Nachtrag zur Datenverarbeitung von RingCentral

RINGCENTRAL DATA PROCESSING ADDENDUM

This Data Processing Addendum ("DPA") is made by and between RingCentral and Customer (each a "party", together the "parties"), pursuant to the Agreement for the provision of the Services (as defined below) to Customer.

This DPA is supplemental to the Agreement and sets out the terms that apply when Personal Data is processed by RingCentral as a Processor on behalf of Customer for the Services listed in Annex B.

Capitalised terms used but not defined in this DPA have the same meanings as set out in the Agreement

1. Definitions

1.1. For the purposes of this DPA:

(a) "Affiliate" means an entity that directly or indirectly controls, is controlled by or is under common control with an entity.

(b) "Agreement" means the main written or electronic agreement between Customer and RingCentral for the provision of any of the services set out at Annex B to Customer (each a "Service" and collectively the "Services").

(c) "Applicable Data Protection Laws" means all data protection and privacy laws applicable to the processing of Personal Data under this DPA, including, where applicable, within the EU.

(d) "EEA" means the European Economic Area.

(e) "EU Data Protection Laws" means the applicable European data protection legislation, including, but not limited to, EU Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data (also known as the General Data Protection Regulation) (the “GDPR”), and any and all applicable national data protection laws, rules and regulations as amended from time to time.

(f) "Controller" shall mean the entity which, alone or jointly with others, determines the purposes and means of the processing of Personal Data.

(g) "Customer Personal Data" means any Personal Data - as outlined in Annex A - transmitted or otherwise provided to RingCentral that RingCentral processes as a Processor under the DPA. Customer Personal Data does not include any data resulting from the Customer's use or operation of the Services without limitation to traffic data, meta data, call detail records, log data, billing information, emails, customer authentication and audit logs, ("Usage Data"). Any processing of Usage Data is out of scope of this DPA.

(h) "Processor" shall mean an entity which processes Customer Personal Data on behalf of the Controller.

(i) "Personal Data" means any information relating to an identified or identifiable natural person.

(j) "Security Incident" means a breach of security leading to any accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to Customer Personal Data.

(k) "Standard Contractual Clauses" means

(i) in relation to the Processing of Personal Data on a Controller to Controller basis pursuant to this Agreement, the European Commission's model clauses for the transfer of Personal Data from EU Controllers to a non-EU or EEA Controllers, the approved version of which in force at present is that set out in the European Commission's Decision 2004/915/EC of 27 December 2004, available at: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en and as may be amended or replaced by the European Commission from time to time; and

(ii) in relation to the Processing of Personal Data on a Controller to Processor basis pursuant to this Agreement, the European Commission's model clauses for the transfer of Personal Data from EU Controllers to non-EU or EEA Processors, the approved version of which in force at present is that set out in the European Commission’s Decision 2010/87/EU of 5 February 2010, which are available at https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en and as may be amended or replaced by the European Commission from time to time.

2. Applicability of DPA

2.1 Applicability of DPA. This DPA will apply to the extent that RingCentral processes Customer Personal Data on behalf of a Customer or Customer Affiliate as a Processor.

3. Roles and Responsibilities

3.1 Parties' Roles. As between the parties and for the purposes of this DPA, Customer shall be the Controller of the Customer Personal Data that is processed by RingCentral under the Agreement as described in Annex A and RingCentral shall process the Customer Personal Data as a Processor on Customer's behalf.

3.2 Obligations of the Customer. Customer undertakes to:

(a) Ensure that it may lawfully disclose the Customer Personal Data to RingCentral for the purposes set out in the Agreement;

(b) Comply with Applicable Data Protection Laws in its use of the Services, and its own collection and processing of Personal Data including Customer Personal Data (for the avoidance of doubt, Customer's instructions to RingCentral shall comply with Applicable Data Protection Laws and Customer shall have sole responsibility for the accuracy, quality and legality of the Customer Personal Data and the means by which Customer acquired Customer Personal Data); and

(c) Ensure that Customer Personal Data does not consist of any special categories of data or sensitive data (as defined in the GDPR or Applicable Data Protection Laws), nor any Personal Data concerning children or minors or related to criminal convictions and offences.

3.3 Purpose Limitation.

(a) Except where otherwise required by applicable law, RingCentral shall process the Customer Personal Data (i) in accordance with Customer's documented instructions (which instructions are set out in the Agreement, this DPA and Customer's use of the Services in accordance with the applicable terms of use), (ii) for the purposes of providing the Services as further described in Annex A.

(b) Any additional processing required by Customer outside of the scope of the Agreement will require prior written agreement between the parties, including an agreement on any additional fees that Customer may be required to pay.

3.4 Confidentiality of Processing. RingCentral shall ensure that any person that it authorises to process the Customer Personal Data shall be subject to a duty of confidentiality (either a contractual or a statutory duty).

3.5 Security. RingCentral will maintain appropriate technical and organisational security measures to safeguard the security of Customer Personal Data. RingCentral will maintain an information security and risk management programme based on commercial best practices to preserve the confidentiality, integrity and accessibility of Customer Personal Data with administrative, technical and physical measures conforming to generally recognised industry standards and practices. RingCentral shall implement appropriate technical and organisational measures designed to protect the Personal Data from a Security Incident.

3.6 Security Incidents. Upon becoming aware of a Security Incident, RingCentral shall notify Customer without undue delay at the contact information that Customer has provided in the Administrative Portal and shall provide such timely information as Customer may reasonably require, including to enable Customer to fulfil any data breach reporting obligations under Applicable Data Protection Laws.

3.7 Provision of Security Reports. RingCentral shall provide, upon Customer's request, copies of any relevant summaries of external security certifications or security audit reports necessary to verify RingCentral's compliance with this DPA.

3.8 Deletion or Return of Data. Upon termination or expiry of the Agreement, and upon written request, RingCentral shall, at Customer's election, either delete or return to Customer Customer Personal Data (including copies) in RingCentral's possession, save to the extent that RingCentral is required by applicable law to retain some or all of the Customer Personal Data.

4. GDPR Obligations

4.1 Applicability of Section. This Section 4 shall apply to the processing of Customer Personal Data that is subject to the protection of the GDPR.

4.2 Sub-processors. Customer agrees that RingCentral may engage RingCentral Affiliates and third party sub-processors (collectively, "Sub-processors") to process the Personal Data on RingCentral's behalf. Depending on the scope and the nature of the sub-processing, RingCentral shall impose data protection terms on such Sub-processors that protect Customer Personal Data to an equivalent standard provided for by this DPA and shall remain liable for any breach of the DPA caused by a Sub-processor. The Sub-processors engaged by RingCentral in respect of each of the Services at the time of the Agreement are noted on the RingCentral Sub-processor List available at https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf.

