Gültigkeitsdatum ab:
18. März 2019

Für die vorherige Version klicken Sie bitte hier.

Bitte lesen Sie diesen Anhang zur Datenverarbeitung („AzD“) sorgfältig durch, da er einen Vertrag zwischen Ihnen („Kunde“) und uns („Freshworks“) darstellt. Wie in Abschnitt 8.4 (a) und 9.4 der Freshworks Nutzungsbedingungen unter https://www.freshworks.com/terms („Nutzungsbedingungen“) erwähnt, gilt der AzD dort, wo wir und unsere Konzerngesellschaften Verarbeiter von personenbezogenen Daten in der EU sind. Die in diesem AzD verwendeten, hervorgehobenen Begriffe, die hier nicht definiert sind, haben die jeweils in den Nutzungsbedingungen unter https://freshworks.com/terms/ („Nutzungsbedingungen“) definierte Bedeutung. Im Falle eines Widerspruchs zwischen dem AzD und den Nutzungsbedingungen geht der AzD vor.

Diese deutsche Version des AzD wird lediglich zu Informationszwecken zur Verfügung gestellt. Im Falle eines Widerspruchs zwischen der deutschen und der englischen Version des AzD ist die englische Version maßgeblich.

1. Datenschutz

1.1 Begriffsbestimmungen: In diesem AzD sollen die nachfolgend aufgelisteten Begriffe folgende Bedeutung haben:

a) Verantwortlicher, Verarbeiter, betroffene Person, personenbezogene Daten und verarbeiten (und Verarbeitung) haben die im anwendbaren Datenschutzrecht angegebenen Bedeutungen; und

b) „Anwendbares Datenschutzrechtbedeutet: (i) bis zum 25. Mai 2018 die EU-Datenschutzrichtlinie (Richtlinie 95/46/EU); (ii) am und nach dem 25. Mai 2018 die EU Datenschutz-Grundverordnung (Verordnung 2016/679) und (iii) alle anderen anwendbaren Datenschutzgesetze und -verordnungen.

1.2 Beziehung der Parteien: Der Kunde (der Verantwortliche) ernennt Freshworks zum Verarbeiter, um die personenbezogenen Daten, die Teil der Servicedaten (der „Daten“) sind, zu den in den Nutzungsbedingungen (oder anderweitig zwischen den Parteien schriftlich) vereinbarten Zwecken (den „zugelassenen Zwecken“) zu verarbeiten. Jede Partei hat die für sie geltenden datenschutzrechtlichen Verpflichtungen einzuhalten.

1.3 Unzulässige Daten: Der Kunde darf bestimmte Kategorien personenbezogener Daten nicht an Freshworks zur Verarbeitung übermitteln (und es keiner betroffenen Person erlauben, diese zu übermitteln).

1.4 Internationale Übermittlung: Freshworks darf Daten nicht nach außerhalb des Europäischen Wirtschaftsraums („EWA“) übermitteln, solange Freshworks nicht die erforderlichen Maßnahmen getroffen hat, um sicherzustellen, dass die Übermittlung in Übereinstimmung mit dem anwendbaren Datenschutzrecht erfolgt.

1.5  Vertraulichkeit der Verarbeitung: Freshworks stellt sicher, dass jede Person, der Freshworks die Berechtigung zur Verarbeitung der Daten erteilt („berechtigte Person“), die Daten in Übereinstimmung mit den ihr gemäß den Freshworks- Nutzungsbedingungen obliegenden Vertraulichkeitsverpflichtungen schützt.

1.6 Sicherheit: Der Verarbeiter trifft geeignete technische und organisatorische Maßnahmen, um die Daten (i) vor unbeabsichtigter oder unrechtmäßiger Vernichtung und (ii) vor Verlust, Veränderung, unbefugter Weitergabe oder Zugriff (sicherheitsrelevantes Ereignis) zu schützen.

