VEREINBARUNG ÜBER DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Diese Datenverarbeitungsvereinbarung (im Folgenden DPA genannt) ist Teil der Allgemeinen Nutzungsbedingungen für die Dienste von Sendinblue (im Folgenden Vertrag genannt). Alle in dieser DPA nicht definierten Begriffe in Großbuchstaben haben die gleiche Bedeutung wie in der Vereinbarung angegeben. Diese DPA soll die Bedingungen festlegen, unter denen Sendinblue sich verpflichtet, im Namen des Nutzers die nachstehend definierten Datenverarbeitungsvorgänge durchzuführen. Im Rahmen dieser DPA handelt der Nutzer als Datenverantwortlicher und Sendinblue als Datenverarbeiter im Sinne des EU-Datenschutzgesetzes.

1 – BEGRIFFSBESTIMMUNGEN

Nutzerdaten sind alle personenbezogenen Daten, die Sendinblue im Rahmen der Erbringung der Dienstleistungen im Auftrag des Nutzers als Datenverarbeiter verarbeitet.

Datenverantwortlicher ist der Nutzer (Werku Tools SA).

Datenverarbeiter bedeutet Sendinblue. EU-Datenschutzgesetz bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung). (GDPR).

EWR bezeichnet den Europäischen Wirtschaftsraum.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Der Begriff „Verarbeitung“ hat die Bedeutung, die ihm in der DSGVO zugeschrieben wird, und „verarbeiten“, „verarbeiten“ und „verarbeitet“ sind entsprechend auszulegen.

Unterauftragsverarbeiter bezeichnet jeden von Sendinblue beauftragten Datenverarbeiter, der bei der Erfüllung seiner Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen gemäß der Vereinbarung oder dieser DSGVO behilflich ist. Zu den Unterauftragsverarbeitern können Dritte oder Mitglieder der Sendinblue-Gruppe gehören.

2 – EINZELHEITEN DER DATENVERARBEITUNG

2.1 Sendinblue wird die Nutzerdaten nur für die in der DSGVO beschriebenen Zwecke und nur in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Nutzers verarbeiten. Die Parteien sind sich einig, dass diese DPA und der Vertrag die vollständigen und endgültigen Anweisungen des Nutzers an Sendinblue in Bezug auf die Verarbeitung der Nutzerdaten enthalten.

2.2 Dauer: Zwischen Sendinblue und dem Nutzer läuft die Datenverarbeitung im Rahmen dieser DPA bis zur Beendigung des Vertrages gemäß dessen Bestimmungen.

2.3 Zweck: Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist der Versand von Marketing- und/oder Transaktions-E-Mails und/oder SMS.

2.4 Die von Sendinblue im Auftrag des Nutzers durchgeführten Datenverarbeitungsvorgänge sind im Folgenden definiert:

– Speicherung der vom Nutzer hochgeladenen Kontaktlisten
– Versendung von automatisierten oder nicht automatisierten E-Mail- oder SMS-Nachrichten (einschließlich Auftragsverfolgung, Auftragsbestätigung, Newsletter)
– Speicherung und Analyse von E-Mail-Zustellbarkeitsdaten (Retargeting-Anzeige)
– Erfassung von Abmeldungen und Nutzerinformationen
– Einholung von Einwilligungen (falls der Nutzer das Sendinblue-Formular zum Abruf von Kontaktdaten von seiner eigenen Website verwendet)
– Analyse des Verhaltens von E-Mail-Empfängern (Verfolgung von Öffnungsraten, Durchklickraten und Absprungraten auf individueller Ebene).

2.5 Kategorien von betroffenen Personen: Jede Person: (i) deren E-Mail-Adresse in der Verteilerliste des Nutzers enthalten ist; (ii) deren Daten über die Dienste gespeichert oder gesammelt werden; oder (iii) an die der Nutzer E-Mails sendet oder über die Dienste Kontakt aufnimmt oder kommuniziert, genauer gesagt, Kunden und Interessenten.

2.6 Arten von Nutzerdaten: Jede Art von Daten, die der Nutzer im Rahmen seiner Nutzung und Konfiguration der Dienste nach eigenem Ermessen bestimmt und kontrolliert, wie z. B. Kontaktangaben (wie E-Mail und Telefonnummer), Computerinformationen (IP-Adressen, Cookie-Daten).

