Auftragsverarbeitungsvertrag
gemäß Artikel 28 DSGVO
zwischen
Your Mellon Group Cloud Services and Human Resources Consultancy - FZCO
Building A1, IFZA Business Park
Dubai Silicon Oasis
Dubai, Vereinigte Arabische Emirate
Registrierungsnummer: DSO-FZCO-50566
E-Mail: info@yourmellon.group
nachfolgend bezeichnet als „Auftragsverarbeiter“, „YourMellon“, „wir“, „uns“ oder „unser“
und
dem Kunden, der die YourMellon-SaaS-Plattform auf Grundlage der jeweils geltenden Bedingungen, eines Bestellformulars, einer Abonnementvereinbarung oder einer sonstigen Hauptvereinbarung nutzt
nachfolgend bezeichnet als „Verantwortlicher“, „Kunde“, „Sie“ oder „Ihr“.
Gemeinsam bezeichnet als die „Parteien“.
1. Zweck und Anwendungsbereich
1.1 Diese Vereinbarung zur Auftragsverarbeitung „AVV“ ist Bestandteil der Vereinbarung zwischen dem Kunden und YourMellon über die Nutzung der YourMellon-SaaS-Plattform, einschließlich der jeweils geltenden Bedingungen, Abonnementvereinbarung, des Bestellformulars oder einer sonstigen kommerziellen Vereinbarung „Hauptvereinbarung“.
1.2 Diese AVV gilt, soweit YourMellon im Rahmen der Bereitstellung der YourMellon-SaaS-Plattform und damit verbundener Dienstleistungen personenbezogene Daten im Auftrag des Kunden verarbeitet.
1.3 Zweck dieser AVV ist die Sicherstellung der Einhaltung von Artikel 28 der Verordnung EU 2016/679, der Datenschutz-Grundverordnung „DSGVO“, sowie sonstiger anwendbarer Datenschutzgesetze.
1.4 Im Falle eines Widerspruchs zwischen dieser AVV und der Hauptvereinbarung hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag des Kunden geht diese AVV vor. Kommerzielle Bestimmungen der Hauptvereinbarung bleiben unberührt.
2. Definitionen
2.1 Begriffe wie personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter, betroffene Person, Verletzung des Schutzes personenbezogener Daten, besondere Kategorien personenbezogener Daten und Unterauftragsverarbeiter haben die Bedeutung, die ihnen in der DSGVO zugewiesen wird.
2.2 Kundenbezogene personenbezogene Daten bezeichnet sämtliche personenbezogenen Daten, die YourMellon im Zusammenhang mit der SaaS-Plattform im Auftrag des Kunden verarbeitet.
2.3 Dienste bezeichnet die YourMellon-SaaS-Plattform sowie damit verbundene Support-, Hosting-, Wartungs-, Kommunikations-, Recruiting-CRM-, ATS-, Kandidatenmanagement-, Kalenderintegrations-, Übersetzungs-, Analyse- und sonstige damit verbundene Dienstleistungen, die im Rahmen der Hauptvereinbarung bereitgestellt werden.
2.4 Unterauftragsverarbeiter bezeichnet jeden Dritten, den YourMellon mit der Verarbeitung kundenbezogener personenbezogener Daten im Auftrag des Kunden beauftragt.
3. Rollen der Parteien
3.1 Für kundenbezogene personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, handelt der Kunde als Verantwortlicher und YourMellon als Auftragsverarbeiter.
3.2 Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung kundenbezogener personenbezogener Daten, einschließlich der Frage, welche Daten über die Dienste hochgeladen, gespeichert, verwaltet, geteilt, kommuniziert oder anderweitig verarbeitet werden.
3.3 YourMellon verarbeitet kundenbezogene personenbezogene Daten ausschließlich im Auftrag des Kunden und gemäß dieser AVV, der Hauptvereinbarung und den dokumentierten Weisungen des Kunden, sofern YourMellon nicht durch anwendbares Recht zu einer abweichenden Verarbeitung verpflichtet ist.
3.4 Die Parteien erkennen an, dass YourMellon bestimmte personenbezogene Daten auch als eigenständiger Verantwortlicher verarbeiten kann, einschließlich Daten im Zusammenhang mit eigenem Kundenbeziehungsmanagement, Abrechnung, Rechnungsstellung, Betrugsprävention, Vertragsverwaltung, Website-Betrieb, Produktverbesserung und Compliance-Pflichten. Eine solche Verarbeitung unterliegt nicht dieser AVV.
3.5 Die Apiro GmbH kann in Rechnungsstellung, zahlungsbezogene Administration und damit verbundene Buchhaltungsprozesse eingebunden sein. Die Apiro GmbH ist nicht der primäre SaaS-Auftragsverarbeiter im Rahmen dieser AVV.
4. Weisungen des Kunden
4.1 Der Kunde weist YourMellon an, kundenbezogene personenbezogene Daten zu verarbeiten, soweit dies zur Bereitstellung der Dienste im Rahmen der Hauptvereinbarung erforderlich ist.
4.2 Die Weisungen des Kunden umfassen:
a. Verarbeitung, die zur Bereitstellung, Wartung, Sicherung und Unterstützung der SaaS-Plattform erforderlich ist;
b. Verarbeitung, die durch Nutzer des Kunden über die Plattform initiiert wird;
c. Verarbeitung, die für Kandidatenmanagement, Recruiting-Workflows, CRM- und ATS-Funktionen erforderlich ist;
d. Kommunikation zwischen Nutzern des Kunden und Kandidaten;
e. Speicherung und Verwaltung von Kandidatenprofilen, Notizen, Status, Aufgaben, Dokumenten und Kommunikationsaufzeichnungen;
f. optionale Kalenderintegrationen, die durch Nutzer des Kunden initiiert werden;
g. bedarfsbezogene Übersetzung von Chat-Nachrichten und Stellenanzeigen;
h. technisches Monitoring, Fehlerbehebung und Support;
i. Löschung, Export oder Rückgabe kundenbezogener personenbezogener Daten gemäß dieser AVV.
4.3 Zusätzliche Weisungen müssen dokumentiert werden. YourMellon kann Weisungen ablehnen, die rechtswidrig, technisch unangemessen, außerhalb des Umfangs der Dienste liegen oder eine wesentliche Änderung der Dienste erfordern würden, sofern nichts anderes gesondert vereinbart wurde.
