Zuletzt aktualisiert am 19. März 2026

Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung (Data Processing Agreement, „DPA”) ist Teil der Rahmendienstleistungsvereinbarung (Master Services Agreement, „MSA”) zwischen ServiceChannel.com, Inc. (nachfolgend „ServiceChannel”) und dem Kunden (wie in der MSA definiert). Der Kunde und ServiceChannel werden jeweils als „Partei” und gemeinsam als die „Parteien” bezeichnet.

PRÄAMBEL

(i) Der Kunde und ServiceChannel haben die Rahmendienstleistungsvereinbarung abgeschlossen, gemäß der ServiceChannel dem Kunden die Dienste bereitstellt.

(ii) ServiceChannel verarbeitet im Rahmen der Bereitstellung der Dienste Kundendaten (die personenbezogene Daten enthalten können);

(iii) Die Parteien möchten nun diese DPA abschließen, die die Verarbeitung der in den Kundendaten enthaltenen personenbezogenen Daten durch ServiceChannel regelt.

DAHER vereinbaren die Parteien Folgendes:

1. Definitionen:

In dieser Verarbeitungsvereinbarung haben die in der MSA definierten Begriffe die gleiche Bedeutung wie in der MSA. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:

(a) „Verwaltungsdaten” bedeutet (i) Kontaktdaten betreffend den Hauptkontoinhaber oder Administrator des Kunden und den Inhalt der mit ihm geführten Korrespondenz; (ii) Supportanfragen, die von den autorisierten Benutzern des Kunden in Bezug auf den Dienst eingereicht werden;

(b) „Verbundene Unternehmen” bedeutet ein Unternehmen, das von ServiceChannel kontrolliert wird, das ServiceChannel kontrolliert oder mit ServiceChannel unter gemeinsamer Kontrolle steht;

(c) „Brasilianische SCCs” bezeichnet die Standardvertragsklauseln, die dem Beschluss Nr. 19/2024 der brasilianischen Datenschutzbehörde („ANPD”) beigefügt sind;

(c) „CCPA” bezeichnet den California Consumer Privacy Act von 2018, Cal Civ. Code § 1798.100 et seq., einschließlich seiner Durchführungsvorschriften und des California Privacy Rights Act von 2020;

(d) „Zweck des für die Verarbeitung Verantwortlichen” bedeutet die Durchführung interner Forschungs- und Entwicklungsarbeiten, um die Funktionalität der Produkte und Dienste von ServiceChannel zu entwickeln, zu testen, zu verbessern und zu verändern; (b) die Erstellung anonymisierter Datensätze für Schulungen oder die Bewertung der Produkte und Dienste von ServiceChannel; (c) die Verwaltung der Beziehung von ServiceChannel mit dem Kunden und seinen Auftragnehmern im Rahmen des MSA;

(e) „Kunde” bezeichnet den Kunden, der die Rahmendienstleistungsvereinbarung unterzeichnet hat;

(f) „Personenbezogene Kundendaten” bezeichnet, abgesehen von Bewertungen und Rezensionen, personenbezogene Daten, die in den Kundendaten enthalten sind, wie in Anlage I zu dieser DPA näher beschrieben;

(g) „Datenschutzgesetze” bedeutet alle geltenden Gesetze, Regeln, Vorschriften und behördlichen Vorgaben in Bezug auf den Datenschutz, die Vertraulichkeit oder die Sicherheit personenbezogener Daten (in der jeweils gültigen Fassung), einschließlich (ohne Einschränkung) der DSGVO, des UK GDPR (DSGVO des Vereinigten Königreichs), des brasilianischen Gesetzes Nr. 13,709/2018 („LGPD”) und der US-amerikanischen Datenschutzgesetze;

(h) „Betroffene Person” bezeichnet: (i) eine natürliche Person, auf die sich personenbezogene Daten beziehen; und (ii) eine Person, die eine „betroffene Person”, ein „Verbraucher” oder eine gleichwertige Bezeichnung gemäß den Datenschutzgesetzen ist;

(i) „EU-SCCS” bedeutet die Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind, in der jeweils geltenden Fassung;

(i) „DSGVO” bedeutet die Verordnung (EU) 2016/679 (die „EU-DSGVO”) oder gegebenenfalls die „UK GDPR” im Sinne von Abschnitt 3(10) und Abschnitt 205 des Datenschutzgesetzes des Vereinigten Königreichs von 2018;

(j) „Personenbezogene Daten” bezeichnet alle Informationen, die: (i) sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, mit ihr verknüpft sind oder angemessen mit ihr verknüpft werden können; oder (ii) anderweitig „personenbezogene Daten”, „persönliche Informationen”, „persönlich identifizierbare Informationen” oder ähnlich definierte Daten oder Informationen gemäß den Datenschutzgesetzen sind;

(k) „Verarbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch geschieht oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Ordnung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Beschränkung, Löschung oder Vernichtung („verarbeiten”, „Verarbeitung” und „verarbeitet” sind entsprechend auszulegen);

(l) „Bewertungen und Rezensionen” hat die in Abschnitt 2.1 vorgesehene Bedeutung;

(m) „Verkauf” oder „verkaufen” hat die Bedeutung, die ihm im CCPA zugewiesen wird;

(n) „Anteil” hat die Bedeutung, die ihm im CCPA gegeben wird;

(o) „Sicherheitsverletzung” bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die personenbezogenen Kundendaten führt;

(p) „Standardvertragsklauseln” bezeichnet (je nach Sachlage) die EU-SCCs, den Nachtrag zum Vereinigten Königreich oder die brasilianischen SCCs;

