Dieses Addendum Datenverarbeitung ("DPA") wird von und zwischen RingCentral und dem Kunden (jeweils eine "Partei", zusammen die "Parteien") abgeschlossen und ergänzt den zwischen den Parteien abgeschlossenen Vertrag, dem es beigefügt ist ("Vertrag"), für die Bereitstellung der Dienste (wie unten definiert) an den Kunden.
Begriffe in Großbuchstaben, die in diesem DPA verwendet, aber nicht definiert werden, haben die gleiche Bedeutung wie im Vertrag festgelegt.
1. Definitionen
- 1.1 Für die Zwecke dieses DPA:
(a) "Verbundenes Unternehmen" bedeutet eine natürliche oder juristische Person, die von einer Vertragspartei kontrolliert wird, eine Vertragspartei kontrolliert oder unter gemeinsamer Kontrolle mit einer Vertragspartei steht, und "Kontrolle" bedeutet wirtschaftliches Eigentum von mehr als fünfzig Prozent (50 %) der zu diesem Zeitpunkt im Umlauf befindlichen stimmberechtigten Wertpapiere oder Eigentumsanteile eines Unternehmens.
(b) "Vertrag" bezeichnet den schriftlichen oder elektronischen Hauptvertrag zwischen dem Kunden und RingCentral über die Bereitstellung der RingCentral-Dienste für den Kunden (jeweils ein "Dienst" und zusammen die "Dienste").
(c) "Anwendbare Datenschutzgesetze" bezeichnet alle Datenschutzgesetze, die für RingCentral bei der Verarbeitung von Personenbezogenen Daten gemäß diesem DPA gelten.
(d) "Verantwortlicher" ist diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Personenbezogenen Daten entscheidet.
(e) "Personenbezogene Daten des Kunden" bezeichnet alle Personenbezogenen Daten, die RingCentral als Auftragsverarbeiter im Rahmen des Vertrags verarbeitet.
(f) "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne des anwendbaren Datenschutzrechts beziehen.
(g) "Auftragsverarbeiter" bezeichnet die Stelle, die Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(h) "Sicherheitsvorfall" bezeichnet eine Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung von oder einem Zugriff auf Personenbezogene Daten des Kunden führt, welche die Privatsphäre, die Sicherheit oder die Vertraulichkeit dieser Personenbezogenen Daten gefährdet.
2. Geltungsbereich des DPA
2.1 Dieses DPA gilt in dem Umfang, in dem RingCentral Personenbezogene Daten des Kunden im Auftrag eines Kunden als Auftragsverarbeiter verarbeitet, wie in den geltenden Datenschutzgesetzen definiert. Jegliche Verarbeitung Personenbezogener Daten als Verantwortlicher durch RingCentral fällt nicht in den Geltungsbereich dieses DPA.
3. Rollen und Verantwortlichkeiten
3.1 Rollen der Parteien. Zwischen den Parteien und für die Zwecke dieses DPA ist der Kunde der Verantwortliche für die Personenbezogenen Daten des Kunden, die von RingCentral im Rahmen des Vertrags als Auftragsverarbeiter im Namen des Kunden verarbeitet werden. RingCentral erfüllt die Pflichten eines Verantwortlichen gemäß der EU-Datenschutzgrundverordnung (DSGVO) in dem Umfang, in dem es Personenbezogene Daten als Verantwortlicher für die legitimen Geschäftszwecke von RingCentral verarbeitet, einschließlich derjenigen, die für den Betrieb der angebotenen Dienste erforderlich sind, und derjenigen, die für die Einhaltung des anwendbaren Rechts erforderlich sind.
3.2 Pflichten des Kunden. Der Kunde verpflichtet sich zu Folgendem:
(a) Er stellt sicher, dass er die Personenbezogenen Daten des Kunden rechtmäßig an RingCentral für die im Vertrag festgelegten Zwecke weitergeben darf.
