Diese Datenverarbeitungsrichtlinie (“DPP“) gilt zwischen den Vertragsparteien und gilt als automatisch in das Abkommen aufgenommen. Alle in dieser EPP verwendeten Begriffe in Großbuchstaben haben die gleiche Bedeutung wie in der Vereinbarung, sofern sie nicht nachstehend definiert sind. Die nachstehend definierten Begriffe gelten nur für die EPP.

Definitionen

“Angemessenes Land” ist ein Land oder Gebiet, das nach den geltenden Datenschutzgesetzen einen angemessenen Schutz personenbezogener Daten bietet.

“Autorisiertes Mitglied” bezeichnet jedes verbundene Unternehmen des Kunden, das (a) direkt oder indirekt vom Kunden kontrolliert wird, (b) den Datenschutzgesetzen unterliegt und (c) die Dienste gemäß dem Vertrag nutzen darf, den Vertrag aber nicht unterzeichnet hat.

“CCPA” bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern aus dem Jahr 2018, einschließlich aller dazugehörigen Änderungen.

“Datenschutzgesetze” bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union (einschließlich GDPR), des Europäischen Wirtschaftsraums, ihrer Mitgliedsstaaten, der Schweiz, des Vereinigten Königreichs und/oder der Bundes-, Staats- oder Kommunalbehörden der Vereinigten Staaten von Amerika, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar sind.

“GDPR” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

“Persönliche Daten” bezeichnet alle Daten, die von CybelAngel als Teil der Dienste verarbeitet werden und die ebenfalls “personenbezogene Daten” im Sinne der GDPR, UK GDPR und/oder als “personenbezogene Informationen” im Sinne des CCPA sind.

“Verletzung des Schutzes personenbezogener Daten” bezeichnet jede Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten im Besitz oder unter der Kontrolle von CybelAngel führt, wobei eine solche Verletzung nachweislich nur von CybelAngels eigenen Systemen ausgeht und in keinem Zusammenhang mit einer Verletzung steht, die möglicherweise im Zusammenhang mit den Diensten oder den täglichen Geschäftsaktivitäten von CybelAngel festgestellt wurde.

“Standardvertragsklauseln” oder (“SCCs”) sind die neuesten von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

“Verarbeitung”, “für die Verarbeitung Verantwortlicher”, “betroffene Person”, “Kontrollstelle” und “Auftragsverarbeiter”.” haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung zugewiesen wird.

“UK GDPR”: Die Allgemeine Datenschutzverordnung des Vereinigten Königreichs nach dem Brexit.

1. STATUS DER PARTEIEN

Die Parteien erkennen an und vereinbaren, dass der Kunde der Datenverantwortliche und CybelAngel der Datenverarbeiter in Bezug auf personenbezogene Daten ist. Jede Partei verpflichtet sich, die in Bezug auf personenbezogene Daten geltenden Datenschutzgesetze einzuhalten, und stellt sicher, dass jedes ihrer verbundenen Unternehmen diese einhält. Im Verhältnis zwischen den Parteien ist der Kunde allein dafür verantwortlich, alle erforderlichen Zustimmungen, Lizenzen und Genehmigungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Dienste einzuholen, und hat diese eingeholt oder wird sie einholen.

2. BESCHREIBUNG DER VERARBEITUNG

2.1. CybelAngel wird personenbezogene Daten nur verarbeiten, um die Dienste zu erbringen oder für Geschäftszwecke, die mit den Diensten in Verbindung stehen, wie in der Vereinbarung definiert (z. B. Erstellung von Anmeldeinformationen für neue autorisierte Benutzer). Wenn die Datenschutzgesetze CybelAngel dazu verpflichten, personenbezogene Daten anders als im Vertrag erlaubt zu verarbeiten, wird CybelAngel den Kunden vor der Verarbeitung benachrichtigen, es sei denn, dies ist durch geltendes Recht untersagt.

2.2. Die Art der im Rahmen des Abkommens verarbeiteten personenbezogenen Daten, der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sowie die Kategorien der betroffenen Personen sind wie folgt:

2.2.1. Kategorien von betroffenen Personen

• Mitarbeiter des Kunden und seiner verbundenen Unternehmen
• Kunden, Lieferanten oder andere Geschäftspartner des Kunden
• Personen, deren persönliche Identifikatoren in überwachten Quellen gefunden werden (z. B. E-Mail-Adressen oder Namen, die bei Verstößen entdeckt wurden)

2.2.2. Kategorien von verarbeiteten personenbezogenen Daten

Zu den typischen Kategorien personenbezogener Daten, die im Rahmen der Dienste verarbeitet werden, gehören:

Kontext	Beispielhafte Daten	Quelle
Erkennung von Zugangsdaten und Sicherheitsverletzungen	E-Mail-Adressen, Benutzernamen, gehashte Passwörter, IPs	Datenbanken verletzen, Quellen im Dark Web
Schutz von Domänen und Konten	Professionelle E-Mail-Adressen, Domänenbesitzdaten	WHOIS, Web-Crawls
Überwachung von Führungskräften und Marken	Öffentlich zugängliche Namen von Führungskräften, soziale Handles	Soziale Medien und offene Quellen
Kundenbetreuung & Servicebereitstellung	Kontaktinformationen (Name, E-Mail, Telefon), Nutzungsmetadaten	Interaktionen auf der Kundenplattform

Die gesamte Datenverarbeitung steht im Einklang mit den GDPR-Grundsätzen der Datenminimierung und der Zweckbeschränkung und ist auf das beschränkt, was für die Erkennung von Cyberbedrohungen und den Kundenschutz gemäß der Vereinbarung erforderlich ist.

2.2.3. Art der Verarbeitung

Erheben, Erfassen, Ordnen, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung an den für die Verarbeitung Verantwortlichen, Verbreiten oder sonstiges Zugänglichmachen für den für die Verarbeitung Verantwortlichen, Abgleich oder Kombination, Einschränkung, Löschen oder Vernichten.