4.3 Changes to Sub-processors. RingCentral may, by giving reasonable notice to the Customer, add or make changes to the Sub-processors. If the Customer objects to the appointment of an additional Sub-processor within thirty (30) calendar days of such notice on reasonable grounds relating to the protection of the Customer Personal Data, then the parties will discuss such concerns with a view to achieving resolution. If such resolution cannot be reached, then RingCentral will either not appoint the Sub-processor or, if this is not possible, Customer will be entitled to suspend or terminate the affected RingCentral Service in accordance with the termination provisions of the Agreement. Notwithstanding the foregoing, in the event of an unforeseeable force majeure (such as a Sub-processor failure) that can provoke a degradation or interruption of the Service, RingCentral reserves the right to immediately change the failing Sub-processor in order to maintain or restore the standard conditions of Service. In this situation, the notification of Sub-processor change may be exceptionally sent after the change.

4.4 Cooperation and Data Subjects' Rights. Some of the RingCentral Services may provide direct technical means to enable Customer to fulfil its duties to respond to requests from data subjects under Applicable Data Protection Laws. For the avoidance of doubt, it is the Customer’s responsibility to respond to any data subject request. If Customer is unable to address the data subject's request through such technical means, or where such functionality is not available, RingCentral shall, taking into account the nature of the processing, provide reasonable assistance to Customer insofar as this is possible, to enable Customer to respond to such data subject requests. In the event that such request is made directly to RingCentral, RingCentral shall promptly inform the data subject to contact the Customer of the same. It is Customer’s sole responsibility to ensure that any account Administrator identified for Customer’s RingCentral account to manage and carry out data subject requests has appropriate authority to do so.

4.5 Data Protection Impact Assessments. RingCentral shall, to the extent required by EU Data Protection Laws, and upon Customer's request and at Customer’s expense, provide Customer with reasonable assistance with data protection impact assessments or prior consultations with data protection authorities that Customer is required to carry out under EU Data Protection Laws in relation to the scope of the Services to be provided by RingCentral pursuant to the Agreement.

4.6 International Transfers. RingCentral may transfer and process Customer Personal Data inside and outside the EEA in accordance with the above linked Sub-Processor List where RingCentral, its Affiliates or its Sub-processors maintain data processing operations. To the extent that RingCentral processes (or causes to be processed) any Customer Personal Data originating from the EEA in a country that has not been recognised by the European Commission as providing an adequate level of protection for Customer Personal Data, RingCentral shall put in place such measures as are necessary to ensure the transfer is in compliance with EU Data Protection Laws, which include the execution of the EU Commission's Standard Contractual Clauses, or the putting in place of any other valid transfer mechanism under EU Data Protection Laws. The Customer hereby grants a general mandate to RingCentral to conclude the Standard Contractual Clauses on behalf of the Customer with its Sub-processors outside of the EEA.

4.7 Audits.

(a) Both parties acknowledge that it is the parties' intention ordinarily to rely on the provision of the security reports at Section 3.7 above to verify RingCentral's compliance with this DPA. If the Customer has reasonable doubt that the Security Reports are sufficient to convince itself of RingCentral's compliance with the obligations set out in this DPA RingCentral shall permit the Customer (or its appointed third-party auditors) to carry out an audit. Customer may, on one (1) occasion within any consecutive twelve (12) month period, request with thirty (30) days prior written notice, perform an audit, during RingCentral’s normal business hours, without the disruption of RingCentral’s normal business operations, not lasting more than two (2) business days and at Customer’s sole expense (which may include the reimbursement of RingCentral for any time RingCentral employees spend conducting or assisting with such audit).

(b) Customer shall use its reasonable endeavours to ensure that the conduct of each audit does not unreasonably disrupt RingCentral's operations or delay the provision of the Services. RingCentral shall provide Customer (and its auditors and other advisers) with all reasonable cooperation, access and assistance in relation to each audit. The audit shall be conducted at RingCentral’s place of business during normal business hours and shall last no longer than two (2) business days.

(c) For the avoidance of doubt, RingCentral is not obligated to disclose to the Customer any documents or other material relating to RingCentral’s profitability, legally privileged documents or information, or documents that is commercially confidential or RingCentral is bound to maintain as confidential by written obligation to a third party or under applicable law or regulation ("Confidential Information"). Audit results, including information and documentation disclosed or made available to Customer in the course of any such audit, will be deemed RingCentral’s Confidential Information.

4.8 Data Disclosure Requests

(a) If RingCentral receives a request from a law enforcement or other government authority to disclose personal data that RingCentral is processing on the Customer's behalf, RingCentral will notify and provide the Customer with the details of the data disclosure request prior to disclosing any personal data, unless legally prohibited or where an imminent risk of serious harm exists that prohibits prior notification.

5. Miscellaneous

5.1 The DPA is incorporated to the Agreement and upon signature by the Parties forms part of the Agreement.

5.2 Unless the above explicitly state otherwise the terms and conditions of the Agreement shall apply to the DPA. In case of any conflict between the terms of the Agreement and the terms of this DPA, the terms of this DPA prevails.

5.3 You can reach the Data Protection Officer at the following address: privacy@RingCentral.com.

5.4 In case of a contradiction between the two language versions of this DPA the English version shall be binding.

ANNEX A

DESCRIPTION OF THE DATA PROCESSING

1. Unify Office

Nature and Purposes of Processing

Unify Office provides cloud-based communications and collaboration services for high-definition voice, video, SMS, messaging and collaboration, conferencing, online meetings, and fax (the “Services”). As part of the Services, RingCentral processes Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

RingCentral processes Customer Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, for the purposes of customer relationship management, and customer support.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third party individuals who are involved in or referred to in the content of communications or collaborations taking place through the Customer's use of the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred concerns the following categories of data:

Identification information for Customer, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title);
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer, its authorised users or third parties involved in the communications choose to include in the content of the communications that are sent and received using the Services.

The Customer Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Customer Personal Data processed through its Services by the Customer or its users.

Special Categories of Customer Personal Data

RingCentral does not intentionally collect or process any special categories of data in the provision of its Services. Under the DPA, the Customer agrees not to provide special categories of data to RingCentral at any time.

Duration of Processing

Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

2. Avaya Cloud Office (ACO)

Nature and Purposes of Processing

Avaya Cloud Office provides cloud-based communications and collaboration services for high-definition voice, video, SMS, messaging and collaboration, conferencing, online meetings, and fax (the “Services”). As part of the Services, RingCentral processes Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications or collaborations taking place through the Customer's use of the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred concerns the following categories of data:

Identification information for Customer, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title);
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer, its authorised users or third parties involved in the communications choose to include in the content of the communications that are sent and received using the Services.

