1. Definitionen
1.1 Für die Zwecke dieses DPA:
a.) "Verbundenes Unternehmen" bedeutet eine natürliche oder juristische Person, die von einer Vertragspartei kontrolliert wird, eine Vertragspartei kontrolliert oder unter gemeinsamer Kontrolle mit einer Vertragspartei steht, und "Kontrolle" bedeutet wirtschaftliches Eigentum von mehr als fünfzig Prozent (50 %) der zu diesem Zeitpunkt im Umlauf befindlichen stimmberechtigten Wertpapiere oder Eigentumsanteile eines Unternehmens.
b.) "Vertrag" bezeichnet den schriftlichen oder elektronischen Hauptvertrag zwischen dem Kunden und RingCentral über die Bereitstellung der RingCentral-Dienste für den Kunden (jeweils ein "Dienst" und zusammen die "Dienste").
c.) "Anwendbare Datenschutzgesetze" bezeichnet alle Datenschutzgesetze (einschließlich der DSGVO), die für RingCentral bei der Verarbeitung von Personenbezogenen Daten gemäß diesem DPA gelten.
d.) "Verantwortlicher" ist diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Personenbezogenen Daten entscheidet.
e.) "Personenbezogene Daten des Kunden" bezeichnet alle Personenbezogenen Daten, die RingCentral als Auftragsverarbeiter im Rahmen des Vertrags verarbeitet.
f.) "DSGVO“ bezeichnet (i) die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, (ii) alle anwendbaren Datenschutzgesetze, die in den Mitgliedsstaaten der Europäischen Union gelten, (iii) den UK Data Protection Act (DPA 2018) in seiner geänderten Fassung und die UK DSGVO, und (iv) das Bundesdatenschutzgesetz.
g.) "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne des anwendbaren Datenschutzrechts beziehen.
h.) "Auftragsverarbeiter" bezeichnet die Stelle, die Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
i.) "Sicherheitsvorfall" bezeichnet eine Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung von oder einem Zugriff auf Personenbezogene Daten des Kunden führt, welche die Privatsphäre, die Sicherheit oder die Vertraulichkeit dieser Personenbezogenen Daten gefährdet.
j.) "Dienste" bedeutet die RingCentral-Dienste, wie in Anhang I beschrieben.
2. Geltungsbereich des DPA
2.1 Dieses DPA gilt in dem Umfang, in dem RingCentral Personenbezogene Daten des Kunden im Auftrag eines Kunden als Auftragsverarbeiter verarbeitet, wie in den Anwendbaren Datenschutzgesetzen definiert und im Anhang A näher beschrieben. Jegliche Verarbeitung Personenbezogener Daten als Verantwortlicher durch RingCentral fällt nicht in den Geltungsbereich dieses DPA.
3. Rollen und Verantwortlichkeiten
3.1 Rollen der Parteien. Zwischen den Parteien und für die Zwecke dieses DPA ist der Kunde der Verantwortliche für die Personenbezogenen Daten des Kunden, die von RingCentral im Rahmen des Vertrags als Auftragsverarbeiter im Namen des Kunden verarbeitet werden. RingCentral erfüllt die Pflichten eines Verantwortlichen gemäß den Anwendbaren Datenschutzgesetzen in dem Umfang, in dem es Personenbezogene Daten als Verantwortlicher für die legitimen Geschäftszwecke von RingCentral verarbeitet, einschließlich derjenigen, die für den Betrieb der angebotenen Dienste erforderlich sind, und derjenigen, die für die Einhaltung der Anwendbaren Datenschutzgesetze erforderlich sind.
3.2 Pflichten des Kunden. Der Kunde verpflichtet sich zu Folgendem:
(a) Er stellt sicher , dass er die Personenbezogenen Daten des Kunden rechtmäßig an RingCentral für die im Vertrag festgelegten Zwecke weitergeben darf.