(q) „Unterauftragsverarbeiter” bezeichnet jeden externen Rechtsträger, der von ServiceChannel (in seiner Eigenschaft als Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten im Namen des Kunden oder mit der Bereitstellung der in der Vereinbarung angegebenen Dienste beauftragt wird;

(r) „UK Addendum” bezeichnet den vom Informationsbeauftragten des Vereinigten Königreichs gemäß S119A (1) des britischen Datenschutzgesetzes 2018 herausgegebenen und dem britischen Parlament am 2. Februar 2022 vorgelegten Musterzusatz Version B.1.0, der gemäß Abschnitt 18 des UK Addendum überarbeitet werden kann;

(s) „US-amerikanische Datenschutzgesetze” bezeichnet alle maßgeblichen Gesetze, Regeln, Vorschriften und behördlichen Anforderungen auf bundes- und einzelstaatlicher Ebene in Bezug auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und/oder Datenschutz, die in den Vereinigten Staaten jeweils in Kraft sind, einschließlich (unter anderem) des CCPA;

(t) „Nutzungsdaten” bezeichnet Diagnose-, Nutzungs- und Leistungsinformationen, die von ServiceChannel in Bezug auf die Nutzung der Dienste durch den Kunden und seine autorisierten Benutzer erhoben werden; und

(u) Die Begriffe „Verantwortlicher”, „Auftragsverarbeiter”, „Geschäft” und „Dienstleister” haben die ihnen in den Datenschutzgesetzen gegebene Bedeutung.

2. Beziehung der Parteien; Einhaltung des Rechts

2.1 Der Kunde:

(a) ernennt ServiceChannel, um die personenbezogenen Kundendaten als seinen Auftragsverarbeiter oder Dienstleister zu verarbeiten;

(b) erkennt an und stimmt zu, dass ServiceChannel:

(i) Verwaltungs- und Nutzungsdaten für die Zwecke des für die Verarbeitung Verantwortlichen verwenden kann und dass es dies für die Zwecke der DSGVO und des LGPD als Verantwortlicher tut.

(ii) Kommentare, Feedback und Bewertungen erhebt und anzeigt, die von den autorisierten Benutzern des Kunden in Bezug auf die vom Kunden beauftragten Auftragnehmer an ServiceChannel übermittelt werden („Bewertungen und Rezensionen”)und dass er dies im Sinne der Datenschutzgesetze als Verantwortlicher oder Unternehmen tut.

2.2 Jede Partei muss die für sie geltenden Verpflichtungen erfüllen und das gleiche Maß an Datenschutz bieten, wie es die Datenschutzgesetze verlangen.

2.3 Der Kunde stellt sicher, dass seine Anweisungen zur Verarbeitung personenbezogener Kundendaten den Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und für die Mittel, mit denen der Kunde die personenbezogenen Kundendaten einholt.

2.4 ServiceChannel benachrichtigt den Kunden unverzüglich, wenn ServiceChannel feststellt, dass es seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann.

2.5 Der Kunde kann vernünftige und angemessene Schritte unternehmen, um:

(a) sicherzustellen, dass ServiceChannel personenbezogene Kundendaten in einer Weise verwendet, die den Verpflichtungen des Kunden gemäß den Datenschutzgesetzen entspricht; und

(b) nach angemessener Vorankündigung die unbefugte Verwendung personenbezogener Kundendaten zu stoppen und zu beheben.

3. Verarbeitung personenbezogener Kundendaten

3.1 ServiceChannel verarbeitet personenbezogene Kundendaten nur im Auftrag und in Übereinstimmung mit der MSA, dieser DPA und (außer einer Verarbeitung für die Zwecke des für die Verantwortung Verantwortlichen) den dokumentierten Anweisungen des Kunden. Der Kunde weist ServiceChannel an, personenbezogene Kundendaten für die folgenden Zwecke zu verarbeiten: (i) Verarbeitung in Übereinstimmung mit der MSA und allen anwendbaren Aufträgen; und (ii) Verarbeitung zur Einhaltung sonstiger angemessener Anweisungen des Kunden, soweit diese Anweisungen mit den Bedingungen der MSA übereinstimmen. ServiceChannel wird den Kunden unverzüglich informieren, wenn er diese Anweisungen nicht befolgen kann oder wenn nach seiner Meinung eine Anweisung des Kunden gegen Datenschutzgesetze verstößt.

3.2 ServiceChannel darf das Folgende nicht:

(a) personenbezogene Kundendaten verkaufen oder weitergeben;

(b) personenbezogene Kundendaten für andere Zwecke als für den spezifischen Geschäftszweck der Erbringung der in der MSA angegebenen Dienste, oder wie anderweitig durch Datenschutzgesetze gestattet, aufbewahren, verwenden oder offenlegen;

(c) personenbezogene Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder offenlegen; und

(d) die personenbezogenen Kundendaten mit personenbezogenen Daten kombinieren, die er von oder im Namen einer anderen Person oder Personen erhält oder aus seiner eigenen Interaktion mit der betroffenen Person erhebt, es sei denn, dies ist ausdrücklich durch Datenschutzgesetze gestattet und wird in Übereinstimmung mit diesen durchgeführt.