Special Categories of Customer Personal Data

Duration of Processing

Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

3. RingCentral MVP Plan Services

Nature and Purposes of Processing

RingCentral MVP Plan Services provides cloud-based communications and collaboration services for high-definition voice, video, SMS, messaging and collaboration, conferencing, online meetings, and fax (the “Services”). As part of the Services, RingCentral processes Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications or collaborations taking place through the Customer's use of the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred concerns the following categories of data:

Identification information for Customer, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title);
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer, its authorised users or third parties involved in the communications choose to include in the content of the communications that are sent and received using the Services.

Special Categories of Customer Personal Data

Duration of Processing

Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

4. RingCentral Video

Nature and Purposes of Processing

RingCentral Video is an online meetings and screen sharing solution that helps Customers easily host meetings and transition between chat, video and web meetings (the “Services”). As part of the Services, RingCentral processes Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

RingCentral processes the Customer Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, for the purposes of customer relationship management, and customer support.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications or collaborations taking place through the Customer's use of the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred concerns the following categories of data:

Identification information for Customer, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title);
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer, its authorised users or third parties involved in the communications choose to include in the content of the communications that are sent and received using the Services.

Customer Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Customer Personal Data processed through its Services by the Customer or its users.

Special Categories of Customer Personal Data

Duration of Processing

Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

5. RingCentral Contact Center

Nature and Purposes of Processing

RingCentral Contact Center is an omni-channel customer communication management platform that unifies all customer-facing communication channels, including voice, email, SMS, website, mobile app, chat and social media communications, onto a single platform (the “Services”). As part of the Services, RingCentral processes Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

RingCentral processes Customer Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of publishing content on public/private communications channels, customer relationship management, user management, and customer support.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications taking place or otherwise managed through the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred can be classified in the following categories:

Identification information for Customer as well as End Users such as full name, gender, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title) and company name;
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer's users or individuals involved in the communications choose to include in the content of the communications that take place or are otherwise managed using the Services;

Special Categories of Customer Personal Data

Duration of Processing

Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

6. RingCentral Engage Digital

Nature and Purposes of Processing

RingCentral Engage Digital is an omni-channel digital customer communication management platform that unifies all customer-facing communication channels, including email, SMS, website, mobile app, chat and social media communications, onto a single platform (the “Services”). RingCentral Engage Digital publishes authorised users’ content onto the public or private communication channels connected to their platform and synchronises end user content from the same channels. RingCentral Engage Digital stores and displays Customer information and conversations history to the authorised users. Authorised users are identified, have accesses and permissions defined by authorised users with administrator roles and all their actions are logged into an application journal.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications taking place or otherwise managed through the Services.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred can be classified in the following categories:

Identification information for Customer, full name, gender, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title) and company name;
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Content published on communication channels connected to the Services, including public information on social media channels connected to the Service;
Any other Customer Personal Data that the Customer's users or individuals involved in the communications choose to include in the content of the communications that take place or are otherwise managed using the Services;

Special Categories of Customer Personal Data

Duration of Processing

The data retention duration (between 1 day and 2 years) is defined by the Customer, based on the Customer's needs and context, and can be configured on the Services by the Customer's Users or by RingCentral.

7. RingCentral Engage Communities

Nature and Purposes of Processing

RingCentral Engage Communities is an online community management platform enabling community responses to customer service inquiries (the “Services”). Community administrators manage all different aspects of the platform regarding the registered community members: they can create, edit and give specific permissions and roles to the community members. The Community administrators also manage the community members’ contents creation, restriction, moderation, publishing, and edition.

RingCentral processes Customer Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of the online platform management, customer relationship management, and customer support.

Categories of Data Subjects

Customer's employees or authorised users;
Any other third-party individuals who are contributors to the online sharing space.

Type(s) of Customer Personal Data Processed

Customer Personal Data transferred can be classified in the following categories:

Identification information of Customer's employees or authorised users or other third-party contributors, including name and e-mail address;
Content published on the online sharing space, including any public posts and private messages;
Any other Customer Personal Data that the Customer's users or third-party contributors choose to include in content posted, sent or received using the Service.

Special Categories of Data

Duration of Processing

The data retention duration (between 1 day to 2 years since the last user action) is defined by the Customer, based on the Customer's needs and context, and can be configured on the Services. Content can also be deleted by administrators and moderators of RingCentral Engage Communities or by RingCentral.

8. RingCentral Engage Voice

Nature and Purposes of Processing

RingCentral Engage Voice provides a cloud-based omni-channel customer communication management services (the “Services”) that help companies meet customers on the channel of their choice including voice, email, SMS, MMS, website, mobile app, chat and social media communications. As part of the Services, RingCentral processes the Customer Personal Data of the individuals who participate in these communications, including the Customer's employees and authorised users and other third parties who are involved in communications taking place through the Customer's use of the Services.

RingCentral processes the Customer Personal Data for the purposes of providing and maintaining the Services to which the Customer has subscribed, including any ancillary or related Services under the scope of the Agreement, for the purposes of publishing content on public/private communications channels, customer relationship management, user management, and customer support.

Categories of Data Subjects

Customer's employees and authorised users who use the Services in connection with the business of the Customer.
Any other third-party individuals who are involved in or referred to in the content of communications taking place or otherwise managed through the Services.

Type(s) of Customer Personal Data Processed

The Personal Data transferred can be classified in the following categories:

Identification information for Customer as well as End Users such as full name, gender, contact information (address, telephone number (fixed and mobile), e-mail address, fax number), employment information (job title) and company name;
Identification information for anyone who uses the Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile) and email address);
Any other Customer Personal Data that the Customer's users or individuals involved in the communications choose to include in the content of the communications that take place or are otherwise managed using the Services.

The Personal Data transferred to RingCentral for processing is determined and controlled by the Customer in its sole discretion. As such, RingCentral has no control over the nature, volume and sensitivity of Customer Personal Data processed through its Services by the Customer or its users.

Special Categories of Customer Personal Data

Duration of Processing

The Customer Personal Data will be processed for the term of the Agreement, or as otherwise required by law or agreed between the parties.

ANNEX B

LIST OF RINGCENTRAL SERVICES COVERED BY DPA

Unify Office
Avaya Cloud Office (ACO)
RingCentral MVP Plan Services
RingCentral Video
RingCentral Contact Center
RingCentral Engage Digital
RingCentral Engage Communities
RingCentral Engage Voice

Dieser Nachtrag zur Datenverarbeitung („DPA“, Data Processing Addendum) wird von und zwischen RingCentral und dem Kunden (jeweils eine „Partei“, gemeinsam die „Parteien“) gemäß dem Vertrag zur Bereitstellung der Dienste (wie nachfolgend definiert) für den Kunden geschlossen.