4.4 Ist YourMellon der Ansicht, dass eine Weisung gegen anwendbares Datenschutzrecht verstößt, informiert YourMellon den Kunden unverzüglich.
5. Einzelheiten der Verarbeitung
5.1 Gegenstand, Dauer, Art, Zweck, Kategorien personenbezogener Daten und Kategorien betroffener Personen sind in Anhang 1 beschrieben.
5.2 Die technischen und organisatorischen Maßnahmen sind in Anhang 2 beschrieben.
5.3 Die genehmigten Unterauftragsverarbeiter sind in Anhang 3 aufgeführt.
5.4 Schutzmaßnahmen für internationale Übermittlungen sind in Anhang 4 beschrieben.
6. Pflichten des Kunden
6.1 Der Kunde ist dafür verantwortlich sicherzustellen, dass:
a. eine gültige Rechtsgrundlage für die Verarbeitung kundenbezogener personenbezogener Daten besteht;
b. er berechtigt ist, YourMellon mit der Verarbeitung kundenbezogener personenbezogener Daten zu beauftragen;
c. alle erforderlichen Transparenzinformationen gegenüber betroffenen Personen bereitgestellt werden;
d. Nutzer des Kunden berechtigt sind, die Dienste zu nutzen und personenbezogene Daten über die Plattform zu verarbeiten;
e. kundenbezogene personenbezogene Daten, die über die Dienste hochgeladen, eingegeben, synchronisiert oder anderweitig verarbeitet werden, rechtmäßig, richtig und für den vorgesehenen Zweck angemessen sind;
f. besondere Kategorien personenbezogener Daten oder sensible Dokumente nur verarbeitet werden, sofern der Kunde über eine gültige Rechtsgrundlage und geeignete Schutzmaßnahmen verfügt.
6.2 Der Kunde bleibt für die Beantwortung von Anfragen betroffener Personen verantwortlich, sofern diese AVV nichts anderes vorsieht.
6.3 Der Kunde darf die Dienste nicht in einer Weise nutzen, die gegen anwendbares Datenschutzrecht verstößt.
7. Pflichten von YourMellon
7.1 YourMellon verarbeitet kundenbezogene personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Kunden, sofern YourMellon nicht durch anwendbares Recht hierzu verpflichtet ist.
7.2 YourMellon stellt sicher, dass zur Verarbeitung kundenbezogener personenbezogener Daten befugte Personen Vertraulichkeitspflichten unterliegen.
7.3 YourMellon implementiert und unterhält geeignete technische und organisatorische Maßnahmen, um kundenbezogene personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.
7.4 YourMellon unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der YourMellon zur Verfügung stehenden Informationen bei:
a. der Beantwortung von Anfragen betroffener Personen;
b. der Erfüllung von Sicherheitsverpflichtungen;
c. der Meldung von Verletzungen des Schutzes personenbezogener Daten;
d. der Durchführung von Datenschutz-Folgenabschätzungen, sofern erforderlich;
e. der Konsultation von Aufsichtsbehörden, sofern erforderlich.
7.5 YourMellon stellt Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen, vorbehaltlich Vertraulichkeits-, Sicherheits- und Geschäftsgeheimnisbeschränkungen.
7.6 YourMellon benachrichtigt den Kunden unverzüglich, sobald YourMellon Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die kundenbezogene personenbezogene Daten betrifft.
8. Vertraulichkeit
8.1 YourMellon stellt sicher, dass sämtliches Personal, das zur Verarbeitung kundenbezogener personenbezogener Daten befugt ist, Vertraulichkeitspflichten unterliegt.
8.2 Vertraulichkeitspflichten bestehen auch nach Beendigung eines Beschäftigungs-, Auftragnehmer- oder sonstigen Vertragsverhältnisses mit YourMellon oder der Apiro GmbH fort.
8.3 Der Zugriff auf kundenbezogene personenbezogene Daten ist auf überprüftes und qualifiziertes Personal beschränkt, das diesen Zugriff zur Bereitstellung, Wartung, Sicherung oder Unterstützung der Dienste benötigt.
9. Sicherheitsmaßnahmen
9.1 YourMellon implementiert geeignete technische und organisatorische Maßnahmen gemäß Anhang 2.
9.2 Diese Maßnahmen umfassen unter anderem:
a. TLS-Verschlüsselung bei der Übertragung;
b. Verschlüsselung des S3-Dateispeichers;
c. Verschlüsselung sensibler Datenbankfelder, einschließlich zahlungsbezogener Informationen und Passwörter;
d. Multi-Faktor-Authentifizierung für Administrator- und Support-Zugriffe;
e. rollenbasierte Zugriffskontrollen;
f. Trennung von Produktions- und Staging-Umgebungen;
g. keine Verwendung echter Kundendaten zu Testzwecken;
h. Code-Reviews vor der Bereitstellung;
i. wöchentliche Abhängigkeitsprüfungen;
j. Vertraulichkeitspflichten für kritisches Personal;
k. Gerätesicherheitsmaßnahmen, einschließlich Passwortmanagern, aktuellem Virenschutz und Bildschirmsperren;
l. Protokollierung von Administrator- und Support-Zugriffen mit einer Aufbewahrungsdauer von mindestens 180 Tagen.
9.3 YourMellon kann seine Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern das Gesamtsicherheitsniveau dadurch nicht wesentlich reduziert wird.
10. Support- und Administrationszugriff
10.1 Auf kundenbezogene personenbezogene Daten darf über Support- oder Administrationsschnittstellen nur durch überprüftes und qualifiziertes Personal zugegriffen werden.
10.2 Ein solcher Zugriff ist nur zulässig, soweit dies erforderlich ist für:
a. die Bereitstellung von Kundensupport;
b. die Behebung technischer Probleme;
c. die Aufrechterhaltung der Plattformsicherheit;
d. die Untersuchung von Fehlern oder Vorfällen;
e. die Erfüllung dokumentierter Kundenanfragen;
f. die Sicherstellung des ordnungsgemäßen Betriebs der Dienste.
10.3 Administrator- und Support-Zugriffe sind durch Multi-Faktor-Authentifizierung und rollenbasierte Zugriffskontrollen geschützt.
