Version: 1. Februar 2023
Dieser Nachtrag zur Datenverarbeitung (Data Processing Addendum, "DPA“) bildet einen integralen Bestandteil der Vereinbarung zwischen dem Kunden und CM.com, die die Nutzung der Dienste durch den Kunden regelt.
Die in diesen Geschäftsbedingungen enthaltenen Begriffe, die mit einem Großbuchstaben beginnen, werden wie folgt definiert und haben die in diesem Abschnitt festgelegte Bedeutung.
Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Betroffene Person: eine in Bezug auf Personenbezogene Daten identifizierte oder identifizierbare natürliche Person.
Technische und organisatorischer Maßnahmen: Maßnahmen zum Schutz Personenbezogener Daten vor versehentlicher oder unrechtmäßiger Vernichtung oder versehentlichem Verlust, Änderung, unerlaubter Offenbarung oder unerlaubtem Zugriff und vor allen anderen unrechtmäßigen Formen der Verarbeitung.
Unterauftragsverarbeiter: Eine Partei, die von CM.com mit der Verarbeitung von Aktivitäten beauftragt wird, bezüglich der CM.com im Rahmen dieses DPA als ein Auftragsverarbeiter fungiert, wie unter: www.cm.com/trust-center/privacy/ aufgeführt.
Verantwortlicher: die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung Personenbezogener Daten festlegt.
Verarbeitung / verarbeiten: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verletzung des Schutzes Personenbezogener Daten: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
1.2. Verweise auf die Anwendbaren Datenschutzgesetze sind durch Verweise auf Gesetze, die diese Datenschutzgesetze ersetzen oder ergänzen, und die entsprechenden Bestimmungen aus diesen Gesetzen zu ersetzen oder schließen diese mit ein, sobald diese in Kraft getreten und anwendbar sind.
1.3. Diese Datenverarbeitungsbedingungen gelten ausschließlich für die Verarbeitung Personenbezogener Daten durch CM.com als Auftragsverarbeiter im Auftrag des Kunden.
Im Falle eines Konflikts haben die Bestimmungen dieser Datenverarbeitungsbedingungen über die Verarbeitung Personenbezogener Daten Vorrang vor den Bestimmungen der Allgemeinen Geschäftsbedingungen.
Sollten einzelne Bestimmungen dieser Datenverarbeitungsbedingungen ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen davon nicht berührt.Trust Center: www.cm.com/trust-center/.
2.1 Diese DPA gelten für die Verarbeitungstätigkeiten Personenbezogener Daten, für die CM.com als ein Auftragsverarbeiter fungiert, der den anwendbaren Datenschutzgesetzen unterliegt.
2.2 CM.com ist Auftragsverarbeiter für die in Abschnitt 6 dieser DPA beschriebenen Verarbeitungstätigkeiten
3.1 Der Kunde verarbeitet bei seiner Verwendung des Dienstes Personenbezogene Daten nach den Anforderungen der Anwendbaren Datenschutzgesetze. Die Anweisungen des Kunden zur Verarbeitung Personenbezogener Daten haben den Anwendbaren Datenschutzgesetzen zu entsprechen. Der Kunde trägt die alleinige Verantwortung für die Genauigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und der Methoden, mit denen der Kunde die Personenbezogenen Daten erworben hat. Der Kunde hat sicherzustellen, dass er alle Anforderungen für die Verarbeitung und Übertragung der Personenbezogenen Daten gemäß den Anwendbaren Gesetzen erfüllt, einschließlich, aber nicht beschränkt auf die Sicherstellung eines rechtmäßigen Grundes für die Verarbeitung und/oder grenzüberschreitende Übermittlungen. Der Kunde hat CM.com unverzüglich zu informieren, wenn er seinen Verpflichtungen in Bezug auf die Verarbeitung Personenbezogener Daten gemäß den Anwendbaren Gesetzen und/oder der Vereinbarung nicht mehr nachkommen kann.