Zu den Verarbeitungsvorgängen gehören insbesondere:

• Sammlung, Organisation und Analyse von digitalen Daten und Indikatoren für Bedrohungen
• Abgleich der offengelegten Daten mit den überwachten Einheiten des Kunden
• Generierung von Warnmeldungen und Benachrichtigung des Kunden
• Unterstützung von Interaktionen (Analyse von Vorfällen, Unterstützung bei Notfällen, Berichterstattung)

2.2.4. Zweck(e) der Datenverarbeitung

Der Zweck der Verarbeitung besteht darin, die IT des für die Verarbeitung Verantwortlichen und der mit ihm verbundenen Unternehmen zu gewährleisten, indem sie daran arbeiten, Datenlecks im Internet zu verhindern und aufzudecken.

2.2.5. Dauer der Datenverarbeitung

Die Datenverarbeitung erfolgt während der Laufzeit des Abkommens.

2.2.6. Aufbewahrungsfrist für Daten

Personenbezogene Daten werden vom Datenverarbeiter für eine Dauer von maximal sechs (6) Monaten nach Beendigung aller Verträge für Dienstleistungen, die der Datenverarbeiter für den für die Verarbeitung Verantwortlichen erbracht hat, aufbewahrt. Operative Aufdeckungsdaten werden in der Regel rotiert oder anonymisiert, nachdem der Untersuchungszweck erfüllt ist.

3. RECHTE UND PFLICHTEN DES VERARBEITERS

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, dazu verpflichtet. In diesem Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

Für die Zwecke des obigen Absatzes sind der Vertrag, diese DPP und die Nutzung der Dienste durch den Kunden die schriftlichen Anweisungen des Kunden an CybelAngel in Bezug auf die Verarbeitung von persönlichen Daten.

3.1.1. Zur Klarstellung: Die dokumentierten Anweisungen des Kunden an CybelAngel bestehen aus:

(a) Vertragliche Anweisungen: Der Umfang, die Art, der Zweck und die Dauer der Verarbeitung, wie sie in diesem DPP-Abschnitt 2.2 und in der Vereinbarung definiert sind;

(b) Operative Anweisungen: Die vom Kunden über die Dienste bereitgestellten Suchkriterien (Schlüsselwörter, Datenkennungen und Suchparameter), die angeben, nach welchen personenbezogenen Daten CybelAngel suchen und diese verarbeiten soll;

(c) Laufende Anweisungen: Alle zusätzlichen schriftlichen oder elektronischen Anweisungen, die der Kunde während der Laufzeit der Vereinbarung in Bezug auf die Verarbeitung von personenbezogenen Daten erteilt. Der Kunde erkennt an, dass er mit der Unterzeichnung dieser Vereinbarung, der Angabe von Suchkriterien und der Nutzung der Dienste CybelAngel dokumentierte Anweisungen im Sinne von Artikel 28(3)(a) GDPR erteilt.

3.1.2. KI-Verarbeitung und Unterprozessor-Autorisierung:

Der Kunde erkennt an, dass die Dienste von CybelAngel KI-fähige Funktionen (einschließlich automatisierter Inhaltszusammenfassung, Anreicherung, Aufgabenautomatisierung, Analyse und Übersetzungen) als integrale Bestandteile der Dienste enthalten. Mit der Unterzeichnung dieser Vereinbarung und der Zustimmung zur Liste der Unterauftragsverarbeiter in ANHANG II erteilt der Kunde dokumentierte Anweisungen, die CybelAngel ermächtigen, Drittanbieter von KI-Dienstleistungen mit der Verarbeitung personenbezogener Daten in Übereinstimmung mit den hierin festgelegten Schutzmaßnahmen zu beauftragen. Der Kunde erkennt an, dass:

(a) KI und maschinelle Lernverfahren - Die Dienste nutzen die in ANHANG II aufgeführten KI-Anbieter für Inhaltsanalyse, Zusammenfassung, Anreicherung, Aufgabenautomatisierung und Übersetzungsfunktionen in dem Umfang, der für die Erbringung der Dienste erforderlich ist;

(b) Plattform-Analytik - Die Dienste nutzen Analyseanbieter (wie in ANHANG II angegeben), um die Erkennungsalgorithmen zu optimieren, Fehlalarme zu reduzieren und die Leistung der Plattform speziell für die Umgebung und die Nutzungsmuster des Kunden zu verbessern;

(c) Kein Training Verwendung - Die Vereinbarungen von CybelAngel mit den KI-Unterauftragsverarbeitern verbieten die Verwendung der persönlichen Daten des Kunden für Modellschulungen oder die Verbesserung von Dienstleistungen Dritter, die nicht mit der Erbringung der Dienstleistungen für den Kunden in Zusammenhang stehen.

Einspruch rechts: Widerspricht der Kunde dem Einsatz eines Unterauftragsverarbeiters (einschließlich KI-Anbietern) aus datenschutzrechtlichen Gründen, kann er seine Widerspruchsrechte gemäß Abschnitt 6.1 ausüben.

3.2. Unter Berücksichtigung der Art der Verarbeitung und der CybelAngel zur Verfügung stehenden Informationen unterstützt CybelAngel den Kunden, wenn dies vernünftigerweise angefordert wird, in Bezug auf die Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf (i) Datenschutz-Folgenabschätzungen (wie dieser Begriff in der DSGVO definiert ist), (ii) Meldungen an die Aufsichtsbehörde gemäß den Datenschutzgesetzen und (iii) vorherige Konsultationen mit den Aufsichtsbehörden.

3.3. CybelAngel wird wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen, die ihre Rechte nach dem Datenschutzgesetz ausüben wollen und deren personenbezogene Daten sich im Besitz oder unter der Kontrolle von CybelAngel befinden. CybelAngel wird den Kunden über Anfragen von Betroffenen, die für den Kunden relevant sind, innerhalb von fünf (5) Werktagen nach deren Eingang bei CybelAngel informieren, es sei denn, das geltende Recht schreibt etwas anderes vor.

4. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Unter Berücksichtigung (i) der branchenüblichen Praxis, (ii) der Implementierungskosten und (iii) der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung setzt CybelAngel geeignete technische und organisatorische Maßnahmen gemäß Anhang 1 um, um ein Sicherheitsniveau zu gewährleisten, das den Risiken angemessen ist, die mit der Verarbeitung personenbezogener Daten verbunden sind, auch in Bezug auf die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung, die unbefugte Weitergabe oder den Zugriff auf personenbezogene Daten, die sich im Besitz von CybelAngel oder unter seiner Kontrolle befinden.

5. VERSTÖSSE GEGEN PERSONENBEZOGENE DATEN

CybelAngel benachrichtigt den Kunden über jede Verletzung des Schutzes personenbezogener Daten spätestens zweiundsiebzig (72) Stunden, nachdem es davon Kenntnis erlangt hat. CybelAngel wird dem Kunden in wirtschaftlich angemessenem Umfang Kooperation, Unterstützung und Informationen im Zusammenhang mit einer solchen Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, einschließlich, soweit CybelAngel bekannt ist, (i) der Art der Verletzung des Schutzes personenbezogener Daten, (ii) der Kategorien und der ungefähren Anzahl der betroffenen Personen, (iii) der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze und (iv) der Maßnahmen, die CybelAngel bereits ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich, soweit angemessen, Maßnahmen zur Milderung möglicher negativer Auswirkungen. Sofern CybelAngel nicht durch geltendes Recht zur Offenlegung von Informationen über eine Verletzung des Schutzes personenbezogener Daten verpflichtet ist, wird CybelAngel keine Informationen über eine Verletzung des Schutzes personenbezogener Daten offenlegen und alle diese Informationen als vertrauliche Informationen behandeln.

6. UNTERVERARBEITUNG

6.1 Der Kunde erklärt sich damit einverstanden, dass CybelAngel die in der Liste der Unterauftragsverarbeiter (als Anhang II beigefügt) aufgeführten Unterauftragsverarbeiter zur Erbringung der Dienstleistungen einsetzt und dass CybelAngel diesen Unterauftragsverarbeitern personenbezogene Daten offenlegt und zur Verfügung stellt. Die Liste der Unterauftragsverarbeiter zum Zeitpunkt der Unterzeichnung des Vertrags wird hiermit vom Kunden genehmigt. Die Hauptansprechpartner des Kunden werden von CybelAngel schriftlich benachrichtigt, bevor neue Unterauftragsverarbeiter durch Änderungen in der Liste der Unterauftragsverarbeiter ernannt werden. In jedem Fall gilt die aktualisierte Liste der Unterauftragsverarbeiter als vom Kunden genehmigt, es sei denn, er erhebt schriftlich einen angemessenen Einspruch gegen [email protected] aus Gründen im Zusammenhang mit der DSGVO innerhalb von dreißig (30) Geschäftstagen nach der Mitteilung über die Änderung der Liste der Unterauftragsverarbeiter. Wenn die Parteien in diesem Fall keine Lösung in gutem Glauben für das fragliche Problem finden, kann der Kunde als einziges Rechtsmittel den geltenden Vertrag nur in Bezug auf die Dienste kündigen, die von CybelAngel nicht ohne den Einsatz des beanstandeten Unterauftragsverarbeiters erbracht werden können, indem er CybelAngel schriftlich darüber informiert, vorausgesetzt, dass alle Beträge, die im Rahmen des Vertrags vor dem Kündigungsdatum in Bezug auf die fragliche Verarbeitung fällig sind, ordnungsgemäß an CybelAngel gezahlt werden. Der Kunde hat keine weiteren Ansprüche gegen CybelAngel aufgrund (i) der früheren Nutzung von genehmigten Unterverarbeitern vor dem Datum des Widerspruchs oder (ii) der Beendigung der Vereinbarung (einschließlich, ohne Einschränkung, der Forderung nach Rückerstattung) in der in diesem Absatz beschriebenen Situation.

6.2 CybelAngel stellt sicher, dass seine Unterauftragsverarbeiter durch vertragliche Verpflichtungen gebunden sind, die ein Schutzniveau für personenbezogene Daten bieten, das im Wesentlichen mit dem in diesem Datenschutzplan geforderten Niveau vergleichbar ist. CybelAngel bleibt für die Erfüllung der Verpflichtungen seiner Unterauftragsverarbeiter verantwortlich, verpflichtet sich jedoch nicht, Audits seiner Unterauftragsverarbeiter durch den Kunden oder Dritte zu ermöglichen oder zu erleichtern.

7. ÜBERPRÜFUNGEN

Gemäß den geltenden Datenschutzgesetzen kann der Kunde eine (1) Prüfung pro Jahr in seinem eigenen Namen und auf eigene Kosten durchführen, vorausgesetzt, dass der Kunde CybelAngel fünfzehn (15) Werktage im Voraus schriftlich über eine Prüfung informiert. Die maximale Dauer eines Audits beträgt fünf (5) Arbeitstage (wie in Frankreich definiert) und darf nur während der Geschäftszeiten von CybelAngel durchgeführt werden. CybelAngel behält sich das Recht vor, die Wahl eines vom Kunden beauftragten Drittprüfers zu genehmigen, falls der Kunde das Audit nicht selbst durchführt, und kann einen solchen Prüfer nach eigenem Ermessen ablehnen. Der Umfang, die Methode und der Zeitplan eines Audits müssen im Voraus gemeinsam vereinbart werden und dürfen den Geschäftsbetrieb, die Werkzeuge oder die Infrastruktur von CybelAngel nicht unangemessen beeinträchtigen, und alle Audits müssen sich auf die Systeme und die Infrastruktur von CybelAngel beschränken, die für die Verarbeitung der Daten des Kunden im Rahmen dieses Vertrags verantwortlich sind. Der Kunde erklärt sich damit einverstanden, von CybelAngel zur Verfügung gestellte Zertifizierungen und Prüfberichte Dritter (z. B. SOC 2, ISO) zu verwenden, anstatt ein Audit zu verlangen, sofern dies möglich ist.