3 – VERPFLICHTUNGEN DES NUTZERS

3.1 Wenn der Nutzer in der Europäischen Union ansässig ist oder seine Verteilerliste personenbezogene Daten von EU-Bürgern enthält, erklärt sich der Nutzer damit einverstanden, dass er seinen Verpflichtungen als Datenverantwortlicher gemäß dem EU-Datenschutzgesetz nachkommt, und insbesondere:
– dass die in den übermittelten Dateien enthaltenen personenbezogenen Daten in Übereinstimmung mit den geltenden Vorschriften erhoben und verarbeitet worden sind
– dass der Nutzer die betroffenen Personen gemäß den geltenden Vorschriften informiert hat
– gegebenenfalls, dass die betroffenen Personen ihre Zustimmung zur Erhebung und Verarbeitung gegeben haben
– dass die betroffenen Personen in der Lage sein werden, ihre Rechte gemäß den geltenden Vorschriften auszuüben
– dass der Nutzer sich verpflichtet, die Informationen zu berichtigen, zu vervollständigen, zu klären, zu aktualisieren oder zu löschen, wenn sie unrichtig, unvollständig, mehrdeutig oder veraltet sind oder wenn die betroffene Person die Erhebung, Verwendung, Übermittlung oder Speicherung der Daten untersagen möchte

3.2 Es wird darauf hingewiesen, dass der Nutzer allein für die Verwaltung der Aufbewahrungsfristen der personenbezogenen Daten verantwortlich ist, die er auf die Sendinblue-Plattform hochlädt, und dass es in seiner Verantwortung liegt, die Daten nach Ablauf der Aufbewahrungsfrist zu löschen. Sendinblue ist allein für die Löschung dieser Daten bei Beendigung des Vertragsverhältnisses mit dem Nutzer verantwortlich.

3.3 Der Nutzer verpflichtet sich, in die auf die Plattform hochgeladenen Verteilerlisten keine personenbezogenen Daten aufzunehmen, die als „sensibel“ im Sinne von Artikel 9 der DSGVO gelten.

4 – VERPFLICHTUNGEN VON SENDINBLUE

4.1 Einhaltung der Anweisungen und Vorschriften des Nutzers.
Sendinblue verpflichtet sich zu:
– Persönliche Daten nur für den in dieser DPA festgelegten Zweck zu verarbeiten
– die personenbezogenen Daten in Übereinstimmung mit den Anweisungen des für die Verarbeitung Verantwortlichen zu verarbeiten. Sollte Sendinblue der Ansicht sein, dass eine Anweisung einen Verstoß gegen das EU-Datenschutzrecht darstellt, wird es den Nutzer unverzüglich informieren
– die Vertraulichkeit der im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten sicherstellen
– sicherstellen, dass die Personen, die gemäß dieser DPA zur Verarbeitung personenbezogener Daten berechtigt sind:

– sich zur Wahrung der Vertraulichkeit verpflichten oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen
– die erforderliche Schulung zum Schutz personenbezogener Daten erhalten; einen Datenschutzbeauftragten benennen: Jules Jeanroy, dpo@sendinblue.com

– ein Register zu führen, in dem die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungen aufgeführt sind, einschließlich aller in Artikel 30 (2) der DSGVO aufgeführten Informationen.

4.2 Sicherheit: Sendinblue verpflichtet sich, unter Berücksichtigung der Art der personenbezogenen Daten und der mit der Verarbeitung verbundenen Risiken alle erforderlichen Vorkehrungen zu treffen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und insbesondere zu verhindern, dass diese verfälscht oder beschädigt werden oder unbefugten Dritten zugänglich sind. Sendinblue verpflichtet sich in diesem Zusammenhang, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen.

angemessene technische und organisatorische Sicherheits- und Vertraulichkeitsmaßnahmen zu treffen.

4.3 Datenverletzung: Sobald Sendinblue von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, benachrichtigt sie den Nutzer innerhalb von 72 Stunden nach Bekanntwerden der Verletzung, indem sie ihn über sein Kundenkonto oder per E-Mail an seine Adresse benachrichtigt, insbesondere um dem Nutzer die Möglichkeit zu geben, seiner Verpflichtung gemäß Artikel 33 der DSGVO nachzukommen.

4.4 Vernichtung: Der Nutzer kann jederzeit während der Vertragsdurchführung die von Sendinblue verarbeiteten personenbezogenen Daten direkt in seinem Kundenkonto einsehen oder löschen, indem er den „Export-Button“ in seinem Kundenkonto anklickt. Bei Beendigung des Vertragsverhältnisses verpflichtet sich Sendinblue, auf Verlangen des Nutzers alle personenbezogenen Daten zu vernichten oder sie an den Nutzer oder einen anderen von ihm benannten Datenverarbeiter zurückzugeben, sofern dies technisch möglich ist, und zwar innerhalb einer Frist von maximal 3 Monaten. Die Rückgabe muss mit der Vernichtung bestehender Kopien in den Informationssystemen von Sendinblue einhergehen, es sei denn, ein anwendbares Gesetz schreibt deren Aufbewahrung vor. Sendinblue verpflichtet sich, dem Nutzer auf Anfrage einen Nachweis über die Vernichtung zu erbringen.  