3.2 Ohne Einschränkung der Allgemeingültigkeit der anderen Bestimmungen der Vereinbarung hat der Kunde vor der Nutzung des Dienstes die verifizierbare informierte Einwilligung der Endnutzer einzuholen oder eine Bestätigung der gesetzlichen Grundlage für die Verarbeitung der anwendbaren Gesetze und Vorschriften entsprechend vorzulegen, und eine Aufzeichnung über jede solche Einwilligung und/oder gesetzliche Grundlage vorzuhalten. Auf schriftliche Mitteilung mit angemessener Frist hin hat der Kunde Informationen wie verlangt bereitzustellen, wenn CM.com, ein Betreiber, eine Regulierungsbehörde oder eine andere zuständige Behörde dies rechtmäßigerweise verlangen.
4.1 Anweisungen
4.1.1 CM.com verarbeitet Personenbezogene Daten nach diesem DPA und der Vereinbarung, und zu dem Zweck und in der Weise, die der Kunde jeweils in dem Vertrag und den weiteren Anweisungen nennt, die im Rahmen der Vereinbarung erteilt werden.
4.2 Technische und organisatorische Maßnahmen
4.2.1 Unter Beachtung des Stands der Technik, der Art, des Umfangs, des Zusammenhangs und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, hat CM.com angemessene technische und organisatorische Maßnahmen einzusetzen (einschließlich des Schutzes vor unerlaubter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust oder Änderung oder Schaden, unerlaubter Offenbarung von oder Zugriff auf Personenbezogene Daten), um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Aktuelle Informationen zu technischen und organisatorischen Maßnahmen finden sich unter www.cm.com/trust-center/security/.
4.2.2 CM.com hat die Wirksamkeit der technischen und organisatorischen Maßnahmen zu prüfen, zu bewerten und zu beurteilen, um die Sicherheit der Verarbeitung fortlaufend sicherzustellen. CM.com hat die technischen und organisatorischen Maßnahmen fortlaufend zu erweitern und zu verbessern, wo dies angemessen erscheint.
4.3 Personelle Anforderungen
CM.com hat sicherzustellen, dass Personen, die autorisiert sind, Personenbezogene Daten zu verarbeiten, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen. Der Zugriff auf Personenbezogene Daten ist auf Mitarbeiter beschränkt, die den Zugriff benötigen, um die Dienste im Rahmen der Vereinbarung zu erbringen.
4.4. Vertraulichkeit
CM.com stimmt zu, die Personenbezogenen Daten vertraulich zu behandeln. Insbesondere stimmt CM.com zu, dass es Personenbezogene Daten, die CM.com durch den Kunden, für den Kunden oder in seinem Namen erhält, nicht ohne die vorherige Zustimmung des Kunden einem Dritten offenbart, außer wie für die Erbringung des Dienstes unter der Vereinbarung oder aufgrund zwingenden Rechts vorgesehen und erforderlich.
4.5. Rechte der Betroffenen Personen
4.5.1 Wenn der Kunde CM.com dahingehend anweist, hat CM.com Personenbezogene Daten zu übertragen, zu korrigieren, zu löschen oder zu blockieren, falls der Kunde eine Anfrage einer Betroffenen Person erhält, in der die Betroffene Person ihre Rechte auf Zugang, Berichtigung, Einschränkung der Verarbeitung, Löschung („das Recht, vergessen zu werden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder ihr Recht, keinen automatisierten individuellen Entscheidungen zu unterliegen, ausübt („Anfrage einer Betroffenen Person“).
4.5.2 CM.com hat den Kunden zu informieren, wenn CM.com eine Anfrage einer Betroffenen Person erhält. Unter Beachtung der Art der Verarbeitung hat CM.com den Kunden, gemäß dem Anwendbaren Datenschutzgesetz auf die Anfrage der betroffenen Person zu reagieren, zu unterstützen. CM.com hat den Kunden, soweit dies CM.com rechtlich erlaubt ist, und die Reaktion auf die betreffende Anfrage einer betroffenen Person unter den Datenschutzgesetzen, zu unterstützen.
