Calendly LLC

DSGVO-Datenverarbeitungsaddendum

Gültig ab 25. Mai 2018

Dieses DSGVO-Datenverarbeitungsaddendum, inklusive der Standardvertragsklauseln, auf die hierin verwiesen wird ("DPA"), ist datiert, verbessert und ergänzt jede bestehende und aktuell gültige Servicevereinbarung (die "Vereinbarung"), die entweder zuvor oder aktuell zwischen Ihnen (gemeinsam mit Tochterunternehmen und verbundenen Unternehmen, kollektiv bezeichnet als "Kunde") und Calendly LLC (gemeinsam mit Tochterunternehmen und verbundenen Unternehmen, kollektiv "Verarbeiter") getroffen wurde, und stellt andere Bedingungen auf, die auf das Ausmaß zutreffen, in dem Informationen, die Sie dem Verarbeiter gemäß der Vereinbarung zur Verfügung stellen, Persönliche Daten (wie unten definiert) enthalten.

Definierte Begriffe

Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, wie "Verletzung des Schutzes persönlicher Daten", "Verarbeitung", "Controller", "Verarbeiter" und "Datensubjekt", haben die gleiche Bedeutung wie in Artikel 4 der DSGVO. Zusätzlich werden folgende Definitionen im Addendum verwendet:

  1. "EU Datenschutzgesetze" umfassen alle Gesetze und Bestimmungen der Europäischen Union, des Europäischen Wirtschaftsraumes, ihrer Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, im Bezug auf die Verarbeitung Persönlicher Daten unter der Vereinbarung, einschließlich (wo geltend) der DSGVO.
  2. "DSGVO" bedeutet Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats des 27. April 2016 bezüglich des Schutzes natürlicher Personen hinsichtlich der Verarbeitung persönlicher Daten und des freien Verkehrs solcher Daten).
  3. "Persönliche Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare, natürliche Person im Europäischen Wirtschaftsraum, der Schweiz und dem Vereinigten Königreich beziehen. Eine identifizierbare natürliche Person ist eine natürliche Person, die direkt oder indirekt insbesondere durch Verweis auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, einen Onlineidentifikator, oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität jener natürlichen Person charakteristisch sind, identifiziert werden kann.
  4. "Standardvertragsklauseln" bezeichnet die Modellklauseln für die Übermittlung persönlicher Daten an Verarbeiter in Drittländern wie von der Europäischen Kommission genehmigt. Die genehmigte Version davon ist in der Entscheidung 2010/87/EU der Europäischen Kommission vom 5. Februar 2010 festgesetzt worden und auf http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 einzusehen, und jene Klauseln werden hiermit durch diese Bezugnahme auf selbige zum Bestandteil dieser Ausführung.

Datum des Inkrafttretens

Dieses DPA gilt entweder ab (a) dem Beginn der Durchsetzung der DSGVO oder (b) dem Datum, an dem der Verarbeiter mit der Verarbeitung Persönlicher Daten im Auftrag des Kunden beginnt, je nachdem, welcher Fall später eintritt.

Datenverarbeitungsbeschreibung

Anlage A zu diesem DPA beschreibt den Datenexporteur, Datenimporteur, Datensubjekte, Datenkategorien, besondere Datenkategorien (falls zutreffend), die Verarbeitungsprozesse und die technischen und organisatorischen Maßnahmen, die durch den Verarbeiter ergriffen werden, um die Persönlichen Daten zu schützen. Für die Zwecke der Standardvertragsklauseln ist (a) der Kunde der Datenexporteur, und die Erfüllung dieses DPA durch den Kunden wird als dessen Erfüllung der Standardvertragsklauseln und Anhänge in diesem DPA behandelt; und (b) der Verarbeiter ist der Datenimporteur, und die Erfüllung dieses DPA durch den Verarbeiter wird als dessen Erfüllung der Standardvertragsklauseln und Anhänge in diesem DPA behandelt.

