vom Dienst und geeigneter Schritte zur sicheren Verschlüsselung oder Sicherung von Kundendaten, die in den Dienst hochgeladen werden.
5. Sicherheitsberichte und Audits
5.1 Audit-Rechte. Mailchimp stellt dem Kunden alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser Datenbearbeitungsvereinbarung nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen durch den Kunden, um die Einhaltung dieser Datenbearbeitungsvereinbarung zu beurteilen, und trägt dazu bei. Der Kunde erkennt an und erklärt sich damit einverstanden, dass er seine Prüfungsrechte gemäß dieser Datenbearbeitungsvereinbarung (einschließlich dieses Abschnitts 5.1 und gegebenenfalls der SCCs) und alle durch Datenschutzgesetze gewährten Prüfungsrechte ausüben wird, indem er Mailchimp anweist, die in den Abschnitten 5.2 und 5.3 unten beschriebenen Prüfungsmaßnahmen einzuhalten.
5.2 Sicherheitsberichte. Der Kunde erkennt an, dass Mailchimp regelmäßig von unabhängigen externen bzw. internen Prüfern nach branchenführenden Standards geprüft wird. Auf schriftliche Anfrage hier stellt Mailchimp dem Kunden (auf vertraulicher Basis) eine Zusammenfassung seines/ihres aktuellsten Auditberichts(s) („Bericht“) zur Verfügung, damit der Kunde die Einhaltung der Auditstandards, anhand derer er bewertet wurde, und dieser Datenschutzvereinbarung überprüfen kann.
5.3 Sicherheits-Due-Diligence. Zusätzlich zum Bericht reagiert Mailchimp auf alle angemessenen Informationsanfragen des Kunden, um die Einhaltung dieser Datenschutzvereinbarung durch Mailchimp zu bestätigen, indem es auf schriftliche Anfrage des Kunden hier zusätzliche Informationen zu seinem Informationssicherheitsprogramm zur Verfügung stellt, vorausgesetzt, dass der Kunde dieses Recht nicht öfter als einmal pro Kalenderjahr ausübt. Kunden können ihre Anfragen hier einreichen.
6. Internationale Übertragungen
6.1 Standorte von Rechenzentren .Vorbehaltlich Abschnitt 6.2 erkennt der Kunde an, dass Mailchimp Kundendaten weltweit in die USA und andere Länder übertragen und dort verarbeiten kann, in denen Mailchimp, seine Tochtergesellschaften oder seine Unterauftragsverarbeiter als Datenverarbeiter operieren. Mailchimp stellt jederzeit sicher, dass solche Übertragungen in Übereinstimmung mit den Datenschutzgesetzen und diesem DPA erfolgen.
6.2 Australische Daten. Soweit Mailchimp Kundendaten empfängt, die dem australischen Datenschutzgesetz unterliegen, erkennen die Parteien an und stimmen zu, dass Mailchimp solche Kundendaten außerhalb Australiens übertragen kann, soweit die von den Parteien vereinbarten Bedingungen dies zulassen und vorausgesetzt, dass Mailchimp dabei diesen DPA und das australische Datenschutzgesetz einhält.
6.3 Datenübertragungen EWR. Soweit Mailchimp Kundendaten empfängt, die durch die DSGVO in einem Land außerhalb des EWR geschützt sind, das kein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in den geltenden europäischen Datenschutzgesetzen beschrieben), verpflichten sich die Parteien, die SCCs einzuhalten und diese Kundendaten in Übereinstimmung mit den SCCs zu verarbeiten, die in diesem DPA aufgenommen werden und einen integralen Bestandteil dieses DPA bilden.
6.4 Datenübertragungen in Bezug auf Großbritannien. In Bezug auf Übertragungen, die den britischen Datenschutzgesetzen unterworfen sind, gelten die SCCs in ihrer geänderten Form, wie im UK Addendum angegeben. Das UK Addendum gilt als von den Parteien unterzeichnet und wird als integraler Bestandteil in diesem DPA aufgenommen. Zusätzlich: Die Tabellen 1 bis 3 in Teil 1 des UK Addendum gelten mit den in den Anhängen I und II der relevanten SCCs bereitgestellten Informationen als abgeschlossen. Tabelle 4 in Teil 1 des UK Addendum gilt durch die Auswahl von "keine der Parteien" als abgeschlossen.