3.3 Der Kunde garantiert und verpflichtet sich, dass die personenbezogenen Kundendaten keine der folgenden Angaben enthalten:

(a) personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, strafrechtliche Verurteilungen und andere besondere Kategorien personenbezogener Daten gemäß Artikel 9 oder 10 der DSGVO hervorgehen, oder personenbezogene Daten, die gemäß den geltenden Datenschutzgesetzen anderweitig als sensible personenbezogene Daten gelten;

(b) biometrische Kennungen oder Vorlagen;

(c) Finanzinformationen (insbesondere Rechnungsinformationen und Karteninhaber- oder sensible Authentifizierungsdaten, wie diese Begriffe im Datensicherheitsstandard der Zahlungskartenbranche definiert sind);

(d) persönlich identifizierbare Finanzinformationen, wie durch den Gramm-Leach-Bliley Financial Modernization Act von 1999 definiert und diesem unterliegend;

(e) nationale Identifikationsnummern (einschließlich u. a. Sozialversicherungs-, Führerschein- oder Reisepass- oder andere von der Regierung ausgestellte Identifikationsnummern);

(f) Informationen, die sich auf Personen unter 13 Jahren beziehen;

(g) Bildungsunterlagen, wie im Family Educational Rights and Privacy Act von 1974 definiert;

(h) geschützte Gesundheitsdaten im Sinne und vorbehaltlich des Health Insurance Portability and Accountability Act.

4. Vertraulichkeit der Verarbeitung/ServiceChannel-Personal

4.1 ServiceChannel stellt sicher, dass jede Person, die es zur Verarbeitung der personenbezogenen Kundendaten autorisiert (eine „autorisierte Person”) die personenbezogenen Kundendaten gemäß den Vertraulichkeitsverpflichtungen von ServiceChannel im Rahmen dieser Vereinbarung schützt.

4.2 ServiceChannel stellt sicher, dass sein Personal, das an der Verarbeitung personenbezogener Kundendaten mitwirkt, über den vertraulichen Charakter der personenbezogenen Kundendaten informiert wird und Vertraulichkeitspflichten unterliegt.

4.3 ServiceChannel stellt sicher, dass der Zugriff auf personenbezogene Kundendaten auf das Personal beschränkt ist, das diesen Zugriff benötigt, um die Dienste bereitzustellen.

5. Sicherheit/Handhabung von und Benachrichtigung über Verletzungen

5.1 ServiceChannel setzt wie in Anlage II dargelegt angemessene technische und organisatorische Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Kundendaten um.

5.2 Wenn ServiceChannel von einer Sicherheitsverletzung Kenntnis erlangt, wird ServiceChannel unverzüglich: (i) den Kunden innerhalb der in den geltenden Datenschutzgesetzen vorgesehenen Fristen über die Sicherheitsverletzung informieren; (ii) die Sicherheitsverletzung untersuchen und dem Kunden Informationen darüber zur Verfügung stellen und (iii) angemessene Schritte ergreifen, um die Auswirkungen und Schäden zu verringern, die sich aus der Sicherheitsverletzung ergeben.

5.3 ServiceChannel unterstützt den Kunden auf dessen Wunsch in angemessener Weise bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf eine Sicherheitsverletzung, die dem Kunden von ServiceChannel gemeldet wurde.

5.4 ServiceChannel ist nicht verpflichtet, den Kunden über fehlgeschlagene Versuche zu benachrichtigen, unbefugten Zugriff auf personenbezogene Kundendaten oder zu den Geräten oder Einrichtungen von ServiceChannel zu verschaffen, in denen personenbezogene Daten des Kunden gespeichert sind, einschließlich u. a. Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe oder ähnliche Vorfälle.

5.5 Benachrichtigungen über Sicherheitsverletzungen werden ggf. einem oder mehreren geschäftlichen, technischen oder administrativen Kontakten des Kunden auf eine beliebige, von ServiceChannel festgelegte Weise zugestellt, einschließlich per E-Mail. Es liegt in der alleinigen Verantwortung des Kunden, dafür zu sorgen, dass in den Supportsystemen von ServiceChannel jederzeit korrekte Kontaktdaten bereitstehen.

5.6 Die Benachrichtigung von ServiceChannel über eine Sicherheitsverletzung oder die Reaktion auf eine Sicherheitsverletzung gemäß diesem Abschnitt 5 ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von ServiceChannel in Bezug auf die Sicherheitsverletzung auszulegen.

6. Unterverarbeitung

6.1 Der Kunde erkennt an und erklärt sich damit einverstanden, dass (i) ServiceChannel verbundene Unternehmen als seine Unterauftragsverarbeiter ernennen kann und (ii) ServiceChannel im Zusammenhang mit der Erbringung der Dienste Unterauftragsverarbeiter von Dritten einsetzen kann. Solche Unterauftragsverarbeiter dürfen personenbezogene Kundendaten ausschließlich zur Bereitstellung der Dienste in Empfang nehmen, zu deren Bereitstellung ServiceChannel sie beauftragt hat, und diese nicht für andere Zwecke nutzen. ServiceChannel schließt eine schriftliche Vereinbarung ab, die diesem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegt, die im Wesentlichen denen entsprechen, die ServiceChannel durch diese Vereinbarung auferlegt werden. ServiceChannel bleibt dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit ServiceChannel in vollem Umfang verantwortlich.

6.2 ServiceChannel kann die Unterauftragsverarbeiter, die zum Zeitpunkt dieser Vereinbarung bereits von ServiceChannel oder einem verbundenen Unternehmen von ServiceChannel beauftragt wurden und unter https://bit.ly/SC_Subprocessors aufgeführt sind, weiterhin nutzen.