(b) Er wird die Anwendbaren Datenschutzgesetze bei der Nutzung der Dienste und der eigenen Erfassung und Verarbeitung Personenbezogener Daten, einschließlich Personenbezogener Kundendaten, einalten. Der Kunde erkennt an und bestätigt, dass der Kunde seine (aktuellen und zukünftigen) Mitarbeiter und gegebenenfalls seinen Betriebsrat darüber informiert hat, dass der Kunde im Rahmen der Dienste Zugriff auf die Verkehrsdaten hat;
(c) Er wird besondere Kategorien Personenbezogener Daten oder sensible Daten (wie in den Anwendbaren Datenschutzgesetzen definiert) oder Personenbezogene Daten, die Kinder oder Minderjährige betreffen oder sich auf strafrechtliche Verurteilungen und Straftaten beziehen, rechtmäßig und unter Berufung auf eine gültige Rechtsgrundlage in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen verarbeiten. Die Parteien erkennen an, dass die Dienste nicht dafür ausgelegt sind, solche Daten zu erkennen und/oder zu klassifizieren.
3.3 Zweckbegrenzung Sofern nicht anderweitig durch geltendes Recht vorgeschrieben, verarbeitet RingCentral die Personenbezogenen Daten des Kunden (i) in Übereinstimmung mit den dokumentierten Anweisungen des Kunden (solche Anweisungen ergeben sich aus dem Vertrag, diesem DPA und der Konfiguration und Nutzung der Dienste durch den Kunden in Übereinstimmung mit den geltenden Nutzungsbedingungen), (ii) für die Zwecke der Bereitstellung, Überwachung, Unterstützung, Verbesserung und Wartung der Dienste.
3.4 Vertraulichkeit der Verarbeitung. RingCentral stellt sicher, dass jede Person, die es zur Verarbeitung der Personenbezogenen Daten des Kunden ermächtigt, einer Vertraulichkeitspflicht unterliegt (entweder einer vertraglichen oder einer gesetzlichen Pflicht).
3.5 Sicherheit. RingCentral wird angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen, um die Sicherheit der Personenbezogenen Daten des Kunden zu gewährleisten. RingCentral unterhält ein Informationssicherheits- und Risikomanagementprogramm, das auf kommerziellen Best Practices basiert, um die Vertraulichkeit, Integrität und Zugänglichkeit der Personenbezogenen Daten des Kunden mit administrativen, technischen und physischen Maßnahmen zu schützen, die den allgemein anerkannten Industriestandards und -praktiken für Telekommunikation entsprechen.Die Sicherheitsmaßnahmen von RingCentral sind im Addendum Sicherheit beschrieben, verfügbar unter https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf.
3.6 Sicherheitsvorfälle. Sobald RingCentral von einem Sicherheitsvorfall Kenntnis erlangt, benachrichtigt RingCentral den Kunden unverzüglich unter den Kontaktinformationen, die der Kunde im Verwaltungsportal angegeben hat, und stellt die Informationen rechtzeitig zur Verfügung, die der Kunde angemessenerweise verlangen kann, einschließlich der Erfüllung von Meldepflichten für Datenverletzungen gemäß den Anwendbaren Datenschutzgesetzen.
3.7 Bereitstellung von Sicherheitsberichten. RingCentral wählt einen unabhängigen, qualifizierten externen Prüfer aus, der auf Kosten von RingCentral mindestens jährliche Audits der Sicherheit der Dienste und Umgebungen in Übereinstimmung mit international anerkannten Standards wie ISO27001, den SOC 2, Typ II Standards oder gleichwertigen Standards durchführt. Auf Anfrage des Kunden und im Rahmen einer bestehenden Vertraulichkeitsvereinbarung stellt RingCentral eine Kopie der letzten Audit-Berichte (oder einer vergleichbaren Sicherheitsbescheinigung) zur Verfügung, um die Einhaltung der vorstehenden Anforderung zu dokumentieren, sofern eine solche Zertifizierung verfügbar ist. Ein solcher Audit-Bericht ist eine Vertrauliche Information von RingCentral und der Kunde wird ihn nicht ohne die schriftliche Zustimmung von RingCentral an Dritte weitergeben.
3.8 Audits.
(a) Beide Parteien erkennen an, dass es die Absicht der Parteien ist, sich in der Regel auf die Bereitstellung der Sicherheitsberichte gemäß Abschnitt 3.7 oben zu verlassen, um die Einhaltung dieses DPA durch RingCentral zu überprüfen.