4.6 Hilfe bei der Einhaltung von Vorschriften durch den Kunden
CM.com hat den Kunden weiterhin im angemessen erforderlichen Umfang zu unterstützen, um die Einhaltung der Pflichten des Kunden unter den Datenschutzgesetzen sicherzustellen, einschließlich bezüglich:
(a) der Datenschutz-Folgenabschätzung, durch Bereitstellung der Informationen und Zuarbeiten, die der Kunde jeweils verlangt, um dem Kunden bei der Ausführung einer Datenschutz-Folgenabschätzung und bei regelmäßigen Überprüfungen zu helfen, um festzustellen, ob die Verarbeitung Personenbezogener Daten gemäß der Datenschutz-Folgenabschätzung erfolgt;
(b) der vorherigen Abstimmung mit einer Datenschutz-Aufsichtsbehörde bei einer Verarbeitung mit hohem Risiko.
4.7 Compliance, Informationen und Prüfung
4.7.1 CM.com hat Zertifizierungen Dritter erhalten, die im Trust Center auf der Website von CM.com aufgeführt sind, die unter www.cm.com/trust-center/ verfügbar ist und Informationen zu technischen und organisatorischen Maßnahmen, Datenschutz, Compliance, Risikomanagement und Datensicherheit enthält. Auf schriftliche Anfrage des Kunden hin und unter Einhaltung der in der Vereinbarung festgelegten Vertraulichkeitspflichten, wird der Auftragsverarbeiter dem Kunden, der kein Wettbewerber von CM.com sein darf (oder dem unabhängigen externen Prüfer des Kunden, der kein Wettbewerber von CM.com ist), eine Kopie von CMs jeweils aktuellen Drittzertifizierungen und Informationen zu der IT-Architektur und Sicherheit zur Verfügung stellen, wie jeweils zutreffend und billigerweise verlangt. Der Kunde ist dafür verantwortlich, die von CM.com zur Verfügung gestellten Informationen zu bewerten und festzustellen, ob sie den Anforderungen und Verpflichtungen des Kunden gemäß den Anwendbaren Datenschutzgesetzen entsprechen. Der Kunde erklärt sich damit einverstanden, dass die im Rahmen dieser Vereinbarung bereitgestellten Informationen der Erfüllung der Prüfungsrechte des Kunden gemäß den Anwendbaren Datenschutzgesetzen dienen.
4.7.2 Für den Fall, dass die von CM.com zur Verfügung gestellten Informationen nicht ausreichen, um die Einhaltung dieses DPA nachzuweisen, hat der Kunde das Recht, höchstens einmal pro Jahr einen akkreditierten externen Sachverständigen mit der Prüfung der Verfahren bezüglich der Datenverarbeitung für den Kunden zu beauftragen. CM.com wird bei einer solchen Prüfung nach angemessener vorheriger schriftlicher Mitteilung mit einer Frist von nicht weniger als zehn Werktagen mitwirken. Der Kunde hat CM.com alle Zeiten zu erstatten, die CM.com für eine solche Prüfung aufwenden muss, zu CM.coms jeweils aktuellen Sätzen für professionelle Leistungen, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Vor dem Beginn einer solchen Prüfung werden die Parteien den Umfang, das Timing und die Dauer der Prüfung sowie den Vergütungssatz, den der Kunde zu entrichten hat, vereinbaren.
4.7.3 CM.com hat das Recht, zu verlangen, dass der externe Sachverständige eine Vertraulichkeitserklärung zugunsten von CM.com unterzeichnet. Die Vertraulichkeitserklärung wird die Bestimmungen umfassen, die für diese Art von Erklärung gewöhnlich verwendet werden. Jeder Bericht und jede Mitteilung, die der externe Sachverständige abgibt, ist CM.com zur Verfügung zu stellen. Der Kunde hat sicherzustellen, dass die Prüfung den Betrieb von CM.com so wenig wie möglich behindert.
4.8 Aufzeichnungen
CM.com hat vollständige, korrekte und aktuelle Aufzeichnungen zu den Verarbeitungsaktivitäten, die im Namen seiner Kunden ausgeführt werden, zu pflegen.
4.9 Verbundene Unternehmen und Unterauftragsverarbeiter
4.9.1 Einige oder alle Verpflichtungen von CM.com unter der Vereinbarung können durch verbundene Unternehmen von CM.com erfüllt werden. CM.com ist verantwortlich für die Einhaltung dieser Vereinbarung durch seine verbundenen Unternehmen.