6.3 ServiceChannel informiert den Kunden im Voraus schriftlich über die Benennung eines neuen Unterauftragsverarbeiters, einschließlich unter Angabe von Einzelheiten der vom Unterauftragsverarbeiter durchzuführenden Verarbeitung. Wenn der Kunde ServiceChannel innerhalb von 10 Tagen nach Erhalt dieser Mitteilung schriftlich über (angemessene) Einwände gegen die geplante Benennung informiert, darf ServiceChannel diesen geplanten Unterauftragsverarbeiter erst benennen, wenn angemessene Schritte ergriffen wurden, um die vom Kunden vorgebrachten Bedenken zu klären, und dem Kunden eine angemessene schriftliche Erklärung zu den ergriffenen Schritten übermittelt wurde. Der Kunde erkennt an, dass in einigen Fällen möglicherweise nicht alle Dienstleistungen ohne den Einsatz des neuen Unterauftragsverarbeiters erbracht werden können.

7. Eingeschränkte Übermittlung

7.1 Die Parteien vereinbaren, dass die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel, wenn sie als eingeschränkte Übermittlung gilt, den entsprechenden Standardvertragsklauseln wie folgt unterliegt:

(a) in Bezug auf personenbezogene Kundendaten, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:

(i) es gilt Modul zwei;

(ii) in der Klausel 7 gilt die optionale Kopplungsklausel;

(iii) in der Klausel 9 gilt Option 2; die Frist für die vorherige Benachrichtigung über Änderungen des Unterauftragsverarbeiters ist in Klausel 6.3 dieser Vereinbarung festgelegt;

(iv) in der Klausel 11 gilt die optionale Formulierung nicht;

(v) in der Klausel 17 gilt die Option 1; die EU-Standardvertragsklauseln unterliegen irischem Recht;

(vi) Streitigkeiten werden gemäß Klausel 18(b) von den Gerichten Irlands beigelegt;

(vii) die Anlage I der EU-Standardvertragsklauseln gilt als mit den in Anlage I dieser Vereinbarung enthaltenen Informationen ausgefüllt;

(viii) die Anlage II der EU-Standardvertragsklauseln gilt als mit den in Anlage II dieser Vereinbarung enthaltenen Informationen ausgefüllt; und

(b) in Bezug auf personenbezogene Kundendaten, die durch die UK GDPR geschützt sind, gilt der Nachtrag zum Vereinigten Königreich wie folgt als ausgefüllt:

(i) Die EU-SCCs, die wie oben in Klausel 7.1(a) dieser Vereinbarung dargelegt ausgefüllt werden, gelten vorbehaltlich Unterklausel (ii) unten auch für die Übermittlung solcher personenbezogenen Kundendaten;

(ii) für die Tabellen 1 bis 3 des Nachtrags zum Vereinigten Königreich gilt, wie oben dargelegt, dass sie mit den relevanten Informationen aus den EU-Standardvertragsklauseln ausgefüllt werden; die Option „keine der Parteien” (neither party) in Tabelle 4 gilt als angekreuzt. Das Startdatum des Nachtrags zum Vereinigten Königreich (wie in Tabelle 1 dargelegt) ist das Datum dieser Vereinbarung; und

(c) in Bezug auf die personenbezogenen Daten des Kunden, die durch das brasilianische LGPD geschützt werden, finden die brasilianischen SCCs wie in Anhang I erläutert als internationaler Datenübermittlungsmechanismus Anwendung, der für alle Fälle maßgeblich ist, in denen das Zielland kein Schutzniveau aufweist, das angemessen oder mit dem im LGPD vorgesehenen vergleichbar ist.

(d) Für den Fall, dass eine Bestimmung dieser Vereinbarung den Standardvertragsklauseln direkt oder indirekt widerspricht, haben die Standardvertragsklauseln Vorrang.

7.2 Für den Fall, dass der aktuelle Nachtrag zum Vereinigten Königreich oder die EU-Standardvertragsklauseln aufgehoben oder durch neue Standardvertragsklauseln ersetzt werden, vereinbaren die Parteien, dass diese neuen Standardvertragsklauseln automatisch auch für die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel gelten und wie in Klausel 7.1 oben beschrieben als entsprechend ausgefüllt gelten.

8. Zusammenarbeit und Rechte betroffener Personen

8.1 ServiceChannel wird den Kunden, soweit gesetzlich zulässig und vorgeschrieben, unverzüglich benachrichtigen, wenn es von einer betroffenen Person eine Anfrage zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen erhält. ServiceChannel darf ohne die vorherige schriftliche Genehmigung des Kunden nicht auf eine solche Anfrage einer betroffenen Person reagieren, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht.

8.2 Soweit der Kunde im Rahmen der Nutzung oder des Erhalts der Dienste nicht in der Lage ist, personenbezogene Kundendaten abzufragen, zu korrigieren, einzuschränken, zu sperren oder zu löschen, wie es die Datenschutzgesetze verlangen, unternimmt ServiceChannel, soweit es gesetzlich dazu berechtigt ist, wirtschaftlich angemessene Anstrengungen, um angemessenen Anfragen des Kunden bzgl. der Ergreifung solcher Maßnahmen nachzukommen.

8.3 ServiceChannel unterstützt den Kunden (auf Kosten des Kunden) in Verbindung mit Datenschutz-Folgenabschätzungen, die gemäß den Datenschutzgesetzen evtl. erforderlich sind, in angemessener Weise.

9. Kündigung; Löschung oder Rückgabe von Daten

9.1 Diese Vereinbarung endet automatisch mit der Löschung oder Anonymisierung aller personenbezogenen Kundendaten durch ServiceChannel.

