Nachtrag zur Datenverarbeitung Changelog

Zuletzt überarbeitet und aktualisiert am 14.01.2022. Klicken Sie hier, um unseren neuen AV-Vertrag zu lesen.

Diese Vereinbarung zur Datenverarbeitung (dieser „AV-Vertrag“) ist Teil der Mailgun-Nutzungsbedingungen (die „Hauptvereinbarung“) von und zwischen Mailgun Technologies, Inc. in eigenem Namen und im Namen seiner Tochterunternehmen (zusammen „Mailgun“) und dem „Kunden“ und unterliegt der Hauptvereinbarung.

1. Definitionen.

Für die Zwecke dieses Nachtrags haben großgeschriebene Begriffe die folgenden Bedeutungen. Nicht anders definierte Begriffe mit Großbuchstaben haben die in der Hauptvereinbarung angegebene Bedeutung.

(a)Tochterunternehmen“ bezeichnet die folgenden Unternehmen, die Eigentum von Mailgun Technologies, Inc. sind oder unter seiner Kontrolle stehen: Mailjet SAS und seine Tochterunternehmen.

(b)Personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten, die von Mailgun im Auftrag des Kunden verarbeitet werden, um die Dienste gemäß der Hauptvereinbarung zu erbringen.

(c)EU-Datenschutzgesetze“ bezeichnet die DSGVO, die in die innerstaatlichen Rechtsvorschriften der einzelnen Mitgliedsstaaten (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst werden, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO.

(d)DSGVO“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679.

(e)EWR“ bezeichnet den Europäischen Wirtschaftsraum.

(f)Mailgun-Infrastruktur“ bezeichnet (i) physische Mailgun-Einrichtungen; (ii) gehostete Cloud-Infrastruktur; (iii) das Unternehmensnetzwerk von Mailgun und das nicht öffentliche interne Netzwerk, die Software und Hardware, die zur Bereitstellung der Dienste erforderlich sind und von Mailgun kontrolliert werden; jeweils in dem Umfang, in dem die Dienste erbracht werden.

(g)Eingeschränkte Übertragung“ bezeichnet eine Übertragung der personenbezogenen Daten des Kunden von Mailgun an einen Subprozessor, wenn eine solche Übertragung durch EU-Datenschutzgesetze (oder durch die Bestimmungen von Datenübertragungsvereinbarungen, die zur Beseitigung der Datenübertragungsbeschränkungen der EU-Datenschutzgesetze getroffen wurden), verboten wäre, sofern keine angemessenen Schutzmaßnahmen für solche Übertragungen gemäß den EU-Datenschutzgesetzen erforderlich sind.

(h)Dienste“ bezeichnet die Dienste, die Mailgun dem Kunden gemäß der Hauptvereinbarung erbringt.

(i)Standardvertragsklauseln“ bezeichnet die neueste Version der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter (die aktuelle Version zum Zeitpunkt dieses Nachtrags ist dem Beschluss 2021/914/UE der Europäischen Kommission beigefügt).

(j) Die Begriffe „Zustimmung“, „Datenverantwortlicher“, „betroffene Person“, „Mitgliedsstaat“, „personenbezogene Daten“, „Verletzung personenbezogener Daten,“, „Verarbeiter“, „Subprozessor“, „Verarbeitung“, „Aufsichtsbehörde“ und „Dritte“ haben die in Artikel 4 der DSGVO angegebenen Bedeutungen.

2. Einhaltung der EU-Datenschutzgesetze

(a) Mailgun und der Kunde müssen jeweils die Bestimmungen und Verpflichtungen einhalten, die ihnen durch die EU-Datenschutzgesetze auferlegt wurden, und sicherstellen, dass ihre Mitarbeiter, Vertreter und Auftragnehmer die Bestimmungen der EU-Datenschutzgesetze einhalten.

3. Details und Umfang der Verarbeitung

(a) Die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung erfolgt gemäß den folgenden Bestimmungen und gemäß Artikel 28 Absatz 3 der DSGVO. Die Parteien können diese Informationen von Zeit zu Zeit ändern, wenn die Parteien dies nach vernünftigem Ermessen für erforderlich halten, um diese Anforderungen zu erfüllen.