DSGVO Vertragsbedingungen

Gemäß Artikeln 28, 32 und 33 der DSGVO:

  1. Der Kunde erteilt dem Verarbeiter eine allgemeine Ermächtigung, seine Partner zu Unterverarbeitern zu ernennen, und erteilt dem Verarbeiter und seinen Partnern eine spezielle Ermächtigung, Dritte, welche angemessene technische und organisatorische Schutzmaßnahmen zum Schutz der Persönlichen Daten bieten, als Unterverarbeiter festzulegen. Bitte senden Sie uns jederzeit eine E-Mail an security@calendly.com, um eine Liste unserer Unterverarbeiter anzufordern, und/oder um unsere Unterverarbeiter-E-Mail-Updates zu abonnieren. [Artikel 28(2)]
  2. Der Verarbeiter [Artikel 28(3)]:
    1. darf die Persönlichen Daten nur auf dokumentierte Anweisungen vom Kunden hin verarbeiten, außer er ist durch die Gesetzgebung der Europäischen Union oder von Mitgliedsstaaten, der der Verarbeiter unterliegt, dazu gezwungen; in einem solchen Fall muss der Verarbeiter den Kunden vor der Verarbeitung über eine solche rechtliche Erfordernis informieren, es sei denn, das Gesetz verbietet solche Information aus wichtigen Gründen des öffentlichen Interesses.
    2. muss gewährleisten, dass sich Personen, die zur Verarbeitung der Persönlichen Daten autorisiert sind, zur Geheimhaltung verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
    3. muss alle zutreffenden und angebrachten Maßnahmen ergreifen, die gemäß Artikel 32 der DSGVO von Verarbeitern verlangt werden.
    4. muss, unter Berücksichtigung der Art der Verarbeitung, den Kunden mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht des Kunden, Anfragen zur Ausübung der Rechte des Datensubjekts wie in Kapitel III der DSGVO beschrieben zu beantworten, unterstützen, soweit dies möglich ist. Der Verarbeiter darf (basierend auf angemessenen Kosten, die dem Verarbeiter entstehen) für die Beantwortung von Datensubjektanfragen unter dieser Sektion 4(b)(iv) eine Gebühr erheben.
    5. muss dem Kunden helfen, die Einhaltung der Pflichten gemäß Artikel 32 bis 36 der DSGVO zu gewährleisten, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Verarbeiter zur Verfügung stehen.
    6. muss auf Anweisung des Kunden hin alle Persönlichen Daten löschen oder an den Kunden nach dem Ende der Erbringung von Dienstleistungen in Bezug auf die Verarbeitung zurückgeben, und muss bestehende Kopien löschen, außer wenn die Gesetzgebung der Europäischen Union, des Mitgliedsstaates oder der USA die Speicherung der Persönlichen Daten erfordert; vorausgesetzt, dass der Verarbeiter Persönliche Daten für die Dauer etwaig gültiger Verjährungsfristen zum Zwecke der Einbringung oder Verteidigung von Ansprüchen behalten darf. Der Verarbeiter darf (basierend auf angemessenen Kosten, die dem Verarbeiter entstehen) für jegliche Löschung von Daten unter dieser Sektion 4(b)(vi) eine Gebühr erheben.
    7. muss dem Kunden alle nötigen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Artikel 28 der DSGVO zur Verfügung stellen und Audits ermöglichen und unterstützen, einschließlich durch den Kunden durchgeführte Inspektionen, und er muss den Kunden sofort informieren, wenn seiner Meinung nach eine Anweisung gegen die DSGVO oder andere Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedsstaates verstößt. Der Verarbeiter darf (basierend auf angemessenen Kosten, die dem Verarbeiter entstehen) für alle Audits unter dieser Sektion 4(b)(vii) eine Gebühr erheben.