6.5 Datenübertragungen in Bezug auf die Schweiz. In Bezug auf Übertragungen, die dem schweizerischen DPA unterworfen sind, gelten die SCCs gemäß Abschnitt 6.3 mit den folgenden Änderungen: (i) Verweise auf die "Verordnung (EU) 2016/679" sind als Verweise auf den schweizerischen DPA auszulegen; (ii) Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt des schweizerischen DPA ersetzt; (iii) Verweise auf die "EU", "Unions-" und "Mitgliedstaatenrecht" werden durch "Schweiz" ersetzt; (iv) Klausel 13(a) und Teil C von Anhang Il werden gestrichen; (v) Verweise auf die "zuständige Aufsichtsbehörde" und die "zuständigen Gerichte" werden durch den "Eidgenössischen Datenschutz- und Informationsbeauftragten" und die "zuständigen Gerichte in der Schweiz" ersetzt; (vi) Klausel 17 wird ersetzt, um anzugeben, dass "die Klauseln den Gesetzen der Schweiz unterliegen"; (vii) Klausel 18 wird ersetzt, um anzugeben, "dass für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, die entsprechenden Gerichte der Schweiz zuständig sind. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen".
6.6 Einhaltung der SCCs. Die Parteien vereinbaren, dass Mailchimp seine Kunden unverzüglich informiert, wenn wir die Einhaltung der SCCs nicht sicherstellen können. Wenn der Kunde beabsichtigt, die Übertragung europäischer Daten auszusetzen und/oder die betreffenden Teile des Service zu kündigen, muss er Mailchimp zunächst davon in Kenntnis setzen und uns eine angemessene Frist zur Behebung der Nicht-Konformität gewähren. Während dieses Zeitraums werden Mailchimp und der Kunde nach vernünftigem Ermessen zusammenarbeiten, um zu vereinbaren, welche zusätzlichen Sicherheits- oder Schutzmaßnahmen gegebenenfalls sinnvoll und erforderlich sind. Der Kunde ist nur dann berechtigt, die Übertragung von Daten auszusetzen und/oder die betroffenen Teile des Service wegen Nicht-Konformität mit den SCCs zu kündigen, wenn Mailchimp diese nicht innerhalb einer angemessenen Frist behebt oder sie nicht beheben kann.
6.7 Alternativer Übertragungsmechanismus. Soweit Mailchimp einen alternativen rechtmäßigen Datenübertragungsmechanismus für die Übertragung europäischer Daten einführt, der nicht in diesem DPA beschrieben ist („alternativer Übertragungsmechanismus“), gilt dieser anstelle der in diesem DPA beschriebenen Übertragungsmechanismen (jedoch nur in dem Umfang, in dem dieser alternative Übertragungsmechanismus den geltenden europäischen Datenschutzgesetzen entspricht und sich auf die Länder erstreckt, in die europäische Daten übertragen werden). Falls ein zuständiges Gericht oder eine zuständige Aufsichtsbehörde (aus welchem Grund auch immer) anordnet, dass die in diesem DPA beschriebenen Maßnahmen keinen zuverlässigen Schutz für die rechtmäßige Übertragung europäischer Daten (im Sinne der geltenden europäischen Datenschutzgesetze) bieten, kann Mailchimp darüber hinaus alle zusätzlichen Maßnahmen oder Sicherheitsvorkehrungen treffen, die nach vernünftigem Ermessen erforderlich sein können, um die rechtmäßige Übertragung europäischer Daten zu gewährleisten.
7. Rückgabe oder Löschung von Daten
Rückgabe oder Löschung bei Kündigung. Nach der Kündigung oder dem Ablauf der Vereinbarung wird Mailchimp (nach Wahl des Kunden) alle Kundendaten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, löschen oder an den Kunden zurückgeben. Ausnahme ist, dass diese Anforderung nicht gilt, soweit Mailchimp nach geltendem Recht verpflichtet ist, einige oder alle Kundendaten aufzubewahren, oder Kundendaten auf Backup-Systemen zu archivieren, wobei diese Kundendaten von Mailchimp sicher isoliert, vor jeglicher weiteren Verarbeitung geschützt und schließlich gemäß den Richtlinien zur Löschung von Mailchimp gelöscht werden, es sei denn, dass dies nach geltendem Recht erforderlich ist. Die Parteien vereinbaren, dass die Bestätigung über die Löschung von Kundendaten, die in Klausel 8.5 und 16(d) der Klauseln für die Verarbeitung zwischen Verantwortlichem und Auftragsverarbeiter von 2021 und den Klauseln für die Verarbeitung zwischen Auftragsverarbeitern von 2021, dem Kunden von Mailchimp nur auf schriftlichen Antrag des Kunden zur Verfügung gestellt wird.