4.9.2 Der Kunde bestätigt und stimmt zu, dass (a) CM.coms verbundene Unternehmen als Unterauftragsverarbeiter beauftragt werden dürfen; und (b) CM.com bzw. CM.coms verbundene Unternehmen externe Unterauftragsverarbeiter in Zusammenhang mit der Erbringung der Dienste beauftragen dürfen. Dabei müssen CM.com oder ein verbundenes Unternehmen von CM.com jeweils eine schriftliche Vereinbarung mit jedem Unterauftragsverarbeiter geschlossen haben, die Datenschutzverpflichtungen enthält, die soweit für die Art des durch den jeweiligen Unterauftragsverarbeiter erbrachten Dienstes zutreffend, keinen geringeren Schutz bieten, als der Schutz der Personenbezogenen Daten gemäß dieser Vereinbarung Die aktuelle Liste der Unterauftragsverarbeiter von CM.com ist verfügbar unter: www.cm.com/trust-center/privacy/. CM.com hat den Kunden dreißig (30) Tage vor Änderungen in Bezug auf die Liste der Unterauftragsverarbeiter zu informieren. Innerhalb dieses Zeitraums kann der Kunde der Änderung der Liste der Auftragsverarbeiter im Unterauftragsverhältnis widersprechen, sofern dieser Widerspruch schriftlich und auf der Grundlage angemessener Gründe in Bezug auf die Anwendbaren Datenschutzgesetze eingereicht wird. Die Parteien werden sich nach Treu und Glauben bemühen, den Einwand des Kunden beizulegen. Wenn der Widerspruch nicht innerhalb von dreißig (30) Tagen beigelegt wird, kann jede Partei die Vereinbarung kündigen.
4.9.3 CM.com ist für seine Unterauftragsverarbeiter in dem gleichen Umfang verantwortlich, in dem CM.com verantwortlich wäre, wenn es die Dienste jedes Unterauftragsverarbeiters direkt unter den Bedingungen der Vereinbarung erbringen würde.
4.10 Mitteilung über Verletzungen
Bei einer Verletzung des Schutzes Personenbezogener Daten ist CM.com verpflichtet:
(a) den Kunden über eine Verletzung des Schutzes Personenbezogener Daten unter Beteiligung von CM.com oder eines Unterauftragnehmers unverzüglich zu informieren (jedoch in keinem Fall später als achtundvierzig Stunden, nachdem die Verletzung des Schutzes Personenbezogener Daten bekannt geworden ist);
(b) dem Kunden angemessene Hilfe und Unterstützung für alle Aktionen zu gewähren, die in Reaktion auf eine Verletzung des Schutzes Personenbezogener Daten unter den Anwendbaren Datenschutzgesetzen, wie etwa Art. 33 Abs. 3 und Art. 34 Abs. 3 DSGVO, erfolgen, einschließlich bezüglich der Kommunikation der Verletzung des Schutzes Personenbezogener Daten an die Betroffene Person und die Datenschutzbehörden.
CM.com wird eine Verletzung des Schutzes Personenbezogener Daten umgehend untersuchen und angemessene Maßnahmen ergreifen, um die zugrundeliegende(n) Ursache(n) zu identifizieren und ein erneutes Auftreten zu verhindern. Wenn Informationen erfasst werden oder anderweitig zur Verfügung stehen, wird CM.com dem Kunden, sofern dies nicht gesetzlich verboten ist, eine Beschreibung der Verletzung Personenbezogener Daten, der Art von Daten, die von der Verletzung des Schutzes Personenbezogener Daten betroffen sind, und andere Informationen zur Verfügung stellen, die der Kunde in angemessenem Umfang verlangt. Die Parteien stimmen zu, in gutem Glauben bei der Entwicklung der Inhalte entsprechender öffentlicher Aussagen oder erforderlicher Mitteilungen an die Betroffenen Personen und/oder die zuständigen Datenschutzbehörden zusammenzuarbeiten.