8. DATENÜBERTRAGUNG

Dieser Abschnitt 8 gilt für jede Verarbeitung personenbezogener Daten, die der DSGVO unterliegen, durch CybelAngel oder seine Unterauftragsverarbeiter.

8.1 CybelAngel wird personenbezogene Daten nicht an Dritte weitergeben oder übertragen, (i) ohne die vorherige schriftliche Zustimmung des Kunden, (ii) wenn dies durch den Vertrag gestattet ist, (iii) wenn eine solche Weitergabe oder Übertragung durch ein anwendbares Gesetz, eine Verordnung oder eine Behörde erforderlich ist oder (iv) gemäß Abschnitt 6.1.

8.2 Der Kunde erkennt an, dass die Erbringung der vertragsgegenständlichen Dienstleistungen die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter in Ländern außerhalb des EWR erfordern kann. Wenn CybelAngel personenbezogene Daten an einen Unterauftragsverarbeiter (einschließlich eines verbundenen Unternehmens von CybelAngel, das als Unterauftragsverarbeiter fungiert) überträgt, bei dem dieser Unterauftragsverarbeiter personenbezogene Daten außerhalb des EWR (und nicht ausschließlich in einem angemessenen Land) verarbeitet, stellt CybelAngel sicher, dass ein Mechanismus zur Erreichung der Angemessenheit in Bezug auf diese Verarbeitung vorhanden ist, wie z. B. (i) die Unterzeichnung von Standardvertragsklauseln (auf der Grundlage von Modul 2 - Übertragung des für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter) zwischen CybelAngel und einem Unterauftragsverarbeiter; (ii) eine EU-U.S. Data Privacy Framework-Zertifizierung (falls anwendbar für U.S.-Unterauftragsverarbeiter); (iii) UK Extension to the EU-U.S. Data Privacy Framework (wo anwendbar für Übertragungen personenbezogener Daten aus dem Vereinigten Königreich); oder (iv) jede andere genehmigte Schutzmaßnahme für Datenübertragungen, die gemäß den Datenschutzgesetzen anerkannt ist.

9. BEVOLLMÄCHTIGTE TOCHTERGESELLSCHAFTEN

9.1 Mit der Unterzeichnung der Vereinbarung stimmt der Kunde der DPA im eigenen Namen und im Namen und im Auftrag seiner autorisierten Tochtergesellschaften zu. Jedes bevollmächtigte Tochterunternehmen stimmt zu, an die Verpflichtungen des Kunden im Rahmen dieser DPP und, soweit zutreffend, an die Vereinbarung gebunden zu sein.

9.2 Der Kunde, der Vertragspartner ist, bleibt verantwortlich für die Koordinierung aller Kommunikation in Bezug auf persönliche Daten mit CybelAngel und ist berechtigt, jegliche Kommunikation in Bezug auf persönliche Daten im Namen seiner autorisierten Partner zu machen und zu empfangen.

9.3 Wenn ein autorisiertes Tochterunternehmen Vertragspartner von CybelAngel wird, ist es in dem Umfang, der nach den geltenden Datenschutzgesetzen und den Bestimmungen dieses Vertrages erforderlich ist, berechtigt, die Rechte auszuüben und Rechtsmittel einzulegen, die im Folgenden aufgeführt sind:

9.3.1 Außer in den Fällen, in denen die anwendbaren Datenschutzgesetze vorschreiben, dass der autorisierte Partner ein Recht ausüben oder einen Rechtsbehelf gegen CybelAngel direkt selbst einlegen muss, vereinbaren die Parteien, dass (i) ausschließlich der Kunde, der Vertragspartner ist, ein solches Recht ausüben oder einen solchen Rechtsbehelf im Namen des autorisierten Partners einlegen wird, und (ii) der Kunde, der Vertragspartner ist, solche Rechte gemäß den Bestimmungen dieses Vertrages nicht separat für jeden autorisierten Partner einzeln, sondern in kombinierter Weise für sich selbst und alle seine autorisierten Partner zusammen ausüben wird.

9.3.2 Der Kunde, der Vertragspartner ist, wird bei der Durchführung von Audits der Verfahren, die für den Schutz personenbezogener Daten relevant sind, alle angemessenen Maßnahmen ergreifen, um die Auswirkungen auf CybelAngel und seine Unterauftragsverarbeiter zu begrenzen, indem er, soweit möglich, alle Audit-Anforderungen an sich selbst und alle seine autorisierten Tochtergesellschaften in einem einzigen Audit zusammenfasst.

10. HAFTUNGSBESCHRÄNKUNG

Die Gesamthaftung jeder Partei und aller ihrer Verbundenen Unternehmen, die sich aus den Bestimmungen dieses Vertrages ergeben oder damit in Zusammenhang stehen, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt Abschnitt 10 (Haftungsbeschränkung) des Vertrages, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer Verbundenen Unternehmen im Rahmen dieses Vertrages. Um Zweifel auszuschließen, wird die Gesamthaftung von CybelAngel und seinen verbundenen Unternehmen für alle Ansprüche des Kunden und aller autorisierten verbundenen Unternehmen nicht so verstanden, dass sie individuell und einzeln für den Kunden und/oder für jedes autorisierte verbundene Unternehmen gilt, das eine Vertragspartei eines solchen DPP ist.

11. RANGFOLGE

Diese Datenschutzvereinbarung berührt nicht die Rechte und Pflichten der Parteien im Rahmen der Vereinbarung, die weiterhin in vollem Umfang in Kraft bleibt. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser Datenschutzvereinbarung Vorrang, soweit es um die Verarbeitung personenbezogener Daten geht.