(b) Er wird die geltenden Datenschutzgesetze bei der Nutzung der Dienste und der eigenen Erfassung und Verarbeitung Personenbezogener Daten, einschließlich Personenbezogener Kundendaten, einalten;
(c) Er wird besondere Kategorien personenbezogener Daten oder sensible Daten (wie in den geltenden Datenschutzgesetzen definiert) oder personenbezogene Daten, die Kinder oder Minderjährige betreffen oder sich auf strafrechtliche Verurteilungen und Straftaten beziehen, rechtmäßig und unter Berufung auf eine gültige Rechtsgrundlage in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen verarbeiten. Die Parteien erkennen an, dass die Dienste nicht dafür ausgelegt sind, solche Daten zu erkennen und/oder zu klassifizieren.
3.3 Zweckbegrenzung
(a) Sofern nicht anderweitig durch geltendes Recht vorgeschrieben, verarbeitet RingCentral die Personenbezogenen Daten des Kunden (i) in Übereinstimmung mit den dokumentierten Anweisungen des Kunden (solche Anweisungen ergeben sich aus dem Vertrag, diesem DPA und der Konfiguration und Nutzung der Dienste durch den Kunden in Übereinstimmung mit den geltenden Nutzungsbedingungen), (ii) für die Zwecke der Bereitstellung, Überwachung, Unterstützung, Verbesserung und Wartung der Dienste.
(b) RingCentral wird sich nicht am Verkauf von Personenbezogenen Daten beteiligen.
3.4 Vertraulichkeit der Verarbeitung. RingCentral stellt sicher, dass jede Person, die es zur Verarbeitung der Personenbezogenen Daten des Kunden ermächtigt, einer Vertraulichkeitspflicht unterliegt (entweder einer vertraglichen oder einer gesetzlichen Pflicht).
3.5 Sicherheit. RingCentral wird angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen, um die Sicherheit der Personenbezogenen Daten des Kunden zu gewährleisten. RingCentral unterhält ein Informationssicherheits- und Risikomanagementprogramm, das auf kommerziellen Best Practices basiert, um die Vertraulichkeit, Integrität und Zugänglichkeit der Personenbezogenen Daten des Kunden mit administrativen, technischen und physischen Maßnahmen zu schützen, die den allgemein anerkannten Industriestandards und -praktiken für Telekommunikation entsprechen.
3.6 Sicherheitsvorfälle. Sobald RingCentral von einem Sicherheitsvorfall Kenntnis erlangt, benachrichtigt RingCentral den Kunden unverzüglich unter den Kontaktinformationen, die der Kunde im Verwaltungsportal angegeben hat, und stellt die Informationen rechtzeitig zur Verfügung, die der Kunde angemessenerweise verlangen kann, einschließlich der Erfüllung von Meldepflichten für Datenverletzungen gemäß den geltenden Datenschutzgesetzen.
3.7 Bereitstellung von Sicherheitsberichten. RingCentral wählt einen unabhängigen, qualifizierten externen Prüfer aus, der auf Kosten von RingCentral mindestens jährliche Audits der Sicherheit der Dienste und Umgebungen in Übereinstimmung mit international anerkannten Standards wie ISO27001, den SOC 2, Typ II Standards oder gleichwertigen Standards durchführt. Auf Anfrage des Kunden und im Rahmen einer bestehenden Vertraulichkeitsvereinbarung stellt RingCentral eine Kopie der letzten Audit-Berichte (oder einer vergleichbaren Sicherheitsbescheinigung) zur Verfügung, um die Einhaltung der vorstehenden Anforderung zu dokumentieren, sofern eine solche Zertifizierung verfügbar ist. Ein solcher Audit-Bericht ist eine Vertrauliche Information von RingCentral und der Kunde wird ihn nicht ohne die schriftliche Zustimmung von RingCentral an Dritte weitergeben.
3.8 Löschung oder Rückgabe von Daten. Bei Beendigung oder Ablauf der Vereinbarung löscht RingCentral die Personenbezogenen Daten des Kunden (einschließlich Kopien), die sich im Besitz von RingCentral befinden, oder bietet auf Wunsch des Kunden Optionen zur Rückgabe der Personenbezogenen Daten an den Kunden an, außer in dem Umfang, in dem RingCentral nach geltendem Recht verpflichtet ist, einige oder alle Personenbezogenen Daten des Kunden zu behalten.