Dieses DPA ergänzt den Vertrag und legt die Bedingungen fest, die gelten, wenn personenbezogene Daten von RingCentral als Auftragsverarbeiter im Auftrag des Kunden für die in Anhang B aufgelisteten Dienste verarbeitet werden.

Begriffe, die in diesem DPA verwendet werden, jedoch nicht definiert sind, haben die gleiche Bedeutung wie im Vertrag festgelegt.

1. Definitionen

1.1. Für die Zwecke dieses DPA gilt Folgendes:

(a) „Verbundenes Unternehmen“ bezeichnet jedes Unternehmen, das direkt oder indirekt die Kontrolle über ein Unternehmen hat oder von einem Unternehmen kontrolliert wird oder das unter gemeinsamer Kontrolle mit einem Unternehmen steht.

(b) „Vertrag“ bezeichnet den schriftlichen oder elektronischen Hauptvertrag zwischen dem Kunden und RingCentral zur Bereitstellung der in Anhang B genannten Dienste für den Kunden (jeweils ein „Dienst“ und gemeinsam die „Dienste“).

(c) „Geltende Datenschutzgesetze“ bezeichnet alle Gesetze zum Schutz von Daten und Privatsphäre, die für die Verarbeitung personenbezogener Daten gemäß diesem DPA gelten, einschließlich, falls zutreffend, innerhalb der EU.

(d) „EWR“ bezeichnet den Europäischen Wirtschaftsraum.

(e) „EU-Datenschutzgesetze“ bezeichnet die geltenden europäischen Datenschutzgesetze, einschließlich der, jedoch nicht beschränkt auf die EU-Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (auch als Datenschutz-Grundverordnung bekannt) („DSGVO“), und alle geltenden nationalen Datenschutzgesetze, -bestimmungen und -vorschriften in ihrer mitunter geänderten Fassung.

(f) „Verantwortlicher“ bezeichnet das Unternehmen, das allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

(g) „Personenbezogene Kundendaten“ bezeichnet alle personenbezogenen Daten, die – wie in Anhang A dargelegt – an RingCentral übermittelt oder RingCentral anderweitig bereitgestellt werden und die RingCentral als Auftragsverarbeiter gemäß dem DPA verarbeitet. Die personenbezogenen Kundendaten umfassen keine Daten, die aus der Nutzung oder dem Betrieb der Dienste des Kunden resultieren, dies ohne Einschränkung auf Verkehrsdaten, Metadaten, Kommunikationsdatensätze, Protokolldaten, Abrechnungsinformationen, E-Mails, Kundenauthentifizierung und Überwachungsprotokolle („Nutzungsdaten“). Die Verarbeitung von Nutzungsdaten liegt außerhalb des Geltungsbereichs dieses DPA.

(h) „Auftragsverarbeiter“ bezeichnet ein Unternehmen, das personenbezogene Kundendaten im Auftrag des Verantwortlichen verarbeitet.

(i) „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

(j) „Sicherheitsvorfall“ bezeichnet einen Sicherheitsverstoß, der zu versehentlicher oder rechtswidriger Vernichtung, Änderung, zu versehentlichem oder rechtswidrigem Verlust, zu unbefugter Offenlegung oder zu unbefugtem Zugriff auf personenbezogene Kundendaten führt.

(k) „Standardvertragsklauseln“ bezeichnet

(i) in Bezug auf die Verarbeitung personenbezogener Daten von Verantwortlichem zu Verantwortlichem auf der Grundlage dieses Vertrags, die Musterklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten von EU-Verantwortlichen an Nicht-EU- oder Nicht-EWR-Verantwortliche. Deren derzeit geltende genehmigte Fassung ist in der Entscheidung 2004/915/EG der Europäischen Kommission vom 27. Dezember 2004 festgelegt und verfügbar auf: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en und kann von der Europäischen Kommission mitunter geändert oder ersetzt werden; und

(ii) in Bezug auf die Verarbeitung personenbezogener Daten von Verantwortlichem zu Auftragsverarbeiter auf der Grundlage dieses Vertrags, die Musterklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten von EU-Auftragsverarbeitern an Nicht-EU- oder Nicht-EWR-Auftragsverarbeiter. Deren derzeit geltende genehmigte Fassung ist in der Entscheidung 2010/87/EU der Europäischen Kommission vom 5. Februar 2010 enthalten und verfügbar auf https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en und kann von der Europäischen Kommission mitunter geändert oder ersetzt werden.

2. Anwendbarkeit des DPA

2.1 Anwendbarkeit des DPA. Dieses DPA gilt in dem Umfang, in dem RingCentral personenbezogene Kundendaten im Auftrag eines Kunden oder eines verbundenen Unternehmens des Kunden als Auftragsverarbeiter verarbeitet.

3. Rollen und Verantwortlichkeiten

3.1 Rollen der Parteien. Zwischen den Parteien und für die Zwecke dieses DPA ist der Kunde der Verantwortliche für die personenbezogenen Kundendaten, die von RingCentral gemäß dem Vertrag wie in Anhang A dargelegt verarbeitet werden, und RingCentral verarbeitet die personenbezogenen Kundendaten als Auftragsverarbeiter im Auftrag des Kunden.

3.2 Pflichten des Kunden. Der Kunde ist zu Folgendem verpflichtet:

(a) Sicherstellen, dass er die personenbezogenen Kundendaten zu den im Vertrag festgelegten Zwecken rechtmäßig an RingCentral weitergeben kann;

(b) Bei der Nutzung der Dienste und der eigenen Erhebung und Verarbeitung personenbezogener Daten, einschließlich personenbezogener Kundendaten, die geltenden Datenschutzgesetze einhalten (zur Vermeidung von Zweifeln wird festgehalten, dass die Anweisungen des Kunden an RingCentral die geltenden Datenschutzgesetze einhalten müssen und dass der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und der Mittel, mit denen der Kunde personenbezogene Kundendaten erfasst hat, trägt); und

(c) sicherstellen, dass personenbezogene Kundendaten keine besonderen Kategorien von Daten oder sensible Daten (gemäß Definition in der DSGVO oder den geltenden Datenschutzgesetzen) oder personenbezogene Daten zu Kindern oder Minderjährigen oder zu strafrechtlichen Verurteilungen und Straftaten sind.

3.3 Zweckbindung.

(a) Sofern nicht anderweitig durch geltendes Recht vorgeschrieben, verarbeitet RingCentral die personenbezogenen Kundendaten (i) gemäß den dokumentierten Anweisungen des Kunden (die Anweisungen sind in dem Vertrag, diesem DPA und der Nutzung der Dienste durch den Kunden gemäß den geltenden Nutzungsbedingungen festgelegt), (ii) für die Zwecke der Bereitstellung der Dienste wie in Anhang A weiter dargelegt.