8. Rechte und Zusammenarbeit der betroffenen Personen
8.1 Anfragen betroffener Personen. Als Teil des Dienstes stellt Mailchimp dem Kunden eine Reihe von Self-Service-Funktionen zur Verfügung, die der Kunde nutzen kann, um Kundendaten, die der Kunde nutzen kann, um ihn im Zusammenhang mit seinen (bzw. Pflichten seines externen Datenverantwortlichen) gemäß den Datenschutzgesetzen in Bezug auf die Beantwortung von Anfragen betroffener Personen über den Kundenaccount ohne zusätzliche Kosten, abzurufen, zu korrigieren, zu löschen oder deren Nutzung einzuschränken. Darüber hinaus wird Mailchimp dem Kunden unter Berücksichtigung der Art der Verarbeitung angemessene zusätzliche Unterstützung leisten, soweit dies möglich ist, damit der Kunde (oder sein externer Verantwortlicher) seinen Datenschutzverpflichtungen in Bezug auf die Rechte betroffener Personen gemäß den Datenschutzgesetzen nachkommen kann. Für den Fall, dass eine solche Anfrage direkt an Mailchimp gerichtet wird, wird Mailchimp ohne die vorherige Genehmigung des Kunden nicht direkt auf diese Kommunikation reagieren, es sei denn, dass angemessen ist (z. B. um die betroffene Person anzuweisen, den Kunden zu kontaktieren) oder gesetzlich vorgeschrieben. Wenn Mailchimp auf eine solche Anfrage reagieren muss, wird Mailchimp den Kunden unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zukommen lassen, sofern der Kunde identifiziert oder anhand der Anfrage identifizierbar ist, es sei denn, Mailchimp ist dies gesetzlich untersagt. Zur Klarstellung: Nichts in der Vereinbarung (einschließlich dieser DPA) schränkt oder hindert Mailchimp daran, auf Anfragen betroffener Personen oder Datenschutzbehörden in Bezug auf personenbezogene Daten zu reagieren, für die Mailchimp der Verantwortliche ist.
8.2 Datenschutzfolgenabschätzung. Soweit nach den geltenden Datenschutzgesetzen erforderlich, stellt Mailchimp (unter Berücksichtigung der Art der Verarbeitung und der Mailchimp zur Verfügung stehenden Informationen) alle angemessenerweise angeforderten Informationen über den Dienst zur Verfügung, um dem Kunden die Durchführung von Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit dem Datenschutzbehörden gemäß den Datenschutzgesetzen zu ermöglichen. Mailchimp kommt dem Vorstehenden nach, indem es: (i) die Einhaltung von Abschnitt 5 (Sicherheitsberichte und Audits); (ii) die Bereitstellung der in der Vereinbarung enthaltenen Informationen, einschließlich dieses DPA; und (iii) wenn die vorstehenden Unterabschnitte (i) und (ii) für den Kunden nicht ausreichen, um diesen Verpflichtungen nachzukommen, auf Anfrage und zusätzliche angemessene Unterstützung (auf Kosten des Kunden) zu leisten.
9. Bedingungen der spezifischen Gerichtsbarkeit
In dem Umfang, in dem Mailchimp Kundendaten verarbeitet, die aus einer der in Anhang C aufgeführten Gerichtsbarkeiten stammen und durch Datenschutzgesetze in diesen Gerichtsbarkeiten geschützt sind, gelten zusätzlich zu den Bestimmungen dieses DPA die in Anhang C aufgeführten Bestimmungen in Bezug auf die anwendbare(n) Rechtsordnung(en) („Bedingungen der spezifischen Gerichtsbarkeit“). Für den Fall eines Konflikts oder einer Unstimmigkeit zwischen den Bedingungen der spezifischen Gerichtsbarkeit und anderen Bedingungen dieses DPA haben die anwendbaren Bedingungen der spezifischen Gerichtsbarkeit Vorrang, jedoch nur in dem Umfang, in dem die Bedingungen der spezifischen Gerichtsbarkeit für Mailchimp gelten.