(i) Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.

(ii) Art und Zweck der Verarbeitung personenbezogener Daten: Gemäß der Hauptvereinbarung stellt Mailgun dem Kunden bestimmte E-Mail- und SMS-Dienste zur Verfügung, die die Verarbeitung personenbezogener Daten beinhalten. Solche Verarbeitungsaktivitäten umfassen (a) die Bereitstellung der Dienste; (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen; und (c) die Beantwortung von Supportanfragen des Kunden.

(iii) Die Arten der zu verarbeitenden personenbezogenen Daten: Die übermittelten personenbezogenen Daten, deren Umfang vom Datenverantwortlichen nach eigenem Ermessen festgelegt und kontrolliert wird, umfassen Name, E-Mail, IP-Adresse der Telefonnummer und andere personenbezogene Daten, die in den Kontaktlisten und im Nachrichteninhalt enthalten sind.

(iv) Die Kategorien der betroffenen Person, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail und SMS-Nachrichten.

(b) Mailgun verarbeitet die personenbezogenen Daten des Kunden (i) nur zum Zwecke der Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung und (i) gemäß den in diesem Nachtrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.

(c) Wenn Mailgun der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses Nachtrags oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In beiden Fällen ist Mailgun berechtigt, die Ausführung der entsprechenden Anweisung zu verschieben, bis sie vom Kunden geändert oder sowohl vom Kunden als auch von Mailgun einvernehmlich vereinbart wurde.

(d) Der Kunde ist allein verantwortlich für die Nutzung und Verwaltung der von den Diensten übermittelten oder übertragenen personenbezogenen Daten, einschließlich: (i) Überprüfung der Empfängeradressen und korrekte Eingabe in die Dienste (ii) angemessene Benachrichtigung eines Empfängers über die Unsicherheit von E-Mails als Mittel zur Übermittlung personenbezogener Daten (sofern zutreffend), (iii) angemessene Begrenzung der Menge oder Art der Informationen, die durch die Dienste offengelegt werden (iv) Verschlüsselung aller über die Dienste übertragenen personenbezogenen Daten, sofern dies nach geltendem Recht angemessen oder erforderlich ist (z. B. durch Verwendung verschlüsselter Anhänge, PGP-Toolsets oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalte, werden bei der Verarbeitung durch die Mailgun-Infrastruktur in einem verschlüsselten Format gespeichert.

4. Datenverantwortlicher und Verarbeiter

(a) Für die Zwecke dieses Nachtrags ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Mailgun ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Mailgun ein Subprozessor.

(b) Mailgun muss jederzeit über einen Beauftragten verfügen, der dafür verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bezüglich der Datenverarbeitung, die von betroffenen Personen erhalten wurden, zu unterstützen; und (ii) beim Ausfüllen aller rechtlichen Informationen und Offenlegungspflichten, die für die Datenverarbeitung gelten und damit verbunden sind. Der Datenschutzbeauftragte kann direkt über privacy@mailgun.com kontaktiert werden.

(c) Der Kunde garantiert, dass:

(i) die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den EU-Datenschutzgesetzen erforderlich sein kann, und alle erforderlichen Rechte, Berechtigungen, Registrierungen und Einwilligungen in Übereinstimmung mit den Bestimmungen der Hauptvereinbarung während der gesamten Laufzeit der Hauptvereinbarung getroffen hat und mit und gemäß den EU-Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Mailgun gemäß diesem Nachtrag und der Hauptvereinbarung aufrecht erhält;

(ii) er berechtigt ist und über alle erforderlichen Rechte, Berechtigungen und Einwilligungen verfügt, um die personenbezogenen Daten des Kunden an Mailgun zu übertragen und Mailgun anderweitig die Verarbeitung der personenbezogenen Daten des Kunden in seinem Namen zu gestatten, damit Mailgun die personenbezogenen Daten des Kunden rechtmäßig verwenden, verarbeiten und übertragen kann, um die Dienste zu erbringen und die anderen Rechte und Pflichten von Mailgun gemäß diesem Nachtrag und der Hauptvereinbarung zu erfüllen;

(iii) er seine betroffenen Personen über den Einsatz von Verarbeitern bei der Verarbeitung seiner personenbezogenen Daten informieren wird, soweit dies nach den geltenden EU-Datenschutzgesetzen erforderlich ist; und

(iv) er in angemessener Zeit und soweit dies nach vernünftigem Ermessen möglich ist, auf Anfragen von betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten reagieren und dem Verarbeiter rechtzeitig entsprechende Anweisungen erteilen wird.

