Rechtliches

Vereinbarung über die Datenverarbeitung (AV-Vertrag)

Version 8 – Datum der Veröffentlichung: 29. Oktober 2025

Diese Vereinbarung über die Datenverarbeitung (AV-Vertrag) (dieser „Nachtrag zur Datenverarbeitung“) ist Teil der zugrunde liegenden Dienstleistungsvereinbarung (die „Hauptvereinbarung“) zwischen der Sinch-Einheit („Sinch“) und der Kundeneinheit („Kunde“), die diese Hauptvereinbarung über die Erbringung von Diensten durch Sinch für den Kunden geschlossen haben, und unterliegt dieser. Dieser Nachtrag zur Datenverarbeitung gilt für Sinch und den Kunden sowie deren jeweilige Tochtergesellschaften. Die Parteien dieses Nachtrags zur Datenverarbeitung sind identisch mit den Parteien der Hauptvereinbarung.

Definitions. For the purposes of this DPA, capitalized terms shall have the following meanings. Capitalized terms not otherwise defined shall have the meaning given to them in the Principal Agreement.
1. „Personenbezogene Daten des Kunden“ bezeichnet alle personenbezogenen Daten, die von Sinch im Auftrag des Kunden verarbeitet werden, um die Dienste im Rahmen der Hauptvereinbarung zu erbringen.
2. „Geltende Datenschutzgesetze“ bedeutet die DSGVO, wie sie in das nationale Recht jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt wurde und in der jeweils geltenden Fassung geändert, ersetzt oder überarbeitet wurde, sowie Gesetze, die die DSGVO umsetzen, ersetzen oder ergänzen, und alle Gesetze, die für die Verarbeitung der personenbezogenen Daten des Kunden gelten, einschließlich des California Consumer Privacy Rights Act von 2020, der den California Consumer Privacy Act von 2018 Cal ändert. Civ. Code § 1798.100 et seq („CCPA“).
3. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
4. „Sinch-Infrastruktur“ bedeutet (i) die physischen Einrichtungen von Sinch; (ii) die gehostete Cloud-Infrastruktur; (iii) das Firmennetzwerk von Sinch und das nicht-öffentliche interne Netzwerk, die Software und die Hardware, die für die Bereitstellung der Dienste erforderlich sind und die von Sinch kontrolliert werden; jeweils in dem Umfang, in dem sie für die Erbringung der Dienste verwendet werden.
5. „Eingeschränkte Übertragung“ bezeichnet eine Übermittlung der personenbezogenen Daten des Kunden von Sinch an einen Unterauftragsverarbeiter, wenn eine solche Übermittlung durch die geltenden Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsabkommen, die zur Berücksichtigung der Datenübermittlungsbeschränkungen der geltenden Datenschutzgesetze eingeführt wurden) in Ermangelung angemessener Schutzmaßnahmen, die für solche Übermittlungen gemäß den geltenden Datenschutzgesetzen erforderlich sind, verboten wäre.
6. „Dienste“ bezeichnet die Dienste, die dem Kunden von Sinch gemäß der Hauptvereinbarung erbracht werden.
7. „Standardvertragsklauseln“ bezeichnet die neueste Fassung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern im Rahmen der DSGVO (die aktuelle Fassung zum Datum dieses Nachtrags zur Datenverarbeitung ist dem Beschluss 2021/914 (EU) der Europäischen Kommission vom 4. Juni 2021 beigefügt).
8. „UK Addendum“ bezeichnet das Addendum des Vereinigten Königreichs (Addendum zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission), das dargelegt ist unter https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf
9. Die Begriffe „Einwilligung„, „Datenverantwortlicher„, „betroffene Person„, „Mitgliedstaat„, „personenbezogene Daten„, „Verletzung personenbezogener Daten„, „Auftragsdatenverarbeiter„, „Unterauftragsverarbeiter“, „Verarbeitung„, „Aufsichtsbehörde“ und „Drittanbieter“ haben die Bedeutungen, die ihnen in Artikel 4 der DSGVO bzw. – in Fällen, in denen der CCPA anwendbar ist – im CCPA zugewiesen werden.

Compliance with Applicable Data Protection Laws
1. Sinch und der Kunde halten jeweils die Bestimmungen und Verpflichtungen ein, die ihnen durch die geltenden Datenschutzgesetze auferlegt werden, und sorgen dafür, dass ihre Mitarbeiter und Unterauftragsverarbeiter die Bestimmungen der geltenden Datenschutzgesetze einhalten.