1.7 Fremdvergabe: Der Kunde erklärt sich damit einverstanden, dass Freshworks Subprozessoren beauftragt, um die Daten zu den zugelassenen Zwecken zu verarbeiten, vorausgesetzt, dass (i) Freshworks eine aktuelle Liste seiner Subprozessoren unter https://freshworks.com/sub-processor/ unterhält, die vor jeder Änderung bei den Subprozessoren mit den Einzelheiten dieser Veränderung aktualisiert wird; (ii) Freshworks jeden beauftragten Subprozessor zur Einhaltung von Datenschutzbestimmungen verpflichtet, die vorsehen, dass er die Daten gemäß den anwendbaren Datenschutzgesetzen schützt; und (iii) Freshworks für jede Verletzung dieser Bestimmung, die durch eine Handlung, einen Fehler oder ein Unterlassen seines Subprozessors entsteht, haftbar bleibt. Der Kunde kann Freshworks' Beauftragung oder Ersetzung eines Subprozessors vor dessen Beauftragung oder Ersetzung widersprechen, vorausgesetzt, dass der Widerspruch auf angemessenen, mit dem Datenschutz zusammenhängenden, Gründen beruht. In einem solchen Fall wird Freshworks den Subprozessor entweder nicht beauftragen oder ersetzen. Wenn dies nicht möglich ist, kann der Kunde den Vertrag aussetzen oder kündigen (unbeschadet jeglicher bereits vom Kunden vor Aussetzung oder Kündigung verursachter Gebühren).

1.8. Zusammenarbeit und Rechte der betroffenen Personen: Freshworks wird dem Kunden angemessene und zeitnahe Hilfe (auf Kosten des Kunden) leisten, um es dem Kunden zu ermöglichen, folgende Anfragen zu beantworten: (i) jede Anfrage einer betroffenen Person in Ausübung ihrer Rechte nach dem anwendbaren Datenschutzrecht (einschließlich der Rechte auf Zugang, Korrektur, Löschung und Einspruch gegen Datenübertragbarkeit, soweit zutreffend); und (ii) andere Korrespondenz, Nachfragen oder Beschwerden von einer betroffenen Person, Regulierungsbehörde oder sonstigen Dritten im Zusammenhang mit der Verarbeitung der Daten. Wird eine solche Anfrage, Korrespondenz, Nachfrage oder Reklamation direkt an Freshworks gerichtet, hat Freshworks den Kunden unverzüglich unter Angabe aller Einzelheiten zu informieren.

1.9 Datenschutzfolgenabschätzung: Wenn Freshworks glaubt oder es Freshworks bewusst wird, dass die Verarbeitung der Daten wahrscheinlich zu einem hohen Risiko der Datenschutzrechte und Freiheiten der betroffenen Personen führen kann, wird Freshworks den Kunden informieren und für jede Datenschutzfolgenabschätzung, die durch die anwendbaren Datenschutzgesetze erforderliche werden kann, angemessen (auf Kosten des Kunden) mit ihm zusammenarbeiten.

1.10 Sicherheitsrelevante Ereignisse: Wenn Freshworks von einem bestätigten sicherheitsrelevanten Ereignis erfährt, wird Freshworks den Kunden unverzüglich unterrichten und angemessene Informationen und Zusammenarbeit anbieten, damit der Kunde alle Meldepflichten bei Verletzungen des Datenschutzes, die er gemäß dem (und in Übereinstimmung mit den hier bestimmten Fristen des) anwendbaren Datenschutzgesetzes hat, erfüllen kann. Freshworks wird ferner angemessene und erforderliche Maßnahmen und Vorkehrungen treffen, um die Auswirkungen des sicherheitsrelevanten Ereignisses zu beheben oder abzumildern und den Kunden über alle wesentlichen Entwicklungen im Zusammenhang mit dem sicherheitsrelevanten Ereignis unterrichten.