12. VERSCHIEDENES

Der für die Verarbeitung Verantwortliche übermittelt dem Datenschutzbeauftragten des Auftragsverarbeiters alle Mitteilungen und Bekanntmachungen, die sich aus den Bestimmungen dieser Verordnung ergeben:

Name: CybelAngel SAS
Anschrift: 51 rue Le Peletier, 75009 Paris, Frankreich
Name, Position und Kontaktdaten der Kontaktperson:

Heather Kuch
Datenschutzbeauftragter
[email protected]

ANHANG I

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

A. Physische Zugangskontrolle

Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur physischen Zugangskontrolle, sofern personenbezogene Daten in den Räumlichkeiten/Gebäuden des Auftragsverarbeiters verarbeitet werden. Der Zugang zu solchen personenbezogenen Daten außerhalb dieser Räumlichkeiten/Gebäude ist nicht gestattet:

1. Beschränkung der Zugangsrechte zu Bürogebäuden, Rechenzentren und Serverräumen auf das erforderliche Minimum.
2. Wirksame Kontrolle der Zugangsrechte durch ein angemessenes Schließsystem (z. B. Sicherheitsschlüssel mit dokumentierter Schlüsselverwaltung, elektronische Schließsysteme mit dokumentierter Verwaltung der Berechtigungen).
3. Es müssen umfassende und vollständig dokumentierte Verfahren für die Erlangung, Änderung und den Entzug der Zugangsberechtigung vorhanden sein.
4. Regelmäßige und dokumentierte Überprüfung der bisher erteilten Zugangsberechtigungen.
5. Angemessene Maßnahmen zur Verhinderung und Aufdeckung von unbefugtem Zutritt und Zutrittsversuchen (z.B. regelmäßige Überprüfung des Einbruchschutzes der Türen, Tore und Fenster, Alarmanlagen, Videoüberwachung, Wachpersonal, Sicherheitsstreifen).
6. Schriftliche Regelungen für Mitarbeiter und Besucher zum Umgang mit technischen Zugangssicherungsmaßnahmen.

B. Logische Zugangskontrolle zu Systemen

Die Nutzung der Systeme zur Verarbeitung personenbezogener Daten durch Unbefugte muss verhindert werden.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen, um den Zugang zu Systemen und Netzen zu kontrollieren, in denen personenbezogene Daten verarbeitet werden oder über die der Zugang zu personenbezogenen Daten möglich ist:

1. Beschränkung der Zugangsrechte zu IT-Systemen und nicht-öffentlichen Netzen auf das notwendige Minimum.
2. Effektive Kontrolle von Authentifizierung, Autorisierung und Abrechnung durch personalisierte und eindeutige Benutzerkennungen und sichere Authentifizierungsverfahren.
3. Bei der Verwendung von Passwörtern zur Authentifizierung sind Regeln festzulegen, die die Qualität der Passwörter in Bezug auf Länge, Komplexität und Änderungshäufigkeit gewährleisten. Um die Qualität der Passwörter zu gewährleisten, sind technische Prüfverfahren anzuwenden.
4. Bei der Verwendung von asymmetrischen Schlüsselverfahren (z.B. Zertifikate, Private-Public-Key-Verfahren) zur Authentisierung ist darauf zu achten, dass geheime (private) Schlüssel immer mit einem Passwort (Passphrase) geschützt werden. Die Anforderungen gemäß obigem Absatz 3 sind zu beachten.
5. Alle Konten müssen regelmäßig vollständig überprüft werden, und der Zugang muss entfernt werden, wenn er nicht regelmäßig benötigt wird.
6. Regelmäßige und dokumentierte Überprüfung der bisher erteilten logischen Zugriffsberechtigungen.
7. Es müssen geeignete Maßnahmen zur Sicherung der Netzinfrastruktur ergriffen werden (z. B. Sicherheit der Netzanschlüsse nach IEEE 802.1X, Intrusion Detection Systems, Verwendung der Zwei-Faktor-Authentifizierung für den Fernzugriff, Trennung der Netze, Inhaltsfilterung, verschlüsselte Netzprotokolle usw.).
8. Schriftliche Regelungen für Mitarbeiter im Umgang mit den oben genannten Sicherheitsmaßnahmen und der sicheren Verwendung von Passwörtern.
9. Sicherstellung der sofortigen Installation von kritischen/oder wichtigen Sicherheitsupdates/Patches:
   • in den Betriebssystemen der Kontrolleure,
   • in Server-Betriebssystemen, die über öffentliche Netze zugänglich sind (z. B. Webserver);
   • in Anwendungsprogrammen (einschließlich Browser, Plugins, PDF-Reader usw.); und
   • in der Sicherheitsinfrastruktur (Virenscanner, Firewalls, IDS-Systeme, Content-Filter, Router usw.) innerhalb von 48 Stunden nach Veröffentlichung durch den Hersteller sowie in den Server-Betriebssystemen der internen Server innerhalb von 1 Woche nach Veröffentlichung durch den Hersteller.

C. Zugangskontrolle zu personenbezogenen Daten

Nur Personen, die zur Nutzung eines Systems zur Verarbeitung personenbezogener Daten befugt sind, können auf die personenbezogenen Daten zugreifen, vorbehaltlich ihrer Zugriffsberechtigung, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können.