Details and Scope of the Processing
1. The Processing of the Customer’s Personal Data within the scope of the Agreement shall be carried out in accordance with the following stipulations and as required according to the Applicable Data Protection Laws. The parties may amend this information from time to time, as the parties may reasonably consider necessary to meet those requirements.
  1. Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.
  2. Art und Zweck der Verarbeitung personenbezogener Daten: Im Rahmen der Hauptvereinbarung stellt Sinch dem Kunden bestimmte Dienste wie Messaging, E-Mail, Sprachanrufe und andere Kommunikationsdienste zur Verfügung, wie in der Hauptvereinbarung näher beschrieben, was die Verarbeitung von personenbezogenen Daten beinhaltet. Vorbehaltlich Abschnitt 3(a)(iv) umfassen diese Verarbeitungstätigkeiten (a) die Bereitstellung der Dienste, (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen und (c) die Beantwortung von Supportanfragen des Kunden.
  3. Die Arten von personenbezogenen Daten, die verarbeitet werden sollen: Die an das Netzwerk von Sinch abgesendeten personenbezogenen Daten, deren Umfang ausschließlich vom Datenverantwortlichen nach eigenem Ermessen bestimmt und kontrolliert wird, können Name, E-Mail, Telefonnummern, IP-Adresse und andere personenbezogene Daten umfassen, die in den Kontaktlisten und dem Nachrichten- oder Anrufinhalt enthalten sind.
  4. Ausschluss des unabhängigen Datenverantwortlichen: Ungeachtet anderer Bestimmungen in dieser Vereinbarung handelt Sinch bei der Verarbeitung von personenbezogenen Daten im Rahmen der Bereitstellung von Kommunikationsdiensten als Teil der Dienste, einschließlich der Übertragung und des Austauschs von Telekommunikationsdiensten über Telekommunikationsnetze und anderer Nachrichten und Mitteilungen, einschließlich E-Mails, Sprache und anderer Medien über andere Kommunikationsplattformen, unabhängig davon, ob der Kunde als Datenverantwortlicher oder Auftragsdatenverarbeiter handelt, als unabhängiger Datenverantwortlicher, und nicht als gemeinsamer Datenverantwortlicher, um seine Kommunikationsdienste zu erbringen und seine notwendigen Funktionen und Geschäfte als Anbieter von Kommunikationsdiensten und Mehrwertdiensten (VAS) auszuführen, einschließlich der notwendigen Maßnahmen zur Verhinderung von Spam und Betrug und der Kontrolle, Sicherheit und Wartung seines Netzwerks, der Verwaltung seiner Geschäfts- und Compliance-Funktionen und im Einklang mit seinen Verpflichtungen gemäß den geltenden Gesetzen.
  5. Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail- und SMS-Nachrichten, Sprachanrufen oder anderer Kommunikation.
2. Sinch darf die personenbezogenen Daten des Kunden nur (i) zum Zweck der Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung und (ii) in Übereinstimmung mit den in diesem Nachtrag zur Datenverarbeitung beschriebenen dokumentierten Anweisungen oder gemäß den anderweitigen Anweisungen des Kunden von Zeit zu Zeit verarbeiten. Solche Anweisungen des Kunden sind in der entsprechenden Bestellung, Dienstebeschreibung, im Support-Ticket, in anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden bei der Nutzung der Dienste (z. B. über eine API oder ein Dashboard) zu dokumentieren.
3. Wenn Sinch nach vernünftigem Ermessen der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses Nachtrags zur Datenverarbeitung oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, wird Sinch den Kunden unverzüglich informieren. In beiden Fällen ist Sinch berechtigt, die Ausführung der betreffenden Anweisung aufzuschieben, bis sie vom Kunden geändert wurde oder von beiden, dem Kunden und Sinch, einvernehmlich vereinbart wurde.
4. Der Kunde ist allein verantwortlich für seine Nutzung und Verwaltung von personenbezogenen Daten, die durch die Dienste abgesendet oder übertragen werden, einschließlich: (i) Überprüfung der Empfängerinformationen wie Telefonnummer oder Adresse und dass diese korrekt in die Dienste eingegeben wurden, (ii) angemessene Benachrichtigung jedes Empfängers über die unsichere Natur von E-Mail oder Messaging als Mittel zur Übertragung von personenbezogenen Daten (soweit zutreffend), (iii) angemessene Begrenzung der Menge oder Art von Informationen, die durch die Dienste offengelegt werden, (iv) Verschlüsselung jeglicher personenbezogenen Daten, die durch die Dienste übertragen werden, wo dies angemessen oder durch geltendes Recht erforderlich ist (wie durch die Verwendung von verschlüsselten Anhängen, PGP-Toolsets oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalten, werden in einem verschlüsselten Format gespeichert, wenn sie von der Sinch-Infrastruktur verarbeitet werden.

Controller and Processor
1. Für die Zwecke dieses Nachtrags zur Datenverarbeitung ist der Kunde der Datenverantwortliche für die personenbezogenen Daten des Kunden und Sinch der Auftragsdatenverarbeiter dieser Daten, es sei denn, der Kunde fungiert als Auftragsdatenverarbeiter der personenbezogenen Daten des Kunden; in diesem Fall ist Sinch ein Unterauftragsverarbeiter.
2. Sinch wird jederzeit einen Mitarbeiter einsetzen, der dafür verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bezüglich der Verarbeitung, die von betroffenen Personen empfangen werden, zu unterstützen; und (ii) bei der Erfüllung aller gesetzlichen Informations- und Offenlegungspflichten, die gelten und mit der Verarbeitung verbunden sind, zu unterstützen. Diese Unterstützung kann angefordert werden unter dpo@sinch.com.
3. The Customer warrants that:
  1. Die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den geltenden Datenschutzgesetzen erforderlich sein kann, und dass er während der gesamten Laufzeit der Hauptvereinbarung alle erforderlichen Rechte, Erlaubnisse, Registrierungen und Einwilligungen in Übereinstimmung mit und gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch gemäß diesem Nachtrag zur Datenverarbeitung und der Hauptvereinbarung eingeholt hat und aufrechterhalten wird;
  2. er berechtigt ist und über alle erforderlichen Rechte, Erlaubnisse und Einwilligungen verfügt, um die personenbezogenen Daten des Kunden an Sinch zu übertragen und Sinch anderweitig zu gestatten, die personenbezogenen Daten des Kunden in seinem Auftrag zu verarbeiten, sodass Sinch die personenbezogenen Daten des Kunden rechtmäßig nutzen, verarbeiten und übertragen kann, um die Dienste auszuführen und die anderen Rechte und Verpflichtungen von Sinch gemäß diesem Nachtrag zur Datenverarbeitung und der Hauptvereinbarung zu erfüllen;
  3. er seine betroffenen Personen über die Nutzung von Auftragsdatenverarbeitern bei der Verarbeitung ihrer personenbezogenen Daten informieren wird, in dem nach den geltenden Datenschutzgesetzen erforderlichen Umfang; und,
  4. er in angemessener Zeit und im zumutbaren Umfang auf Anfragen von betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten reagieren und Sinch rechtzeitig angemessene Anweisungen erteilen wird.

Confidentiality
1. Sinch stellt sicher, dass jeder seiner Mitarbeiter und die der Unterauftragsverarbeiter, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen und in den relevanten Anforderungen an die Sicherheit und den Schutz der Daten geschult sind.

Technical and Organizational Measures
1. Sinch wird in Bezug auf die personenbezogenen Daten des Kunden (a) angemessene und geeignete Maßnahmen, wie in Anhang 2 beschrieben, in Bezug auf die Sicherheit der Sinch-Infrastruktur und der Plattformen, die zur Bereitstellung der Dienste wie in der Hauptvereinbarung beschrieben verwendet werden, ergreifen und dokumentieren, und (b) auf angemessene Anfrage auf Kosten des Kunden den Kunden dabei unterstützen, die Compliance mit den Verpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen sicherzustellen.
2. Die internen Betriebsverfahren von Sinch müssen den spezifischen Anforderungen eines effektiven Managements für den Schutz der Daten entsprechen.