(b) Jede zusätzliche Verarbeitung, die der Kunde außerhalb des Vertragsumfangs benötigt, erfordert eine vorherige schriftliche Vereinbarung zwischen den Parteien, einschließlich einer Vereinbarung zu etwaigen zusätzlichen Gebühren, die der Kunde eventuell zu zahlen hat.

3.4 Vertraulichkeit der Verarbeitung. RingCentral stellt sicher, dass jede Person, die RingCentral zur Verarbeitung der personenbezogenen Kundendaten befugt, einer Geheimhaltungspflicht (entweder einer vertraglichen oder einer gesetzlichen Pflicht) unterliegt.

3.5 Sicherheit. RingCentral unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, um die Sicherheit der personenbezogenen Kundendaten zu gewährleisten. RingCentral unterhält ein Informationssicherheits- und Risikomanagement-Programm auf der Grundlage gängiger kommerzieller Praxis, um die Vertraulichkeit, Integrität und Zugänglichkeit personenbezogener Kundendaten mit administrativen, technischen und physischen Maßnahmen zu wahren, die den allgemein anerkannten Branchenstandards und -praktiken entsprechen. RingCentral implementiert angemessene technische und organisatorische Maßnahmen, die zum Schutz der personenbezogenen Daten vor einem Sicherheitsvorfall dienen.

3.6 Sicherheitsvorfälle. Bei Bekanntwerden eines Sicherheitsvorfalls benachrichtigt RingCentral den Kunden unverzüglich auf dem Weg der Kontaktinformationen, die der Kunde im Verwaltungsportal bereitgestellt hat, und stellt RingCentral die Informationen zeitnah zur Verfügung, die der Kunde nach vernünftigem Ermessen benötigt. Dies umfasst, dem Kunden zu ermöglichen, Pflichten zur Meldung von Verletzungen der Sicherheit von Daten gemäß den geltenden Datenschutzgesetzen zu erfüllen.

3.7 Bereitstellung von Sicherheitsberichten. RingCentral stellt auf Anfrage des Kunden Kopien aller einschlägigen Zusammenfassungen externer Sicherheitszertifizierungen oder Sicherheitsauditberichte bereit, die zur Überprüfung der Einhaltung dieses DPA durch RingCentral erforderlich sind.

3.8 Löschung oder Rückgabe von Daten. Bei Kündigung oder Ablauf des Vertrags und auf schriftliche Anfrage nimmt RingCentral nach Wahl des Kunden die Löschung der personenbezogenen Kundendaten (einschließlich Kopien) im Besitz von RingCentral oder deren Rückgabe an den Kunden vor, sofern RingCentral nicht nach geltendem Recht verpflichtet ist, einige oder alle der personenbezogenen Kundendaten aufzubewahren.

4. Pflichten gemäß DSGVO

4.1 Anwendbarkeit des Abschnitts. Dieser Abschnitt 4 gilt für die Verarbeitung personenbezogener Kundendaten, die dem Schutz der DSGVO unterliegen.

4.2 Unterauftragsverarbeiter. Der Kunde vereinbart, dass RingCentral verbundene Unternehmen von RingCentral und dritte Unterauftragsverarbeiter (gemeinsam „Unterauftragsverarbeiter“) mit der Verarbeitung der personenbezogenen Daten im Auftrag von RingCentral beauftragen kann. Abhängig von Umfang und Art der Unterverarbeitung schreibt RingCentral diesen Unterauftragsverarbeitern Datenschutzbedingungen dahingehend vor, personenbezogene Kundendaten gemäß einem gleichwertigen Standard zu schützen, der in diesem DPA vorgesehen ist, und bleibt RingCentral für jede Verletzung des DPA, die durch einen Unterauftragsverarbeiter verursacht wird, haftbar. Die von RingCentral in Bezug auf die einzelnen Dienste zum Zeitpunkt des Vertrags beauftragten Unterauftragsverarbeiter sind in der Unterauftragsverarbeiterliste von RingCentral auf https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf angegeben.

4.3 Änderung der Unterauftragsverarbeiter. RingCentral kann durch angemessene Mitteilung an den Kunden Unterauftragsverarbeiter hinzufügen oder wechseln. Widerspricht der Kunde innerhalb von dreißig (30) Kalendertagen nach dieser Mitteilung aus angemessenen Gründen in Bezug auf den Schutz der personenbezogenen Kundendaten der Beauftragung eines zusätzlichen Unterauftragsverarbeiters, besprechen die Parteien diese Bedenken, um eine Lösung zu finden. Kann keine Lösung erreicht werden, unterlässt entweder RingCentral die Beauftragung des Unterauftragsverarbeiters oder, falls dies nicht möglich ist, ist der Kunde berechtigt, den betreffenden RingCentral-Dienst auszusetzen oder gemäß den Kündigungsbestimmungen des Vertrags zu kündigen. Ungeachtet des Vorstehenden behält sich RingCentral das Recht vor, im Fall unvorhersehbarer höherer Gewalt (z. B. eines Ausfalls eines Unterauftragsverarbeiters), die eine Verschlechterung oder Unterbrechung des Dienstes verursachen kann, den ausgefallenen Unterauftragsverarbeiter unverzüglich zu ersetzen, um den Standardzustand des Dienstes aufrechtzuerhalten oder wiederherzustellen. In diesem Fall kann die Mitteilung zum Wechsel des Unterauftragsverarbeiters ausnahmsweise nach der Änderung zugesandt werden.

4.4 Zusammenarbeit und Rechte der betroffenen Personen. Einige der RingCentral-Dienste stellen gegebenenfalls direkte technische Mittel bereit, um dem Kunden die Erfüllung seiner Pflichten zu ermöglichen, Anfragen von betroffenen Personen gemäß den geltenden Datenschutzgesetzen zu beantworten. Zur Vermeidung von Zweifeln wird festgehalten, dass es in der Verantwortung des Kunden liegt, jede Anfrage betroffener Personen zu beantworten. Ist der Kunde nicht in der Lage, Anfragen betroffener Personen mit diesen technischen Mitteln zu bearbeiten, oder ist diese Funktionalität nicht verfügbar, leistet RingCentral dem Kunden unter Berücksichtigung der Art der Verarbeitung soweit möglich angemessene Unterstützung, damit der Kunde die Anfragen betroffener Personen beantworten kann. Wird diese Anfrage direkt an RingCentral gerichtet, setzt RingCentral die betroffene Person umgehend darüber in Kenntnis, sich an den Kunden von RingCentral zu wenden. Es liegt in der alleinigen Verantwortung des Kunden sicherzustellen, dass alle Administratoren des RingCentral-Kontos des Kunden, die für die Verwaltung und Bearbeitung von Anfragen betroffener Personen angegeben sind, über die entsprechende Befugnis hierzu verfügen.