10.4 Administrator- und Support-Zugriffe werden protokolliert, einschließlich Zeitstempel, zugreifendem Nutzer und relevanten Zugriffs- beziehungsweise Aktionsinformationen. Diese Protokolle werden mindestens 180 Tage aufbewahrt.
10.5 Support-Personal in den Vereinigten Arabischen Emiraten kann auf die Administrator-/Support-Schnittstelle zugreifen, soweit dies für Support- und Servicebetriebszwecke erforderlich ist.
10.6 Support-Personal in Serbien kann ausschließlich auf die Kandidaten-Support-Schnittstelle zugreifen.
10.7 Support-Personal in Griechenland kann ausschließlich auf die Kandidaten-Support-Schnittstelle zugreifen.
10.8 Zugriffe aus Drittländern unterliegen den in Anhang 4 beschriebenen Schutzmaßnahmen.
11. Unterauftragsverarbeiter
11.1 Der Kunde autorisiert YourMellon, die in Anhang 3 aufgeführten Unterauftragsverarbeiter einzusetzen.
11.2 YourMellon stellt sicher, dass Unterauftragsverarbeiter durch schriftliche Verpflichtungen gebunden sind, die ein angemessenes Datenschutzniveau gewährleisten.
11.3 YourMellon bleibt für die Leistung seiner Unterauftragsverarbeiter in dem gemäß Artikel 28 DSGVO erforderlichen Umfang verantwortlich.
11.4 YourMellon kann Unterauftragsverarbeiter hinzufügen oder ersetzen, indem YourMellon mindestens 30 Tage im Voraus per E-Mail informiert und die öffentliche Unterauftragsverarbeiter-Seite aktualisiert.
11.5 Der Kunde kann einem neuen Unterauftragsverarbeiter innerhalb der Mitteilungsfrist aus angemessenen datenschutzrechtlichen Gründen widersprechen.
11.6 Widerspricht der Kunde, arbeiten die Parteien nach Treu und Glauben zusammen, um eine wirtschaftlich angemessene Lösung zu finden. Ist keine Lösung verfügbar und ist der Einsatz des neuen Unterauftragsverarbeiters für die Dienste erforderlich, kann der Kunde die betroffenen Dienste gemäß der Hauptvereinbarung kündigen.
12. Internationale Übermittlungen
12.1 Hosting und primäre Infrastruktur der Dienste befinden sich in Deutschland und/oder der Europäischen Union.
12.2 Auf kundenbezogene personenbezogene Daten kann durch autorisiertes Personal außerhalb der EU/des EWR, einschließlich in den Vereinigten Arabischen Emiraten und Serbien, ausschließlich für Support- und Servicebetriebszwecke aus der Ferne zugegriffen werden.
12.3 Ein solcher Zugriff unterliegt geeigneten Schutzmaßnahmen, einschließlich:
a. Vertraulichkeitspflichten;
b. rollenbasierten Zugriffskontrollen;
c. Multi-Faktor-Authentifizierung;
d. Zugriffsprotokollierung;
e. beschränktem Zugriff nach Rolle und Erforderlichkeit;
f. internen Datenschutzrichtlinien;
g. vertraglichen Schutzmaßnahmen;
h. Übermittlungsmechanismen nach Kapitel V DSGVO, sofern erforderlich, einschließlich Standardvertragsklauseln oder gleichwertiger Schutzmaßnahmen.
12.4 Soweit ein Unterauftragsverarbeiter oder autorisiertes Personal kundenbezogene personenbezogene Daten außerhalb der EU/des EWR in einem Land ohne Angemessenheitsbeschluss verarbeitet, stellt YourMellon sicher, dass geeignete Übermittlungsschutzmaßnahmen bestehen.
12.5 YourMellon übermittelt kundenbezogene personenbezogene Daten nicht außerhalb der EU/des EWR, außer wie in dieser AVV beschrieben oder anderweitig mit dem Kunden vereinbart.
13. Optionale Integrationen
13.1 Die Dienste können optionale Integrationen enthalten, die durch Nutzer des Kunden initiiert werden, einschließlich Google Calendar- und Microsoft Outlook-Kalenderintegrationen.
13.2 Verbindet ein Nutzer des Kunden eine Kalenderintegration, können die Dienste Kalenderereignisdaten aus dem ausgewählten Kalender synchronisieren, einschließlich Ereignistiteln, Beschreibungen, Daten, Uhrzeiten und zugehöriger Metadaten.
13.3 Kalendertokens werden zum Zweck der Aufrechterhaltung der Integration gespeichert.
13.4 Nutzer des Kunden können Kalenderintegrationen jederzeit trennen. Nach der Trennung werden synchronisierte Kalenderdaten aus den Diensten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht oder sich die Löschung aufgrund von Backup-Zyklen technisch verzögert.
13.5 Der Kunde ist dafür verantwortlich sicherzustellen, dass Nutzer des Kunden berechtigt sind, Kalender zu verbinden und Kalenderdaten mit den Diensten zu synchronisieren.
14. Übersetzungsdienste
14.1 Die Dienste können eine bedarfsbezogene Übersetzungsfunktion für Chat-Nachrichten und Stellenanzeigen enthalten.
14.2 Die Übersetzung wird durch Nutzer des Kunden oder Kandidaten durch eine Anfrage oder einen Klick ausgelöst und erfolgt nicht automatisch im Hintergrund, sofern sie nicht durch den Nutzer konfiguriert oder Teil des konkreten Workflows gemacht wurde.
14.3 YourMellon verwendet für diese Funktion die Google Cloud Translation API.
14.4 Die zur Übersetzung übermittelten Inhalte können personenbezogene Daten enthalten, wenn solche Daten in Chat-Nachrichten oder Stellenanzeigen enthalten sind.
14.5 Der Kunde ist dafür verantwortlich sicherzustellen, dass personenbezogene Daten, die zur Übersetzung übermittelt werden, für diesen Zweck rechtmäßig verarbeitet werden dürfen.