Data Subject Requests
1. Sinch stellt spezifische Tools zur Verfügung, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen. Dazu gehören unsere APIs und Schnittstellen, um Ereignisdaten und Unterdrückungen zu durchsuchen und Nachrichteninhalte abzurufen. Wenn Sinch eine Beschwerde, Erkundigung oder Anfrage (einschließlich Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, wird Sinch den Kunden benachrichtigen. Unter Berücksichtigung der Art der Verarbeitung wird Sinch den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden unterstützen, auf Anfragen zur Ausübung der Rechte dieser betroffenen Personen zu reagieren.

Personal Data Breaches
1. Sinch benachrichtigt den Kunden unverzüglich, sobald Sinch Kenntnis von einer Verletzung personenbezogener Daten erhält, die die personenbezogenen Daten des Kunden betrifft. Unter Berücksichtigung der Art der Verarbeitung und der Sinch zur Verfügung stehenden Informationen wird Sinch wirtschaftlich angemessene Anstrengungen unternehmen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen erfüllen kann, Regulierungsbehörden, betroffene Personen und andere Stellen über eine solche Verletzung personenbezogener Daten in dem nach den geltenden Datenschutzgesetzen erforderlichen Umfang zu melden oder zu informieren.

Data Protection Impact Assessments
1. Sinch wird dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei allen Folgenabschätzungen für den Schutz der Daten und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Regulierungsbehörden leisten, wie es für den Kunden erforderlich ist, um seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu erfüllen.

Audits
1. Sinch stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Compliance mit diesem Nachtrag zur Datenverarbeitung nachzuweisen.
2. Der Kunde oder ein beauftragter Drittanbieter-Auditor kann auf angemessene schriftliche Anfrage eine Inspektion in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Sinch zu unterbrechen und unter Gewährleistung der Vertraulichkeit.
3. Das oben in Absatz 10(b) beschriebene Audit-Recht wird für den Kunden anwendbar, falls Sinch keine ausreichenden Nachweise für seine Compliance mit den Bestimmungen dieses Nachtrags zur Datenverarbeitung vorgelegt hat. Als ausreichender Nachweis gilt entweder: (i) eine Zertifizierung über die Compliance mit ISO 27001 oder anderen von Sinch implementierten Standards (Umfang wie im Zertifikat definiert); oder (ii) ein Audit- oder Bestätigungsbericht eines unabhängigen Drittanbieters. Eine Prüfung, wie sie in diesem Absatz 10 beschrieben ist, wird auf Kosten des Kunden durchgeführt und erfordert eine angemessene Vorankündigung durch den Kunden von mindestens dreißig (30) Tagen.

Return or Destruction of the Customer’s Personal Data
1. Der Kunde kann durch schriftliche Mitteilung an Sinch spätestens zum Zeitpunkt der Beendigung der Hauptvereinbarung die Rückgabe und/oder eine Löschbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich unter der Kontrolle oder im Besitz von Sinch und Unterauftragsverarbeitern befinden. Sinch stellt eine Kopie der Daten des Kunden in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.
2. Innerhalb von neunzig (90) Tagen nach Beendigung des Kontos wird Sinch alle gemäß diesem Nachtrag zur Datenverarbeitung verarbeiteten personenbezogenen Daten löschen, es sei denn, der Kunde verlangt die Rückgabe von personenbezogenen Daten wie oben in Absatz 11(a) beschrieben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien, Aufzeichnungen für gesetzlich, statutarisch oder vertraglich festgelegte Kundenbindungsfristen aufzubewahren.
3. Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe personenbezogener Daten nach der Beendigung oder dem Ablauf des Abkommens entstehen, gehen zu Lasten des Kunden.

Data Transfers
1. Der Kunde erkennt an und stimmt zu, dass Sinch im Zusammenhang mit der Erbringung der Dienste unter dem Abkommen personenbezogene Daten innerhalb seiner Unternehmensgruppe übertragen kann. Diese Übertragungen sind notwendig, um die Dienste weltweit bereitzustellen.
2. Wann immer personenbezogene Daten außerhalb des Landes verarbeitet werden, in dem die vertragsschließende juristische Person von Sinch ansässig ist, wird Sinch durch organisatorische, technische und vertragliche Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen, wie es die geltenden Datenschutzgesetze und dieser Nachtrag zur Datenverarbeitung verlangen.
3. Die Standardvertragsklauseln und, falls erforderlich, das UK Addendum, bei denen Sinch als Datenimporteur und der Kunde als Datenexporteur auftritt, sind als Teil dieses Nachtrags zur Datenverarbeitung integriert. Wenn die Vereinbarung von Sinch mit einem Unterauftragsverarbeiter eine eingeschränkte Übertragung beinhaltet, wird Sinch sicherstellen, dass die Bestimmungen zur Weiterübermittlung der Standardvertragsklauseln und/oder des UK Addendum in die Hauptvereinbarung aufgenommen oder anderweitig zwischen Sinch und dem Unterauftragsverarbeiter geschlossen werden. Der Kunde stimmt zu, sein Audit-Recht in den Standardvertragsklauseln auszuüben, indem er Sinch anweist, das in Absatz 10 dargelegte Audit durchzuführen.
4. Für Übertragungen personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich in Länder, die kein angemessenes Niveau an Schutz der Daten im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, insofern solche Übertragungen Datenschutzgesetzen und -vorschriften unterliegen und um angemessene Schutzmaßnahmen zu implementieren, werden die folgenden Schutzmaßnahmen ergriffen: (i) Standardvertragsklauseln gemäß dem Beschluss 2021/914/EU der Europäischen Kommission vom 4. Juni 2021, (2) für Sinch Email, das EU-US Data Privacy Framework (EU-US DPF) und die UK Extension to the EU-U.S DPF, wie vom U.S Department of Commerce festgelegt, (3) UK Addendum, und (4) zusätzliche Schutzmaßnahmen in Bezug auf Sicherheitsmaßnahmen einschließlich Datenverschlüsselung, Datenaggregation, Trennung von Zugriffskontrollen und Datenminimierungsprinzipien.