(b) Zusätzlich wird RingCentral auf Anfrage des Kunden, jedoch nicht öfter als einmal innerhalb eines 12-Monats-Zeitraums, einen vom Kunden bereitgestellten Fragebogen zum Informationssicherheitsprogramm ausfüllen, der sich auf die tatsächlichen Dienste/Umgebungen im Zusammenhang mit den dem Kunden bereitgestellten Diensten bezieht ("Sicherheitsüberprüfung").
(c) Wenn, nach der Überprüfung des Audit-Berichts oder einer vergleichbaren Bescheinigung von RingCentral und des ausgefüllten Fragebogens zur Informationssicherheit (einschließlich der von RingCentral eingeführten Änderungen, um etwaige Lücken zu schließen) durch den Kunden und soweit von den Anwendbaren Datenschutzgesetzen gefordert, zusätzliche Informationen vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen von RingCentral gemäß den Anwendbaren Datenschutzgesetzen und diesem DPA nachzuweisen, kann der Kunde schriftlich die Durchführung eines Audits (einschließlich Inspektionen) von RingCentral gemäß dem unten beschriebenen Audit-Antragsverfahren beantragen, und zwar nicht öfter als einmal innerhalb eines 12-Monats-Zeitraums, es sei denn, eine Aufsichtsbehörde verlangt ausdrücklich die Durchführung eines Audits von RingCentral oder in Reaktion auf einen Sicherheitsvorfall.
(d) Um sein Audtirecht gemäß diesem Abschnitt auszuüben, muss der Kunde RingCentral einen schriftlichen, detaillierten Antrag übermitteln, einschließlich Ausführungen zu Lücken in den von RingCentral zur Verfügung gestellten Prüfberichten und in der Sicherheitsüberprüfung, die ein Audit erforderlich machen, um die Einhaltung dieses DPA oder der Anwendbaren Datenschutzgesetze durch RingCentral nachzuweisen.
(e) Das Audit kann durch den Kunden oder einen externen Prüfer durchgeführt werden (ein solcher Dritter unterliegt strengen Vertraulichkeitsverpflichtungen, einschließlich der Anforderung, dass einzelne ernannte Prüfer in den vorangegangenen zwölf (12) Monaten keine Audits von Wettbewerbern von RingCentral durchgeführt haben und dass es ihnen untersagt ist, solche Audits in den zwölf (12) Monaten nach dem Audit bei RingCentral durchzuführen), ausschließlich auf Kosten des Kunden. RingCentral kann schriftlich gegen jeden externen Prüfer Einspruch erheben, wenn der Prüfer nach angemessener Meinung von RingCentral nicht ausreichend qualifiziert oder unabhängig ist, ein Konkurrent von RingCentral ist oder anderweitig offensichtlich ungeeignet ist. Ein solcher Einwand von RingCentral verpflichtet den Kunden, einen anderen Prüfer zu beauftragen oder das Audit selbst durchzuführen.
(f) RingCentral und der Kunde vereinbaren im Voraus den Umfang und den Zeitpunkt des Audits,, nicht früher als dreißig (30) Tage nach dem Datum der schriftlichen Anfrage auf ein Vor-Ort-Audit gemäß 3.8(d), um die vertraulichen und urheberrechtlich geschützten Informationen von RingCentral und anderen Parteien zu schützen, die Unterbrechung des Geschäftsbetriebs von RingCentral zu minimieren, den Umfang auf die tatsächlichen Dienste/Umgebungen zu beschränken, die mit den dem Kunden bereitgestellten Diensten zusammenhängen, und eine angemessene Dauer des Audits festzulegen.
(g) Die Durchführung des Audits erfolgt während der regulären Arbeits- und Geschäftszeiten der beteiligten RingCentral-Mitarbeiter, und die Parteien vereinbaren, dass RingCentral dem Kunden Material zur Durchsicht zur Verfügung stellt, das der Kunde jedoch nicht behalten darf. RingCentral kann eine angemessene Gebühr für die im Zusammenhang mit einem solchen Audit entstandenen Kosten auf der Grundlage der Preise für Professional Services von RingCentral berechnen, es sei denn, das Audit weist einen wesentlichen Verstoß seitens RingCentral nach. RingCentral informiert den Kunden vor einem solchen Audit über die Einzelheiten der anfallenden Kosten und die Grundlage ihrer Berechnung.