9.2 Bei Kündigung oder Ablauf der MSA wird ServiceChannel

(a) auf Aufforderung des Kunden innerhalb von dreißig (30) Tagen nach Ablauf der MSA (der „Aufbewahrungsfrist”) nach Wahl von ServiceChannel eine Kopie aller personenbezogenen Kundendaten in einem vom Kunden angeforderten gängigen Format zur Verfügung stellen oder eine Self-Service-Funktion bereitstellen, die es dem Kunden ermöglicht, diese personenbezogenen Kundendaten herunterzuladen;

(b) nach Ablauf der Aufbewahrungsfrist alle Kopien der personenbezogenen Kundendaten, die von ServiceChannel oder einem seiner Unterauftragsverarbeiter verarbeitet werden, löschen, ausgenommen:

(i) alle Verwaltungs- oder Nutzungsdaten, die für die Zwecke des Verantwortlichen verarbeitet werden, oder alle personenbezogenen Kundendaten, die ServiceChannel nach geltendem Recht aufbewahren muss; oder

(ii) personenbezogene Kundendaten auf Backup-Systemen archivieren, die ServiceChannel sicher isoliert und vor jeder weiteren Verarbeitung schützt, außer in dem Umfang, der nach diesem Gesetz erforderlich ist, bis eine Löschung möglich ist.

10. Audit

10.1 Der Kunde kann, soweit ServiceChannel als Auftragsverarbeiter fungiert, die Einhaltung dieser DPA durch ServiceChannel überprüfen. Die Parteien vereinbaren, dass alle der folgenden Audits durchgeführt werden:

(a) nicht mehr als einmal jährlich, es sei denn, es sind häufigere Audits erforderlich, um die Datenschutzgesetze einzuhalten, oder sie werden von einer Aufsichtsbehörde verlangt, die für die Verarbeitung personenbezogener Kundendaten zuständig ist;

(b) nach schriftlicher Mitteilung an ServiceChannel unter Wahrung einer Frist von zwei Wochen;

(c) nur während der normalen Geschäftszeiten von ServiceChannel; und

(d) in einer Weise, die das Geschäft oder den Betrieb von ServiceChannel nicht wesentlich stört.

10.2 In Bezug auf alle Audits, die gemäß Abschnitt 10.1 durchgeführt werden:

(a) der Kunde kann einen externen Prüfer mit der Durchführung des Audits in seinem Namen beauftragen, mit der Ausnahme, dass ServiceChannel der Beauftragung des externen Prüfers vernünftigerweise widersprechen kann, wenn dieser externe Prüfer ein Wettbewerber von ServiceChannel ist;

(b) ServiceChannel ist nicht verpflichtet, ein Audit zu erleichtern oder zu unterstützen, es sei denn, die Parteien haben schriftlich den Umfang und den Zeitpunkt einer solchen Prüfung und die Erstattungssätze gemäß Abschnitt 10.3 vereinbart.

10.3. Der Kunde entschädigt ServiceChannel für die für einem solchen Audit aufgewendete Zeit zu den von den Parteien vereinbarten Sätzen. Vor Beginn eines solchen Audits vereinbaren der Kunde und ServiceChannel gemeinsam den Umfang, den Zeitpunkt und die Dauer des Audits, ebenso wie den Entschädigungssatz, der vom Kunden zu zahlen ist. Der Entschädigungssatz muss unter Berücksichtigung der von ServiceChannel aufgewendeten Ressourcen angemessen sein. Der Kunde muss ServiceChannel unverzüglich über alle im Rahmen eines Audits entdeckten Verstöße informieren.

10.4 Der Kunde erkennt an, dass ServiceChannel regelmäßig von unabhängigen externen Auditoren auf Befolgung des SSAE 18 SOC 1-Standards geprüft wird. ServiceChannel stellt dem Kunden auf Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung oder kann dem Kunden als Antwort auf eine Audit-Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung stellen, der den Vertraulichkeitsbestimmungen des MSA unterliegt. Wenn ein vom Kunden angefordertes Audit in dem von ServiceChannel zur Verfügung gestellten Auditbericht behandelt wird, erklärt sich der Kunden damit einverstanden, diesen Bericht anstelle der Durchführung einer physischen Prüfung der in dem betreffenden Bericht behandelten Kontrollen zu akzeptieren.

11. Haftungsbeschränkung

Diese DPA unterliegt den Haftungsbeschränkungen und Haftungsausschlüssen gemäß der MSA.

12. Parteien dieser Vereinbarung

Abgesehen von den in den Standardvertragsklauseln festgelegten Bestimmungen gewährt diese DPA keiner anderen Person oder Einrichtung als den Parteien dieser DPA irgendwelche Vorteile oder Rechte.

13. Rechtliche Wirkung

Diese DPA ergänzt und ist Teil der MSA.

14. Allgemeines

14.1 Abgesehen von den in diese DPA aufgenommenen Standardvertragsklauseln unterliegt diese DPA in jeder Hinsicht dem geltenden Recht und den Gerichtsstandsbestimmungen im MSA und wird in jeder Hinsicht entsprechend ausgelegt, mit der Maßgabe, dass im Falle eines Widerspruchs zwischen dem MSA und dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten diese DPA Vorrang hat.

14.2 Diese Vereinbarung kann in einer beliebigen Anzahl von Ausfertigungen unterzeichnet werden, von denen jede als Original gilt und die alle zusammen die gleiche Vereinbarung zwischen den Parteien darstellen.