Sub-processing
1. Der Kunde erteilt Sinch hiermit eine allgemeine Vollmacht, Unterauftragsverarbeiter gemäß diesem Absatz 13 und Anhang 1 zu ernennen. Sinch wird sicherstellen, dass Unterauftragsverarbeiter durch schriftliche Vereinbarungen gebunden sind, die von ihnen verlangen, mindestens das Niveau an Schutz der Daten zu bieten, das von Sinch durch diesen Nachtrag zur Datenverarbeitung verlangt wird. Der Kunde erteilt Sinch außerdem eine ausdrückliche Genehmigung, die zum Datum dieses Nachtrags zur Datenverarbeitung bereits beauftragten Unterauftragsverarbeiter gemäß Abschnitt (b) weiterhin zu nutzen.
2. Die aktuellen Unterauftragsverarbeiter für die Dienste sind aufgeführt unter https://sinch.com/legal/data-protection-agreement-sub-processors/ („Unterprozessorliste“). Vorausgesetzt, der Kunde abonniert die Benachrichtigungen über neue Unterauftragsverarbeiter über den Abonnement-Mechanismus, der hier auffindbar ist: https://sinch.com/legal/data-protection-agreement-sub-processors/, wird Sinch den Kunden über diesen Mechanismus dreißig (30) Tage im Voraus über alle beabsichtigten Änderungen hinsichtlich der Hinzufügung oder des Austauschs eines Unterauftragsverarbeiters benachrichtigen. Wenn der Kunde Sinch innerhalb von zehn (10) Werktagen nach Erhalt dieser Benachrichtigung schriftlich über begründete Einwände gegen die vorgeschlagene Ernennung informiert, wird Sinch diesen vorgeschlagenen Unterauftragsverarbeiter nicht ernennen, bis angemessene Schritte unternommen wurden, um die vom Kunden vorgebrachten Einwände auszuräumen, und dem Kunden eine angemessene schriftliche Erklärung der unternommenen Schritte zur Verfügung gestellt wurde. Wenn Sinch und der Kunde die Ernennung eines Unterauftragsverarbeiters nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.
3. Sinch ist für die Handlungen und Unterlassungen von Unterauftragsverarbeitern verantwortlich, so wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem Nachtrag zur Datenverarbeitung vorgesehenen Angelegenheiten verantwortlich ist.

Governing law and jurisdiction
1. Die Parteien dieses Nachtrags zur Datenverarbeitung unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Wahl des Gerichtsstands in Bezug auf jedwede Streitigkeiten oder Ansprüche, die aus diesem Nachtrag zur Datenverarbeitung entstehen, einschließlich Streitigkeiten bezüglich dessen Existenz, Gültigkeit oder Beendigung oder den Folgen dessen Nichtigkeit.
2. Dieser Nachtrag zur Datenverarbeitung und alle außervertraglichen oder anderen Verpflichtungen, die sich daraus oder in Verbindung damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.
3. Ungeachtet des Vorstehenden unter Absatz (a) und (b) unterliegen alle Verpflichtungen, die sich aus oder im Zusammenhang mit den in diesem Nachtrag zur Datenverarbeitung aufgenommenen Standardvertragsklauseln ergeben, den Gesetzen des in Anhang 1 genannten EU-Mitgliedstaats, wie es für die Gültigkeit dieser Standardvertragsklauseln gemäß dem Beschluss 2021/914/EU der Europäischen Kommission vom 4. Juni 2021 erforderlich ist.

Order of precedence
1. In Bezug auf den Gegenstand dieses Nachtrags zur Datenverarbeitung haben im Falle von Unstimmigkeiten zwischen den Bestimmungen dieses Nachtrags zur Datenverarbeitung und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und einschließlich (außer wo ausdrücklich schriftlich anders vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags zur Datenverarbeitung geschlossen wurden oder vorgeblich geschlossen wurden, die Bestimmungen dieses Nachtrags zur Datenverarbeitung Vorrang.

Severance
1. Sollte eine Bestimmung dieses Nachtrags zur Datenverarbeitung ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses Nachtrags zur Datenverarbeitung gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) so geändert, wie es erforderlich ist, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, wobei die Absichten der Parteien so genau wie möglich gewahrt bleiben, oder, wenn dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre.

Termination
1. Dieser Nachtrag zur Datenverarbeitung und die Standardvertragsklauseln enden gleichzeitig und automatisch mit der Beendigung der Hauptvereinbarung.

ANHANG 1

STANDARDVERTRAGSKLAUSELN

In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien Folgendes:

Modul 2 (Datenverantwortlicher-zu-Auftragsdatenverarbeiter) findet Anwendung, wenn Sinch als Auftragsdatenverarbeiter des Kunden handelt; Modul 3 (Auftragsdatenverarbeiter-zu-Auftragsdatenverarbeiter) findet Anwendung, wenn Sinch als Unterauftragsverarbeiter des Kunden handelt. Für jedes Modul, sofern zutreffend:
Klausel 7 (Kopplungsklausel) wird aufgenommen;
Für die Zwecke von Klausel 9.a) (Einsatz von Unterauftragsverarbeitern) gilt Option 2: Allgemeine schriftliche Genehmigung. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur wird den Datenexporteur mindestens dreißig (30) Tage im Voraus schriftlich über beabsichtigte Änderungen an dieser Liste durch das Hinzufügen oder Ersetzen von Unterauftragsverarbeitern informieren;
Die optionale Formulierung in Klausel 11 (Rechtsbehelfe) zu unabhängigen Streitbeilegungsstellen wird nicht aufgenommen;
Für die Zwecke von Klausel 13 (Aufsicht) fungiert IMY, die schwedische Behörde für den Schutz der Daten (Integritetsskyddsmyndigheten), als zuständige Aufsichtsbehörde;
Option 1 von Klausel 17 (Anwendbares Recht) findet Anwendung, und die Gesetze von Schweden regeln die Standardvertragsklauseln;
Für die Zwecke von Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) werden die Gerichte von Schweden jedwede Streitigkeiten beilegen, die sich aus den Standardvertragsklauseln ergeben;
Anhang IA (Liste der Parteien) und Anhang IB (Beschreibung der Übertragung) müssen unter Verwendung der in der Hauptvereinbarung angegebenen und in Absatz 3 des Nachtrags zur Datenverarbeitung aufgeführten Informationen und Details ausgefüllt werden;
Anhang IB (Beschreibung der Übertragung) muss weiter ausgefüllt werden, indem angegeben wird, dass keine sensiblen personenbezogenen Daten übertragen werden. Die Häufigkeit der Übertragung muss kontinuierlich sein. Für Übertragungen an Unterauftragsverarbeiter müssen Gegenstand, Art und Dauer der Verarbeitung dieselben sein wie die des Datenimporteurs;
Für die Zwecke von Anhang IC ist die zuständige Aufsichtsbehörde in Übereinstimmung mit Klausel 13 IMY, die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten);
Für die Zwecke von Anhang II sind die technischen und organisatorischen Maßnahmen in Anhang 2 des Nachtrags zur Datenverarbeitung beschrieben;
Für die Zwecke von Anhang III wird in Klausel 13 des Nachtrags zur Datenverarbeitung auf die Liste der Unterauftragsdatenverarbeiter verwiesen;
where the Restricted Transfer is subject to the Regulation as it forms part of the law of England and Wales, Scotland and Northern Ireland (UK GDPR), the Standard Contractual Clauses shall incorporate the UK Addendum completed as follows:
1. Für die Zwecke von Tabelle 1 ist das Startdatum das Datum der Unterzeichnung des Nachtrags zur Datenverarbeitung und die Details der Parteien müssen unter Verwendung der in der Hauptvereinbarung angegebenen Informationen und Details ausgefüllt werden;
2. Für die Zwecke von Tabelle 2 ist die Version der genehmigten EU-SCCs, an die das UK Addendum angehängt ist, die Standardvertragsklauseln, wie sie gemäß diesem Anhang 1 ausgefüllt wurden, wobei das Datum das Gültigkeitsdatum dieses Addendums ist;
3. Für die Zwecke von Tabelle 3 sind die Anhangsinformationen wie in den Absätzen (h) – (l) dieses Anhangs 1 beschrieben; und,
4. Für die Zwecke von Tabelle 4 kann die Sinch-Einheit, die als Importeur handelt, das UK Addendum beenden, wenn sich das genehmigte Addendum ändert.

ANHANG 2

INFORMATIONSSICHERHEIT – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Die in diesem Anhang enthaltenen technischen und organisatorischen Maßnahmen sind Maßnahmen, die auf die von Sinch angebotenen Dienste anwendbar sind. Falls erforderlich, kann Sinch für den Dienst weitere technische und organisatorische Maßnahmen in die Dienstbestellung oder den Dienst aufnehmen.

1) Bestandsaufnahme von Informationen und anderen damit verbundenen Werten   

Es wird ein Inventar von Informationen und anderen damit verbundenen Werten, einschließlich Eigentümern, erstellt und gepflegt.  Für jeden Wert innerhalb des Inventars wurde gemäß der Richtlinie zur Wertkennzeichnung ein Eigentümer ernannt.  

2) Authentifizierungsinformationen 

Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch einen Managementprozess gesteuert, der die Beratung des Personals über den angemessenen Umgang mit Authentifizierungsinformationen einschließt.    

Insbesondere:  

Beschränken Sie nicht die zulässigen Zeichen, die verwendet werden können. 
Passwort mit einer Mindestlänge von 12 Zeichen und erzwungener Komplexität
Geheime Fragen nicht als einzige Anforderung zum Passwort zurücksetzen verwenden    
E-Mail-Validierung einer Anfrage zur Passwortänderung erfordern   
Bei der Passwortänderung zusätzlich zum neuen Passwort das aktuelle Passwort verlangen 
Neu erstellte Passwörter gegen Listen gängiger Passwörter oder Datenbanken mit geleakten Passwörtern überprüfen  
Bestehende Nutzer-Passwörter regelmäßig auf Kompromittierung überprüfen    
Gespeicherte Geheimnisse müssen mit einem Salt versehen und mithilfe einer geeigneten Einweg-Schlüsselableitungsfunktion gehasht werden.      
Angemessene Kontosperrung und Brute-Force-Schutz beim Kontozugriff erzwingen: max. 5 fehlgeschlagene Logins, dann Sperre für 30 Minuten    
Das letzte Passwort darf nicht wiederverwendet werden    
MFA & Einmalanmeldung (SSO) sollten in allen Anwendungsfällen verwendet werden

3) Zugriffsrechte  

Zugriffsrechte auf Informationen und andere damit verbundene Werte werden in Übereinstimmung mit der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugriffskontrolle bereitgestellt, überprüft, geändert und entfernt.  

Insbesondere:

Die Zugriffsrechte auf Büros, Informationen und Systeme werden vierteljährlich überprüft.

4) IKT-Bereitschaft für die Geschäftskontinuität    

Die IKT-Bereitschaft wird basierend auf den Zielen zur Geschäftskontinuität und den IKT-Kontinuitätsanforderungen geplant, implementiert, gewartet und getestet.   

Insbesondere:

Alle Geschäftseinheiten haben einen oder mehrere Disaster-Recovery-Pläne, die speziell auf das Produktangebot abgestimmt sind.    
Die Disaster-Recovery-Pläne werden jährlich getestet.

5) Bewusstsein für Informationssicherheit, Aufklärung und Schulung 

Das Personal der Organisation und relevante interessierte Parteien erhalten angemessenes Bewusstsein für Informationssicherheit, Bildung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitsrichtlinie der Organisation, themenspezifischer Richtlinien und Verfahren, wie es für ihre Arbeitsfunktion relevant ist. 