4. Pflichten gemäß DSGVO
4.1 Anwendbarkeit. Dieser Abschnitt 4 und das RingCentral Security Addendum unter https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf gelten für die Verarbeitung von Personenbezogenen Daten des Kunden, die dem Schutz der DSGVO unterliegen.
4.2 Unterauftragsverarbeiter. Der Kunde erklärt sich damit einverstanden, dass RingCentral und seine Tochtergesellschaften RingCentral-Tochtergesellschaften und dritte Unterverarbeiter (zusammen "Unterauftragsverarbeiter") mit der Verarbeitung der Personenbezogenen Daten des Kunden im Namen von RingCentral beauftragen. Je nach Umfang und Art der Unterverarbeitungen muss RingCentral diesen Unterverarbeitern Datenschutzbedingungen auferlegen, wedche die Personenbezogenen Daten des Kunden auf einem gleichwertigen Niveau schützen, wie es in diesem DPA vorgesehen ist, und RingCentral haftet für jede Verletzung des DPA, die durch einen Unterauftragsverarbeiter verursacht wird. Die Unterauftragsverarbeiter, die von RingCentral in Bezug auf jeden der Dienste zum Zeitpunkt des Vertragsabschlusses beauftragt wurden, sind in der Liste der Unterauftragsverarbeiter von RingCentral aufgeführt, die unter https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf verfügbar ist.
4.3 Benachrichtigung über Unterauftragsverarbeiter. RingCentral kann durch eine angemessene Mitteilung an den Kunden unter Verwendung der Kontaktinformationen, die der Kunde im Adminstrationsportal angegeben hat, Unterauftragsverarbeiter hinzufügen oder ersetzen. Wenn der Kunde innerhalb von dreißig (30) Kalendertagen nach einer solchen Benachrichtigung der Ernennung eines zusätzlichen Unterauftragsverarbeiters aus angemessenen Gründen, die sich auf den Schutz der Personenbezogenen Daten des Kunden beziehen, widerspricht, werden die Parteien diese Bedenken besprechen, um eine Lösung zu finden. Wenn eine solche Lösung nicht erreicht werden kann, wird RingCentral den Unterauftragsverarbeiter entweder nicht beauftragen oder, falls dies nicht möglich ist, ist der Kunde berechtigt, den betroffenen RingCentral-Dienst durch eine schriftlichen Mitteilung an RingCentral mit einer Frist von dreißig (30) Tagen auszusetzen oder zu beenden. Ungeachtet des Vorstehenden behält sich RingCentral im Falle einer unvorhersehbaren höheren Gewalt (wie z.B. dem Ausfall eines RingCentral Unterauftragsverabeiters), die eine Verschlechterung oder Unterbrechung des Dienstes hervorrufen kann, das Recht vor, den ausfallenden Unterauftragsverarbeiter sofort auszutauschen, um die Standardbedingungen des Dienstes zu erhalten oder wiederherzustellen. In dieser Situation kann die Benachrichtigung über den Wechsel des Unterauftragsverarbeiters ausnahmsweise nach dem Wechsel gesendet werden.
4.4 Zusammenarbeit und Rechte der betroffenen Personen (Data Subjects). Es liegt in der Verantwortung des Kunden, auf alle Anfragen von betroffenen Personen zu reagieren. Einige der RingCentral-Dienste können direkte technische Mittel zur Verfügung stellen, die es dem Kunden ermöglichen, seine Pflichten zur Beantwortung von Anfragen von betroffenen Personen gemäß den Anwendbaren Datenschutzgesetzen zu erfüllen. Wenn der Kunde nicht in der Lage ist, die Anfrage der betroffenen Person mit solchen technischen Mitteln zu beantworten, oder wenn eine solche Funktionalität nicht zur Verfügung steht, wird RingCentral unter Berücksichtigung der Art der Verarbeitung dem Kunden angemessene Unterstützung bieten, damit der Kunde auf solche Anfragen der betroffenen Person antworten kann. Falls eine solche Anfrage direkt an RingCentral gestellt wird, wird RingCentral die betroffene Person unverzüglich an den Kunden verweisen.