4.5 Datenschutz-Folgenabschätzungen. RingCentral leistet dem Kunden, soweit dies aufgrund der EU-Datenschutzgesetze erforderlich ist, auf Anfrage des Kunden und auf Kosten des Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen oder bei vorherigen Konsultationen mit den Datenschutzbehörden, die der Kunde gemäß den EU-Datenschutzgesetzen in Bezug auf den Umfang der von RingCentral gemäß dem Vertrag bereitzustellenden Dienste durchführen muss.

4.6 Internationale Übermittlung. RingCentral kann personenbezogene Kundendaten innerhalb und außerhalb des EWR gemäß der oben verlinkten Liste der Unterauftragsverarbeiter übermitteln und verarbeiten, wenn RingCentral, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen. Soweit RingCentral personenbezogene Kundendaten aus dem EWR in einem Land verarbeitet (oder verarbeiten lässt), das von der Europäischen Kommission nicht dahingehend anerkannt wurde, angemessenen Schutz für personenbezogene Kundendaten zu bieten, richtet RingCentral die erforderlichen Maßnahmen ein, um sicherzustellen, dass die Übermittlung den EU-Datenschutzgesetzen entspricht, was die Durchführung der Standardvertragsklauseln der EU-Kommission oder die Einrichtung eines anderen gültigen Übertragungsmechanismus gemäß den EU-Datenschutzgesetzen umfasst. Der Kunde erteilt RingCentral hiermit eine allgemeine Vollmacht, die Standardvertragsklauseln mit seinen Unterauftragsverarbeitern außerhalb des EWR im Auftrag des Kunden zu vereinbaren.

4.7 Audits.

(a) Beide Parteien erkennen an, dass es die Absicht der Parteien ist, sich gewöhnlich auf die Bereitstellung der Sicherheitsberichte in Abschnitt 3.7 oben zu verlassen, um die Einhaltung dieses DPA durch RingCentral zu überprüfen. Hat der Kunde begründete Zweifel daran, dass die Sicherheitsberichte ausreichend sind, um sich von der Einhaltung der in diesem DPA festgelegten Pflichten durch RingCentral zu überzeugen, gestattet RingCentral dem Kunden (oder seinen beauftragten Drittprüfern) die Durchführung eines Audits. Der Kunde kann ein (1) Mal innerhalb eines Zeitraums von zwölf (12) aufeinanderfolgenden Monaten auf vorherige schriftliche Mitteilung unter Einhaltung einer Frist von dreißig (30) Tagen die Durchführung eines Audits während der gewöhnlichen Geschäftszeiten von RingCentral und ohne Unterbrechung des gewöhnlichen Geschäftsbetriebs von RingCentral verlangen, wobei das Audit nicht länger als zwei (2) Werktage dauert und auf eigene Kosten des Kunden erfolgt (dies kann die Erstattung an RingCentral für jede Zeit umfassen, die Mitarbeiter von RingCentral für die Durchführung oder Unterstützung dieses Audits aufwenden).

(b) Der Kunde unternimmt angemessene Anstrengungen, um sicherzustellen, dass die Durchführung des jeweiligen Audits den Betrieb von RingCentral nicht unangemessen beeinträchtigt oder die Bereitstellung der Dienste nicht verzögert. RingCentral stellt dem Kunden (und seinen Prüfern und sonstigen Beratern) jede angemessene Zusammenarbeit, Unterstützung und jeden angemessenen Zugang im Zusammenhang mit dem jeweiligen Audit bereit. Das Audit erfolgt am Geschäftssitz von RingCentral während der gewöhnlichen Geschäftszeiten und dauert nicht länger als zwei (2) Werktage.

(c) Zur Vermeidung von Zweifeln wird festgehalten, dass RingCentral nicht verpflichtet ist, dem Kunden gegenüber Dokumente oder sonstige Materialien zur Rentabilität von RingCentral, rechtlich geschützte Dokumente oder Informationen oder Dokumente offenzulegen, die geschäftlich vertraulich sind oder zu deren vertraulichen Behandlung RingCentral durch schriftliche Verpflichtung gegenüber Dritten oder gemäß den geltenden Gesetzen oder Vorschriften verpflichtet ist („vertrauliche Informationen“). Prüfungsergebnisse, einschließlich Informationen und Dokumentationen, die dem Kunden im Rahmen eines Audits offengelegt oder verfügbar gemacht werden, gelten als vertrauliche Informationen von RingCentral.

4.8 Aufforderung zur Offenlegung von Daten

(a) Erhält RingCentral von einer Strafverfolgungsbehörde oder einer anderen Behörde eine Aufforderung zur Offenlegung personenbezogener Daten, die RingCentral im Auftrag des Kunden verarbeitet, benachrichtigt RingCentral den Kunden und stellt RingCentral dem Kunden die Einzelheiten der Datenoffenlegungsaufforderung vor der Offenlegung personenbezogener Daten zur Verfügung, sofern dies nicht gesetzlich verboten ist oder sofern kein drohendes Risiko eines schweren Schadens besteht, das eine vorherige Benachrichtigung verbietet.

5. Verschiedenes

5.1 Das DPA ist in den Vertrag aufgenommen und bildet nach Unterzeichnung durch die Parteien einen Bestandteil des Vertrags.

5.2 Sofern nicht ausdrücklich anderweitig angegeben, gelten die Bestimmungen und Bedingungen des Vertrags für das DPA. Bei Widersprüchen zwischen den Bedingungen des Vertrags und den Bedingungen dieses DPA sind die Bedingungen dieses DPA maßgebend.

5.3 Sie erreichen den Datenschutzbeauftragten unter folgender Adresse: privacy@RingCentral.com.

5.4 Im Falle eines Widerspruchs zwischen den beiden Sprachfassungen dieses DPA ist die englische Fassung die bindende.

ANHANG A

BESCHREIBUNG DER DATENVERARBEITUNG

1. Unify Office

Art und Zwecke der Verarbeitung

Unify Office bietet Cloud-basierte Dienstleistungen für Kommunikation und Zusammenarbeit für Sprachdienste, Video, SMS, Messaging und Zusammenarbeit, Konferenzen, Onlinesitzungen und Fax in High-Definition-Qualität („Dienste“). Im Rahmen der Dienste verarbeitet RingCentral personenbezogene Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die durch die Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, zum Zweck des Kundenbeziehungsmanagements und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation oder Zusammenarbeit, die durch die Nutzung der Dienste durch den Kunden erfolgt, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Die übermittelten personenbezogenen Kundendaten betreffen die folgenden Kategorien von Daten:

Identifizierungsinformationen für den Kunden, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung);
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die der Kunde, seine befugten Benutzer oder Dritte, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste gesendet und empfangen werden.