Insbesondere:

Von allen Mitarbeitern innerhalb von 2 Wochen nach dem Startdatum abgeschlossen  
Alle Mitarbeiter haben in den letzten 12 Monaten eine ISA-Schulung durchgeführt  
Der Inhalt der ISA-Schulung wird alle 12 Monate aktualisiert

6) Kapazitätsmanagement   

Die Nutzung von Ressourcen wird in Übereinstimmung mit aktuellen und erwarteten Kapazitätsanforderungen überwacht und angepasst.   

7) Schutz vor Malware   

Der Schutz vor Malware wird implementiert und durch angemessenes Nutzer-Bewusstsein unterstützt.  Alle Endpunkt-Geräte sollten über EDR/XDR-Endpunkt-Erkennung verfügen.

8) Management technischer Schwachstellen 

Informationen über technische Schwachstellen der genutzten Informationssysteme werden eingeholt, die Anfälligkeit von Sinch für solche Schwachstellen wird bewertet und geeignete Maßnahmen werden ergriffen.   

Insbesondere:

Schwachstellen-Scan alle 7 Tage.    
Sicherheits-Patches auf alle Komponenten des Anwendungsstapels anwenden, die einen Schweregrad von mehr als „Mittel“ aufweisen, wie vom Herausgeber des Patches bestimmt, innerhalb eines Monats (30 Tage) nach Veröffentlichung
Manueller Blackbox-Pentest wird alle 12 Monate durchgeführt

9) Konfigurationsmanagement  

Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken werden etabliert, dokumentiert, implementiert, überwacht und gemäß den folgenden Standards überprüft: NIST 800-53 und CIS Controls.

10)  Informationssicherung     

Sicherungskopien von Informationen, Software und Systemen werden gepflegt und regelmäßig in Übereinstimmung mit der vereinbarten themenspezifischen Richtlinie für Backups getestet.  

Die Sicherungsroutine legt mindestens fest:     

Sicherungsintervalle (mindestens wöchentlich)    
Kundenbindungsanforderungen    
Standort für die Sicherungsspeicherung     
Umfang der Sicherung (z. B. Daten, Konfigurationen, vollständige Systemsicherung)    
Sicherungsstrategie (z. B. online versus offline, Anzahl der Sicherungen, Verhältnis zwischen vollständiger und inkrementeller Sicherung)    
Tests zur Wiederherstellung von Backups müssen mindestens vierteljährlich für geschäftskritische Systeme und mindestens jährlich für alle anderen durchgeführt werden

11) Überwachungsaktivitäten 

Netzwerke, Systeme und Anwendungen werden auf anomales Verhalten überwacht und es werden angemessene Maßnahmen ergriffen, um potenzielle Vorfälle der Informationssicherheit zu evaluieren.  Netze, Systeme und Anwendungen werden auf anomales und bösartiges Verhalten überwacht, um potenzielle Sicherheitsvorfälle zu erkennen.      

12) Netzwerksicherheit 

Netze und Netzgeräte werden gesichert, verwaltet und kontrolliert, um Informationen in Systemen und Anwendungen zu schützen.  

Zum Beispiel:

Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken verschlüsseln (mindestens AES256). Daten bei der Übertragung verschlüsseln (TLS 1.2 oder höher).   
Angemessene Protokollierung und Überwachung, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die die Informationssicherheit, einschließlich EDR/XDR, beeinträchtigen können oder dafür relevant sind    
Der Produkteigentümer muss eine aktuelle Dokumentation pflegen, einschließlich Netzwerkdiagrammen und Konfigurationsdateien von Geräten (z. B. Router, Switches).    
Härtung von Netzwerkgeräten
Netzwerkverwaltungskanäle sind vom restlichen Netzwerkverkehr getrennt

13) Systemlebenszyklus-Management 

Es werden Regeln für die sichere Entwicklung von Software und Systemen aufgestellt und angewendet.  

Zum Beispiel bei Sinch:

Das System ist auf sichere Weise mit dem entsprechenden Design unter Nutzung von Bedrohungsmodellierung nach Bedarf gestaltet.     
Es gibt ein Abonnement, um das System in Übereinstimmung mit der Schwachstellenmanagement-Kontrolle zu warten 
Es gibt einen Eigentümer des Systems    
Es gibt ein Abonnement, um das System zu ersetzen (Zero-Legacy-Richtlinie)

14) Sicherheitstests in Entwicklung und Abnahme 

Sicherheitsprüfverfahren werden im Entwicklungszyklus definiert und implementiert.    

SAST- und Schwachstellen- & Geheimnis-Erkennungsscans in CI/CD-Pipelines. Wenn möglich DAST    
Keine kritischen oder hohen Schwachstellen behoben, bevor sie für Kunden verfügbar sind    
Sichere Verwaltung der Netzwerkinfrastruktur.    
Alle Projekte befolgen die Sicherheit-Checklisten für Produktfreigaben

15) Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden 

Innerhalb von Sinch wurden physische und umgebungsbezogene Sicherheitsmaßnahmen implementiert.

Zum Beispiel bei Sinch:

Sicherheitsbereiche werden definiert und verwendet, um Bereiche zu schützen, die Informationen und andere damit verbundene Werte enthalten.
Sichere Bereiche sind durch geeignete Zugangskontrollen und Zugangspunkte geschützt.
Die physische Sicherheit für Büros, Räume und Einrichtungen ist entsprechend im Design konzipiert und implementiert.
Räumlichkeiten werden kontinuierlich auf unbefugten physischen Zugang überwacht.
Der Schutz vor physischen und umweltbedingten Bedrohungen wie Naturkatastrophen und anderen absichtlichen oder unabsichtlichen physischen Bedrohungen der Infrastruktur wird konzipiert und umgesetzt.
Sicherheits-Metriken für das Arbeiten in sicheren Bereichen sind in ihrem Design konzipiert und implementiert.
Klare Regeln für den Umgang mit Papieren und Wechseldatenträgern auf dem Schreibtisch und klare Regeln für den Umgang mit Bildschirmen in Informationsverarbeitungsanlagen sind festgelegt und werden entsprechend durchgesetzt.
Ausrüstung ist sicher aufgestellt und geschützt.
Werte außerhalb des Standorts sind geschützt.
Speichermedien werden während ihres Lebenszyklus – Erwerb, Verwendung, Transport und Entsorgung – gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet.
Informationsverarbeitungseinrichtungen sind vor Stromausfällen und anderen Störungen geschützt, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden.
Kabel, die Strom, Daten oder unterstützende Informationsdienste transportieren, sind vor Abhören, Störungen oder Schäden geschützt.
Die Ausrüstung wird ordnungsgemäß gewartet, um Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu gewährleisten.
Geräte, die Speichermedien enthalten, werden überprüft, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.