1.11 Löschung von Daten: Der Kunde kann alle personenbezogenen Daten vor der Kündigung seines Kundenkontos exportieren. Auf jeden Fall werden nach der Kündigung des Kundenkontos durch eine der Vertragsparteien gemäß den Aufzählungspunkten (ii) und (iii) die Daten des Kundenkontos für eine Frist von 14 Tagen nach einer solchen Kündigung aufbewahrt, während der Kunde den Provider kontaktieren kann, um Servicedaten zu exportieren; (ii) die E-Mail-Funktion, soweit sie im Rahmen des jeweiligen Dienstes verfügbar ist, archiviert automatisch alle E-Mails, die einen Teil der Servicedaten bilden, für eine Frist von 3 Monaten; und (iii) Protokolle werden für eine Frist von 1 Jahr archiviert (jeweils Datenspeicherfrist). Abgesehen von solchen Datenspeicherfristen behält der Verarbeiter sich das Recht vor, alle personenbezogenen Daten im normalen Betriebsablauf zu löschen. Diese Klausel gilt nicht, soweit Freshworks durch geltendes Recht verpflichtet ist, einige oder alle Daten aufzubewahren; ebenfalls gilt sie nicht für Daten, die Freshworks im Backup-System archiviert hat; diese Daten wird Freshworks sicher vor weiterer Verarbeitung schützen, soweit nicht gesetzlich anderes geregelt ist.

1.12 Audit: Der Kunde erkennt an, dass Freshworks regelmäßig gemäß den Standards ISO 27001 und SSAE 18 SOC 2 durch unabhängige externe Auditoren geprüft wird. Auf Anfrage wird Freshworks dem Kunden eine zusammenfassende Abschrift der Audit-Berichte zur Verfügung stellen; diese Berichte unterliegen den Bestimmungen zur Vertraulichkeit gemäß den Nutzungsbedingungen.

 
Anhang 1
Einzelheiten zur Datenverarbeitung
Betroffene Personen

Betroffene Personen sind Personen, auf die sich personenbezogene Daten beziehen und die Benutzer oder Endbenutzer sind, die mit den Diensten interagieren.

Datenkategorien

Datenkategorien beziehen sich auf die personenbezogenen Daten von Nutzern und Endnutzern, die in elektronischen Daten, Texten, Nachrichten oder anderen Materialien enthalten sind, die der Kunde im Zusammenhang mit der Nutzung der Dienste durch den Kunden über das Kundenkonto an die Dienste übermittelt.

Gegenstand und Art der Verarbeitung

Die verarbeiteten personenbezogenen Daten unterliegen den grundlegenden Verarbeitungsaktivitäten, die Freshworks für die Bereitstellung der Dienste für den Kunden benötigt, die die Verarbeitung personenbezogener Daten umfassen. Personenbezogene Daten unterliegen den in den Nutzungsbedingungen und der Datenschutzerklärung festgelegten Verarbeitungsaktivitäten.

Zweck der Datenverarbeitung

Personenbezogene Daten werden zu Zwecken der Bereitstellung der in einem Formular angegebenen Dienste verarbeitet, wie dies vom Kunden in der Nutzung der Dienste näher erläutert und in den Nutzungsbedingungen, dieser Datenschutzerklärung und allen anwendbaren Formularen anderweitig vereinbart wurde.

Dauer der Verarbeitung

Persönliche Daten werden während der gesamten Laufzeit der Bedingungen verarbeitet.

 

Anhang 2
Standard-Klauseln für die EU (Verarbeiter)

gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist

Die in der Datenschutzvereinbarung als „Kunde“ identifizierte Einheit

(der „Datenexporteur“)

und

Freshworks, Inc.

2950 S. Delaware Street, Suite 201, San Mateo, CA 94403

(der „Datenimporteur“)

jeweils als „Partei“ bezeichnet, zusammen „die Parteien“

haben die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und Freiheiten des Einzelnen für die Übertragung durch den Datenexporteur an den Datenimporteur der persönliche Daten zu erbringen, die in Anhang 1 angegeben sind.

