Vereinbarung zur Datenverarbeitung erkunden

Version 8 – Datum der Veröffentlichung: 29. Oktober 2025

Diese Vereinbarung über die Datenverarbeitung (AV-Vertrag) ist Teil der zugrunde liegenden Dienstleistungsvereinbarung (die "Hauptvereinbarung") zwischen dem Unternehmen Sinch ("Sinch") und dem Unternehmen des Kunden ("Kunde"), die eine solche Hauptvereinbarung über die Erbringung von Dienstleistungen durch Sinch für den Kunden geschlossen haben. Dieser AV-Vertrag gilt für Sinch und den Kunden sowie deren jeweilige verbundene Unternehmen. Die Vertragsparteien dieser Datenschutzvereinbarung (AV-Vertrag) sind identisch mit den Parteien des Hauptvertrags.

Definitions. For the purposes of this DPA, capitalized terms shall have the following meanings. Capitalized terms not otherwise defined shall have the meaning given to them in the Principal Agreement.
1. "Persönliche Daten des Kunden" bedeutet alle persönlichen Daten, die von Sinch im Namen des Kunden verarbeitet werden, um die Dienstleistungen im Rahmen des Hauptvertrags zu erbringen.
2. „Geltende Datenschutzgesetze“ Bedeutet die DSGVO, wie sie in das nationale Recht jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt wurde und in der jeweils geltenden Fassung geändert, ersetzt oder überarbeitet wurde, sowie Gesetze, die die DSGVO umsetzen, ersetzen oder ergänzen, und alle Gesetze, die für die Verarbeitung der personenbezogenen Daten des Kunden gelten, einschließlich des California Consumer Privacy Rights Act von 2020, der den California Consumer Privacy Act von 2018 ändert. Civ. Kalifornischer Gesetzeskodex § 1798.100 et seq ("CCPA").
3. "DSGVO" bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dieser Daten.
4. "Sinch Infrastruktur" bedeutet (i) Die physischen Einrichtungen von Sinch; (ii) gehostete Cloud-Infrastruktur; (iii) das Firmennetzwerk von Sinch und das nicht-öffentliche interne Netzwerk, die Software und die Hardware, die für die Erbringung der Dienste erforderlich sind und die von Sinch kontrolliert werden; jeweils in dem Umfang, in dem sie für die Erbringung der Dienste verwendet werden.
5. "Eingeschränkte Übertragung"bezeichnet eine Übermittlung der personenbezogenen Daten des Kunden von Sinch an einen Unterauftragsverarbeiter, wenn eine solche Übermittlung durch die geltenden Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsvereinbarungen, die zur Berücksichtigung der Datenübermittlungsbeschränkungen der geltenden Datenschutzgesetze eingeführt wurden) verboten wäre, da keine angemessenen Schutzmaßnahmen für solche Übermittlungen gemäß den geltenden Datenschutzgesetzen erforderlich sind.
6. "Dienstleistungen" bedeutet die Dienstleistungen, die dem Kunden von Sinch gemäß dem Hauptvertrag erbracht werden.
7. "Standardvertragsklauseln" bezeichnet die neueste Fassung der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern im Rahmen der DSGVO (die aktuelle Fassung zum Datum dieser Datenschutzrichtlinie ist dem Beschluss 2021/914 (EU) der Europäischen Kommission vom 4. Juni 2021 beigefügt).
8. "Addendum des Vereinigten Königreichs" bezeichnet das Addendum des Vereinigten Königreichs (Addendum zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission), das unter https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf zu finden ist.
9. Die Begriffe "Einwilligung", "für die Verarbeitung Verantwortlicher", "betroffene Person", "Mitgliedstaat", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten", "Auftragsverarbeiter", "Unterauftragsverarbeiter", "Verarbeitung", "Aufsichtsbehörde" und "Drittanbieter" haben die Bedeutungen, die ihnen in Artikel 4 der DSGVO bzw. – in Fällen, in denen der CCPA anwendbar ist – im CCPA zugewiesen werden.

Compliance with Applicable Data Protection Laws
1. Sinch und der Kunde halten jeweils die Bestimmungen und Verpflichtungen ein, die ihnen durch die geltenden Datenschutzgesetze auferlegt werden, und sorgen dafür, dass ihre Mitarbeiter und Unterauftragsverarbeiter die Bestimmungen der geltenden Datenschutzgesetze einhalten.

