Zuletzt aktualisiert: 1. Dezember 2024
Dieser Datenverarbeitungszusatz („DVZ") ist Bestandteil der Whispie-Nutzungsbedingungen oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen Black Eagle Group LLC („Whispie", „wir", „uns" oder „unser") und Ihnen („Kunde", „Sie" oder „Ihr") für den Erwerb von Diensten (die „Vereinbarung") und unterliegt dieser.
Dieser DVZ spiegelt die Einigung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften wider.
Für die Zwecke dieses DVZ haben die folgenden Begriffe die unten aufgeführten Bedeutungen:
| Begriff | Definition |
|---|---|
| Datenschutzgesetze | Alle anwendbaren Datenschutz- und Datenschutzgesetze, einschließlich DSGVO, UK-DSGVO, CCPA/CPRA, KVKK und andere globale Datenschutzvorschriften |
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen |
| Verarbeitung | Jeder an personenbezogenen Daten durchgeführte Vorgang |
| Verantwortlicher | Die Entität, die die Zwecke und Mittel der Verarbeitung bestimmt |
| Auftragsverarbeiter | Die Entität, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet |
| Betroffene Person | Die Person, auf die sich personenbezogene Daten beziehen |
| Unterauftragsverarbeiter | Dritte, die vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten eingesetzt werden |
Whispie fungiert als Auftragsverarbeiter, wenn es personenbezogene Daten im Auftrag des Kunden verarbeitet. Whispie wird:
Der Kunde fungiert als Verantwortlicher und ist verantwortlich für:
Der Gegenstand der Verarbeitung umfasst Baby- und Familiendatenverwaltungsdienste. Die Dauer der Verarbeitung entspricht der Laufzeit der Vereinbarung.
Verarbeitungsvorgänge umfassen die Erhebung, Speicherung, Analyse und Weitergabe von Baby-Entwicklungsdaten, Gesundheitsinformationen und Familienverwaltungsdaten zur Bereitstellung von Whispie-Diensten.
Die Dienste umfassen die Verarbeitung besonderer Datenkategorien, einschließlich:
Whispie implementiert die folgenden Sicherheitsmaßnahmen:
| Maßnahmenkategorie | Umsetzung |
|---|---|
| Verschlüsselung | Daten bei der Übertragung verschlüsselt (TLS 1.2+) und im Ruhezustand (AES-256) |
| Zugriffskontrollen | Rollenbasierter Zugriff, Multi-Faktor-Authentifizierung, Prinzip der minimalen Rechtevergabe |
| Netzwerksicherheit | Firewalls, Eindringungserkennungssystem, DDoS-Schutz, regelmäßige Sicherheitsbewertungen |
| Physische Sicherheit | Sichere Rechenzentren, 24/7-Überwachung, Zugriffsprotokolle |
| Organisatorisch | Mitarbeiterschulung, Vertraulichkeitsvereinbarungen, Sicherheitsrichtlinien |
Whispie leistet dem Kunden angemessene Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen, sofern nach Datenschutzgesetzen erforderlich.
Der Kunde erteilt eine allgemeine Genehmigung für Whispie, die folgenden Unterauftragsverarbeiter einzusetzen:
| Unterauftragsverarbeiter | Dienst | Standort | DVZ vorhanden |
|---|---|---|---|
| Supabase | Datenbank & Authentifizierung | Vereinigte Staaten | Ja |
| Stripe | Zahlungsabwicklung | Vereinigte Staaten | Ja |
| Twilio | SMS-Verifizierung | Vereinigte Staaten | Ja |
| Resend | E-Mail-Zustellung | Vereinigte Staaten | Auf Anfrage verfügbar |
| Sentry | Fehlerüberwachung | Vereinigte Staaten | Ja |
| Cloudflare | DNS & Sicherheit | Global | Ja |
Whispie wird:
Der Kunde kann der Beauftragung neuer Unterauftragsverarbeiter durch Whispie aus vernünftigen Gründen im Zusammenhang mit dem Datenschutz widersprechen. Whispie wird mit dem Kunden zusammenarbeiten, um Bedenken zu klären.