Die personenbezogenen Kundendaten, die zur Verarbeitung an RingCentral übermittelt werden, werden vom Kunden nach eigenem Ermessen bestimmt und kontrolliert. RingCentral hat daher keine Kontrolle über die Art, das Volumen und die Sensibilität der personenbezogenen Kundendaten, die durch seine Dienste vom Kunden oder seinen Benutzern verarbeitet werden.

Besondere Kategorien personenbezogener Kundendaten

RingCentral erhebt oder verarbeitet bei der Bereitstellung seiner Dienste keine besonderen Kategorien von Daten willentlich. Gemäß dem DPA verpflichtet sich der Kunde, RingCentral zu keiner Zeit besondere Kategorien von Daten bereitzustellen.

Dauer der Verarbeitung

Personenbezogene Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

2. Avaya Cloud Office (ACO)

Art und Zwecke der Verarbeitung

Avaya Cloud Office bietet Cloud-basierte Dienstleistungen für Kommunikation und Zusammenarbeit für Sprachdienste, Video, SMS, Messaging und Zusammenarbeit, Konferenzen, Onlinesitzungen und Fax in High-Definition-Qualität („Dienste“). Im Rahmen der Dienste verarbeitet RingCentral personenbezogene Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die durch die Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, zum Zweck des Kundenbeziehungsmanagements und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation oder Zusammenarbeit, die durch die Nutzung der Dienste durch den Kunden erfolgt, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Die übermittelten personenbezogenen Kundendaten betreffen die folgenden Kategorien von Daten:

Identifizierungsinformationen für den Kunden, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung);
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die der Kunde, seine befugten Benutzer oder Dritte, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste gesendet und empfangen werden.

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Personenbezogene Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

3. RingCentral MVP Plan Services

Art und Zwecke der Verarbeitung

RingCentral MVP Plan Services bietet Cloud-basierte Dienstleistungen für Kommunikation und Zusammenarbeit für Sprachdienste, Video, SMS, Messaging und Zusammenarbeit, Konferenzen, Onlinesitzungen und Fax in High-Definition-Qualität („Dienste“). Im Rahmen der Dienste verarbeitet RingCentral personenbezogene Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die durch die Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, zum Zweck des Kundenbeziehungsmanagements und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation oder Zusammenarbeit, die durch die Nutzung der Dienste durch den Kunden erfolgt, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Die übermittelten personenbezogenen Kundendaten betreffen die folgenden Kategorien von Daten:

Identifizierungsinformationen für den Kunden, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung);
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die der Kunde, seine befugten Benutzer oder Dritte, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste gesendet und empfangen werden.

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Personenbezogene Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

4. RingCentral Video

Art und Zwecke der Verarbeitung

RingCentral Video ist eine Lösung für Onlinesitzungen und Bildschirmübertragung, mit der Kunden Sitzungen leicht durchführen und zwischen Chat-, Video- und Web-Sitzungen wechseln können („Dienste“). Im Rahmen der Dienste verarbeitet RingCentral personenbezogene Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die durch die Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet die personenbezogenen Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, zum Zweck des Kundenbeziehungsmanagements und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation oder Zusammenarbeit, die durch die Nutzung der Dienste durch den Kunden erfolgt, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Die übermittelten personenbezogenen Kundendaten betreffen die folgenden Kategorien von Daten:

Identifizierungsinformationen für den Kunden, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung);
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die der Kunde, seine befugten Benutzer oder Dritte, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste gesendet und empfangen werden.

Personenbezogene Kundendaten, die zur Verarbeitung an RingCentral übermittelt werden, werden vom Kunden nach eigenem Ermessen bestimmt und kontrolliert. RingCentral hat daher keine Kontrolle über die Art, das Volumen und die Sensibilität der personenbezogenen Kundendaten, die durch seine Dienste vom Kunden oder seinen Benutzern verarbeitet werden.

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Personenbezogene Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

5. RingCentral Contact Center

Art und Zwecke der Verarbeitung

RingCentral Contact Center ist eine Omnichannel-Plattform für das Kundenkommunikationsmanagement, die alle Kommunikationskanäle für den Kundenkontakt, einschließlich Sprache, E-Mail, SMS, Website, Mobil-App, Chat und Kommunikation in sozialen Medien, auf einer einzigen Plattform vereint („Dienste“). Im Rahmen der Dienste verarbeitet RingCentral personenbezogene Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die durch die Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, einschließlich aller ergänzenden oder damit zusammenhängenden Dienste im Rahmen des Vertrags, zum Zweck der Veröffentlichung von Inhalten in öffentlichen/privaten Kommunikationskanälen, des Kundenbeziehungsmanagements, der Benutzerverwaltung und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation, die über die Dienste erfolgt oder anderweitig verwaltet wird, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Übermittelte personenbezogene Kundendaten können in folgende Kategorien eingeteilt werden:

Identifizierungsinformationen für den Kunden sowie für die Endbenutzer wie vollständiger Name, Geschlecht, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung) und Unternehmensname;
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die die Benutzer des Kunden oder Personen, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste erfolgen oder anderweitig verwaltet werden;

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Personenbezogene Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

6. RingCentral Engage Digital

Art und Zwecke der Verarbeitung

RingCentral Engage Digital ist eine Omnichannel-Plattform für das digitale Kundenkommunikationsmanagement, die alle Kommunikationskanäle für den Kundenkontakt, einschließlich E-Mail, SMS, Website, Mobil-App, Chat und Kommunikation in sozialen Medien, auf einer einzigen Plattform vereint („Dienste“). RingCentral Engage Digital veröffentlicht die Inhalte befugter Benutzer in den öffentlichen oder privaten Kommunikationskanälen, die mit ihrer Plattform verbunden sind, und synchronisiert die Inhalte der Endbenutzer aus den gleichen Kanälen. RingCentral Engage Digital speichert und zeigt den befugten Benutzern Kundendaten und den Unterhaltungsverlauf an. Befugte Benutzer werden identifiziert, verfügen über Zugriffsrechte und Berechtigungen, die von befugten Benutzern mit Administratorrollen definiert wurden, und alle ihre Aktionen werden in einem Anwendungsjournal protokolliert.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation, die über die Dienste erfolgt oder anderweitig verwaltet wird, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Übermittelte personenbezogene Kundendaten können in folgende Kategorien eingeteilt werden:

Identifizierungsinformationen für den Kunden wie vollständiger Name, Geschlecht, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung) und Unternehmensname;
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Inhalte, die in Kommunikationskanälen veröffentlicht werden, die mit den Diensten verbunden sind, einschließlich öffentlicher Informationen in Kanälen der sozialen Medien, die mit dem Dienst verbunden sind;
Alle sonstigen personenbezogenen Kundendaten, die die Benutzer des Kunden oder Personen, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste erfolgen oder anderweitig verwaltet werden;

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Die Dauer der Datenaufbewahrung (zwischen 1 Tag und 2 Jahren) wird vom Kunden auf der Grundlage der Anforderungen und des Kontexts des Kunden festgelegt und kann in den Diensten von den Benutzern des Kunden oder von RingCentral konfiguriert werden.