5. Vertraulichkeit

(a) Mailgun stellt sicher, dass jeder seiner Mitarbeiter und Subprozessoren, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegt und mit den einschlägigen Sicherheits- und Datenschutzanforderungen geschult ist.

6. Technische und organisatorische Maßnahmen

(a) Mailgun ergreift und dokumentiert in Bezug auf die personenbezogenen Daten des Kunden gegebenenfalls vernünftige und angemessene Maßnahmen, die gemäß Artikel 32 der DSGVO in Bezug auf die Sicherheit der Mailgun-Infrastruktur und der zur Bereitstellung der Dienste verwendeten Plattformen, wie in der Hauptvereinbarung beschrieben, erforderlich sind und (b) auf begründete Anfrage auf Kosten des Kunden den Kunden dabei unterstützen, die Einhaltung der Verpflichtungen des Kunden gemäß Artikel 32 der DSGVO sicherzustellen.

(b) Die internen Betriebsverfahren von Mailgun müssen den spezifischen Anforderungen eines effektiven Datenschutzmanagements entsprechen.

7. Anträge von betroffenen Personen

(a) Mailgun bietet spezielle Tools, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen. Dazu gehören unsere APIs und Schnittstellen zum Durchsuchen von Ereignisdaten, Unterdrücken und Abrufen von Nachrichteninhalten. Wenn Mailgun eine Beschwerde, Anfrage oder Anforderung (einschließlich Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den EU-Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, benachrichtigt Mailgun den Kunden innerhalb von 14 Tagen nach Erhalt der Beschwerde, Anfrage oder Anforderung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Mailgun den Kunden auf Kosten des Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung dieser Rechte der betroffenen Personen zu reagieren.

8. Verletzungen personenbezogener Daten

(a) Mailgun wird den Kunden unverzüglich benachrichtigen, sobald Mailgun Kenntnis von einer Verletzung von personenbezogenen Daten erhält, die sich auf die personenbezogenen Daten des Kunden auswirkt. Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Mailgun zur Verfügung stehen, unternimmt Mailgun wirtschaftlich angemessene Anstrengungen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen zur Meldung oder Information von Regulierungsbehörden, betroffene Personen und andere Personen, die gegen solche personenbezogenen Daten verstoßen, in dem nach den EU-Datenschutzgesetzen erforderlichen Umfang erfüllen kann.

9. Datenschutz-Folgenabschätzungen

(a) Mailgun leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Aufsichtsbehörden, sofern dies für den Kunden zur Erfüllung seiner Verpflichtungen aus den EU-Datenschutzgesetzen erforderlich ist.

10. Audits

(a) Mailgun stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die zumutbar sind, um die Einhaltung dieses Nachtrags durch den Kunden nachzuweisen.

(b) Der Kunde oder ein beauftragter externer Prüfer kann auf schriftlichen begründeten Antrag eine Überprüfung in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Mailgun und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Mailgun zu unterbrechen und die Vertraulichkeit zu gewährleisten. Der Kunde ist für alle Kosten und Aufwendungen des Verarbeiters verantwortlich, die sich aus der Bereitstellung solcher Prüfungsrechte ergeben.

11. Rückgabe oder Zerstörung der personenbezogenen Daten des Kunden

(a) Der Kunde kann durch schriftliche Mitteilung an Mailgun die Rückgabe und/oder Löschbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich in der Kontrolle oder im Besitz von Mailgun und Subprozessoren befinden. Mailgun stellt eine Kopie der Daten des Datenverantwortlichen in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.