14.3 Abgesehen von den in dieser DPA festgelegten Ausnahmen bleibt die MSA uneingeschränkt in Kraft.

 

 ANLAGE I

A. LISTE DER PARTEIEN

	Name	Adresse	Name, Position und Kontaktdaten der Kontaktperson	Aktivitäten, die für die übermittelten Daten relevant sind	Rolle
Datenexporteur	Kunde (wie in der MSA angegeben)	Wie in der MSA identifiziert	Wie in der MSA identifiziert	Erhalt der Dienste	Verantwortlicher
Datenimporteur	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615	Brian Chase, General Counsel (Chefsyndikus), [email protected]	Erbringung der Dienste	Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERMITTLUNG

Betroffene Personen	Kategorien personenbezogener Daten	Sensible personenbezogene Daten	Häufigkeit der Übermittlung	Art und Zweck der Verarbeitung
Autorisierte Benutzer des Kunden	Name, E-Mail-Adresse, Geschäftsadresse, Zugangsdaten.	Keine	Kontinuierlich	Gewährung des Zugriffs auf die Dienste für autorisierte Benutzer des Kunden.
Autorisierte Benutzer des Kunden	Name, E-Mail-Adresse, Telefonnummer, Geschäftsadresse.	Keine	Kontinuierlich	Erleichterung des Kontakts zwischen dem autorisierten Benutzer des Kunden und Personen, die vom Kunden über die Dienste beauftragt wurden („Auftragnehmer”)
Autorisierte Benutzer des Kunden Personal des Auftragnehmers	Über die Dienste angeforderte Gebäudemanagementdienste, Datum und Uhrzeit der Anfrage.	Keine	Kontinuierlich	Einreichung von Serviceanfragen für das Gebäudemanagement an Auftragnehmer.
Autorisierte Benutzer des Kunden Personal des Auftragnehmers	Name, erbrachte Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste.	Keine	Kontinuierlich	Führung von Aufzeichnungen über die vom Kunden bestellten und abgeschlossenen Gebäudemanagement-Dienste.
Personal des Auftragnehmers	Name und Kontaktdaten (Telefonnummer und E-Mail-Adresse), die von autorisierten Benutzern des Kunden übermittelt wurden.	Keine	Kontinuierlich	Erleichterung des Kontakts zwischen dem autorisierten Benutzer des Kunden und seinen Hauptkontakten bei Auftragnehmern.
Autorisierte Benutzer des Kunden	Supportanfragen	Keine	Kontinuierlich	Bereitstellung von technischem Support.
Autorisierte Benutzer des Kunden	Protokolldaten	Keine	Kontinuierlich	Bereitstellung des Zugriffs auf die Dienste.

Aufbewahrung

Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung von Diensten im Rahmen der MSA.

Unterauftragsverarbeiter

Wie unter https://bit.ly/SC_Subprocessors beschrieben

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Irischer Datenschutzbeauftragter

ANLAGE II

Sicherheitsmaßnahmen

ServiceChannel bleibt für die folgenden wirtschaftlich angemessenen Übermittlungssicherheitsmaßnahmen jederzeit verantwortlich und haftbar:

ÜBERMITTLUNGSSICHERHEITSMASSNAHMEN	MASSNAHMEN, DIE UMGESETZT WERDEN
Pseudonymisierung und Verschlüsselung personenbezogener Daten	Pseudonymisierung ·    Zeichenausblendung ·    Austausch ·    K-Anonymität Verschlüsselung ·    HTTPS-Verschlüsselung von Daten während der Übermittlung (mit TLS 1.2 oder höher) auf jeder Anmeldeschnittstelle unter Verwendung von Algorithmen und Zertifikaten nach Branchenstandard ·    Verschlüsselung von Daten im Ruhezustand unter Verwendung des AES 256-Algorithmus nach Branchenstandard
Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten	Vertraulichkeit ·    Virtuelles privates Netzwerk (VPN) ·    Multi-Faktor-Authentifizierung (MFA) ·    Differenziertes Rechtesystem basierend auf Sicherheitsgruppierungen und Zugriffskontrolllisten ·    Sichere Übermittlung von Anmeldedaten mit TLS 1.2 (oder höher) ·    Definierte Mindestanforderungen an die Komplexität von Passwörtern. Zwingende Änderung des Passworts nach erster Anmeldung. ·    Automatische Kontosperre ·    Richtlinien für den Umgang mit Passwörtern ·    Zugriffskontrollen für Infrastruktur, die vom Cloud-Dienstanbieter gehostet wird. ·    Zugriffsberechtigungsmanagement inkl. Berechtigungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-know”-Prinzips, Verwaltung individueller Zugriffsrechte ·    Schulungs- und Vertraulichkeitsvereinbarungen für internes und externes Personal ·    Netzwerktrennung ·    Trennung von Verantwortlichkeiten und Pflichten ·    Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know”-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Integrität ·    Sichere Netzwerkverbindungen durch Firewalls usw. ·    Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten ·    Protokollierung der Authentifizierung und Überwachung des logischen Systemzugriffs ·    Protokollierung des Zugriffs auf personenbezogene Daten, einschließlich u. a. Zugriff, Änderung, Eingabe und Löschung von personenbezogenen Daten ·    Dokumentation der Rechte für die Eingabe personenbezogener Daten und Protokollierung sicherheitsrelevanter Eingaben ·    Webanwendungsfirewall (Web Application Firewall, WAF) Verfügbarkeit und Belastbarkeit ·    Back-up von personenbezogenen Kundendaten in mehreren langlebigen Datenspeichern und Replikation über mehrere Verfügbarkeitszonen hinweg ·    Schutz gespeicherter Back-up-Medien
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen	·    Kontinuitätsplanung und Notfallwiederherstellungsplan ·    Notfallwiederherstellungsprozesse zur Wiederherstellung von Daten und Abläufen ·    Maximale Wiederherstellungszeit (Recovery Time Objective, RTO) ·    Maximal tolerierbarer Datenverlust (Recovery Point Objective, RPO) ·    Maximal tolerierbare Ausfallzeit (Maximum Tolerable Downtime, MTD) ·    Kapazitätsmanagementmaßnahmen zur Überwachung des Ressourcenverbrauchs von Systemen sowie Planung zukünftiger Ressourcenanforderungen ·    Verfahren zur Handhabung und Meldung von Vorfällen (Vorfallsmanagement), einschließlich der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle ·    Back-up produktiver Daten stündlich in inkrementeller Form und täglich als vollständiges Back-up. Aufbewahrung aller Back-ups in redundanter und verschlüsselter Form (AES-256).
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung	·    Prüfung der Notfallausrüstung ·    Dokumentation von Schnittstellen und Feldern für personenbezogene Daten ·    Interne und externe Audits ·    Sicherheitskontrollen (z. B. Penetrationstests) durch externe Parteien ·    SOC 1- und 2-Audits ·    Regelmäßiges Benchmarking und Tests mit Branchenstandards, z. B. SANS Top 20 Controls for Internet Security, NIST-Leitlinien usw.
Maßnahmen zur Benutzeridentifizierung und -berechtigung	·    Sichere Netzwerkverbindungen durch VPN, MFA, Firewalls usw. ·    Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten. ·    Protokollierung der Authentifizierung und Überwachung des Systemzugriffs ·    Der Zugriff auf Daten, die zur Erfüllung der jeweiligen Aufgabe notwendig sind, wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept nach dem „Need-to-know”-Prinzip sichergestellt. ·    Webanwendungsfirewall (Web Application Firewall, WAF)
Maßnahmen zum Schutz personenbezogener Daten während der Übermittlung	·    Remote-Zugriff auf das Netzwerk über VPN-Tunnel und End-to-End-Verschlüsselung ·    HTTPS-Verschlüsselung der Daten während der Übermittlung (mit TLS 1.2 oder höher)
Maßnahmen zum Schutz personenbezogener Daten während der Speicherung	·    Aufzeichnung von Systemeingaben über Protokolldateien ·    Zugriffskontrolllisten (Access Control Lists, ACL) ·    Multi-Faktor-Authentifizierung (MFA)
Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden	·    Unterteilung der Einrichtung in einzelne Zonen mit unterschiedlichen Zutrittsberechtigungen ·    Physischer Zugangsschutz (z. B. Stahltüren, fensterlose Räume oder gesicherte Fenster) ·    Elektronisches Zugriffskontrollsystem zum Schutz von Sicherheitsbereichen ·    Überwachung der Einrichtung durch Sicherheitsdienste und Protokollierung des Zugangs zur Einrichtung ·    Videoüberwachung aller sicherheitsrelevanten Bereiche wie der Eingänge, Notausgänge und Serverräume ·    Zentrale Vergabe und Widerruf von Zugriffsberechtigungen ·    Identifizierung aller Besucher durch Überprüfung ihres Personalausweises und ihrer Registrierung (Besucherprotokoll) ·    Obligatorische Identifizierung aller Mitarbeiter und Besucher innerhalb der Sicherheitsbereiche ·    Zwingende Begleitung von Besuchern durch Mitarbeiter
Maßnahmen zur Gewährleistung der Ereignisprotokollierung	·    Protokollierung per Fernzugriff ·    Hash-Ketten ·    Replikation ·    Zentrales System für Sicherheitsereignisse und Informationsmanagement (Security Event and Information Management, SIEM)
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich Standardkonfiguration	·    Richtlinien und Verfahren zur Zugriffskontrolle ·    Identifizierung der Baseline-Konfiguration ·    Konfigurationsplanung und -verwaltung ·    Verwaltung von Konfigurationsänderungen ·    Protokollierung des Konfigurationsstatus ·    Konfigurationsverifizierung und Audits ·    Verwaltung mobiler Geräte
Maßnahmen zur internen IT-Sicherheitssteuerung und -verwaltung	·    Definition einer Person, die speziell für die Überwachung des Datensicherheits- und Compliance-Programms des Unternehmens verantwortlich ist. ·    SOC 1- und 2-Audits
Maßnahmen zur Zertifizierung/Garantie von Prozessen und Produkten	·    Zertifizierungen bzgl. Datensicherheit oder Qualitätsmanagement wie SSAE 18 Typ 2 SOC 1 und SSAE 18 Typ 2 SOC2
Maßnahmen zur Gewährleistung der Minimierung personenbezogener Daten	·    Technologische Hindernisse für die unbefugte Verknüpfung unabhängiger Quellen personenbezogener Daten. ·    Beschränkung des Detailgrads, der bei der Verarbeitung personenbezogener Daten verwendet wird, z. B. durch Methoden wie K-Anonymität und Verschleierung. ·    Löschung von Metadaten, die während bestimmter Prozesse generiert werden, die für das verfolgte Ziel nicht erforderlich sind.
Maßnahmen zur Gewährleistung der Qualität personenbezogener Daten	·    Verfahren zur Ausübung von Datenschutzrechten (Recht auf Änderung und Aktualisierung von Daten) ·    Klare Dokumentation der Anforderungen für alle Bedingungen und Szenarien bezüglich personenbezogener Daten ·    Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know”-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Strenge Datenprofilierung und Kontrolle eingehender personenbezogener Daten ·    Datenpipeline-Design zur Vermeidung doppelter personenbezogener Daten ·    Qualitätssicherungsteam ·    Durchsetzung der Datenintegrität
Maßnahmen zur Gewährleistung einer begrenzten Aufbewahrung personenbezogener Daten	·    Klare Aufbewahrungspläne und -richtlinien ·    Prüfung der Wirksamkeit
Maßnahmen zur Gewährleistung der Verantwortlichkeit	·    Zuweisung von Verantwortlichkeiten zur Gewährleistung des Datenschutzes der Endbenutzer während des gesamten Produktlebenszyklus und über anwendbare Geschäftsprozesse hinweg ·    Datenschutz-Folgenabschätzungen als integraler Bestandteil jeder neuen Verarbeitung ·    Dokumentation aller Entscheidungen, die innerhalb des Unternehmens aus der Perspektive des „Datenschutz-Designs” getroffen werden.
Maßnahmen zur Ermöglichung der Übertragbarkeit personenbezogener Daten und Gewährleistung der Löschung	·    Dokumentation von Prozessen im Zusammenhang mit der Ausübung von Datenschutzrechten durch die Benutzer (z. B. Recht auf Löschung oder Recht auf Datenübertragbarkeit) ·    Verwendung offener Formate wie CSV, XML oder JSON
Anwendung von Beschränkungen oder Schutzmaßnahmen für sensible Daten (falls zutreffend)	·    Verschlüsselung oder Hashing von Daten besonderer Kategorien als Norm, obwohl dies gesetzlich nicht ausdrücklich vorgeschrieben ist.