10. Haftungsbeschränkung
10.1 Die Haftung der jeweiligen Partei und aller ihrer verbundenen Unternehmen als Ganzes, die sich aus oder im Zusammenhang mit diesem DPA (einschließlich der SCCs) ergibt, unterliegt den in der Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen.
10.2 Jegliche gegen Mailchimp oder seine verbundenen Unternehmen im Rahmen oder in Verbindung mit diesem DPA (einschließlich, falls zutreffend, der SCCs) angeführten Ansprüche sind ausschließlich von der Kundeneinheit geltend zu machen, die Partei dieser Vereinbarung ist.
10.3 Unter keinen Umständen darf eine Partei ihre Haftung in Bezug auf die Datenschutzrechte einer Person im Rahmen dieses DPA oder anderweitig einschränken.
11. Beziehung zur Vereinbarung
11.1 Dieser DPA bleibt so lange in Kraft, wie Mailchimp die Verarbeitung von Kundendaten im Auftrag des Kunden erfüllt oder bis zur Kündigung der Vereinbarung (und bis alle Kundendaten gemäß Abschnitt 7.1 zurückgegeben oder gelöscht wurden).
11.2 Die Parteien einigen sich darauf, dass dieser DPA alle bestehenden Datenverarbeitungsvereinbarungen oder ähnlichen Dokumente ersetzt, die die Parteien zuvor in Bezug auf den Dienst abgeschlossen haben.
11.3 Im Falle jeglicher Konflikte oder Unstimmigkeiten zwischen diesem DPA und den Standardnutzungsbedingungen haben die Bestimmungen der folgenden Dokumente (in dieser Reihenfolge) Vorrang: (i) SCC; dann (ii) dieser DPA; und dann (iii) die Standardnutzungsbedingungen.
11.4 Abgesehen von jeglichen Änderungen, die durch diesen DPA vorgenommen werden, bleibt die Vereinbarung unverändert und in vollem Umfang gültig und wirksam.
11.5 Keine Person außer einer Partei dieses DPA, deren Nachfolgern und zulässigen Rechtsnachfolgern hat das Recht, eine ihrer Bestimmungen durchzusetzen.
11.6 Für diesen DPA gelten die in der Vereinbarung aufgeführten Bestimmungen des anwendbaren Rechts und der Gerichtsbarkeit und er ist dementsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.
Anhang A – Einzelheiten der Datenverarbeitung
(a) Kategorien der betroffenen Personen:
Die Kategorien der betroffenen Personen, deren personenbezogene Daten verarbeitet werden, umfassen: (i) Mitglieder (d. h. einzelne Endnutzer mit Zugang zu einem Mailchimp-Konto) und (ii) Kontakte (d. h. Abonnenten des Mitglieds und andere Personen, über die ein Mitglied uns Informationen gegeben hat oder mit denen ein Mitglied auf andere Weise über den Dienst interagiert hat).
(b) Kategorien von personenbezogenen Daten:
Der Kunde kann bestimmte personenbezogene Daten in den Dienst hochladen, an diesen übermitteln oder diese anderweitig bereitstellen, und das in einem Umfang, der in der Regel vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und folgende Arten personenbezogener Daten umfassen kann:
- Mitglieder: Identifikations- und Kontaktdaten (Name, Adresse, Titel, Kontaktdaten, Benutzername); Finanzdaten (Kreditkarten-, Konto-, Zahlungsdaten); Beschäftigungsdaten (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich).
- Kontakte: Identifikations- und Kontaktdaten (Name, Geburtsdatum, Geschlecht, allgemeine, berufliche oder andere demografische Informationen, Adresse, Titel, Kontaktdaten, einschließlich E-Mail-Adresse); persönliche Interessen oder Vorlieben (einschließlich Kaufgeschichte, Marketingvorlieben und öffentlich zugängliche Profilinformationen in sozialen Medien); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten); Finanzinformationen (Kreditkarten-, Konto-, Zahlungsdaten).
(c) Verarbeitete sensible Daten (falls zutreffend):
Mailchimp hat nicht die Absicht, sensible Daten im Zusammenhang mit der Bereitstellung des Dienstes zu erheben oder verarbeiten und tut dies auch nicht absichtlich.