(b) Innerhalb von neunzig (90) Tagen nach Terminierung des Kontos muss der Verarbeiter alle gemäß diesem Nachtrag verarbeiteten personenbezogenen Daten löschen und/oder zurückgeben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder die Vereinbarung festgelegte Aufbewahrungsfristen. Mailgun kann elektronische Kopien von Dateien aufbewahren, die personenbezogene Daten des Kunden enthalten, die gemäß automatischen Archivierungs- oder Sicherungsverfahren erstellt wurden und nicht vernünftigerweise gelöscht werden können. In diesen Fällen stellt Mailgun sicher, dass die personenbezogenen Daten des Kunden nicht weiter aktiv verarbeitet werden.

(c) Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf der Vereinbarung entstehen, trägt der Kunde.

12. Datenübermittlungen

(a) Nach Ausführung dieses Nachtrags schließt Mailgun auf Anfrage des Kunden und auf Anforderung der EU-Datenschutzgesetze als Datenimporteur die Standardvertragsklauseln ab, wobei der Kunde als Datenexporteur fungiert. Wenn die Vereinbarung von Mailgun mit einem Subprozessor eine eingeschränkte Übertragung beinhaltet, stellt Mailgun sicher, dass die Weiterleitungsbestimmungen der Standardvertragsklauseln in die Hauptvereinbarung zwischen Mailgun und dem Subprozessor aufgenommen oder anderweitig geschlossen werden. Der Kunde erklärt sich damit einverstanden, sein Prüfungsrecht in den Standardvertragsklauseln auszuüben, indem er Mailgun anweist, die Prüfung gemäß Absatz 10 durchzuführen.

(b) Der Datenverantwortliche erkennt an und erklärt sich damit einverstanden, dass der Verarbeiter im Zusammenhang mit der Erbringung der Dienste im Rahmen der Vereinbarung personenbezogene Daten innerhalb seiner Unternehmensgruppe übertragen kann. Diese Übertragungen sind für die globale Bereitstellung der Dienste erforderlich und für interne Verwaltungszwecke gerechtfertigt.

(c) Für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich an Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, soweit solche Übertragungen den Datenschutzgesetzen und -bestimmungen unterliegen und um angemessene Schutzmaßnahmen umzusetzen, werden folgende Schutzmaßnahmen getroffen: (i) Standardvertragsklauseln gemäß dem Beschluss 2010/87/EU der Europäischen Kommission und (2) zusätzliche Schutzmaßnahmen in Bezug auf Sicherheitsmaßnahmen, einschließlich Grundsätze zur Datenverschlüsselung und Datenminimierung.

13. Unterverarbeitung

(a) Der Kunde ermächtigt Mailgun hiermit, Subprozessoren gemäß diesem Absatz 13 und Anhang 2 zu ernennen, vorbehaltlich etwaiger Einschränkungen in der Hauptvereinbarung. Mailgun stellt sicher, dass Subprozessoren an schriftliche Vereinbarungen gebunden sind, nach denen sie mindestens das von Mailgun gemäß diesem Nachtrag geforderte Datenschutzniveau gewährleisten müssen. Mailgun kann weiterhin die Subprozessoren verwenden, die zum Zeitpunkt dieses Nachtrags bereits beschäftigt waren.

(b) Mailgun hat den Kunden vorab schriftlich über die Ernennung eines neuen Subprozessors zu informieren. Wenn der Kunde Mailgun innerhalb von zehn (10) Werktagen nach Erhalt dieser Mitteilung alle Einwände aus angemessenen Gründen gegen den vorgeschlagenen Termin schriftlich mitteilt, ernennt Mailgun diesen vorgeschlagenen Subprozessor erst, wenn angemessene Schritte unternommen wurden, um die Einwände des Kunden zu lösen und dem Kunden wurde eine angemessene schriftliche Erläuterung der ergriffenen Maßnahmen übermittelt. Wenn Mailgun und der Kunde die Ernennung eines Subprozessors nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.

(c) Darüber hinaus beauftragt der Kunde Mailgun im Falle einer autorisierten Vergabe von Unteraufträgen außerhalb der Europäischen Union, in seinem Namen und in seinem Auftrag EU-Modellklauseln für die spezifischen Zwecke der Erbringung der Dienste im Rahmen der Hauptvereinbarung abzuschließen.