15. In-App-Anrufe
15.1 Die Dienste können eine In-App-Anruffunktion enthalten, die über Twilio in der EU-Region bereitgestellt wird.
15.2 Twilio wird für die technische Anrufverbindung und damit verbundene Funktionalitäten verwendet.
15.3 YourMellon verwendet Twilio nicht zur Verarbeitung von Telefonnummern im Zusammenhang mit In-App-Anrufen.
15.4 Anrufe werden von YourMellon nicht aufgezeichnet.
15.5 Anrufprotokolle können durch Nutzer des Kunden manuell in der Plattform gespeichert werden.
15.6 Soweit Nutzer des Kunden Anrufprotokolle oder Notizen manuell speichern, bleibt der Kunde für die Rechtmäßigkeit dieser Verarbeitung verantwortlich.
16. Monitoring und Protokolle
16.1 YourMellon verwendet Monitoring- und Fehlerverfolgungstools, um Sicherheit, Verfügbarkeit und Leistung der Dienste aufrechtzuerhalten.
16.2 Laravel Nightwatch und Sentry werden in der EU, Region Frankfurt, verwendet.
16.3 Monitoring- und Fehlerverfolgungsdaten sind auf technische Informationen und Nutzer-IDs beschränkt. YourMellon nimmt personenbezogene Inhaltsdaten nicht absichtlich in Monitoring-Protokolle auf.
16.4 Monitoring-Protokolle werden 90 Tage aufbewahrt.
16.5 YourMellon ergreift angemessene Maßnahmen, um unnötige personenbezogene Daten in Protokollen und Monitoring-Systemen zu vermeiden.
17. Besondere Kategorien personenbezogener Daten und hochgeladene Dokumente
17.1 Die Dienste sind nicht speziell darauf ausgelegt, besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO anzufordern oder zu erfordern.
17.2 Kandidaten, Nutzer des Kunden oder andere autorisierte Nutzer können jedoch Dokumente, Nachrichten, Notizen oder sonstige Inhalte hochladen oder eingeben, die besondere Kategorien personenbezogener Daten oder andere sensible Informationen enthalten.
17.3 Solche Inhalte können abhängig vom Nutzerverhalten Identitätsdokumente, Aufenthaltstitel, Arbeitserlaubnisse, Zertifikate, gesundheitsbezogene Informationen, Informationen zu Behinderungen, Informationen zu Vorstrafen, Fotos, Videos oder sonstige sensible Daten enthalten.
17.4 Der Kunde bleibt dafür verantwortlich sicherzustellen, dass solche Daten rechtmäßig verarbeitet werden und geeignete Rechtsgrundlagen sowie Schutzmaßnahmen bestehen.
17.5 YourMellon verarbeitet solche Daten ausschließlich gemäß den dokumentierten Weisungen des Kunden und soweit dies zur Bereitstellung der Dienste erforderlich ist.
18. Anfragen betroffener Personen
18.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt YourMellon den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Kunden zur Beantwortung von Anfragen betroffener Personen.
18.2 Erhält YourMellon eine Anfrage einer betroffenen Person in Bezug auf kundenbezogene personenbezogene Daten, leitet YourMellon die Anfrage, soweit rechtlich zulässig, an den Kunden weiter oder weist die betroffene Person an, sich an den Kunden zu wenden.
18.3 YourMellon beantwortet solche Anfragen nicht direkt, sofern YourMellon nicht vom Kunden hierzu autorisiert wurde oder durch anwendbares Recht dazu verpflichtet ist.
18.4 Der Kunde ist für die Überprüfung der Identität der anfragenden betroffenen Person und die Festlegung der angemessenen Antwort verantwortlich.
19. Verletzungen des Schutzes personenbezogener Daten
19.1 YourMellon benachrichtigt den Kunden unverzüglich, vorzugsweise innerhalb von 48 Stunden, nachdem YourMellon Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die kundenbezogene personenbezogene Daten betrifft.
19.2 Die Benachrichtigung enthält, soweit verfügbar:
a. die Art der Verletzung;
b. die Kategorien und ungefähre Anzahl der betroffenen Personen;
c. die Kategorien und ungefähre Anzahl der betroffenen Datensätze;
d. die wahrscheinlichen Folgen der Verletzung;
e. die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung;
f. Kontaktdaten für die weitere Kommunikation.
19.3 YourMellon kann Informationen schrittweise bereitstellen, wenn nicht alle Einzelheiten unmittelbar verfügbar sind.
19.4 Der Kunde bleibt dafür verantwortlich festzustellen, ob eine Meldung an Aufsichtsbehörden oder betroffene Personen erforderlich ist.
19.5 YourMellon unterstützt den Kunden angemessen bei verletzungsbezogenen Pflichten unter Berücksichtigung der Art der Verarbeitung und der YourMellon zur Verfügung stehenden Informationen.
20. Löschung und Rückgabe kundenbezogener personenbezogener Daten
20.1 Während der Laufzeit der Hauptvereinbarung kann der Kunde kundenbezogene personenbezogene Daten löschen oder exportieren, soweit dies durch die Dienste unterstützt wird.
20.2 Nach Beendigung der Hauptvereinbarung oder auf dokumentierte Anfrage des Kunden löscht oder gibt YourMellon kundenbezogene personenbezogene Daten unverzüglich zurück, sofern nicht im Einzelfall eine andere Lösch- oder Exportfrist vereinbart wurde oder gesetzliche Aufbewahrungspflichten bestehen.
20.3 Kundenbezogene personenbezogene Daten, die in Backups enthalten sind, können bis zum Ende des regulären Backup-Aufbewahrungszyklus verbleiben.
20.4 Tägliche Backups werden 7 Tage aufbewahrt und anschließend gemäß dem regulären Backup-Prozess gelöscht oder überschrieben.
20.5 Die Löschung gilt nicht für Daten, die YourMellon oder die Apiro GmbH als eigenständige Verantwortliche für gesetzliche, buchhalterische, steuerliche, abrechnungsbezogene, betrugspräventive oder Compliance-Zwecke aufbewahren müssen.
20.6 Auf Anfrage kann YourMellon die Löschung nach Abschluss des jeweiligen Löschprozesses bestätigen.
21. Audits und Informationsrechte
21.1 YourMellon stellt Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen.
21.2 Audits sollen vorrangig dokumentenbasiert durchgeführt werden, einschließlich der Prüfung relevanter Richtlinien, Sicherheitsdokumentation, TOMs, Zertifizierungen, Informationen zu Unterauftragsverarbeitern oder sonstiger geeigneter Nachweise.