  3. Im Falle, dass der Verarbeiter einen anderen Verarbeiter zur Ausführung bestimmter Verarbeitungsaktivitäten im Auftrag oder Namen des Kunden beauftragt, gelten die selben Datenschutzverpflichtungen gemäß dieses DPA für jenen anderen Verarbeiter durch einen Vertrag oder sonstigen Rechtsakt unter EU- oder Mitgliedsstaatenrecht, in dem hinreichende Garantien zur Implementierung angemessener technischer und organisatorischer Maßnahmen gegeben werden, welche so implementiert werden müssen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. [Artikel 28(4)]
  4. Unter Berücksichtigung des Standes der Technik, der Kosten für die Implementierung sowie die Art, den Umfang, den Zusammenhang und die Zwecke der Verarbeitung sowie des Risikos variierender Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen müssen der Kunde und der Verarbeiter angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten. [Artikel 32(1)]
  5. Bei der Beurteilung des angemessenen Sicherheitsniveaus müssen jene Risiken berücksichtigt werden, die durch die Verarbeitung entstehen, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Weitergabe oder unbefugten Zugriff auf Persönliche Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. [Artikel 32(2)]
  6. Der Kunde und der Verarbeiter müssen Maßnahmen ergreifen, um zu gewährleisten, dass eine beliebige natürliche Person, die im Auftrag des Kunden oder Verarbeiters handelt und Zugriff auf Persönliche Daten hat, diese nicht verarbeitet, außer dies geschieht auf Anweisung des Kunden hin, außer er oder sie ist durch Gesetze der Europäischen Union oder Mitgliedsstaaten (oder im Falle des Verarbeiters Gesetze der Vereinigten Staaten) dazu verpflichtet. [Artikel 32(4)]
  7. Der Verarbeiter muss den Kunden unverzüglich nach Kenntniserlangung über eine Verletzung des Schutzes Persönlicher Daten benachrichtigen. [Artikel 33(2)] Eine solche Benachrichtigung soll zumindest (A) die Art der Verletzung des Schutzes persönlicher Daten beschreiben, einschließlich, soweit möglich, der betroffenen Kategorien und Anzahl von betroffenen Personen, sowie die Kategorien und Anzahl von betroffenen Aufzeichnungen Persönlicher Daten; (B) den Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson enthalten, von der weitere Informationen erlangt werden können; (C) die wahrscheinlichen Folgen der Verletzung des Schutzes persönlicher Daten beschreiben; und (D) die getroffenen Maßnahmen oder vorgeschlagene Maßnahmen beschreiben, die der Controller ergreifen sollte, um die Verletzung des Schutzes persönlicher Daten zu behandeln, einschließlich, wenn angemessen, Maßnahmen zur Milderung ihrer möglichen negativen Auswirkungen. [Artikel 33(3)] Benachrichtigung oder Antwort des Verarbeiters unter dieser Sektion 4(g) gelten nicht als Anerkenntnis des Verarbeiters einer Schuld oder Haftung in Bezug auf eine solche Verletzung des Schutzes Persönlicher Daten.