(d) Dieser Absatz gilt nicht für die folgenden Nebendienstleistungen, nämlich Telekommunikationsdienste, Post- oder Transportdienste, Wartungs- und Benutzerunterstützungsinstrumente. Mailgun ist jedoch verpflichtet, angemessene und rechtsverbindliche vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der Kundendaten auch für diese ausgelagerten Nebendienstleistungen zu gewährleisten.

(e) Mailgun ist verantwortlich für die Handlungen und Unterlassungen von Subprozessoren, wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem Nachtrag aufgeführten Angelegenheiten der Fall ist.

14. Anwendbares Recht und Gerichtsstand

(a) Die Parteien dieses Nachtrags unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Gerichtsstandswahl in Bezug auf Streitigkeiten oder Ansprüche, die sich aus diesem Nachtrag ergeben, einschließlich Streitigkeiten über dessen Existenz, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.

(b) Dieser Nachtrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.

15. Rangfolge

(a) In Bezug auf den Gegenstand dieses Nachtrags im Falle von Widersprüchen zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und (sofern nicht ausdrücklich schriftlich anders vereinbart, im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder angeblich geschlossen werden sollen, haben Vorrang vor den Bestimmungen dieses Nachtrags.

16. Änderungen der Datenschutzgesetze usw.

(a) Mailgun kann diesen Nachtrag mit angemessener Mitteilung an den Kunden ändern oder ergänzen:

(i) Falls dies von einer Aufsichtsbehörde oder einer anderen Regierungs- oder Regulierungsbehörde verlangt wird;

(ii) Falls dies erforderlich ist, um geltendes Recht einzuhalten;

(iii) um neue oder aktualisierte Standardvertragsklauseln umzusetzen, die von der Europäischen Kommission genehmigt wurden; oder

(iv) einen genehmigten Verhaltenskodex oder Zertifizierungsmechanismus einzuhalten, der gemäß den Artikeln 40, 42 und 43 der DSGVO genehmigt oder zertifiziert wurde.

17. Abtrennung

(a) Sollte eine Bestimmung dieses Nachtrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Nachtrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) nach Bedarf geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, während die Absichten der Parteien so genau wie möglich gewahrt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob die ungültige Bestimmung oder ein nicht durchsetzbarer Teil nie darin enthalten gewesen war.

18. Beendigung

(a) Dieser Nachtrag und die Standardvertragsklauseln werden zeitgleich und automatisch mit der Kündigung der Hauptvereinbarung beendet.

(b) Mailgun kann diesen Nachtrag und die Standardvertragsklauseln kündigen, wenn Mailgun dem Kunden alternative Mechanismen anbietet, die den Verpflichtungen der Datenschutzgesetze der Europäischen Union für die Übermittlung personenbezogener Daten außerhalb des EWR entsprechen.


ZU URKUND DESSEN wird dieser Nachtrag geschlossen und ist ab dem oben genannten Datum verbindlicher Bestandteil der Hauptvereinbarung.

Zuletzt überarbeitet am 14.01.2022. Um die vorherigen Bedingungen anzuzeigen, klicken Sie hier.

ANHANG 1

STANDARDVERTRAGSKLAUSELN

Verantwortlicher an Auftragsverarbeiter

Für die Zwecke dieser Standardvertragsklauseln ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Mailgun ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Mailgun ein Subprozessor und die Standardvertragsklauseln – Auftragsverarbeiter und Auftragsverarbeiter (Modul 3) gelten in diesem letzteren Fall.

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.

(b) Die Parteien: (i) Mailgun Technologies, Inc. 112 E Pecan St #1135 San Antonio, TX 78205 (USA) legal@mailgun.com der „Datenimporteur“ (die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, vom Datenexporteur erhält/erhalten) und

(ii) die Einrichtung des Kunden, die Partei der Vereinbarung über die Datenverarbeitung („AV-Vertrag“) ist, der diese Standardvertragsklauseln beigefügt sind (im Folgenden jeweils „Datenexporteur“) haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Abschnitt 3 des AV-Vertrags.