7. RingCentral Engage Communities

Art und Zwecke der Verarbeitung

RingCentral Engage Communities ist eine Onlinecommunity-Managementplattform, die Community-Antworten auf Kundendienstanfragen ermöglicht („Dienste“). Community-Administratoren verwalten alle verschiedenen Aspekte der Plattform in Bezug auf die registrierten Community-Mitglieder: Sie können Community-Mitglieder erstellen, bearbeiten und ihnen bestimmte Berechtigungen und Rollen zuweisen. Die Community-Administratoren verwalten ebenfalls die Erstellung, Einschränkung, Moderation, Veröffentlichung und Herausgabe der Inhalte der Community-Mitglieder.

RingCentral verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, einschließlich aller ergänzenden oder damit zusammenhängenden Dienste im Rahmen des Vertrags, zum Zweck der Onlineplattformverwaltung, des Kundenbeziehungsmanagements und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter oder befugte Benutzer des Kunden;
Alle sonstigen Drittpersonen, die Teilnehmer im Bereich der Onlinefreigabe sind.

Arten der verarbeiteten personenbezogenen Kundendaten

Übermittelte personenbezogene Kundendaten können in folgende Kategorien eingeteilt werden:

Identifizierungsinformationen von Mitarbeitern oder befugten Benutzern des Kunden oder sonstigen Dritten, einschließlich Name und E-Mail-Adresse;
Inhalte, die im Bereich der Onlinefreigabe veröffentlicht werden, einschließlich aller öffentlichen Beiträge und privaten Nachrichten;
Alle sonstigen personenbezogenen Kundendaten, die die Benutzer des Kunden oder Drittteilnehmer in Inhalte aufnehmen, die über den Dienst veröffentlicht, gesendet oder empfangen werden.

Besondere Kategorien von Daten

Dauer der Verarbeitung

Die Dauer der Datenaufbewahrung (zwischen 1 Tag und 2 Jahren seit der letzten Benutzeraktion) wird vom Kunden auf der Grundlage der Anforderungen und des Kontexts des Kunden festgelegt und kann in den Diensten konfiguriert werden. Inhalte können von Administratoren und Moderatoren von RingCentral Engage Communities oder von RingCentral ebenfalls gelöscht werden.

8. RingCentral Engage Voice

Art und Zwecke der Verarbeitung

RingCentral Engage Voice bietet Cloud-basierte Omnichannel-Dienste für das Kundenkommunikationsmanagement („Dienste“), die Unternehmen dabei unterstützen, Kunden im Kanal ihrer Wahl zu begegnen, einschließlich Sprache, E-Mail, SMS, MMS, Website, Mobil-App, Chat und Kommunikation in sozialen Medien. Im Rahmen der Dienste verarbeitet RingCentral die personenbezogenen Kundendaten der Personen, die an dieser Kommunikation teilnehmen, einschließlich der Mitarbeiter und befugten Benutzer des Kunden und sonstiger Dritter, die an der Kommunikation beteiligt sind, die bei der Nutzung der Dienste durch den Kunden erfolgt.

RingCentral verarbeitet die personenbezogenen Kundendaten zum Zweck der Bereitstellung und Pflege der vom Kunden abonnierten Dienste, einschließlich aller ergänzenden oder damit zusammenhängenden Dienste im Rahmen des Vertrags, zum Zweck der Veröffentlichung von Inhalten in öffentlichen/privaten Kommunikationskanälen, des Kundenbeziehungsmanagements, der Benutzerverwaltung und des Kundensupports.

Kategorien betroffener Personen

Mitarbeiter und befugte Benutzer des Kunden, die die Dienste in Verbindung mit dem Unternehmen des Kunden nutzen.
Alle sonstigen Drittpersonen, die an den Inhalten der Kommunikation, die über die Dienste erfolgt oder anderweitig verwaltet wird, beteiligt sind oder auf die darin verwiesen wird.

Art(en) der verarbeiteten personenbezogenen Kundendaten

Die übermittelten personenbezogenen Daten können in folgende Kategorien eingeteilt werden:

Identifizierungsinformationen für den Kunden sowie für die Endbenutzer wie vollständiger Name, Geschlecht, Kontaktinformationen (Anschrift, Telefonnummer (Festnetz und Mobil), E-Mail-Adresse, Faxnummer), Beschäftigungsinformationen (Stellenbezeichnung) und Unternehmensname;
Identifizierungsinformationen für alle Personen, die die Dienste auf Anfrage des und in Verbindung mit dem Unternehmen(s) des Kunden nutzen (einschließlich Telefonnummer (Festnetz und Mobil) und E-Mail-Adresse);
Alle sonstigen personenbezogenen Kundendaten, die die Benutzer des Kunden oder Personen, die an der Kommunikation beteiligt sind, in den Inhalt der Mitteilungen aufnehmen, die über die Dienste erfolgen oder anderweitig verwaltet werden.

Die personenbezogenen Daten, die zur Verarbeitung an RingCentral übermittelt werden, werden vom Kunden nach eigenem Ermessen bestimmt und kontrolliert. RingCentral hat daher keine Kontrolle über die Art, das Volumen und die Sensibilität der personenbezogenen Kundendaten, die durch seine Dienste vom Kunden oder seinen Benutzern verarbeitet werden.

Besondere Kategorien personenbezogener Kundendaten

Dauer der Verarbeitung

Die personenbezogenen Kundendaten werden für die Laufzeit des Vertrags oder wie anderweitig gesetzlich vorgeschrieben oder zwischen den Parteien vereinbart verarbeitet.

ANHANG B

LISTE DER DURCH DAS DPA ABGEDECKTEN DIENSTE VON RINGCENTRAL

Unify Office
Avaya Cloud Office (ACO)
RingCentral MVP Plan Services
RingCentral Video
RingCentral Contact Center
RingCentral Engage Digital
RingCentral Engage Communities
RingCentral Engage Voice