21.3 Vor-Ort-Audits sind nur zulässig, soweit sie gesetzlich erforderlich sind oder dokumentenbasierte Informationen zur Überprüfung der Einhaltung nicht ausreichen.
21.4 Jedes Audit unterliegt einer angemessenen vorherigen Ankündigung, Vertraulichkeitspflichten, angemessenen Umfangsbeschränkungen und Maßnahmen zur Vermeidung von Störungen des Geschäftsbetriebs und der Sicherheit von YourMellon.
21.5 Sofern nicht aufgrund einer bestätigten Verletzung des Schutzes personenbezogener Daten oder zwingenden Rechts erforderlich, können Audits auf einmal pro Kalenderjahr beschränkt werden.
21.6 Der Kunde trägt seine eigenen Auditkosten sowie angemessene Kosten, die YourMellon entstehen, sofern das Audit keinen wesentlichen Verstoß von YourMellon gegen diese AVV aufdeckt.
21.7 Audits dürfen keine Offenlegung von Geschäftsgeheimnissen, vertraulichen Informationen anderer Kunden, sicherheitssensiblen Informationen oder Informationen erfordern, deren Offenlegung die Sicherheit der Dienste beeinträchtigen würde.
22. Unterstützung bei Compliance-Pflichten
22.1 Unter Berücksichtigung der Art der Verarbeitung und der YourMellon zur Verfügung stehenden Informationen unterstützt YourMellon den Kunden angemessen bei:
a. Sicherheitsverpflichtungen nach Artikel 32 DSGVO;
b. Pflichten im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten nach Artikeln 33 und 34 DSGVO;
c. Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO;
d. vorheriger Konsultation von Aufsichtsbehörden nach Artikel 36 DSGVO.
22.2 Erfordert die Unterstützung einen erheblichen Aufwand außerhalb des normalen Umfangs der Dienste, kann YourMellon angemessene Gebühren berechnen, sofern die Unterstützung nicht aufgrund eines Verstoßes von YourMellon gegen diese AVV erforderlich ist.
23. Rückgabe, Löschung und Unterstützung bei Datenportabilität
23.1 Der Kunde kann angemessene Unterstützung beim Export kundenbezogener personenbezogener Daten verlangen.
23.2 Die Exportfunktionalität kann durch die technischen Möglichkeiten der Dienste beschränkt sein.
23.3 YourMellon ist nicht verpflichtet, individuelle Exportformate bereitzustellen, sofern dies nicht gesondert vereinbart wurde.
23.4 Der Kunde ist dafür verantwortlich, Daten vor Beendigung zu exportieren, sofern der Kunde diese Daten behalten möchte.
24. Haftung
24.1 Die Haftung zwischen den Parteien richtet sich nach der Hauptvereinbarung, sofern zwingendes anwendbares Datenschutzrecht nichts anderes vorsieht.
24.2 Keine Bestimmung dieser AVV beschränkt die Haftung, soweit eine solche Beschränkung nach anwendbarem Recht verboten ist.
25. Laufzeit und Beendigung
25.1 Diese AVV wird wirksam, sobald der Kunde die Hauptvereinbarung akzeptiert oder die Dienste anderweitig in einer Weise nutzt, die die Verarbeitung kundenbezogener personenbezogener Daten beinhaltet.
25.2 Diese AVV bleibt in Kraft, solange YourMellon kundenbezogene personenbezogene Daten im Auftrag des Kunden verarbeitet.
25.3 Die Beendigung der Hauptvereinbarung beendet auch diese AVV, vorbehaltlich der fortgesetzten Anwendung von Bestimmungen, die für Löschung, Rückgabe, Vertraulichkeit, Audit, gesetzliche Aufbewahrung und Compliance-Pflichten erforderlich sind.
26. Anwendbares Recht und Gerichtsstand
26.1 Diese AVV folgt dem anwendbaren Recht und Gerichtsstand der Hauptvereinbarung, sofern zwingendes Datenschutzrecht nichts anderes verlangt.
26.2 Zwingende Rechte betroffener Personen und Aufsichtsbehörden bleiben unberührt.
27. Änderungen dieser AVV
27.1 YourMellon kann diese AVV aktualisieren, soweit dies erforderlich ist, um Änderungen von Recht, Diensten, Sicherheitsmaßnahmen, Unterauftragsverarbeitern oder Verarbeitungstätigkeiten abzubilden.
27.2 Wesentliche Änderungen werden dem Kunden auf angemessene Weise mitgeteilt.
27.3 Änderungen bei Unterauftragsverarbeitern richten sich nach Abschnitt 11.
Anhang 1
Einzelheiten der Verarbeitung
1. Gegenstand der Verarbeitung
Die Verarbeitung kundenbezogener personenbezogener Daten im Zusammenhang mit der Bereitstellung der YourMellon-SaaS-Plattform für Recruiting, Kandidatensuche, Kandidatenmanagement, Bewerbermanagement, Recruiting-CRM, Kommunikation, Stellenanzeigen, Teamzusammenarbeit, Analysen, Integrationen, Support und damit verbundene Dienstleistungen.
2. Dauer der Verarbeitung
Für die Dauer der Hauptvereinbarung und danach nur, soweit dies für Löschung, Rückgabe, Ablauf von Backups, gesetzliche Aufbewahrung, Streitbeilegung oder Compliance-Pflichten erforderlich ist.
Backups werden 7 Tage aufbewahrt.
3. Art der Verarbeitung
Die Verarbeitung kann umfassen:
a. Erhebung;
b. Erfassung;
c. Organisation;
d. Strukturierung;
e. Speicherung;
f. Anpassung;
g. Auslesen;
h. Abfrage;
i. Verwendung;
j. Übermittlung;
k. Bereitstellung;
l. Abgleich;
m. Verknüpfung;
n. Einschränkung;
o. Löschung;
p. Vernichtung.