(d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7

(ii) Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e

(iii) Klausel 9 Buchstaben a, c, d und e

(iv) Klausel 12 Buchstaben a, d und f

(v) Klausel 13

(vi) Klausel 15.1 Buchstaben c, d und e

(vii) Klausel 16 Buchstabe e

(viii) Klausel 18 Buchstaben a und b

(b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.

Klausel 4

Auslegung

(a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.

Klausel 5

Vorrang

(a) Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7

Kopplungsklausel

(a)Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.

(b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.

(c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

ABSCHNITT II — PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1. Weisungen

(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6. Sicherheit der Verarbeitung

(a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.

8.7. Sensible Daten

Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.

8.8. Weiterübermittlungen

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

(i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,

(ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,

(iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder

(iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9. Dokumentation und Einhaltung der Klauseln

(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.

(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens zehn (10) Werktage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte betroffener Personen

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

(c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

Klausel 11

Rechtsbehelf

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

(c) Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,

(ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

(d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.

(e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.

(c) Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.

(d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.

(f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13

Aufsicht

(a) Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält: die nationale Datenschutzbehörde Frankreichs CNIL (Commission Nationale de l’Informatique et des Libertés) fungiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III — LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

(ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien¹,

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.

(f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.


¹Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1. Benachrichtigung

(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,

(i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

(ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

(b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

(c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2. Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.

(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV — SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,

(ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

(e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Frankreich ist.

Klausel 18

Gerichtsstand und Zuständigkeit

(a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

(b) Die Parteien vereinbaren, dass dies die Gerichte von Frankreich sind.

(c) Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

(d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.

ANHANG 2

INFORMATIONSSICHERHEIT – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Durch die interne Organisation von Mailgun wird gewährleistet, dass die spezifischen Anforderungen des Datenschutzes durch die Anwendung optimaler Sicherheitsverfahren erfüllt werden, ganz gleich wo personenbezogene Daten automatisch verarbeitet oder verwendet werden. Insbesondere sorgt Mailgun durch die folgenden Maßnahmen für den Schutz personenbezogener Daten oder anderer sensibler Datenkategorien.

Physische Zugangskontrolle

Um unbefugten Personen den Zugang zu den Datenverarbeitungssystemen zu verweigern, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

  • Nutzt Mailgun Rechenzentren und Cloud-Infrastrukturen branchenführender Anbieter. Der Zugang zu sämtlichen Rechenzentren wird strengstens kontrolliert. Alle Rechenzentren sind mit Überwachungs- und biometrischen Zugangskontrollsystemen ausgestattet, für eine kontinuierliche Überwachung rund um die Uhr, 7 Tage die Woche, 365 Tage im Jahr. Darüber hinaus sind alle Anbieter nach SOC Typ II und ISO 27001 zertifiziert.

  • Sind die Rechenzentren mit einer N+1-Redundanz für Strom, Netzwerk und Kühlungsinfrastruktur ausgestattet.

  • Erfolgt innerhalb einer Region die Datenverarbeitung über mindestens drei verschiedene Verfügbarkeitszonen. Die Dienste sind so konzipiert, dass sie den Ausfall einer Verfügbarkeitszone ohne Unterbrechung für die Kunden überstehen.

Systemzugangskontrolle

Um zu verhindern, dass die Datenverarbeitungssysteme unbefugt benutzt werden:

  • Folgt der Administratorzugriff zu Mailgun-Systemen und -Diensten dem Prinzip der geringsten Rechte. Der Zugang zu den Systemen richtet sich nach dem Aufgabengebiet und den Zuständigkeiten am Arbeitsplatz. Mailgun verwendet eindeutige Benutzernamen/Bezeichner, die nicht weitergegeben oder auf andere Personen übertragen werden dürfen.

  • Erfolgt der Zugriff auf interne Kundensupport-Tools und die Produktinfrastruktur über VPN und eine mehrstufige Authentifizierung.

  • Wird der ein- und ausgehende Datenverkehr der Produktionsinfrastruktur über Zugriffssteuerungslisten (ACLs) und Sicherheitsgruppen begrenzt.

  • Anhand von Intrusion Detection-Systemen (IDS) können potenziell unbefugte Zugriffe erkannt werden.