Internationale Übertragung

[Artikel 46]

  1. Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass der Verarbeiter seinen Sitz in den USA hat, und dass die Bereitstellung von Persönlichen Daten an den Verarbeiter zur Verarbeitung eine Übertragung von Persönlichen Daten in die Vereinigten Staaten darstellt.
  2. Alle Übertragungen von Persönlichen Daten von Kunden außerhalb des Europäischen Wirtschaftsraums, der Schweiz und des Vereinigten Königreichs an Länder, die kein angemessenes Datenschutzniveau im Sinne gültiger Datenschutzgesetze gewährleisten, werden durch die Standardvertragsklauseln geregelt. Die Standardvertragsklauseln und Anhänge 1 und 2 der Standardvertragsklauseln gemäß Anlage A dieses Addendums sind durch diese Bezugnahme nur nach Erfordernis in Bezug auf Persönliche Daten Bestandteil dieses DPA. Ausführung dieses DPA durch beide Parteien schließt die Ausführung der Standardvertragsklauseln hinsichtlich der Verarbeitung Persönlicher Daten ein.

Verarbeitung durch Controller

Der Kunde erklärt und garantiert, dass die Persönlichen Daten, die dem Verarbeiter zur Verarbeitung unter der Vereinbarung und diesem DPA zur Verfügung gestellt werden, durch den Kunden unter Einhaltung aller geltenden Gesetze und Regelungen gesammelt und/oder rechtsgültig erlangt werden, einschließlich und ohne Einschränkung der EU-Datenschutzgesetze, einschließlich und ohne Einschränkung von Kapitel II der DSGVO.

Haftungsbeschränkung

Die Haftung einer jeden Partei, die sich aus diesem DPA ergibt oder damit in Zusammenhang steht, ob nun aufgrund eines Vertrags, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt den in der Vereinbarung enthaltenen Haftungsbeschränkungen. Zur Klarstellung: Jeder Verweis hierin auf das "DPA" bezieht sich auf dieses DPA, einschließlich seiner Anlagen und Anhänge.

Änderung

Wenn durch eine Datenschutzbehörde festgestellt wird, dass die Vereinbarung oder dieses DPA nicht zur Einhaltung geltender EU-Datenschutzrechte ausreicht, oder wenn anderweitig durch Änderungen an den geltenden Datenschutzgesetzen Handlungsbedarf besteht, vereinbaren der Kunde und der Verarbeiter, redlich zusammenzuarbeiten, um die Vereinbarung oder dieses DPA zu ändern, oder weitere einvernehmliche Datenverarbeitungsvereinbarungen abzuschließen, in dem Bestreben, alle für den Verarbeiter und den Kunden geltenden EU-Datenschutzgesetze einzuhalten.

Allgemeines

Dieses DPA berührt nicht die Rechte und Pflichten der Parteien unter der Vereinbarung, welche weiterhin voll und uneingeschränkt in Kraft bleibt. Im Falle eines Konflikts zwischen den Bedingungen dieses DPA und den Bedingungen der Vereinbarung gelten die Bedingungen dieses DPA nur in dem Maße vorrangig, in dem die Thematik die Verarbeitung Persönlicher Daten betrifft. Dieses DPA verleiht Dritten keine Rechte, dient nur zum Nutzen der Parteien dieser Vereinbarung und deren jeweiliger zulässiger Rechtsnachfolger und Abtretungsempfänger, und dient nicht zum Nutzen einer anderen Person, noch kann eine Bestimmung hiervon durch eine andere Person geltend gemacht werden. Dieses DPA gilt nur für das Ausmaß, in dem der Verarbeiter im Namen des Kunden Persönliche Daten verarbeitet. Sofern nicht durch die DSGVO anders erforderlich, werden dieses DPA und alle damit verbundenen Handlungen gemäß den Gesetzen des Bundesstaates Georgia geregelt und ausgelegt, ohne Umsetzung jeglicher Grundsätze zu Gesetzeskonflikten. Abgesehen von Streitfällen, die wie in der Vereinbarung beschrieben geschlichtet werden sollen, deren Bestimmungen durch diese Bezugnahme Bestandteil hiervon sind, unterwerfen sich die Parteien der persönlichen Gerichtsbarkeit und dem Gerichtsstand der Gerichte von Atlanta, Georgia. Dieses DPA ist gemeinsam mit der Vereinbarung die finale, vollständige und exklusive Vereinbarung der Parteien in Bezug auf den Vereinbarungsgegenstand und ersetzt und vereinigt alle zuvor existenten Diskussionen und Vereinbarungen zwischen den Parteien in Bezug auf den Vereinbarungsgegenstand.

Datenverarbeitungsaddendum

Anlage A: Anhänge zu den Standardvertragsklauseln

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang stellt einen Teil der Standardvertragsklauseln dar

Die Mitgliedsstaaten können gemäß ihrer nationalen Verfahren etwaige zusätzliche notwendige Informationen, die in diesem Anhang enthalten sein sollen, ergänzen oder angeben.

Datenexporteur

Der Datenexporteur ist (bitte geben Sie kurz Ihre Aktivitäten an, die für die Übertragung relevant sind):

Datenexporteur ist der Kunde, ein Benutzer von Diensten, die durch den Verarbeiter zur Verfügung gestellt werden, die juristische Person oder Einrichtung, die eine Vereinbarung ausgeführt und den Standardvertragsklauseln als Datenexporteur zugestimmt hat.