Sinch wendet außerdem ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022 an.

16) Maßnahmen zur Gewährleistung einer begrenzten Daten-Kundenbindung  

Maßnahmen zur Gewährleistung einer begrenzten Kundenbindung personenbezogener Daten wurden implementiert.

Zum Beispiel, Sinch:

Hat eine Daten-Kundenbindungsrichtlinie etabliert, die klar definiert, welche spezifischen Arten von Daten erfasst werden, wie lange sie in Kundenbindung bleiben und wann sie gelöscht werden.
Einführung automatisierter Löschverfahren. 
Überprüft und aktualisiert regelmäßig die Kundenbindungs-Richtlinie.
Beschränkt die Datenerhebung auf das, was für den spezifischen Geschäftszweck erforderlich ist.
Schult Mitarbeiter in der Daten-Kundenbindung.
Überprüft und überwacht regelmäßig die Daten-Kundenbindung
Setzt Verschlüsselung ein, um gespeicherte Daten zu schützen und das Risiko eines unbefugten Zugriffs oder einer Offenlegung zu verringern.

17) Metriken zur Gewährleistung der Rechenschaftspflicht 

Geeignete technische und organisatorische Maßnahmen wurden implementiert, um die Anforderungen der Rechenschaftspflicht zu erfüllen.

Zum Beispiel Sinch:  

Richtlinien für den Schutz der Daten verabschiedet und implementiert.
Es wurde ein Ansatz nach dem Prinzip „Schutz der Daten durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ verfolgt.  
Schriftliche Verträge mit Organisationen geschlossen, die personenbezogene Daten im Auftrag von Sinch verarbeiten.
Seine Verarbeitungsaktivitäten dokumentiert.
Folgenabschätzungen für den Schutz der Daten durchgeführt.
Einen Gruppen-Datenschutzbeauftragten (Group DPO) ernannt

18) Metriken zur Ermöglichung der Datenübertragbarkeit und Gewährleistung der Löschung  

Metriken, die die Ausübung der Rechte der betroffenen Person ermöglichen, sind innerhalb von Sinch implementiert.

Zum Beispiel Sinch:

Löscht personenbezogene Daten sowohl aus Sicherungssystemen als auch aus aktiven Systemen, sofern erforderlich, und informiert die betroffene Person klar darüber, was mit ihren Daten geschieht.
Kontaktiert jeden Empfänger, um ihn über die Löschung zu informieren, falls die personenbezogenen Daten an Dritte weitergegeben wurden, es sei denn, dies ist unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden. Wenn personenbezogene Daten in einer Online-Umgebung veröffentlicht wurden, ergreift die Organisation angemessene Maßnahmen, um anderen Datenverantwortlichen mitzuteilen, dass sie Links zu diesen Daten sowie Kopien oder Replikationen dieser Daten löschen sollen, sofern sie diese verarbeiten.
Informiert die betroffene Person bei jeder Anfrage darüber, welche Drittanbieter die personenbezogenen Daten erhalten haben.
Stellt personenbezogene Daten auf Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung. Wenn möglich und wenn eine Person dies wünscht, kann die Organisation die Informationen direkt an eine andere Organisation weiterleiten.

19) Metriken zur Gewährleistung der Datenminimierung 

Metriken zur Minimierung der Menge an verarbeiteten Daten sind implementiert.

Zum Beispiel für jede Verarbeitungsaktivität von Sinch:

Implementierte Metriken, die sicherstellen, dass die Erhebung von personenbezogenen Daten angemessen, relevant und streng auf das beschränkt ist, was im Hinblick auf die Zwecke, für die sie verarbeitet werden, notwendig ist.
Hat beurteilt, dass die Zwecke seiner Verarbeitungsaktivität nicht mit weniger in die Privatsphäre eingreifenden Daten (z. B. durch die Arbeit mit weniger granularen Daten) oder durch ein weniger eingreifendes Verfahren (d. h. die Verwendung weniger eingreifender Mittel) erreicht werden können.
Dokumentierte die Anforderung für jedes Datenfeld in Bezug auf den Zweck.