  • Maßnahmen zum Schutz des Netzwerks wurden eingeführt, um die Auswirkungen von Distributed-Denial-of-Service (DDoS)-Angriffen abzumildern.

  • On- und Offboarding-Prozesse werden dokumentiert und konsequent eingehalten und so sichergestellt, dass der Zugang zu internen und extern gehosteten Tools und Systemen ordnungsgemäß verwaltet wird. Wenn möglich, benutzen Dienste von Drittanbietern die Single-Sign-On-Funktionalität (SSO), die eine zentralisierte Verwaltung ermöglicht und eine mehrstufige Authentifizierung erzwingt.

Datenzugangskontrolle

Um zu gewährleisten, dass zur Nutzung von Datenverarbeitungssystemen autorisierte Benutzer lediglich Zugriff auf die Daten haben, für die sie ein Zugriffsrecht haben, und, dass personenbezogene Daten ohne Erlaubnis während der Verarbeitung oder Nutzung und nach der Aufbewahrung nicht gelesen, kopiert, geändert oder entfernt werden können:

  • Verwendet Mailgun ein Passwortverwaltungssystem, das eine Mindestlänge von Passwörtern, deren Komplexität, Ablaufzeit und die Mindestanzahl der zuletzt verwendeten Passwörter erzwingt.

  • Werden Mitarbeiter-Arbeitsstationen nach längerer Inaktivität automatisch gesperrt. Benutzer werden von den Systemen nach längerer Inaktivität abgemeldet.

  • Werden Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt.

  • Gewährleistet die Patchverwaltung von Mailgun, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.

  • Wird anhand der Antivirensoftware nach Branchenstandard sichergestellt, dass interne Anlagen, die auf personenbezogene Daten zugreifen, vor bekannten Viren geschützt sind. Die Antivirensoftware wird regelmäßig aktualisiert.

  • Verwendet Mailgun Firewalls, um unerwünschten Datenverkehr am Eindringen in das Netzwerk zu hindern. Eine DMZ ist mit Firewalls ausgestattet, um interne Systeme zum Schutz sensibler Daten zusätzlich zu schützen.

Datenübertragungskontrolle

Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Werden die ruhenden Kundendaten durch die Verwendung der AES-256-Verschlüsselung auf Blockgeräten verschlüsselt gespeichert.

  • Werden die Kunden-Backups sowohl bei der Übertragung als auch im Ruhezustand stark verschlüsselt.

  • Unterstützt Mailgun TLS 1.2 zur Verschlüsselung des Netzwerkverkehrs zwischen der Client-Anwendung und der Mailgun-Infrastruktur. Kunden können die Verschlüsselungseinstellungen für Nachrichten, die von Mailgun verarbeitet und an die E-Mail Service Provider gesendet werden, kontrollieren und verwalten, um so die Compliance-Anforderungen zu erfüllen, die über den Rahmen der externen Zertifizierungen von Mailgun hinausgehen.

  • Wird Mailgun durch regelmäßige Risikoeinschätzungen und Penetrationstests Dritter auf Probleme bei der Verschlüsselung aufmerksam gemacht. Mailgun führt jährlich oder bei Bedarf bei Veränderungen im Unternehmen Penetrationstests durch Dritte durch.

  • Betreibt Mailgun ein Bug-Bounty-Programm, das die verantwortungsvolle Offenlegung von Schwachstellen durch Community-Recherchen unterstützt.

Eingabekontrolle

Um zu gewährleisten, dass die Überprüfung und Feststellung möglich ist, ob und von wem die personenbezogenen Daten in Datenverarbeitungssysteme eingegeben bzw. dort geändert oder entfernt wurden:

  • Werden die Systeme auf Sicherheitsereignisse hin überwacht, um eine schnelle Lösung zu gewährleisten.

  • Werden die Protokolle zentral gespeichert und indiziert. Kritische Protokolle, wie z. B. Sicherheitsprotokolle, werden mindestens ein Jahr lang aufbewahrt. Zur Untersuchung von Abweichungen oder Sicherheitsereignissen können die Protokolle mit Zeitstempeln zu einzelnen eindeutigen Benutzernamen zurückverfolgt werden.