4. Zweck der Verarbeitung
Die Zwecke umfassen:
a. Bereitstellung der SaaS-Plattform;
b. Kandidatensuche und Kandidatenmanagement;
c. Recruiting-CRM- und ATS-Funktionalität;
d. Management von Bewerbungspipelines;
e. Kommunikation zwischen Kunden und Kandidaten;
f. interne Zusammenarbeit des Kunden, Notizen, Aufgaben und Listen;
g. Verwaltung von Stellenanzeigen;
h. Verwaltung von Unternehmensprofilen;
i. Zugriff auf und Freischaltung von Kandidatenprofilen;
j. Unterstützung bei der Kandidatenverifizierung, sofern anwendbar;
k. Termin- und Kalendermanagement;
l. optionale Google Calendar- und Microsoft Outlook-Integrationen;
m. bedarfsbezogene Übersetzung von Chat-Nachrichten und Stellenanzeigen;
n. In-App-Anrufe;
o. Analysen und Recruiting-KPIs;
p. Support und Fehlerbehebung;
q. Sicherheit, Monitoring, Protokollierung und Servicewartung;
r. Backup und Wiederherstellung.
5. Kategorien betroffener Personen
Die Kategorien betroffener Personen können umfassen:
a. Mitarbeiter des Kunden;
b. Administratoren des Kunden;
c. Recruiter;
d. Hiring Manager;
e. Nutzer von Personaldienstleistern;
f. Nutzer von Personalvermittlungsagenturen;
g. Kandidaten;
h. Bewerber;
i. Arbeitssuchende;
j. Kontakte des Kunden;
k. Personen, die in hochgeladenen Dokumenten oder Kalenderereignissen enthalten sind;
l. Kommunikationsteilnehmer;
m. Referenzen oder Dritte, die gegebenenfalls in Kandidatendokumenten enthalten sind.
6. Kategorien personenbezogener Daten
Die Kategorien personenbezogener Daten können umfassen:
Kandidaten- und Bewerberdaten
a. Vorname und Nachname;
b. E-Mail-Adresse;
c. Telefonnummer;
d. Adresse, Wohnort, Postleitzahl und Land;
e. Geburtsdatum;
f. Staatsangehörigkeit;
g. Profilbild;
h. Video-Lebenslauf;
i. Lebenslaufdaten;
j. Bildungsweg;
k. berufliche Qualifikationen;
l. Zertifikate;
m. Berufserfahrung;
n. Arbeitgeberhistorie;
o. Berufsbezeichnung;
p. Branchenerfahrung;
q. Verantwortlichkeiten;
r. Sprachkenntnisse;
s. fachliche Fähigkeiten;
t. soziale Kompetenzen;
u. gewünschte Stellen, Branchen und Präferenzen;
v. Bewerbungsstatus;
w. Interviewnotizen;
x. interne Kommentare des Kunden;
y. Kommunikationshistorie;
z. hochgeladene Dokumente.
Daten von Nutzern des Kunden
a. Name;
b. geschäftliche E-Mail-Adresse;
c. geschäftliche Telefonnummer;
d. Unternehmenszugehörigkeit;
e. Rolle und Berechtigungen;
f. Login-Daten;
g. Nutzer-ID;
h. IP-Adresse;
i. Aktivitätsdaten;
j. Supportanfragen;
k. Kalenderintegrationsdaten, soweit verbunden.
Kalenderintegrationsdaten
a. Titel von Kalenderereignissen;
b. Ereignisbeschreibungen;
c. Daten und Uhrzeiten;
d. Teilnehmer, sofern in Kalenderereignissen enthalten;
e. Kalendermetadaten;
f. Kalendertokens.
Kommunikations- und Kollaborationsdaten
a. Chat-Nachrichten;
b. von Nutzern manuell eingegebene Anrufnotizen;
c. Aufgabendaten;
d. Termindaten;
e. Teamnotizen;
f. Kandidatenlisten;
g. Bewerbungspipeline-Daten;
h. Aktivitätsprotokolle.
Technische Daten
a. Nutzer-IDs;
b. Sitzungsdaten;
c. Authentifizierungsdaten;
d. Systemprotokolle;
e. Fehlerprotokolle;
f. Monitoring-Daten;
g. Geräte-/Browserinformationen;
h. IP-Adressen, soweit technisch verarbeitet;
i. Zugriffsprotokolle.
Abrechnungs-/Kundenkontodaten
Soweit im Zusammenhang mit dem Kundenkonto verarbeitet:
a. Unternehmensname;
b. Rechnungsadresse;
c. Rechnungskontakt;
d. zahlungsbezogene Informationen;
e. Rechnungsdaten;
f. Abonnementdaten.
7. Besondere Kategorien personenbezogener Daten
Die Dienste sind nicht darauf ausgelegt, gezielt besondere Kategorien personenbezogener Daten anzufordern. Nutzer des Kunden, Kandidaten oder andere autorisierte Nutzer können jedoch beliebige Dokumente oder Inhalte hochladen oder eingeben, die besondere Kategorien personenbezogener Daten oder sensible Informationen enthalten können.
Dies kann abhängig vom Nutzerverhalten umfassen:
a. Gesundheitsdaten;
b. Informationen zu Behinderungen;
c. foto- oder videobasierte biometrieähnliche Daten, soweit hochgeladen;
d. Identitätsdokumente;
e. Aufenthaltstitel;
f. Visa- oder Arbeitserlaubnisdokumente;
g. Informationen zu Vorstrafen;
h. religiöse Informationen;
i. Gewerkschaftsinformationen;
j. sonstige sensible personenbezogene Daten, die in Dokumenten, Nachrichten oder Notizen enthalten sind.
Der Kunde bleibt für die Rechtmäßigkeit einer solchen Verarbeitung verantwortlich.
Anhang 2
Technische und organisatorische Maßnahmen
1. Hosting- und Infrastruktursicherheit
1.1 Der primäre Hosting-Anbieter ist Hetzner unter Nutzung von VPS-Infrastruktur mit Standort in Nürnberg, Deutschland.
1.2 Dateispeicher wird über Amazon S3 bereitgestellt, konfiguriert in der Region Europa Frankfurt.
1.3 AWS-Dienste, die im Zusammenhang mit den Diensten verwendet werden, sind in der Region Europa Frankfurt konfiguriert.
1.4 S3-Dateien sind standardmäßig verschlüsselt.
1.5 Tägliche Backups werden erstellt und 7 Tage aufbewahrt.
1.6 Produktions- und Staging-Umgebungen sind getrennt.
1.7 Echte kundenbezogene personenbezogene Daten werden nicht zu Testzwecken verwendet.
2. Zugriffskontrolle
2.1 Der Zugriff auf Produktionssysteme und kundenbezogene personenbezogene Daten ist auf überprüftes und qualifiziertes Personal beschränkt.