EXHIBIT I – STANDARD CONTRACTUAL CLAUSES

(Die in diesem Anhang enthaltenen Standardvertragsklauseln entsprechen den Vorgaben der ANPD gemäß Resolution Nr. 19/2024 und können daher von den Parteien weder angepasst noch geändert oder neu verhandelt werden. ServiceChannel stellt die Standardvertragsklauseln ausschließlich in den von der ANPD veröffentlichten offiziellen Fassungen bereit – d. h. im portugiesischen Originaltext und in der von der ANPD herausgegebenen englischen Übersetzung. Branchenüblich bieten wir einen Link zur offiziellen portugiesischen Fassung an und verwenden ausschließlich die englische Übersetzung der ANPD. Wir übersetzen die Standardvertragsklauseln nicht in weitere Sprachen, um deren rechtliche Bedeutung und den von der ANPD festgelegten gesetzgeberischen Willen zu wahren.)

SECTION I – GENERAL INFORMATION

CLAUSE 1. PARTIES’ IDENTIFICATION

1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.

CLAUSE 2. SUBJECT

2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.

CLAUSE 3. SUBSEQUENT TRANSFERS

3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.

CLAUSE 4. PARTIES’ RESPONSIBILITIES

4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:

a) Party responsible for publishing the document referenced in CLAUSE 4;

(X) Exporter ( ) Importer

b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:

(X) Exporter ( ) Importer

c) Party responsible for communicating a security incident as described in CLAUSE 16:

(X) Exporter ( ) Importer

4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:

a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;

b) for the compliance with all ANPD requirements; and

c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.

4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.

4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.

4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.

4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.

4.7. If a request is received from a Data Subject, the applicable Party shall:

a) respond to the request, when it possesses the information needed to do so;

b) inform the Data Subject of the service channel provided by the Third-Party Controller; or

c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.

4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 5. Purpose

5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 6. Definitions

6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a) Processing agents: the controller and the processor;

b) ANPD: National Data Protection Authority;

c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;

d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f) Personal Data: information related to an identified or identifiable natural person;

g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

I) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l) Arbitration Law: Law No. 9,307, of September 23, 1996;

m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q) Parties: Exporter and Importer;

r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);

u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 7. Applicable legislation and ANPD supervision

7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 8. Interpretation

8.1. Any application of these Clauses shall occur in accordance with the following terms:

a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.

CLAUSE 9. Docking Clause

9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 10. General obligations of the Parties

10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f) not to process Personal Data for abusive or unlawful discriminatory purposes;

g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 11. Sensitive personal data

11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.

CLAUSE 12. Personal data of children and adolescents

12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 13. Legal use of data

13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 14. Transparency

14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a) the form, duration and specific purpose of the international transfer;

b) the destination country of the transferred data;

c) the Designated Party’s identification and contact details;

d) the shared use of data by the Parties and its purpose;

e) the responsibilities of the agents who shall conduct the processing;

e) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.

14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 15. Rights of the data subject

15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a) confirmation of the existence of processing;

b) access to data;

c) correction of incomplete, inaccurate or outdated data;

d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;

g) information on public and private entities with which the Parties have shared data;

h) information on the possibility of denying consent and on the consequences of the denial;

i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k) information on the criteria and procedures adopted for the automated decision.

15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3. is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 16. Security Incident Reporting

16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

16.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 17. Liability and compensation for damages

17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 18. Safeguards for Onward Transfers

18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.

18.2. In any case, the Importer:

a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;

b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.

CLAUSE 19. Access Request Notification

19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 20. Termination of processing and erasure of data

20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a) compliance with a legal or regulatory obligation by the Controller;

b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

20.2. For the purposes of this Clause, processing of personal data shall cease when:

a) the purpose set forth in these Clauses has been achieved;

b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c) at the termination of the treatment period;

d) Data Subject’s request is met; and

e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 21. Data processing security

21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents. 

21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 22. Legislation of country of destination

22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 23. Non-compliance with the Clauses by the Importer

23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a) suspend the International Data Transfer;

b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c) terminate the contract.

CLAUSE 24. Choice of forum and jurisdiction

24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

SECTION III – Security Measures

The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.

 English    Deutsch    Español    Français (France)    中文(简体)    Slovenščina    Italiano    Magyar