ANHANG 3

ABWEICHUNGEN

Deviations.
1. For Customers and contracts in Brazil, in addition to what is agreed upon in this DPA, the established obligations will adopt the following word and guidelines:
  1. The definitions highlighted below shall replace the ones used in this DPA:
    1. „Besondere Kategorien personenbezogener Daten“ sind sensible personenbezogene Daten, d. h. Daten über die rassische oder ethnische Herkunft, religiöse Überzeugungen, politische Meinungen, die Mitgliedschaft in einer Gewerkschaft oder einer religiösen, weltanschaulichen oder politischen Organisation, Daten über Gesundheit oder das Sexualleben einer natürlichen Person, genetische oder biometrische Daten, sofern sie sich auf eine natürliche Person beziehen.
    2. „Geltenden Datenschutzgesetze“ bedeutet das brasilianische allgemeine Datenschutzgesetz (Gesetz Nr. 13.709/2018) („LGPD“) und die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst wird, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 ff. („CCPA“).
    3. Unter „Datenverarbeitung“ ist jeder Vorgang zu verstehen, der mit personenbezogenen Daten durchgeführt wird, wie z. B. das Erheben, das Erstellen, der Erhalt, die Klassifizierung, die Verwendung, der Zugriff, die Reproduktion, die Übermittlung, die Verteilung, die Verarbeitung, die Archivierung, die Speicherung, die Löschung, die Informationsbewertung oder -kontrolle, die Änderung, die Mitteilung, die Übertragung, die Verbreitung oder die Extraktion.
    4. Die Begriffe „Einwilligung“, „Auftragsdatenverarbeiter“, „Datenverantwortlicher“, „betroffene Person“, „personenbezogenen Daten“, „Verarbeitung“ und „nationale Behörde“ haben die Bedeutungen, die ihnen im LGPD zugewiesen sind. In Ermangelung einer spezifischen Definition im LGPD wird die in Artikel 4 der DSGVO enthaltene Definition für die folgenden Begriffe übernommen: „Drittanbieter“, „Verletzung personenbezogener Daten“, „Unterauftragsverarbeiter“ und „Aufsichtsbehörde(n)“ (oder „Kontrollbehörde“).
  2. Der Abschnitt 3(b) erhält folgenden Wortlaut:
    Sinch wird die personenbezogenen Daten des Kunden nur verarbeiten für die Zwecke (i) der Erfüllung seiner Verpflichtungen aus dem Hauptabkommen; (ii) der regelmäßigen Ausübung von Rechten, einschließlich vertraglicher und in gerichtlichen, administrativen und schiedsrichterlichen Verfahren; (iii) der Sicherstellung der Betrugsprävention und der Sicherheit der betroffenen Person; und (iv) in Übereinstimmung mit den in diesem Nachtrag zur Datenverarbeitung beschriebenen dokumentierten Anweisungen oder wie anderweitig vom Kunden von Zeit zu Zeit angewiesen. Die Anweisungen des Kunden sind in der entsprechenden Bestellung, Dienstleistungsbeschreibung, in einem Support-Ticket, in sonstigen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden bei der Nutzung der Dienste (wie etwa über eine API oder ein Dashboard) zu dokumentieren.
  3. Die in Klausel 13(b) enthaltenen Bestimmungen finden keine Anwendung.
  4. Der Abschnitt 6 (b) erhält folgenden Wortlaut:
    Die internen Betriebsverfahren beider Parteien müssen den spezifischen Anforderungen eines effektiven Managements für den Schutz der Daten und der Informationssicherheit entsprechen, einschließlich, aber nicht beschränkt auf Zugriffsverwaltung, Betrugsprävention und unrechtmäßige Nutzung der Dienste von Sinch.
2. For Customers and contracts in Colombia, in addition to what is agreed upon in this DPA, the following is applicable concerning the definition of the term “Applicable Data Protection Laws” as well the processing and transfer of personal data:
  1. „Geltenden Datenschutzgesetze“ bedeutet das kolumbianische Statutory Law 1581 aus dem Jahr 2012 und das Regulatory Decree 1377 aus dem Jahr 2013 sowie weitere Vorschriften, die diese ändern, ersetzen oder ergänzen, sowie die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst wird, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 ff. („CCPA“).
  2. „Der Datenverantwortliche nimmt zur Kenntnis, dass der Auftragsdatenverarbeiter personenbezogenen Daten in Gebiete außerhalb Kolumbiens übermitteln, speichern und verarbeiten kann, wo sie den Gesetzen der ausländischen Rechtsordnungen unterliegen, in denen sie aufbewahrt werden. Der Datenverantwortliche bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen der betroffenen Personen und Datenbankeinträge verfügt, die es dem Auftragsdatenverarbeiter erlauben, die Daten in Datenbanken und in Ländern zu verarbeiten, die mindestens die gleichen Standards für den Schutz der Daten (angemessenes Schutzniveau) erfüllen wie die kolumbianischen Gesetze (wie u. a. das Statutory Law 1581 aus dem Jahr 2012, das Regulatory Decree 1377 aus dem Jahr 2013, das Decree Nr. 90 aus dem Jahr 2018, das Unique Circular der Superintendence of Industry and Commerce und das External Circular Nr. 005 aus dem Jahr 2017 der Superintendence of Industry and Commerce sowie andere Vorschriften, die diese ändern, ersetzen oder ergänzen).“
3. Für Kunden und Verträge in Argentinien gilt zusätzlich zu dem, was in diesem Nachtrag zur Datenverarbeitung vereinbart wurde, in Bezug auf die Verarbeitung und Übermittlung von personenbezogenen Daten Folgendes: Der Kunde bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen der betroffenen Personen für die Verarbeitung und Übermittlung der personenbezogenen Daten, einschließlich sensibler Daten, falls zutreffend, an SINCH verfügt. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung der personenbezogenen Daten in Übereinstimmung mit dem Gesetz Nr. 25.326 („Gesetz zum Schutz der personenbezogenen Daten der Republik Argentinien“) und den von der Agentur für den Zugang zu öffentlichen Informationen erlassenen Bestimmungen und Beschlüssen erfolgt. Die Übermittlung von personenbezogenen Daten an Länder oder internationale oder supranationale Organisationen wird nur an Empfänger durchgeführt, die ein angemessenes Schutzniveau bieten.
4. For Customers and contracts in Uruguay, in addition to what is agreed upon in this DPA, the following applies concerning the processing and transfer of personal data:
  1. Der Datenverantwortliche bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen der betroffenen Personen und der Datenbankeinträge verfügt, die es Sinch erlauben, die personenbezogenen Daten zu verarbeiten und sie in Länder zu übertragen und/oder zu übermitteln, die mindestens den gleichen Standard für den Schutz der personenbezogenen Daten (angemessenes Schutzniveau) erfüllen, wie er in der uruguayischen Gesetzgebung vorgesehen ist, wie z. B., aber nicht beschränkt auf, das Gesetz Nr. 18.331, das Regulatory Decree Nr. 414/009 und das Gesetz Nr. 19.670 sowie andere Vorschriften, die diese ändern, ersetzen oder ergänzen.
  2. Die in Klausel 13(b) enthaltenen Bestimmungen finden keine Anwendung.
5. Für Kunden und Verträge in Mexiko ersetzen zusätzlich zu den in diesem Nachtrag zur Datenverarbeitung vereinbarten Bestimmungen die unten hervorgehobenen Definitionen die in diesem Nachtrag zur Datenverarbeitung verwendeten Definitionen:
  „Geltenden Datenschutzgesetze“ bedeutet das mexikanische Bundesgesetz über den Schutz der personenbezogenen Daten in den Händen von Privatpersonen („LFPDPPP“) und andere Vorschriften, die das Vorgenannte ändern, ersetzen oder ergänzen, sowie die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder abgelöst wird, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 ff. („CCPA“).