Datenverarbeitungszusatz

Zuletzt aktualisiert: 1. Dezember 2024

Datenverarbeitungszusatz

Dieser Datenverarbeitungszusatz („DVZ") ist Bestandteil der Whispie-Nutzungsbedingungen oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen Black Eagle Group LLC („Whispie", „wir", „uns" oder „unser") und Ihnen („Kunde", „Sie" oder „Ihr") für den Erwerb von Diensten (die „Vereinbarung") und unterliegt dieser.

Dieser DVZ spiegelt die Einigung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften wider.

1. Definitionen

Für die Zwecke dieses DVZ haben die folgenden Begriffe die unten aufgeführten Bedeutungen:

Begriff Definition
Datenschutzgesetze Alle anwendbaren Datenschutz- und Datenschutzgesetze, einschließlich DSGVO, UK-DSGVO, CCPA/CPRA, KVKK und andere globale Datenschutzvorschriften
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
Verarbeitung Jeder an personenbezogenen Daten durchgeführte Vorgang
Verantwortlicher Die Entität, die die Zwecke und Mittel der Verarbeitung bestimmt
Auftragsverarbeiter Die Entität, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
Betroffene Person Die Person, auf die sich personenbezogene Daten beziehen
Unterauftragsverarbeiter Dritte, die vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten eingesetzt werden

2. Rollen und Verantwortlichkeiten

2.1 Whispie als Auftragsverarbeiter

Whispie fungiert als Auftragsverarbeiter, wenn es personenbezogene Daten im Auftrag des Kunden verarbeitet. Whispie wird:

2.2 Kunde als Verantwortlicher

Der Kunde fungiert als Verantwortlicher und ist verantwortlich für:

3. Verarbeitungsdetails

3.1 Gegenstand und Dauer

Der Gegenstand der Verarbeitung umfasst Baby- und Familiendatenverwaltungsdienste. Die Dauer der Verarbeitung entspricht der Laufzeit der Vereinbarung.

3.2 Art und Zweck

Verarbeitungsvorgänge umfassen die Erhebung, Speicherung, Analyse und Weitergabe von Baby-Entwicklungsdaten, Gesundheitsinformationen und Familienverwaltungsdaten zur Bereitstellung von Whispie-Diensten.

3.3 Kategorien betroffener Personen

3.4 Arten personenbezogener Daten

3.5 Besondere Datenkategorien

Die Dienste umfassen die Verarbeitung besonderer Datenkategorien, einschließlich:

4. Technische und organisatorische Maßnahmen

4.1 Sicherheitsmaßnahmen

Whispie implementiert die folgenden Sicherheitsmaßnahmen:

Maßnahmenkategorie Umsetzung
Verschlüsselung Daten bei der Übertragung verschlüsselt (TLS 1.2+) und im Ruhezustand (AES-256)
Zugriffskontrollen Rollenbasierter Zugriff, Multi-Faktor-Authentifizierung, Prinzip der minimalen Rechtevergabe
Netzwerksicherheit Firewalls, Eindringungserkennungssystem, DDoS-Schutz, regelmäßige Sicherheitsbewertungen
Physische Sicherheit Sichere Rechenzentren, 24/7-Überwachung, Zugriffsprotokolle
Organisatorisch Mitarbeiterschulung, Vertraulichkeitsvereinbarungen, Sicherheitsrichtlinien

4.2 Datenschutz-Folgenabschätzungen

Whispie leistet dem Kunden angemessene Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen, sofern nach Datenschutzgesetzen erforderlich.

5. Unterauftragsverarbeitung

5.1 Autorisierte Unterauftragsverarbeiter

Der Kunde erteilt eine allgemeine Genehmigung für Whispie, die folgenden Unterauftragsverarbeiter einzusetzen:

Unterauftragsverarbeiter Dienst Standort DVZ vorhanden
Supabase Datenbank & Authentifizierung Vereinigte Staaten Ja
Stripe Zahlungsabwicklung Vereinigte Staaten Ja
Twilio SMS-Verifizierung Vereinigte Staaten Ja
Resend E-Mail-Zustellung Vereinigte Staaten Auf Anfrage verfügbar
Sentry Fehlerüberwachung Vereinigte Staaten Ja
Cloudflare DNS & Sicherheit Global Ja

5.2 Pflichten gegenüber Unterauftragsverarbeitern

Whispie wird:

5.3 Widerspruchsrecht

Der Kunde kann der Beauftragung neuer Unterauftragsverarbeiter durch Whispie aus vernünftigen Gründen im Zusammenhang mit dem Datenschutz widersprechen. Whispie wird mit dem Kunden zusammenarbeiten, um Bedenken zu klären.

6. Internationale Datenübertragungen

6.1 Übertragungsmechanismen

Bei der Übertragung personenbezogener Daten außerhalb des EWR, des Vereinigten Königreichs, der Schweiz oder anderer Rechtsordnungen mit Angemessenheitsanforderungen stellt Whispie sicher, dass geeignete Schutzmaßnahmen vorhanden sind:

6.2 Ergänzende Maßnahmen

Whispie implementiert ergänzende Maßnahmen, einschließlich:

7. Rechte betroffener Personen

7.1 Unterstützungspflichten

Whispie unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtungen, auf Anfragen betroffener Personen gemäß den Datenschutzgesetzen zu reagieren.