5 – UNTERSTÜTZUNG UND PRÜFUNG

5.1 Unterstützung: Soweit der Nutzer nicht selbständig auf die relevanten Nutzerdaten innerhalb der Dienste zugreifen kann, wird Sendinblue (auf Kosten des Nutzers) in angemessener Weise kooperieren, um den Nutzer bei der Beantwortung von Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags zu unterstützen. Falls eine solche Anfrage direkt an Sendinblue gerichtet wird, wird Sendinblue ohne vorherige Genehmigung des Nutzers nicht direkt auf eine solche Mitteilung reagieren, es sei denn, dies ist gesetzlich vorgeschrieben. Wenn Sendinblue verpflichtet ist, auf eine solche Anfrage zu antworten, wird Sendinblue den Nutzer unverzüglich benachrichtigen und ihm eine Kopie der Anfrage zukommen lassen, sofern dies nicht gesetzlich verboten ist.

5.2 Prüfung: Sendinblue verpflichtet sich, dem Nutzer alle Informationen und Unterlagen zur Verfügung zu stellen, die für den Nachweis der Einhaltung der in dieser DSGVO festgelegten Verpflichtungen erforderlich sind. Sendinblue ermächtigt den Nutzer oder einen anderen externen Prüfer, der nicht im Wettbewerb mit Sendinblue steht und vom Nutzer beauftragt wird, auf Kosten des Nutzers die Verarbeitung personenbezogener Daten zu kontrollieren und zu prüfen, und verpflichtet sich, allen angemessenen Anfragen des Nutzers nachzukommen, um zu überprüfen, ob Sendinblue die vertraglichen Verpflichtungen aus dieser DSGVO eingehalten hat. Solche Audits dürfen nicht öfter als einmal (1) pro Vertragsjahr durchgeführt werden. In jedem Fall muss der Nutzer Sendinblue mindestens dreißig (30) Tage im Voraus informieren, und das Audit darf auf keinen Fall die laufenden Aktivitäten von Sendinblue unterbrechen. Das Audit beschränkt sich auf die von Sendinblue im Auftrag des Nutzers durchgeführten Aktivitäten zur Verarbeitung personenbezogener Daten, und der Nutzer hat keinen Zugang zu Daten anderer Sendinblue-Kunden. Eine Kopie des Prüfberichts wird Sendinblue kostenlos zur Verfügung gestellt.

6 – DATENÜBERTRAGUNGEN UND UNTERVERARBEITUNGEN

6.1 Zugelassene Unterauftragsverarbeiter: Der Nutzer ist darüber informiert und akzeptiert ausdrücklich, dass Sendinblue im Zusammenhang mit der Erbringung der vertragsgemäßen Dienstleistung Unterauftragsverarbeiter einsetzen kann, die in seinem Namen auf die vom Nutzer anvertrauten personenbezogenen Daten zugreifen bzw. diese verarbeiten. Die Liste der betreffenden Auftragsverarbeiter ist unter https://bit.ly/subcontactors-SIB-EN-int abrufbar.

6.2 Verpflichtungen der Unterauftragsverarbeiter: Sendinblue muss: (i) eine schriftliche Vereinbarung mit den Unterauftragsverarbeitern abschließen, die Datenschutzbedingungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, die Nutzerdaten gemäß dem vom EU-Datenschutzrecht geforderten Standard zu schützen; und (ii) für die Einhaltung seiner Verpflichtungen im Rahmen dieser DSGVO und für jede Handlung oder Unterlassung des Unterauftragsverarbeiters verantwortlich bleiben, die zu einer Verletzung der Verpflichtungen von Sendinblue im Rahmen dieser DSGVO führt.

6.3 Änderungen bei den Unterauftragsverarbeitern: Im Falle einer Änderung der Liste der Unterauftragsverarbeiter wird Sendinblue den Nutzer per E-Mail oder über das Kundenkonto benachrichtigen, und der Nutzer hat die Möglichkeit, die Vereinbarung im Falle eines Widerspruchs zu kündigen.
Es wird darauf hingewiesen, dass diese Benachrichtigung alle Informationen über mögliche Übermittlungen personenbezogener Daten in den EWR enthält.

7 – VERSCHIEDENES

7.1 Diese DPA kann jederzeit geändert werden. Alle Änderungen werden auf der Website von Sendinblue veröffentlicht und dem Nutzer über die Website mitgeteilt.

Sofern der Nutzer die Dienste nicht innerhalb von dreißig (30) Tagen nach diesen Änderungen per Einschreiben mit Rückschein an Sendinblue kündigt, wird davon ausgegangen, dass der Nutzer die Änderungen akzeptiert hat.

7.2. Die vorliegende DPA wurde in mehreren Sprachen verfasst. Für die Auslegung der vorliegenden DPA ist die französische Fassung maßgebend.

8 – ANWENDBARES RECHT UND GERICHTSBARKEIT

Das anwendbare Recht und die zuständige Gerichtsbarkeit bleiben die, die in der Vereinbarung festgelegt sind.