(h). Alle Informationen, die dem Kunden gemäß diesem Abschnitt bereitgestellt oder zugänglich gemacht werden, gelten als Vertrauliche Informationen von RingCentral.
3.9 Zusammenarbeit und Rechte der betroffenen Personen (Data Subjects). Es liegt in der Verantwortung des Kunden, auf alle Anfragen von betroffenen Personen zu reagieren. Einige der RingCentral-Dienste können direkte technische Mittel zur Verfügung stellen, die es dem Kunden ermöglichen, seine Pflichten zur Beantwortung von Anfragen von betroffenen Personen gemäß den Anwendbaren Datenschutzgesetzen zu erfüllen. Wenn der Kunde nicht in der Lage ist, die Anfrage der betroffenen Person mit solchen technischen Mitteln zu beantworten, oder wenn eine solche Funktionalität nicht zur Verfügung steht, wird RingCentral unter Berücksichtigung der Art der Verarbeitung dem Kunden angemessene Unterstützung bieten, damit der Kunde auf solche Anfragen der betroffenen Person antworten kann. Falls eine solche Anfrage direkt an RingCentral gestellt wird, wird RingCentral die betroffene Person unverzüglich an den Kunden verweisen.
3.10 Löschung oder Rückgabe von Daten. Bei Beendigung oder Ablauf der Vereinbarung löscht RingCentral die Personenbezogenen Daten des Kunden (einschließlich Kopien), die sich im Besitz von RingCentral befinden, oder bietet auf Wunsch des Kunden Optionen zur Rückgabe der Personenbezogenen Daten an den Kunden an, außer in dem Umfang, in dem RingCentral nach geltendem Recht verpflichtet ist, einige oder alle Personenbezogenen Daten des Kunden zu behalten.
4. Pflichten gemäß der DSGVO
4.1
Unterauftragsverarbeiter. Der Kunde erklärt sich damit einverstanden, dass RingCentral und seine Tochtergesellschaften RingCentral-Tochtergesellschaften und dritte Unterauftragsverarbeiter (zusammen "Unterauftragsverarbeiter") mit der Verarbeitung der Personenbezogenen Daten des Kunden im Namen von RingCentral beauftragen. Je nach Umfang und Art der Unterverarbeitungen muss RingCentral diesen Unterauftragsverarbeitern Datenschutzbedingungen auferlegen, welche die Personenbezogenen Daten des Kunden auf einem gleichwertigen Niveau schützen, wie es in diesem DPA vorgesehen ist, und RingCentral haftet für jede Verletzung des DPA, die durch einen Unterauftragsverarbeiter verursacht wird. Die Unterauftragsverarbeiter, die von RingCentral in Bezug auf jeden der Dienste zum Zeitpunkt des Vertragsabschlusses beauftragt wurden, sind in der Liste der Unterauftragsverarbeiter von RingCentral aufgeführt, die unter
https://www.ringcentral.com/legal/dpa-subprocessor-list.html oder wie abweichend im Vertrag festgelegt verfügbar ist .
4.2 Benachrichtigung über Unterauftragsverarbeiter. RingCentral kann durch eine angemessene Mitteilung an den Kunden unter Verwendung der Kontaktinformationen, die der Kunde im Administrationsportal angegeben hat, Unterauftragsverarbeiter hinzufügen oder ersetzen. Wenn der Kunde innerhalb von dreißig (30) Kalendertagen nach einer solchen Benachrichtigung der Ernennung eines zusätzlichen Unterauftragsverarbeiters aus angemessenen Gründen, die sich auf den Schutz der Personenbezogenen Daten des Kunden beziehen, widerspricht, werden die Parteien diese Bedenken besprechen, um eine Lösung zu finden. Wenn eine solche Lösung nicht erreicht werden kann, wird RingCentral den Unterauftragsverarbeiter entweder nicht beauftragen oder, falls dies nicht möglich ist, ist der Kunde berechtigt, den betroffenen RingCentral-Dienst durch eine schriftlichen Mitteilung an RingCentral mit einer Frist von dreißig (30) Tagen auszusetzen oder zu beenden. Ungeachtet des Vorstehenden behält sich RingCentral im Falle einer unvorhersehbaren höheren Gewalt (wie z.B. dem Ausfall eines RingCentral Unterauftragsverabeiters), die eine Verschlechterung oder Unterbrechung des Dienstes hervorrufen kann, das Recht vor, den ausfallenden Unterauftragsverarbeiter sofort auszutauschen, um die Standardbedingungen des Dienstes zu erhalten oder wiederherzustellen. In dieser Situation kann die Benachrichtigung über den Wechsel des Unterauftragsverarbeiters ausnahmsweise nach dem Wechsel gesendet werden.