(d) Häufigkeit der Verarbeitung:
Fortlaufend und wie vom Kunden bestimmt.
(e) Gegenstand und Art der Verarbeitung:
Mailchimp stellt einen E-Mail-Dienst, eine Automatisierungs- und Marketingplattform und andere damit verbundene Dienste zur Verfügung, wie in der Vereinbarung näher beschrieben. Gegenstand der Datenverarbeitung im Rahmen dieses DPA sind die Kundendaten. Die Kundendaten werden gemäß der Vereinbarung (einschließlich dieses DPA) verarbeitet und können den folgenden Verarbeitungsaktivitäten unterliegen:
- Für die Bereitstellung, Aufrechterhaltung und Verbesserung des dem Kunden gemäß der Vereinbarung bereitgestellten Dienstes erforderlich Speicherung und andere Verarbeitungstätigkeiten; und/oder
- Offenlegungen gemäß Vereinbarung und/oder wie durch geltendes Recht vorgeschrieben.
(f) Zweck der Verarbeitung:
Mailchimp ist nur berechtigt, Kundendaten für die zulässigen Zwecke verarbeiten, wozu auch folgende Zwecke gehören: (i) die für die Bereitstellung des Dienstes gemäß der Vereinbarung notwendige Verarbeitung; (ii) die Verarbeitung, die vom Kunden bei der Nutzung des Dienstes veranlasst wird; und (iii) die Verarbeitung zur Erfüllung sonstiger angemessener Anweisungen des Kunden (z. B. per E-Mail oder Unterstützungs-Tickets), die mit den Bedingungen der Vereinbarung konform sind.
(g) Dauer der Verarbeitung und Zeitraum, für den personenbezogene Daten aufbewahrt werden:
Mailchimp wird die Kundendaten wie in Abschnitt 7 (Rückgabe oder Löschung von Daten) dieses DPA beschrieben verarbeiten.
Anhang B – Sicherheitsmaßnahmen
Die für den Dienst geltenden Sicherheitsmaßnahmen werden hier beschrieben (in der von Zeit zu Zeit unter Einhaltung von Abschnitt 4.3 dieses DPA aktualisierten Form).
Anhang C – Gerichtsbarkeitsspezifische Bedingungen
Europa:
Einspruch gegen Unterauftragsverarbeiter. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Mailchimp innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung gemäß Abschnitt 3.1 des DPA schriftlich widersprechen, sofern dieser Einspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz beruht. In einem solchen Fall werden die Parteien diese Bedenken nach Treu und Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu erreichen. Wenn keine solche Lösung erzielt werden kann, wird Mailchimp nach eigenem Ermessen diesen Unterauftragsverarbeiter entweder nicht ernennen oder dem Kunden gestatten, den betroffenen Dienst gemäß den Kündigungsbestimmungen in der Vereinbarung auszusetzen oder zu kündigen, ohne dass eine der Parteien haftbar ist (aber unbeschadet etwaiger Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind).
Datenzugriffsanfragen der Regierung. In der Regel gewährt Mailchimp staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu Mailchimp-Accounts oder Informationen darüber (einschließlich Kundendaten). Wenn Mailchimp eine zwingende Anfrage (sei es durch eine Vorladung, einen Gerichtsbeschluss, einen Durchsuchungsbefehl oder ein anderes gültiges rechtliches Verfahren) von einer Regierungsbehörde oder -stelle (einschließlich Strafverfolgungsbehörden) erhält, um Zugriff auf oder Informationen über ein Mailchimp-Account (einschließlich Kundendaten) zu erhalten, dessen primäre Kontaktinformationen darauf hinweisen, dass der Kunde in Europa ansässig ist, wird Mailchimp: (i) die Rechtmäßigkeit der Anfrage überprüfen; (ii) die Regierungsbehörde darüber informieren, dass Mailchimp ein Datenverarbeiter ist; iii) versuchen, die Stelle dazu zu bewegen, die Daten direkt vom Kunden anzufordern; (iv) den Kunden per E-Mail an die primäre Kontakt-E-Mail-Adresse des Kunden über die Anfrage benachrichtigen, damit der Kunde eine rechtliche Abwehr oder einen anderen geeigneten Rechtsbehelf beantragen kann; und (v) bei der Beantwortung der Anfrage durch die Stelle oder Behörde auf der Grundlage einer angemessenen Auslegung der Anfrage das Mindestmaß an Informationen bereitstellen. Im Rahmen dieser Bemühungen kann Mailchimp der Stelle die Haupt- und Rechnungskontaktinformationen des Kunden zur Verfügung stellen. Mailchimp ist nicht zur Einhaltung dieses Absatzes 2 verpflichtet, wenn dies gesetzlich verboten ist oder wenn Mailchimp nach Treu und Glauben davon ausgeht, dass ein dringender Zugriff erforderlich ist, um die drohende Gefahr eines ernsthaften Schadens für Einzelpersonen, die öffentliche Sicherheit, oder das Eigentum von Mailchimp, die Mailchimp-Site oder Service zu beeinträchtigen, aber wenn es Mailchimp gesetzlich untersagt ist, den Kunden über Anfragen zu informieren, wird es sich nach besten Kräften bemühen, eine Aufhebung des Verbots zu erreichen.