Klausel 1

Begriffsbestimmungen

In diesen Klauseln werden folgende Begriffe verwendet:

a)  „personenbezogene Daten“, „sensible personenbezogene Daten“, „Verarbeitung“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

c) der „Datenimporteur“ ist der Datenverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten, und der nicht dem Rechtssystem eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

d) der „Unterverarbeiter“ bezeichnet jeden vom Datenimporteur oder Unterverarbeiter beauftragten Datenverarbeiter, der einwilligt, personenbezogene Daten vom Datenimporteur oder irgend einem anderen Unterverarbeiter zu beziehen, die ausschließlich für Verarbeitungszwecke im Namen des Datenexporteurs nach der Übertragung und in Übereinstimmung mit seinen Anweisungen, den Bedingungen der Klauseln und mit den Bedingungen des schriftlichen Untervergabevertrages vorgesehen sind;

e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugriff, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

Klausel 2

Einzelheiten zur Übertragung

Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien persönlicher Daten, sofern vorhanden, sind in Anhang 1 aufgeführt, der wesentlicher Bestandteil der Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

In diesen Klauseln werden folgende Begriffe verwendet:

1. Die betroffene Person kann diese Klausel sowie Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigter geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

3. 3.     Der Betroffene kann diese Klausel, Klausel 5(a) bis (e) und (g), die Klauseln 6 und 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Unterverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen, in welchem Fall der Betroffene die Klauseln gegenüber diesem geltend machen kann. Eine solche Haftpflicht des Unterverarbeiters gegenüber Dritten ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

4. Die Parteien erheben keine Einwände dagegen, dass eine betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

 

Der Datenexporteur verpflichtet sich und garantiert, dass:

(a) die Verarbeitung der persönlichen Daten einschließlich der Übertragung selbst gemäß den maßgeblichen Bestimmungen der geltenden Datenschutzgesetze durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaates mitgeteilt wurde, in dem der Datenexporteur ansässig ist) und nicht gegen die maßgeblichen Bestimmungen dieses Staates verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und diesen Klauseln zu verarbeiten;

c) der Datenimporteur in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen hinreichende Garantien bietet;

(d) nach der Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugriff zu schützen, insbesondere, wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den durch die Verarbeitung und die Art der zu schützenden Daten bestehenden Risiken unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung angemessen ist;

e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g) er die gemäß Klausel 5(b) sowie Klausel 8(3) vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Datenschutz-Aufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übertragung fortzusetzen oder die Aussetzung aufzuheben;

h) den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anlage 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie eines Vertrags für Unterverarbeitungsleistungen, die gemäß den Bestimmungen der Richtlinie zu erstellen sind, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen entfernt werden;

(i) im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte des Betroffenen wie der Datenimporteur gemäß den Klauseln bietet; und

j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur verpflichtet sich und garantiert, dass:

a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und dass er eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

d) er den Datenexporteur unverzüglich informieren wird über:

i) alle rechtlich bindenden Aufforderungen einer Behörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

ii) jeden unbeabsichtigten oder unbefugten Zugriff; und

iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Aufsichtsbehörde im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) er auf Anfrage des Datenexporteurs seine Datenverarbeitungsanlagen zur Prüfung der von den Klauseln erfassten Verarbeitungstätigkeiten durch den Datenexporteur oder eine Kontrollstelle aus unabhängigen Mitgliedern, die über die erforderlichen beruflichen Qualifikationen verfügen, zur Verfügung stellt und sich zur Geheimhaltung verpflichtet, gegebenenfalls vom Datenexporteur im Einvernehmen mit der Aufsichtsbehörde ausgewählt;

g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und eines gegebenenfalls bestehenden Vertrags über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h) er den Datenexporteur im Falle von Unterverarbeitung vorher informiert und seine vorherige schriftliche Zustimmung eingeholt hat;

(i)        die Verarbeitungsdienste durch den Unterverarbeiter gemäß Klausel 11 durchgeführt werden;

(j)        er sofort eine Kopie der im Rahmen dieser Klauseln mit einem Unterverarbeiter geschlossenen Verträge an den Datenexporteur schickt.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erhalten.