Ist der Auftragsverarbeiter für die Zugangsberechtigung zu den personenbezogenen Daten verantwortlich, so trifft er folgende Maßnahmen zur Zugangskontrolle:

1. Beschränkung der Zugriffsberechtigung auf personenbezogene Daten auf das erforderliche Minimum.
2. Effektive Kontrolle der Zugriffsberechtigung durch ein angemessenes Rechte- und Rollenkonzept.
3. Es muss ein umfassendes und vollständig dokumentiertes Verfahren für die Genehmigung des Zugangs, der Änderung, des Kopierens und des Widerrufs personenbezogener Daten vorhanden sein.
4. Regelmäßige und dokumentierte Überprüfung der bisher vergebenen Zugangsberechtigungen.
5. Angemessene Maßnahmen zum Schutz von Endgeräten, Servern und anderen Infrastrukturelementen vor unbefugtem Zugriff (z.B. mehrstufiges Virenschutzkonzept, Content Filtering, Application Firewall, Intrusion Detection Systeme, Desktop Firewalls, Systemhärtung, Content Encryption) sind zu ergreifen.
6. Verschlüsselung von Datenträgern - angepasst an den aktuellen Stand der Technik - Algorithmen zum Schutz von mobilen Geräten (Laptops, Tablet-PCs, Smartphones usw.) und Datenträgern (externe Festplatten, USB-Sticks, Speicherkarten usw.) durchzusetzen.
7. Protokollierung des Zugriffs auf personenbezogene Daten durch alle Benutzer einschließlich der Administratoren.
8. Technische Sicherheitsmaßnahmen für Export- und Importschnittstellen (hardware- und anwendungsbezogen).

Ist der Auftragsverarbeiter nicht für die Zugriffsberechtigung auf personenbezogene Daten verantwortlich, so hat er folgende Mitwirkungspflichten bei der Zugriffskontrolle:

1. Ein umfassendes und vollständig dokumentiertes Verfahren für die Beantragung, Änderung und den Entzug von Zugangsberechtigungen in ihrem Zuständigkeitsbereich.
2. Regelmäßige und dokumentierte Überprüfung der bisher vergebenen Zugangsberechtigungen, soweit dies möglich ist.
3. Sofortige Benachrichtigung des für die Verarbeitung Verantwortlichen, wenn die bestehenden Zugangsberechtigungen nicht mehr erforderlich sind.

D. Übertragungskontrolle

Der Auftragsverarbeiter stellt die zu verarbeitenden personenbezogenen Daten in einem Übermittlungsverfahren zur Verfügung, das in einem Vertrag/Auftrag festgelegt wird. Die Ergebnisse der Verarbeitung werden ebenfalls in einem festgelegten Übermittlungsverfahren an den Verantwortlichen zurückübermittelt. Das Übermittlungsverfahren sowie die Sicherheitsmaßnahmen der Übermittlung (Übermittlungskontrolle) sind anforderungsgerecht festzulegen; insbesondere ist der Einsatz modernster Verschlüsselungstechnik vorzusehen.

Es muss gewährleistet sein, dass personenbezogene Daten während der elektronischen Übermittlung oder während des Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden und dass überprüft und festgestellt werden kann, an welchen Orten eine Übermittlung personenbezogener Daten mittels Geräten zur Datenübertragung vorgesehen ist.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur Übermittlungskontrolle, sofern personenbezogene Daten von ihm empfangen, übermittelt oder transportiert werden:

1. Geeignete Maßnahmen zur Sicherung der Netzinfrastruktur (z. B. Sicherheit der Netzanschlüsse nach IEEE 802.1X, Intrusion Detection Systems, Verwendung der 2-Faktor-Authentifizierung für den Fernzugriff, Trennung der Netze, Inhaltsfilterung, verschlüsselte Netzprotokolle usw.) müssen angewendet werden.
2. Personal Data Medienverschlüsselung mit - nach dem aktuellen Stand der Technik - als sicher einzustufenden Algorithmen zum Schutz von mobilen Geräten (Laptops, Tablet-PCs, Smartphones, etc.) und Datenträgern (externe Festplatten, USB-Sticks, Speicherkarten, etc.).
3. Verwendung von verschlüsselten Kommunikationsprotokollen (z. B. TLS-basierten Protokollen).
4. Inspektionsmechanismen zur Identifizierung von Gegenstellen bei Übertragungen.
5. Abgleich der Prüfsummen mit den empfangenen personenbezogenen Daten.
6. Schriftliche Regelungen für Mitarbeiter zum Umgang und zur Sicherheit von mobilen Geräten und Datenträgern.

E. Kontrolle der Dateneingabe

Es muss sichergestellt sein, dass nachträglich kontrolliert und überprüft werden kann, ob und von wem auf personenbezogene Daten zugegriffen werden kann, ob sie in Datenverarbeitungssystemen verändert oder aus ihnen entfernt werden können.

Der Auftragsverarbeiter trifft folgende Maßnahmen, um den Zugang zu seinen Systemen, die der Datenverarbeitung dienen, zu kontrollieren bzw. den Zugang zu diesen Systemen zu ermöglichen oder zu gewähren:

1. Erstellung und revisionssichere Speicherung von Prozessprotokollen.
2. Sicherung der Backup-Protokolldateien gegen Manipulationen.
3. Protokollierung und Analyse von fehlgeschlagenen Anmeldeversuchen.
4. Sicherstellen, dass keine Gruppenkonten (auch Administratoren oder root) verwendet werden können.

F. Kontrolle der Datenverarbeitung

Es muss sichergestellt werden, dass alle personenbezogenen Daten, die verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden können.

Der Auftragsverarbeiter muss Prozesse und Dokumentationen für die Datenverarbeitung einführen:

1. die Auswahl von (Unter-)Verarbeitern im Rahmen der Datenschutzgesetzgebung und technische Aspekte;
2. Sicherstellung der gesetzlich vorgeschriebenen Vorabkontrolle der (Unter-)Verarbeiter gemäß der Datenschutzgesetzgebung;
3. Gewährleistung der rechtzeitigen Unterweisung der betrieblichen Datenschutzbeauftragten bei der Einführung neuer oder der Änderung bestehender Verfahren zur Verarbeitung personenbezogener Daten;
4. die Verpflichtung aller für die Verarbeitung personenbezogener Daten verantwortlichen Personen zur Wahrung des Datengeheimnisses gemäß der Datenschutzgesetzgebung;
5. regelmäßige Überprüfung der Korrektheit der Anwendung von Datenverarbeitungsprogrammen, mit denen personenbezogene Daten verarbeitet werden;
6. Sicherstellung, dass die mit der Datenverarbeitung betrauten Personen mit der einschlägigen Datenschutzgesetzgebung vertraut gemacht werden;
7. Aufrechterhaltung der Qualifikation des betrieblichen Datenschutzbeauftragten (falls ernannt);
8. Sicherstellung der unverzüglichen Benachrichtigung des für die Verarbeitung Verantwortlichen im Falle einer unrechtmäßigen Kenntniserlangung von personenbezogenen Daten; und
9. Gewährleistung der unverzüglichen Berichtigung, Sperrung und Löschung personenbezogener Daten auf Anweisung des für die Verarbeitung Verantwortlichen.