Datenimporteur

Der Datenimporteur ist (bitte geben Sie kurz Aktivitäten an, die für die Übertragung relevant sind):

Calendly LLC, ein globaler Anbieter einer Plattform, die das Planen von Terminen erleichtert und Persönliche Daten auf Anweisung des Datenexporteurs und im Einklang mit den Bedingungen der Vereinbarung und des DPA verarbeitet.

Datensubjekte

Die übertragenen persönlichen Daten betreffen folgende Kategorien von Datensubjekten (bitte angeben):

Der Datenexporteur kann Persönliche Daten an Calendly LLC senden. Das Ausmaß, in dem dies geschieht, wird allein vom Datenexporteur bestimmt und kontrolliert und liegt allein in seinem Ermessen. Die Übertragung kann beispielsweise Persönliche Daten enthalten, die sich auf folgende Kategorien betroffener Personen beziehen (aber keineswegs darauf beschränkt sind): die Vertreter und Endbenutzer des Datenexporteurs, einschließlich Angestellter, Auftragnehmer, Geschäftspartner, Mitarbeiter und Kunden des Datenexporteurs. Datensubjekte können auch Personen umfassen, welche versuchen, mit Benutzern der von Calendly LLC angebotenen Dienste zu kommunizieren oder an diese Benutzer Persönliche Daten zu übertragen.

Datenkategorien

Die übertragenen persönlichen Daten betreffen folgende Datenkategorien (bitte angeben):

Der Datenexporteur kann Persönliche Daten an Calendly LLC senden. Das Ausmaß, in dem dies geschieht, wird allein vom Datenexporteur bestimmt und kontrolliert und liegt allein in seinem Ermessen. Die Übertragung kann beispielsweise folgende Kategorien persönlicher Daten enthalten (ist aber nicht auf folgende Kategorien begrenzt): (a) Vor- und Nachnamen; (b) Titel; (c) Position; (d) Arbeitgeber; (e) Kontaktinformationen (Firma, E-Mail-Adresse, Telefonnummer, physische Geschäftsadresse); (f) Verbindungsdaten; (g) Ortungsdaten; und (h) andere Daten in elektronischen Formen, die vom Kunden im Zusammenhang mit den Diensten verwendet werden.

Spezielle Datenkategorien (falls zutreffend)

Die übertragenen persönlichen Daten betreffen folgende besondere Datenkategorien (bitte angeben):

Keine

Verarbeitungsprozesse

Die übertragenen persönlichen Daten werden folgenden Verarbeitungsaktivitäten ausgesetzt (bitte angeben):

Das Ziel der Verarbeitung von persönlichen Daten durch den Datenimporteur ist die Erbringung der vertraglichen Dienste in Bezug auf die Vereinbarung mit dem Datenexporteur. Die Prozesse können Sammlung, Speicherung, Abruf, Konsultation, Verwendung, Löschung oder Zerstörung, Weitergabe durch Übermittlung, Verbreitung oder sonstiges Zurverfügungstellen der Daten des Exporteurs umfassen, wie es zur Erbringung der Dienste gemäß den Anweisungen des Datenexporteurs notwendig ist, einschließlich zugehöriger interner Zwecke (wie Qualitätskontrolle, Fehlersuche, Produktentwicklung usw.).

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang stellt einen Teil der Standardvertragsklauseln dar.

Beschreibung der vom Datenimporteur gemäß Klauseln 4(d) und 5(c) (oder angehängtem Dokument/Rechtsvorschrift) implementierten technischen und organisatorischen Sicherheitsmaßnahmen:

Der Verarbeiter muss angemessene administrative, physische und technische Sicherheitsmaßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Unversehrtheit der an den Verarbeiter übermittelten persönlichen Daten treffen, wie dies in der Vereinbarung und in der Datenschutzerklärung des Verarbeiters beschrieben ist. Diese Datenschutzerklärung ist verfügbar unter https://calendly.com/pages/privacy.