2.2 Zugriff wird auf Grundlage von Rolle und Erforderlichkeit gewährt.
2.3 Multi-Faktor-Authentifizierung ist für Administrator- und Support-Zugriffe erforderlich.
2.4 Rollenbasierte Zugriffskontrolle ist implementiert.
2.5 Support- und Administratorzugriff ist nur über dedizierte Support- oder Administrationsschnittstellen möglich.
2.6 Zugriffsrechte werden überprüft und angepasst, wenn Personal die Rolle wechselt oder keinen Zugriff mehr benötigt.
3. Protokollierung von Administrator- und Support-Zugriffen
3.1 Administrative und Support-Zugriffe auf Kundenkonten werden protokolliert.
3.2 Protokolle enthalten mindestens:
a. Zeitstempel;
b. zugreifenden Nutzer;
c. relevante Zugriffs-/Aktionsinformationen.
3.3 Administrator- und Support-Zugriffsprotokolle werden mindestens 180 Tage aufbewahrt.
4. Verschlüsselung und Übertragungssicherheit
4.1 Kundenbezogene personenbezogene Daten werden bei der Übertragung durch TLS-Verschlüsselung geschützt.
4.2 S3-Dateispeicher ist verschlüsselt.
4.3 Sensible Datenbankfelder, einschließlich zahlungsbezogener Informationen und Passwörter, sind verschlüsselt.
4.4 Passwörter werden nicht im Klartext gespeichert.
5. Entwicklungs- und Bereitstellungssicherheit
5.1 Code-Reviews werden vor der Bereitstellung durchgeführt.
5.2 Wöchentliche Abhängigkeitsprüfungen werden durchgeführt.
5.3 Produktions- und Staging-Umgebungen sind getrennt.
5.4 Echte kundenbezogene personenbezogene Daten werden nicht in Entwicklungs- oder Testumgebungen verwendet.
5.5 Änderungen an der Plattform werden vor der Veröffentlichung überprüft.
6. Monitoring und Vorfallerkennung
6.1 Monitoring- und Fehlerverfolgungstools werden verwendet, um Plattformsicherheit, Stabilität und Verfügbarkeit aufrechtzuerhalten.
6.2 Laravel Nightwatch wird in der EU, Region Frankfurt, verwendet.
6.3 Sentry wird in der EU, Region Frankfurt, verwendet.
6.4 Monitoring-Daten enthalten nicht absichtlich personenbezogene Inhaltsdaten und sind auf technische Informationen und Nutzer-IDs beschränkt.
6.5 Monitoring-Protokolle werden 90 Tage aufbewahrt.
7. Personalsicherheit
7.1 Kritisches Personal unterliegt Vertraulichkeitsvereinbarungen.
7.2 Personal mit Zugriff auf kundenbezogene personenbezogene Daten ist überprüft und qualifiziert.
7.3 Der Zugriff auf kundenbezogene personenbezogene Daten ist auf Personal beschränkt, das diesen Zugriff für Support, Wartung, Sicherheit oder Servicebetrieb benötigt.
7.4 Personal ist verpflichtet, interne Sicherheits- und Datenschutzanforderungen einzuhalten.
8. Gerätesicherheit
8.1 Personal verwendet Passwortmanager.
8.2 Geräte sind mit aktuellem Virenschutz geschützt.
8.3 Geräte verwenden Bildschirmsperren.
8.4 Der Zugriff auf Systeme ist durch individuelle Zugangsdaten geschützt.
9. Backup und Wiederherstellung
9.1 Tägliche Backups werden erstellt.
9.2 Backups werden 7 Tage aufbewahrt.
9.3 Backup-Daten werden gemäß dem regulären Backup-Prozess gelöscht oder überschrieben.
9.4 Backup-Verfahren sind darauf ausgelegt, die Wiederherstellung im Falle technischer Vorfälle zu unterstützen.
10. Datenminimierung und Zweckbindung
10.1 YourMellon verarbeitet kundenbezogene personenbezogene Daten nur, soweit dies zur Bereitstellung der Dienste und zur Einhaltung dokumentierter Weisungen erforderlich ist.
10.2 Monitoring und Protokolle werden soweit möglich auf technische Daten beschränkt.
10.3 Pusher wird ausschließlich für Ereignissignale verwendet und verarbeitet keine Nachrichteninhalte.
10.4 Twilio wird für die In-App-Anrufverbindung verwendet und zeichnet keine Anrufe auf.
11. Verfügbarkeit und Belastbarkeit
11.1 Infrastruktur, Backups und Monitoring werden eingesetzt, um Verfügbarkeit und Belastbarkeit der Dienste zu unterstützen.
11.2 YourMellon unterhält Verfahren für technische Fehlerbehebung, Wiederherstellung und Vorfallbearbeitung.
Anhang 3
Genehmigte Unterauftragsverarbeiter
Der Kunde autorisiert die folgenden Unterauftragsverarbeiter.
Unterauftragsverarbeiter | Zweck | Standort / Region | Verarbeitete Daten |
|---|---|---|---|
Hetzner Online GmbH | VPS-Hosting / Infrastruktur | Nürnberg, Deutschland | Plattformdaten, kundenbezogene personenbezogene Daten, Kandidatendaten, Systemdaten |
Amazon Web Services | S3-Dateispeicher, SES-E-Mail-Dienste | Region Europa Frankfurt | Hochgeladene Dateien, E-Mail-Inhalte/-Metadaten, Systemdaten |
Pusher | Realtime-Websocket-Ereignissignale | EU-Region | Nur technische Ereignissignale, keine Nachrichteninhalte |
Stripe | Zahlungsabwicklung | Nutzung über Apiro GmbH | Nur Kundenabrechnungs-/Zahlungsdaten, keine Kandidatendaten |
Google Maps Embed, Google Cloud Translation API, Google Calendar-Integration | Google-Infrastruktur, EU-Region | Unternehmensadresse für Maps, übersetzte Chat-/Stellenanzeigeninhalte, Kalenderereignisse, Kalendertokens | |
Twilio | In-App-Anrufe | EU-Region | Technische Anrufverbindungsdaten; keine Telefonnummernverarbeitung, keine Anrufaufzeichnung |
Microsoft / Outlook | Optionale Kalenderintegration | Microsoft-Infrastruktur, EU-Region | Kalenderereignisdaten, Kalendermetadaten, Kalendertokens |
Laravel Nightwatch | Monitoring | EU, Frankfurt | Nutzer-IDs, technische Monitoring-Daten |
Sentry | Fehlerverfolgung / Monitoring | EU, Frankfurt | Nutzer-IDs, technische Fehlerdaten |
Hinweise zu bestimmten Unterauftragsverarbeitern
Stripe
Stripe erhält ausschließlich Kundenabrechnungs- und zahlungsbezogene Daten. Kandidatendaten werden nicht absichtlich an Stripe übermittelt. Die vertragliche Beziehung mit Stripe wird über die Apiro GmbH abgewickelt.