Kalifornien:
Sofern nicht anders beschrieben, umfassen die Definitionen von: „Datenverantwortlicher“ auch „Unternehmen“; „Datenverarbeiter“ umfasst auch „Dienstleister“; „betroffene Person“, „Verbraucher“; „personenbezogene Daten“, „personenbezogene Daten“; jeweils wie im California Consumer Privacy Act (California Consumer Privacy Act) definiert.
Nur für diesen Abschnitt „Kalifornien“ in Anhang C umfassen „Zulässige Zwecke“ die Verarbeitung von Kundendaten nur für die in dieser Datenschutzvereinbarung beschriebenen Zwecke und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, wie in dieser Datenschutzvereinbarung dargelegt, soweit dies zur Einhaltung des geltenden Rechts erforderlich ist, wie anderweitig schriftlich vereinbart, insbesondere in der Vereinbarung, oder wie anderweitig für „Dienstleister“ im Rahmen des CCPA zulässig.
Die Verpflichtungen von Mailchimp in Bezug auf Anfragen betroffener Personen, wie in Abschnitt 8 (Rechte und Zusammenarbeit betroffener Personen) dieser Datenschutzvereinbarung beschrieben, erstrecken sich auch auf Rechteanfragen im Rahmen des CCPA.
Ungeachtet der an anderer Stelle in dieser Datenschutzvereinbarung enthaltenen Nutzungsbeschränkungen verarbeitet Mailchimp Kundendaten, um den Service zu erbringen, für die zulässigen Zwecke und/oder in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden oder soweit dies anderweitig nach geltendem Recht zulässig oder erforderlich ist.
Ungeachtet etwaiger Nutzungsbeschränkungen, die an anderer Stelle in diesem Anhang C enthalten sind, kann Mailchimp Kundendaten im Rahmen der Erbringung des in dieser Datenschutzvereinbarung und der Vereinbarung festgelegten Dienstes anonymisieren oder aggregieren.
Wenn Unterauftragsverarbeiter die personenbezogenen Daten von Kundenkontakten verarbeiten, ergreift Mailchimp Maßnahmen, um sicherzustellen, dass diese Unterauftragsverarbeiter Dienstleister im Sinne des CCPA sind, mit denen Mailchimp einen schriftlichen Vertrag abgeschlossen hat, der Bedingungen enthält, die im Wesentlichen diesem „Kalifornien“-Abschnitt des Anhangs ähneln C oder anderweitig von der CCPA-Definition für „Verkauf“ ausgenommen sind. Mailchimp führt bei seinen Unterauftragsverarbeitern eine angemessene Due-Diligence-Prüfung durch.
Kanada:
Mailchimp ergreift Maßnahmen, um sicherzustellen, dass die Unterauftragsverarbeiter von Mailchimp, wie in Abschnitt 3 (Unterverarbeitung) der Datenschutzvereinbarung beschrieben, Dritte im Rahmen von PIPEDA sind, mit denen Mailchimp einen schriftlichen Vertrag abgeschlossen hat, der Bedingungen enthält, die im Wesentlichen dieser Datenschutzvereinbarung ähneln. Mailchimp führt bei seinen Unterauftragsverarbeitern eine angemessene Due-Diligence-Prüfung durch.
Mailchimp implementiert technische und organisatorische Maßnahmen gemäß Abschnitt 4 (Sicherheit) der Datenschutzvereinbarung.
Gültig ab 1. August 2023