4.5 Datenschutz-Folgenabschätzungen. RingCentral unterstützt den Kunden in dem von der DSGVO geforderten Umfang und auf Anfrage des Kunden und auf dessen Kosten in angemessener Weise bei Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit Datenschutzbehörden, die der Kunde gemäß der DSGVO in Bezug auf den Umfang der Dienste durchführen muss.
4.6 Internationale Transfers. RingCentral kann Personenbezogene Daten des Kunden an Orte außerhalb des Europäischen Wirtschaftsraums ("EWR"), der Schweiz oder des Vereinigten Königreichs in Übereinstimmung mit der veröffentlichten Liste der Unterauftragsverarbeiter übertragen und dort verarbeiten, an denen RingCentral, seine Verbundenen Unternehmen oder seine Unterauftragsverarbeiter einen Betrieb für Datenverarbeitung unterhalten. Soweit RingCentral Personenbezogene Daten von Kunden aus dem EWR, der Schweiz oder dem Vereinigten Königreich in einem Land verarbeitet (oder verarbeiten lässt), das von der Europäischen Kommission nicht als Land anerkannt wurde, das ein angemessenes Schutzniveau für Personenbezogene Daten von Kunden bietet, wird RingCentral die Anwendbaren Datenschutzgesetze des EWR, der Schweiz und des Vereinigten Königreichs in Bezug auf die Erhebung, Verwendung, Übermittlung, Aufbewahrung und sonstige Verarbeitung Personenbezogener Daten des Kunden aus dem EWR, der Schweiz und dem Vereinigten Königreich einhalten und die notwendigen Maßnahmen ergreifen, um sicherzustellen, dass die Übermittlung in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen erfolgt, wozu auch die Unterzeichnung der Standardvertragsklauseln der EU-Kommission oder die Einrichtung eines anderen gültigen Übermittlungsmechanismus gemäß den Anwendbaren Datenschutzgesetzen gehört. Der Kunde erteilt RingCentral hiermit ein allgemeines Mandat, die Standardvertragsklauseln im Namen des Kunden mit seinen Unterauftragsverarbeitern außerhalb des EWR abzuschließen.
4.7 Audits.
(a) Beide Parteien erkennen an, dass es die Absicht der Parteien ist, sich in der Regel auf die Bereitstellung der Sicherheitsberichte gemäß Abschnitt 3.7 oben zu verlassen, um die Einhaltung dieses DPA durch RingCentral zu überprüfen.
(b) Zusätzlich wird RingCentral auf Anfrage des Kunden, jedoch nicht öfter als einmal innerhalb eines 12-Monats-Zeitraums, einen vom Kunden bereitgestellten Fragebogen zum Informationssicherheitsprogramm ausfüllen, der sich auf die tatsächlichen Dienste/Umgebungen im Zusammenhang mit den dem Kunden bereitgestellten Diensten bezieht ("Sicherheitsüberprüfung").
(c) Wenn, nach der Überprüfung des Audit-Berichts oder einer vergleichbaren Bescheinigung von RingCentral und des ausgefüllten Fragebogens zur Informationssicherheit (einschließlich der von RingCentral eingeführten Änderungen, um etwaige Lücken zu schließen) durch den Kunden und soweit von der DSGVO gefordert, zusätzliche Informationen vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen von RingCentral gemäß den Anwendbaren Datenschutzgesetzen und diesem DPA nachzuweisen, kann der Kunde schriftlich die Durchführung eines Audits (einschließlich Inspektionen) von RingCentral gemäß dem unten beschriebenen Audit-Antragsverfahren beantragen, und zwar nicht öfter als einmal innerhalb eines 12-Monats-Zeitraums, es sei denn, eine Aufsichtsbehörde verlangt ausdrücklich die Durchführung eines Audits von RingCentral oder in Reaktion auf einen Sicherheitsvorfall.