Google Maps Embed
Google Maps Embed erhält Unternehmensadressdaten, wenn Karten angezeigt werden.
Google Cloud Translation API
Die Google Cloud Translation API wird für die bedarfsbezogene Übersetzung von Chat-Nachrichten und Stellenanzeigen verwendet. Die Übersetzung wird durch eine Nutzeraktion ausgelöst.
Google Calendar und Microsoft Outlook
Kalenderintegrationen sind optional und müssen durch den Nutzer initiiert werden. Synchronisierte Kalenderdaten können alle Ereignisse aus dem ausgewählten Kalender umfassen, einschließlich Ereignistiteln, Beschreibungen, Daten und Uhrzeiten. Kalendertokens werden gespeichert, um die Integration aufrechtzuerhalten. Nutzer können die Integration jederzeit trennen; danach werden synchronisierte Kalenderdaten vorbehaltlich der Backup-Aufbewahrung gelöscht.
Twilio
Twilio wird für In-App-Anrufe in der EU-Region verwendet. Anrufe werden von YourMellon nicht aufgezeichnet. Anrufprotokolle können durch Nutzer des Kunden manuell gespeichert werden.
Pusher
Pusher wird ausschließlich für technische Websocket-Ereignissignale verwendet. Nachrichteninhalte werden nicht über Pusher übertragen.
Anhang 4
Internationale Übermittlungen und Zugriff aus Drittländern
1. Hosting und primärer Verarbeitungsstandort
Das primäre Hosting und die für die Dienste verwendete Infrastruktur befinden sich in Deutschland und/oder der Europäischen Union.
Dies umfasst:
a. Hetzner-VPS-Infrastruktur in Nürnberg, Deutschland;
b. Amazon S3-Dateispeicher in Frankfurt, Deutschland;
c. AWS SES in der Region Europa Frankfurt;
d. Laravel Nightwatch in der EU, Region Frankfurt;
e. Sentry in der EU, Region Frankfurt.
2. Fernzugriff aus Drittländern
Autorisiertes Personal kann aus der Ferne von außerhalb der EU/des EWR auf kundenbezogene personenbezogene Daten zugreifen, soweit dies für Support- und Servicebetriebszwecke erforderlich ist.
Ein solcher Zugriff kann aus folgenden Ländern erfolgen:
Land | Rolle | Zugriffsart |
|---|---|---|
Vereinigte Arabische Emirate | Support | Administrator-/Support-Schnittstelle |
Serbien | Support | Ausschließlich Kandidaten-Support-Schnittstelle |
Griechenland | Support | Ausschließlich Kandidaten-Support-Schnittstelle |
Griechenland liegt innerhalb der EU und stellt daher keine Drittlandübermittlung dar.
Die Vereinigten Arabischen Emirate und Serbien liegen außerhalb der EU/des EWR und können Übermittlungsschutzmaßnahmen gemäß Kapitel V DSGVO erfordern.
3. Schutzmaßnahmen für Drittlandzugriffe
Fernzugriff aus Drittländern unterliegt:
a. Vertraulichkeitspflichten;
b. ausschließlich überprüftem und qualifiziertem Personal;
c. rollenbasierter Zugriffskontrolle;
d. Multi-Faktor-Authentifizierung;
e. Zugriffsbeschränkung nach Erforderlichkeit;
f. Protokollierung von Administrator-/Support-Zugriffen;
g. Aufbewahrung von Administrator-/Support-Zugriffsprotokollen für mindestens 180 Tage;
h. internen Sicherheits- und Datenschutzanforderungen;
i. vertraglichen Schutzmaßnahmen;
j. Standardvertragsklauseln oder sonstigen geeigneten Übermittlungsmechanismen, sofern erforderlich.
4. Keine unbeschränkte Drittlandübermittlung
Kundenbezogene personenbezogene Daten werden nicht in den Vereinigten Arabischen Emiraten oder Serbien gehostet.
Fernzugriff aus Drittländern ist auf autorisierte Support- und Servicebetriebszwecke beschränkt und stellt keine unbeschränkte Speicherung oder kein unbeschränktes Hosting in diesen Ländern dar.
5. Änderungen der Übermittlungsstruktur
YourMellon informiert den Kunden über wesentliche Änderungen der Regelungen zu internationalen Übermittlungen, soweit solche Änderungen die Verarbeitung kundenbezogener personenbezogener Daten wesentlich betreffen.
Anhang 5
Mechanismus zur Mitteilung von Änderungen bei Unterauftragsverarbeitern
YourMellon kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren.
YourMellon informiert mindestens 30 Tage im Voraus, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird, der kundenbezogene personenbezogene Daten verarbeitet.
Die Mitteilung erfolgt durch:
a. Benachrichtigung per E-Mail; und
b. Aktualisierung der öffentlichen Unterauftragsverarbeiter-Seite.Der Kunde kann dem neuen Unterauftragsverarbeiter innerhalb der Mitteilungsfrist aus angemessenen datenschutzrechtlichen Gründen widersprechen.
Ist der Widerspruch begründet, arbeiten die Parteien nach Treu und Glauben zusammen, um eine angemessene Lösung zu finden.
Ist keine angemessene Lösung verfügbar und ist der Unterauftragsverarbeiter für die fortgesetzte Bereitstellung der Dienste erforderlich, kann der Kunde die betroffenen Dienste gemäß der Hauptvereinbarung kündigen.