Bei der Übertragung personenbezogener Daten außerhalb des EWR, des Vereinigten Königreichs, der Schweiz oder anderer Rechtsordnungen mit Angemessenheitsanforderungen stellt Whispie sicher, dass geeignete Schutzmaßnahmen vorhanden sind:
Whispie implementiert ergänzende Maßnahmen, einschließlich:
Whispie unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtungen, auf Anfragen betroffener Personen gemäß den Datenschutzgesetzen zu reagieren.
Whispie wird:
Whispie benachrichtigt den Kunden unverzüglich, nachdem es von einer Verletzung personenbezogener Daten Kenntnis erlangt hat. Benachrichtigungen enthalten:
Whispie arbeitet mit dem Kunden zusammen und ergreift zumutbare kommerzielle Maßnahmen, die vom Kunden angewiesen werden, um bei der Untersuchung, Minderung und Behebung jeder solchen Verletzung personenbezogener Daten zu helfen.
Der Kunde kann die Einhaltung dieses DVZ durch Whispie bis zu einmal jährlich prüfen. Prüfungen werden:
Anstelle einer Prüfung kann Whispie Folgendes bereitstellen:
Bei Beendigung der Vereinbarung löscht oder gibt Whispie nach Wahl des Kunden alle personenbezogenen Daten an den Kunden zurück und löscht vorhandene Kopien, sofern das anwendbare Recht keine Speicherung der personenbezogenen Daten erfordert.
Personenbezogene Daten werden nur so lange aufbewahrt, wie es zur Bereitstellung der Dienste erforderlich ist und gemäß den in Anhang 1 festgelegten Aufbewahrungsfristen.
| Datenkategorie | Beispiele | Sensibilitätsstufe |
|---|---|---|
| Identitätsdaten | Namen, Geburtsdaten, Geschlecht | Standard |
| Kontaktdaten | E-Mail, Telefonnummern, Adressen | Standard |
| Gesundheitsdaten | Impfungen, medizinische Erkrankungen, Allergien | Besondere Kategorie |
| Entwicklungsdaten | Wachstumsmetriken, Meilensteine, Aktivitäten | Besondere Kategorie |
| Familiendaten | Beziehungen, Berechtigungen, Zugriffsprotokolle | Standard |
| Datentyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Kontodaten | Bis zur Kontolöschung + 6 Jahre | Gesetzliche Verpflichtung |
| Baby-Gesundheitsdaten | 18 Jahre ab Geburt | Gesetzliche Verpflichtung, Einwilligung |
| Zahlungsdaten | 10 Jahre | Gesetzliche Verpflichtung |
| Analysedaten | 2 Jahre (anonymisiert) | Berechtigtes Interesse |
Für personenbezogene Daten, die der DSGVO unterliegen, gelten die EU-Standardvertragsklauseln und werden durch Verweis einbezogen.
Für personenbezogene Daten, die der UK-DSGVO unterliegen, gilt das UK International Data Transfer Addendum.
Für personenbezogene Daten, die dem KVKK unterliegen, hält Whispie die Pflichten des Verantwortlichen gemäß Gesetz Nr. 6698 und den einschlägigen Vorschriften ein.
Für personenbezogene Daten, die dem CCPA/CPRA unterliegen, hält Whispie die Dienstleisterpflichten ein und verkauft oder teilt personenbezogene Daten nicht.
Whispie hält die Datenschutzgesetze in allen Rechtsordnungen, in denen es tätig ist, ein, einschließlich:
Im Falle eines Konflikts oder einer Inkonsistenz zwischen diesem DVZ und der Vereinbarung hat dieser DVZ im Umfang des Konflikts Vorrang.
Die Haftung jeder Partei aus oder im Zusammenhang mit diesem DVZ unterliegt den Haftungsbeschränkungen der Vereinbarung.
Dieser DVZ unterliegt dem Recht des Bundesstaates Delaware, ohne Berücksichtigung seiner Kollisionsrechtsgrundsätze.
Dieser Datenverarbeitungszusatz ist in die Vereinbarung zwischen den Parteien einbezogen und bildet deren Bestandteil.
Für Whispie (Auftragsverarbeiter):
Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-Mail: [email protected]
Für den Kunden (Verantwortlicher):
Durch die Nutzung von Whispie-Diensten erkennt der Kunde die Bedingungen dieses Datenverarbeitungszusatzes an und stimmt ihnen zu.
Datum des Inkrafttretens: 1. Dezember 2024