Verfügbarkeitskontrolle

Um zu gewährleisten, dass die personenbezogenen Daten vor unbeabsichtigter Zerstörung oder unbeabsichtigtem Verlust geschützt sind:

  • Werden die Kontodaten mindestens täglich gesichert. Für alle primären Datenbanken ist eine inkrementelle/Point-in-Time-Wiederherstellung verfügbar. Die Backups werden sowohl bei der Übertragung als auch im Ruhezustand mit starker Verschlüsselung verschlüsselt.

  • Wird durch die Patchverwaltung von Mailgun sichergestellt, dass die Systeme mindestens einmal pro Monat gepatcht werden. Überwachung, Warnungen und das routinemäßige Überprüfen auf Schwachstellen sollen sicherstellen, dass die gesamte Produktinfrastruktur konsistent gepatcht wird.

  • Wenn nötig, patcht Mailgun als Reaktion auf die Offenlegung kritischer Schwachstellen die Infrastruktur im Eilverfahren, um so den Systembetrieb zu gewährleisten.

  • Kundenumgebungen zu jeder Zeit logisch getrennt. Kunden haben keinen Zugriff auf andere Konten als die, für die sie Anmeldeinformationen für die Autorisierung erhalten haben.

ANHANG 3

AUTORISIERTE SUBPROZESSOREN AB DEM DATUM DES INKRAFTTRETENS DES AV-VERTRAGES

Infr­astruktur der Sub-­Prozessoren

Infr­astruktur der Sub-­Prozessoren

Unt­er­ne­hmen

Ser­ve­rs­tandort

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Goog­le Clou­d Plat­form
70 Sir John­ Roge­rson's Quay­,
Dub­lin 2, Irel­and

Deut­schland & Belg­ien (EU Kund­en)
USA­ (US Kund­en)

Dat­en­ze­ntrum

EU Rech­t
EU-­Musterklauseln
Dat­enverschlüsselung

Rack­space (AWS­)
One­ Fana­tical Plac­e
San­ Anto­nio, TX 7821­8 USA

USA (US Kund­en)
Deu­tschland (EU Kund­en)

Dat­en­ze­ntrum

EU Rech­t
EU-­Musterklauseln
Dat­enverschlüsselung

Unte­rstützung von Unte­rauftragsverarbeitern

Unte­rstützung von Unte­rauftragsverarbeitern

Unt­er­ne­hmen

Sta­nd­ort

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Prox­iad Bulg­aria
Tin­tyava 13b St.,­ Fl. 4
Sof­ia 1113­ - Bulg­aria

Bul­ga­ri­en

Tick­et-Support Funk­tionen
TAM­-Funktionen

EU-R­echt
Dat­enminimierung

Site­l Indi­a
Cha­ndivali – Farm­ Road­, Andh­eri
Eas­t Mumb­ai 4000­72 Indi­a

Ind­ie­n

Tick­et-Support Funk­tionen
(B­ereitstellung der erst­en Antw­ort über­ das Tick­etsystem; kein­ Zugr­iff auf pers­önliche Kund­endaten)

EU-M­usterklauseln (SCC­s)
Dat­enverschlüsselung
Dat­enminimierung

Sub-­Prozessoren der Unte­rnehmensgruppe

Sub-­Prozessoren der Unte­rnehmensgruppe

Unt­er­ne­hmen

Hea­dq­ua­rters

Akt­iv­it

Ange­messene Sich­erheitsvorkehrungen für Über­tragungen

Mail­gun Tech­nologies
112­ E. Peca­n Stre­et #113­5,
San­ Anto­nio, Texa­s, 7820­5 USA

USA

Unt­er­ne­hmensgruppe

EU-Musterklauseln

Mail­jet
4, rue Jule­s Lefe­bvre
750­09 Pari­s, Fran­ce

Fra­nk­re­ich

Unt­er­ne­hmensgruppe

EU-M­usterklauseln
EU Rech­t

Sinc­h AB
Lin­dhagensgatan 74 Stoc­kholm,
112­ 18 Swed­en

Sch­we­den

Unt­er­ne­hmensgruppe

EU-M­usterklauseln
EU Rech­t