2. Wenn ein Betroffener nicht in der Lage ist, Schadenersatzansprüche gemäß Absatz 1 gegenüber dem Datenexporteur wegen eines Verstosses des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 oder 11 genannten Pflichten geltend zu machen, weil der Datenexporteur faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass der Betroffene seine Ansprüche ihm gegenüber anstelle des Datenexporteurs geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterverarbeiters für einen Verstoß gegen seine Verpflichtungen beruft.

3. Wenn ein Betroffener nicht in der Lage ist, einen Anspruch gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen eines Verstoßes des Unterverarbeiters gegen ihre in den Klauseln 3 oder 11 aufgeführten Pflichten geltend zu machen, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterverarbeiter damit einverstanden, dass der Betroffene im Zusammenhang mit seinen Datenverarbeitungstätigkeiten gemäß den Klauseln gegenüber ihm anstelle des Datenexporteurs oder des Datenimporteurs einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Die Haftung des Unterverarbeiters ist auf dessen eigene Datenverarbeitungstätigkeiten gemäß diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsbarkeit

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigter und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde beizulegen; oder

b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Masse und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen sie gemäß den geltenden Datenschutzgesetzen auch den Datenexporteur prüfen würde.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und der Durchführung einer Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 entgegenstehen. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5(b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Diese Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

Klausel 10

Vertragsänderungen

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, bei Bedarf weitere, geschäftsbezogene Klauseln aufzunehmen, solange diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Unterverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur durch eine schriftliche Vereinbarung mit dem Unterverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterverarbeiter muss gemäß Klausel 3 auch eine Klausel zu Drittbegünstigten für Fälle enthalten, in denen der Betroffene nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterverarbeiters gegenüber Dritten ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Unterauftragsverarbeitung des Vertrags gemäß Absatz 1 gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur gemäß Klausel 5(j) übermittelt wurden. Das Verzeichnis muss der Datenschutz-Aufsichtsbehörde des Datenexporteurs zur Verfügung stehen.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übertragenen persönlichen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle persönlichen Daten zerstören und dem Datenexporteur bescheinigen muss, dass dies erfolgt ist, sofern dem Datenimporteur die teilweise oder vollständige Rückübermittlung oder Zerstörung der übertragenen personenbezogenen Daten nicht durch die für ihn geltenden Gesetze untersagt ist. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übertragenen persönlichen Daten gewährleistet und diese übertragenen persönlichen Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur

Der Datenexporteur ist die in der Datenschutzvereinbarung als „Kunde“ identifizierte Einheit.

Datenimporteur

Der Datenimporteur ist die in der Datenschutzvereinbarung als „Freshworks“ identifizierte Einheit.

Betroffene Personen

Betroffene Personen gemäß Anhang 1 der Datenschutzvereinbarung, der die Klauseln beigefügt sind.

Datenkategorien

Datenkategorien gemäß Anhang 1 der Datenschutzvereinbarung, der die Klauseln beigefügt sind.

Besondere Datenkategorien (falls zutreffend)

Die Parteien rechnen nicht mit der Übermittlung spezieller Datenkategorien.

Verarbeitungsprozesse

Die übermittelten personenbezogenen Daten unterliegen den in Anhang 1 der Datenschutzvereinbarung, der die Klauseln beigefügt sind, aufgeführten grundlegenden Verarbeitungsprozessen.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) (oder gemäß beigefügten Dokumenten/Rechtsvorschriften) eingeführt hat:

Die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs sind unter https://www.freshworks.com/security/ niedergelegt.