4.3 Datenschutz-Folgenabschätzungen. RingCentral unterstützt den Kunden in dem von den DSGVO geforderten Umfang und auf Anfrage des Kunden und auf dessen Kosten in angemessener Weise bei Datenschutz-Folgenabschätzungen oder vorherigen Konsultationen mit Datenschutzbehörden, die der Kunde gemäß den Anwendbaren Datenschutzgesetzen in Bezug auf den Umfang der Dienste durchführen muss.
4.4 Internationale Transfers. RingCentral kann Personenbezogene Daten des Kunden an Orte außerhalb des Europäischen Wirtschaftsraums ("EWR"), der Schweiz oder des Vereinigten Königreichs in Übereinstimmung mit der anwendbaren Liste der Unterauftragsverarbeiter übertragen und dort verarbeiten, an denen RingCentral, seine Verbundenen Unternehmen oder seine Unterauftragsverarbeiter einen Betrieb für Datenverarbeitung unterhalten.
(a) Datenschutz-Rahmenwerk. RingCentral hält sich an das EU-U.S. Data Privacy Framework (EU-U.S. DPF), die UK Extension to the EU-U.S. DPF und das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) und hat dies gegenüber dem U.S. Department of Commerce bestätigt. Die Zertifizierungsmitteilung von RingCentral gilt für die Dienste.
(b) Standardvertragsklauseln. Soweit RingCentral Personenbezogene Daten von Kunden aus dem EWR, der Schweiz oder dem Vereinigten Königreich in einem Land verarbeitet (oder verarbeiten lässt), das von der Europäischen Kommission nicht als Land anerkannt wurde, das ein angemessenes Schutzniveau für Personenbezogene Daten von Kunden bietet, wird RingCentral die Anwendbaren Datenschutzgesetze des EWR, der Schweiz und des Vereinigten Königreichs in Bezug auf die Erhebung, Verwendung, Übermittlung, Aufbewahrung und sonstige Verarbeitung Personenbezogener Daten des Kunden aus dem EWR, der Schweiz oder dem Vereinigten Königreich einhalten und die notwendigen Maßnahmen ergreifen, um sicherzustellen, dass die Übermittlung in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen erfolgt, wozu auch die Unterzeichnung der Standardvertragsklauseln der EU-Kommission oder die Einrichtung eines anderen gültigen Übermittlungsmechanismus gemäß den Anwendbaren Datenschutzgesetzen gehört.
4.5 Aufforderungen zur Offenlegung von Daten. Wenn RingCentral eine Anfrage von einer Strafverfolgungs- oder anderen Regierungsbehörde erhält, Personenbezogene Daten des Kunden offenzulegen, die RingCentral im Auftrag des Kunden verarbeitet, wird RingCentral den Kunden vor der Offenlegung von Personenbezogenen Daten des Kunden benachrichtigen und ihm die Details der Anfrage auf Offenlegung der Daten zur Verfügung stellen, es sei denn, dies ist gesetzlich verboten oder es besteht die unmittelbare Gefahr eines ernsthaften Schadens, die eine vorherige Benachrichtigung verbietet.
5. Sonstiges
5.1 Sofern oben nicht ausdrücklich anders angegeben, gelten für das DPA die Bedingungen des Vertrags. Im Falle eines Widerspruchs zwischen den Bedingungen des Vertrags, alle sicherheitsrelevanten Bedingungen, die in dieses DPA oder in diesem Vertrag enthalten sind und den Bedingungen dieses DPA haben die Bedingungen dieses DPA Vorrang in Bezug auf die Aktivitäten von RingCentral bei der Datenverarbeitung von Personenbezogenen Daten des Kunden.
5.2 Das geltende Recht und der Gerichtsstand, die für den Vertrag gelten, gelten auch für diese DPA.