G. Verfügbarkeitskontrolle

Es ist sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

Der Verarbeiter führt folgende Maßnahmen zur Kontrolle der Verfügbarkeit durch:

1. Betrieb und regelmäßige Wartung von Brandmeldeanlagen in Serverräumen, Rechenzentren und kritischen Infrastrukturbereichen.
2. Erstellung täglicher Sicherungskopien und Gewährleistung einer robusten und widerstandsfähigen Notfallwiederherstellungsfunktion
3. Sicherstellung der Lagerung in einem separaten Brandabschnitt.
4. Regelmäßige Überprüfung und Tests der Integrität von Sicherungskopien.
5. Verfahren und Dokumentation für die Wiederherstellung von Systemen und personenbezogenen Daten.

H. Kontrolle der Mittelverwendung

Es ist sicherzustellen, dass die für unterschiedliche Zwecke erhobenen personenbezogenen Daten getrennt verarbeitet werden können.

Der Auftragsverarbeiter ergreift die folgenden Maßnahmen zur Trennung der personenbezogenen Daten, sofern sie in seinem Verantwortungsbereich liegen:

1. Logische und/oder physische Trennung von Test-, Entwicklungs- und Produktionssystemen.
2. Trennung der Controller innerhalb der Verarbeitungssysteme und an den Schnittstellen.
3. Sicherstellung der kontinuierlichen Identifizierbarkeit der personenbezogenen Daten.

I. Aufbewahrung und Löschung von personenbezogenen Daten

Personenbezogene Daten werden nur so lange aufbewahrt, wie dies erforderlich ist, und gelöscht, wenn die Verarbeitung abgeschlossen ist.

Der Auftragsverarbeiter ergreift folgende Maßnahmen, um die Löschung personenbezogener Daten sicherzustellen, sofern diese in seinem Verantwortungsbereich liegen:

1. Gewährleistung der kontinuierlichen Löschbarkeit von Daten auf Ersuchen des für die Verarbeitung Verantwortlichen.
2. Verfahren, Werkzeuge und Dokumentation zur sicheren Löschung in einer Weise, dass eine Wiederherstellung der Daten nach dem heutigen Stand der Technik nicht möglich ist.
3. Richtlinien für Mitarbeiter, wie und wann welche Daten gelöscht werden sollten.

G. Bescheinigungen

CybelAngel ist im Besitz einer SOC 2 TYPE I Zertifizierung. Der Nachweis einer solchen Zertifizierung kann dem für die Verarbeitung Verantwortlichen auf Anfrage vorgelegt werden.

ANHANG II

Liste der Unterauftragsverarbeiter von CYBELANGEL, an die ein Teil der personenbezogenen Daten unseres Kunden übermittelt werden kann