7.2 Bearbeitung von Anfragen

Whispie wird:

8. Sicherheitsvorfallmanagement

8.1 Vorfallbenachrichtigung

Whispie benachrichtigt den Kunden unverzüglich, nachdem es von einer Verletzung personenbezogener Daten Kenntnis erlangt hat. Benachrichtigungen enthalten:

8.2 Zusammenarbeit

Whispie arbeitet mit dem Kunden zusammen und ergreift zumutbare kommerzielle Maßnahmen, die vom Kunden angewiesen werden, um bei der Untersuchung, Minderung und Behebung jeder solchen Verletzung personenbezogener Daten zu helfen.

9. Prüfungsrechte

9.1 Prüfungsverfahren

Der Kunde kann die Einhaltung dieses DVZ durch Whispie bis zu einmal jährlich prüfen. Prüfungen werden:

9.2 Alternative Nachweise

Anstelle einer Prüfung kann Whispie Folgendes bereitstellen:

10. Datenrückgabe und -löschung

10.1 Rückgabe oder Löschung

Bei Beendigung der Vereinbarung löscht oder gibt Whispie nach Wahl des Kunden alle personenbezogenen Daten an den Kunden zurück und löscht vorhandene Kopien, sofern das anwendbare Recht keine Speicherung der personenbezogenen Daten erfordert.

10.2 Aufbewahrungsfristen

Personenbezogene Daten werden nur so lange aufbewahrt, wie es zur Bereitstellung der Dienste erforderlich ist und gemäß den in Anhang 1 festgelegten Aufbewahrungsfristen.

ANHANG 1: EINZELHEITEN DER VERARBEITUNG

A. Kategorien betroffener Personen

B. Arten personenbezogener Daten

Datenkategorie Beispiele Sensibilitätsstufe
Identitätsdaten Namen, Geburtsdaten, Geschlecht Standard
Kontaktdaten E-Mail, Telefonnummern, Adressen Standard
Gesundheitsdaten Impfungen, medizinische Erkrankungen, Allergien Besondere Kategorie
Entwicklungsdaten Wachstumsmetriken, Meilensteine, Aktivitäten Besondere Kategorie
Familiendaten Beziehungen, Berechtigungen, Zugriffsprotokolle Standard

C. Verarbeitungsvorgänge

D. Aufbewahrungsfristen

Datentyp Aufbewahrungsfrist Rechtsgrundlage
Kontodaten Bis zur Kontolöschung + 6 Jahre Gesetzliche Verpflichtung
Baby-Gesundheitsdaten 18 Jahre ab Geburt Gesetzliche Verpflichtung, Einwilligung
Zahlungsdaten 10 Jahre Gesetzliche Verpflichtung
Analysedaten 2 Jahre (anonymisiert) Berechtigtes Interesse

ANHANG 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

A. Physische Zugangskontrolle

B. Systemzugangskontrolle

C. Datenzugangskontrolle

D. Organisatorische Maßnahmen

11. Regionsspezifische Bestimmungen

11.1 Europäischer Wirtschaftsraum

Für personenbezogene Daten, die der DSGVO unterliegen, gelten die EU-Standardvertragsklauseln und werden durch Verweis einbezogen.

11.2 Vereinigtes Königreich

Für personenbezogene Daten, die der UK-DSGVO unterliegen, gilt das UK International Data Transfer Addendum.

11.3 Türkei

Für personenbezogene Daten, die dem KVKK unterliegen, hält Whispie die Pflichten des Verantwortlichen gemäß Gesetz Nr. 6698 und den einschlägigen Vorschriften ein.

11.4 Vereinigte Staaten – Kalifornien

Für personenbezogene Daten, die dem CCPA/CPRA unterliegen, hält Whispie die Dienstleisterpflichten ein und verkauft oder teilt personenbezogene Daten nicht.

11.5 Andere Regionen

Whispie hält die Datenschutzgesetze in allen Rechtsordnungen, in denen es tätig ist, ein, einschließlich:

12. Allgemeine Bestimmungen

12.1 Vorrang

Im Falle eines Konflikts oder einer Inkonsistenz zwischen diesem DVZ und der Vereinbarung hat dieser DVZ im Umfang des Konflikts Vorrang.

12.2 Haftung

Die Haftung jeder Partei aus oder im Zusammenhang mit diesem DVZ unterliegt den Haftungsbeschränkungen der Vereinbarung.

12.3 Anwendbares Recht

Dieser DVZ unterliegt dem Recht des Bundesstaates Delaware, ohne Berücksichtigung seiner Kollisionsrechtsgrundsätze.

ANNAHME UND AUSFÜHRUNG

Dieser Datenverarbeitungszusatz ist in die Vereinbarung zwischen den Parteien einbezogen und bildet deren Bestandteil.

Für Whispie (Auftragsverarbeiter):

Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-Mail: [email protected]

Für den Kunden (Verantwortlicher):

Durch die Nutzung von Whispie-Diensten erkennt der Kunde die Bedingungen dieses Datenverarbeitungszusatzes an und stimmt ihnen zu.

Datum des Inkrafttretens: 1. Dezember 2024