Soweit die Beauftragung eines Unterauftragsverarbeiters nach Abschnitt 4.9 einen grenzüberschreitenden Übermittlungsmechanismus gemäß den Anwendbaren Datenschutzgesetzen erfordert, um Personenbezogene Daten rechtmäßig aus einem Rechtsraum (d. h. dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder einem anderen relevanten Rechtsraum) an einen Dritten außerhalb dieses Rechtsraums zu übermitteln, gelten die folgenden Bedingungen. Der Kunde ermächtigt CM.com, Personenbezogene Daten außerhalb des Rechtsraums, in dem CM.com ansässig ist und die Personenbezogenen Daten erstmals empfangen wurden, zu übermitteln, vorausgesetzt, dass CM.com sicherstellt, dass diese Übermittlungen in Übereinstimmung mit diesem DPA und einem rechtmäßigen Datenübertragungsmechanismus durchgeführt werden, der ein angemessenes Schutzniveau gemäß den Anwendbaren Datenschutzgesetzen bietet.
CM.com hat die Daten, einschließlich Personenbezogener Daten, nach dem Anwendbaren Recht, den Vorschriften, einschließlich, jedoch nicht beschränkt auf die nationalen Telekommunikationsgesetze und Anwendbaren Datenschutzgesetze, zu verarbeiten und aufzubewahren. Die Daten, einschließlich Personenbezogener Daten, die von CM.com an die Plattform übermittelt werden, sind der Datenarchivierungsrichtlinie von CM.com entsprechend zu verarbeiten und aufzubewahren. Die Personenbezogenen Daten dürfen nicht länger aufbewahrt werden, als es für die Erbringung der Dienste unter der Vereinbarung, zu dem Zweck laut der Vereinbarung und soweit durch das Anwendbare Recht verlangt wird, erforderlich ist. Nach dem anwendbaren Aufbewahrungszeitraum hat CM.com die Daten zu anonymisierten Daten zu de-identifizieren oder zu de-personalisieren. Daraus entstehen Daten, die keine Personenbezogenen Daten oder eindeutige Identifizierungen umfassen, die später verwendet werden können, um sie den Personenbezogenen Daten zuzuordnen, zu denen die Daten einmal gehört haben.
7.1 Art und Zweck der Verarbeitung
CM.com wird Personenbezogene Daten nach Bedarf für die Erbringung der Dienste unter der Vereinbarung, wie in der Vereinbarung genauer beschrieben ist und wie durch den Kunden im Anwendungsbereich der Vereinbarung genauer angewiesen wird, verarbeiten.
7.2 Dauer der Verarbeitung
CM.com wird Personenbezogene Daten für die Laufzeit der Vereinbarung und in Übereinstimmung mit Abschnitt 6 dieses DPA verarbeiten.
7.3 Kategorien Betroffener Personen
Der Kunde kann durch Verwendung des Dienstes Daten an CM.com übermitteln, deren Inhalte durch den Kunden in seinem alleinigen Ermessen bestimmt und kontrolliert werden, und die unter anderem Personenbezogene Daten der in Anhang 1 aufgeführten Kategorien von Betroffenen Personen umfassen können:
7.3 Arten Personenbezogener Daten
Der Kunde kann Personenbezogene Daten, deren Umfang im alleinigen Ermessen des Kunden festgelegt und kontrolliert wird, über die Dienste übermitteln und die unter anderem die in Anhang 1 aufgeführten Kategorien Personenbezogener Daten umfassen können:
Betroffene Personen:
Gesprächsorientierte KI-Cloud
Konversationskanäle
Kundendatenplattform
Mobile Marketing Cloud
Mobile Service Cloud
Zahlungsplattform
Unterzeichnung
SMS
• (Potenzielle) Kunden (die natürliche Personen sind) des Kunden oder seiner Kunden • Mitarbeiter, Auftragnehmer oder Personen, die durch Kunden des Kunden beauftragt werden • Kontaktpersonen der Interessenten, Kunden und Geschäftspartner des Kunden • Nutzer des Kunden, die der Kunde zur Verwendung der Dienste berechtigt hat
Ticketing
Voice
Kategorien Personenbezogener Daten:
Gesprächsorientierte KI-Cloud
Konversationskanäle
Kundendatenplattform
Mobile Marketing Cloud
Mobile Service Cloud
Zahlungsplattform
Unterzeichnung
SMS
Ticketing
Voice