(d) Um sein Audtirecht gemäß diesem Abschnitt auszuüben, muss der Kunde RingCentral einen schriftlichen, detaillierten Antrag übermitteln, einschließlich Ausführungen zu Lücken in den von RingCentral zur Verfügung gestellten Prüfberichten und in der Sicherheitsüberprüfung, die ein Audit erforderlich machen, um die Einhaltung dieses DPA oder der Anwendbaren Datenschutzgesetze durch RingCentral nachzuweisen.
(e) Das Audit kann durch den Kunden oder einen externen Prüfer durchgeführt werden (ein solcher Dritter unterliegt strengen Vertraulichkeitsverpflichtungen, einschließlich der Anforderung, dass einzelne ernannte Prüfer in den vorangegangenen zwölf (12) Monaten keine Audits von Wettbewerbern von RingCentral durchgeführt haben und dass es ihnen untersagt ist, solche Audits in den zwölf (12) Monaten nach dem Audit bei RingCentral durchzuführen), ausschließlich auf Kosten des Kunden. RingCentral kann schriftlich gegen jeden externen Prüfer Einspruch erheben, wenn der Prüfer nach angemessener Meinung von RingCentral nicht ausreichend qualifiziert oder unabhängig ist, ein Konkurrent von RingCentral ist oder anderweitig offensichtlich ungeeignet ist. Ein solcher Einwand von RingCentral verpflichtet den Kunden, einen anderen Prüfer zu beauftragen oder das Audit selbst durchzuführen.
(f) RingCentral und der Kunde vereinbaren im Voraus den Umfang und den Zeitpunkt des Audits, um die vertraulichen und urheberrechtlich geschützten Informationen von RingCentral und anderen Parteien zu schützen, die Unterbrechung des Geschäftsbetriebs von RingCentral zu minimieren, den Umfang auf die tatsächlichen Dienste/Umgebungen zu beschränken, die mit den dem Kunden bereitgestellten Diensten zusammenhängen, und eine angemessene Dauer des Audits festzulegen.
(g) Die Durchführung des Audits erfolgt während der regulären Arbaits- und Geschäftszeiten der beteiligten RingCentral-Mitarbeiter, und die Parteien vereinbaren, dass RingCentral dem Kunden Material zur Durchsicht zur Verfügung stellt, das der Kunde jedoch nicht behalten darf. RingCentral kann eine angemessene Gebühr für die im Zusammenhang mit einem solchen Audit entstandenen Kosten auf der Grundlage der Preise für Professional Services von RingCentral berechnen, es sei denn, das Audit weist einen wesentlichen Verstoß seitens RingCentral nach. RingCentral informiert den Kunden vor einem solchen Audit über die Einzelheiten der anfallenden Kosten und die Grundlage ihrer Berechnung.
(h) Alle Informationen, die dem Kunden gemäß diesem Abschnitt bereitgestellt oder zugänglich gemacht werden, gelten als Vertrauliche Informationen von RingCentral.
4.8 Aufforderungen zur Offenlegung von Daten. Wenn RingCentral eine Anfrage von einer Strafverfolgungs- oder anderen Regierungsbehörde erhält, Personenbezogene Daten des Kunden offenzulegen, die RingCentral im Auftrag des Kunden verarbeitet, wird RingCentral den Kunden vor der Offenlegung von Personenbezogenen Daten des Kunden benachrichtigen und ihm die Details der Anfrage auf Offenlegung der Daten zur Verfügung stellen, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, die eine vorherige Benachrichtigung verbietet.
5. Sonstiges
5.1 Sofern oben nicht ausdrücklich anders angegeben, gelten für das DPA die Bedingungen des Vertrags. Im Falle eines Widerspruchs zwischen den Bedingungen des Vertrags und den Bedingungen dieses DPA haben die Bedingungen dieses DPA Vorrang in Bezug auf die Aktivitäten von RingCentral bei der Datenverarbeitung von Personenbezogenen Daten des Kunden.
5.2 Das geltende Recht und der Gerichtsstand, die für den Vertrag gelten, gelten auch für diese DPA.
5.3 Kontaktinformationen für Datenschutzanfragen: privacy@RingCentral.com.