CYBELANGEL-SUBPROZESSOREN

Subprozessor	Standort	Art der Unterveredelung	Kategorien von identifizierbaren Daten	Schutzmaßnahmen
AMPLITUDE Amplitude, Inc. 631 Howard Street, Stockwerk 5 San Francisco, CA 94105, USA [email protected]	Vereinigte Staaten	Aggregation und Analyse anonymisierter oder pseudonymisierter Telemetrie- und Nutzungsmetriken zur Erstellung statistischer Berichte und Dashboards zur Verbesserung der Erkennung und Servicequalität	Persönliche Daten (E-Mail-Adresse, Vorname, Nachname, Rolle des Plattformnutzers, Sprache, IP-Adresse) und Nutzungsgewohnheiten des Dienstes	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II - ISO 27001
APPCUES Appcues, Inc. 177 Huntington Ave Ste 1703 Boston, MA 02115, USA [email protected]	Vereinigte Staaten	Benutzerdefinierte In-App-Benachrichtigungen	Berufliche Daten (E-Mail-Adresse, Vorname, Nachname, Rolle des Plattformbenutzers, Sprache)	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II
DATADOG Datadog, Inc. 620 8th Avenue, Stockwerk 45 New York, NY 10018, USA [email protected]	Europa	Anwendungsprotokoll	IP-Adressen, die als Schlüsselwörter angegeben werden, berufliche Informationen (E-Mail-Adresse)	- DATENSCHUTZ-GRUNDVERORDNUNG - SOC 2 Typ II
FIVETRAN Fivetran, Inc. 1221 Broadway St Stockwerk 20 Oakland, CA 94612, USA [email protected]	Europa	Daten-Synchronisation	Berufliche Informationen (E-Mail-Adresse, Vorname, Nachname, Unternehmen, Position, Sprache, Telefon, personenbezogene Daten in der Unterschrift) und alle anderen Informationen, die während der Interaktion mit dem Support-Team mitgeteilt wurden	- DATENSCHUTZ-GRUNDVERORDNUNG - ISO 27001 - SOC 2 Typ I & II - Fast sofortige Löschung
FRESHDESK Freshworks Inc. 2950 S. Delaware Street San Mateo, CA 94403, USA [email protected]	Europa	Anwendung Technische Unterstützung	Berufliche Informationen (E-Mail-Adresse, personenbezogene Daten in der Unterschrift) und alle anderen Informationen, die während der Interaktion mit dem Support-Team mitgeteilt wurden	- DATENSCHUTZ-GRUNDVERORDNUNG - SOC 2 Typ II - ISO 27001
GOOGLE Google Irland Limited Gordon House, Barrow Street Dublin 4, Irland [email protected]	Irland, Niederlande, Finnland, Belgien	Hosting-Anbieter, E-Mail-Austauschdienst, maschinelle Lernverarbeitung (einschließlich Inhaltsanalyse, Zusammenfassung, Anreicherung und Übersetzungen)	Jegliche Art von beruflichen oder persönlichen Informationen, die während der Nutzung des Dienstes zur Verfügung gestellt oder entdeckt werden	- DATENSCHUTZ-GRUNDVERORDNUNG - ISO 27001 - SOC 2 Typ II
HUBSPOT HubSpot, Inc. 25 First Street, 2. Stock Cambridge, MA 02141, USA	Vereinigte Staaten	Marketing-Automatisierung, Aktivierung von Funktionen, Einverständniserklärungen	Berufliche Daten (E-Mail-Adresse, Vorname, Nachname, Unternehmen, Position, Sprache, Telefon)	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II
MATCHMYEMAIL RAE Internet, Inc. 30 Cricket Lane Dobbs Ferry, NY 10522, USA	Deutschland	E-Mail-Synchronisierung mit Salesforce	Berufliche Informationen (E-Mail-Adresse, Vorname, Nachname, Unternehmen)	- DATENSCHUTZ-GRUNDVERORDNUNG - SOC 2 Typ II
NEO4J Neo4j, Inc. 111 East 5th Avenue San Mateo, CA 99401, USA [email protected]	Belgien	Karte der Vermögenswerte	IP-Adressen, die als Schlüsselwörter angegeben wurden, E-Mail-Adressen, die bei der Nutzung des Dienstes ermittelt wurden	- EU-US-Datenschutzrahmen - DATENSCHUTZ-GRUNDVERORDNUNG - SOC 2 Typ II
OKTA (ehemals Auth0) Okta, Inc. 100 First Street, Stockwerk 6 San Francisco, CA 94105, USA [email protected]	Deutschland, Vereinigte Staaten	Authentifizierung	Berufliche Informationen (E-Mail, Adresse, Vorname, Nachname, Telefonnummer)	EU-US-Datenschutzrahmen - UK Erweiterung - Schweiz-U.S. DPF - DATENSCHUTZ-GRUNDVERORDNUNG - Standardvertragsklauseln - SOC 2 Typ II
OPENAI OpenAI 1455 3rd Street San Francisco, CA 94158, USA [email protected]	Vereinigte Staaten	Automatisierung von Aufgaben; Zusammenfassung von Inhalten, Anreicherung	Jegliche Art von beruflichen oder persönlichen Informationen, die während der Nutzung des Dienstes zur Verfügung gestellt oder entdeckt werden	- DATENSCHUTZ-GRUNDVERORDNUNG - CCPA - Standardvertragsklauseln - SOC 2 Typ I & III - ISO 27001 - ISO 27018
SALESFORCE Salesforce.com EMEA Limited Dorf 9, Stockwerk 26 110 Bishopsgate London, UK EC2N 4AY [email protected]	Frankreich, Deutschland	Handelsbeziehungen, Marketing-Automatisierung	Berufliche Daten (E-Mail-Adresse, Vorname, Nachname, Unternehmen, Position, Sprache, Telefon)	- DATENSCHUTZ-GRUNDVERORDNUNG - ISO 27001 - SOC 2 Typ II
SEGMENT Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105, USA [email protected]	Vereinigte Staaten	Aggregation und Analyse anonymisierter oder pseudonymisierter Telemetrie- und Nutzungsmetriken zur Erstellung statistischer Berichte und Dashboards zur Verbesserung der Erkennung und Servicequalität	Personenbezogene Daten (E-Mail-Adresse, Vorname, Nachname, Rolle des Plattformnutzers, Sprache, IP-Adresse) und Nutzungsgewohnheiten der Plattform	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II - ISO 27001
SENDGRID Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105, USA [email protected]	Vereinigte Staaten	Bewerbungs-E-Mails	Berufliche Informationen (E-Mail Adresse)	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II - ISO 27001 - ISO 27017 - ISO 27018
SENTINELONE SentinelOne 444 Castro Straße, Suite 400 Mountain View, CA 94041, USA [email protected]	Vereinigte Staaten	Antiviren-Analyse	Metadaten von Servern, die von Analysten heruntergeladen wurden, Liste von Schlüsselwörtern und beruflichen Informationen (E-Mail-Adresse, Vorname, Nachname, Rolle des Plattformbenutzers, Sprache, Unternehmen, Position, Telefon), die in gemeinsam genutzten Dokumenten vorhanden sind	- EU-US-Datenschutzrahmen - SOC 2 Typ II - ISO 27001
TWILIO Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105, USA [email protected]	Vereinigte Staaten	Anwendung 2FA-Textnachricht	Berufliche oder persönliche Informationen (Telefonnummer)	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II - ISO 27001 - ISO 27017 - ISO 27018
WORKATO Workato, Inc. 215 Castro St Mountain View, CA 94041, USA [email protected]	Europa	Anschluss eines Drittanbieters	Berufliche Daten (E-Mail-Adresse) und jede Art von persönlichen oder personenbezogenen Daten, die bei der Nutzung des Dienstes festgestellt werden	- Standardvertragsklauseln - DATENSCHUTZ-GRUNDVERORDNUNG - SOC 2 Typ II
ZAPIER Zapier Inc. 548 Marktstraße #62411 San Francisco, CA 94104, USA [email protected]	Vereinigte Staaten	Automatisierung von Aufgaben, Benachrichtigungs-Workflows und Tool-Integrationen	Berufliche Daten (E-Mail-Adresse, Vorname, Nachname, Unternehmen, Benutzerrolle auf der Plattform)	- EU-US-Datenschutzrahmen - Standardvertragsklauseln - SOC 2 Typ II

“Die ”Plattform-Benutzerrolle" bezieht sich auf die Benutzerzugriffsebenen innerhalb der CybelAngel-Plattform (z. B. Administrator, Standardbenutzer), nicht auf die Stellenbezeichnung der Organisation.