Details and Scope of the Processing
1. The Processing of the Customer’s Personal Data within the scope of the Agreement shall be carried out in accordance with the following stipulations and as required according to the Applicable Data Protection Laws. The parties may amend this information from time to time, as the parties may reasonably consider necessary to meet those requirements.
  1. Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Der Gegenstand und die Dauer der Verarbeitung personenbezogener Daten sind im Hauptvertrag festgelegt.
  2. Art und Zweck der Verarbeitung der personenbezogenen Daten: Im Rahmen des Hauptvertrags stellt Sinch dem Kunden bestimmte Dienste wie Nachrichtenübermittlung, E-Mail, Sprachanrufe und andere Kommunikationsdienste zur Verfügung, wie im Hauptvertrag näher beschrieben, was die Verarbeitung personenbezogener Daten beinhaltet. Vorbehaltlich Abschnitt 3(a)(iv) umfassen diese Verarbeitungstätigkeiten (a) die Bereitstellung der Dienste, (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen und (c) die Beantwortung von Supportanfragen des Kunden.
  3. Arten personenbezogener Daten, dverarbeitet werden: Die an das Netzwerk von Sinch übermittelten personenbezogenen Daten, deren Umfang ausschließlich vom Verantwortlichen nach eigenem Ermessen bestimmt und kontrolliert wird, können Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen sowie andere personenbezogene Daten umfassen, die in Kontaktlisten sowie im Nachrichten- oder Gesprächsinhalt enthalten sind.
  4. Ausschluss des unabhängigen für die Datenverarbeitung Verantwortlichen: Ungeachtet anderer Bestimmungen in dieser Vereinbarung handelt Sinch bei der Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung von Kommunikationsdiensten als Teil der Dienste, einschließlich der Übertragung und des Austauschs von SMS über Telekommunikationsnetze und anderer Nachrichten und Mitteilungen, einschließlich E-Mails, Sprache und anderer Medien über andere Kommunikationsplattformen, unabhängig davon, ob der Kunde als Verantwortlicher oder als Auftragsverarbeiter handelt, als unabhängiger Datenverantwortlicher, und nicht als gemeinsamer Verantwortlicher, um seine Kommunikationsdienste zu erbringen und seine notwendigen Funktionen und Geschäfte als Anbieter von Kommunikationsdiensten und Mehrwertdiensten (VAS) auszuführen, einschließlich der notwendigen Maßnahmen zur Verhinderung von Spam und Betrug und der Kontrolle, Sicherheit und Wartung seines Netzes, der Verwaltung seiner Geschäfts- und Compliance-Funktionen und im Einklang mit seinen Verpflichtungen gemäß den geltenden Gesetzen.
  5. Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail- und SMS-Nachrichten, Anrufen oder anderen Mitteilungen.
2. Sinch darf die persönlichen Daten des Kunden nur verarbeiten (i) für die Zwecke der Erfüllung seiner Verpflichtungen aus dem Hauptvertrag und (ii) in Übereinstimmung mit den in diesem AV-Vertrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.
3. Wenn Sinch Email der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses AV-Vertrag oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In beiden Fällen ist Sinch berechtigt, die Ausführung des betreffenden Auftrages aufzuschieben, bis er vom Auftraggeber geändert oder von ihm und Sinch einvernehmlich genehmigt wird.
4. Der Kunde trägt die alleinige Verantwortung für die Nutzung und Verwaltung der von den Diensten übermittelten oder übermittelten personenbezogenen Daten: (i) Überprüfung der Informationen des Empfängers, wie z. B. Telefonnummer oder Adresse, und dass diese korrekt in die Dienste eingegeben wurden (ii) den Empfänger in angemessener Weise auf die unsichere Natur von E-Mail oder Messaging als Mittel zur Übermittlung personenbezogener Daten hinzuweisen (je nach Fall), (iii) die Menge oder Art der über die Dienste offengelegten Informationen angemessen zu beschränken (iv) die Verschlüsselung von personenbezogenen Daten, die über die Dienste übertragen werden, wo dies angemessen oder nach geltendem Recht erforderlich ist (z. B. durch die Verwendung von verschlüsselten Anhängen, PGP-Tools oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalte, werden bei der Verarbeitung durch die Sinch-Infrastruktur in einem verschlüsselten Format gespeichert.

Controller and Processor
1. Für die Zwecke dieses AV-Vertrags ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Sinch Email ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Sinch Email ein Unterauftragsverarbeiter.
2. Sinch verfügt jederzeit über einen Beauftragten, der für die Unterstützung des Kunden zuständig ist (i) bei der Beantwortung von Anfragen der betroffenen Personen zur Datenverarbeitung und, (ii) bei der Erfüllung aller gesetzlichen Informations- und Offenlegungspflichten, die im Zusammenhang mit der Datenverarbeitung gelten und damit verbunden sind. Diese Unterstützung kann unter dpo@sinch.com angefordert werden .
3. The Customer warrants that:
  1. die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den EU-Datenschutzgesetzen erforderlich sein kann, und alle erforderlichen Rechte, Berechtigungen, Registrierungen und Einwilligungen in Übereinstimmung mit den Bestimmungen der Hauptvereinbarung während der gesamten Laufzeit der Hauptvereinbarung getroffen hat und mit und gemäß den EU-Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch Email gemäß diesem AV-Vertrags und der Hauptvereinbarung aufrecht erhält;
  2. er berechtigt ist und über alle erforderlichen Rechte, Genehmigungen und Zustimmungen verfügt, um die personenbezogenen Daten des Kunden an Sinch zu übermitteln und Sinch anderweitig zu gestatten, die personenbezogenen Daten des Kunden in seinem Namen zu verarbeiten, so dass Sinch die personenbezogenen Daten des Kunden rechtmäßig verwenden, verarbeiten und übermitteln kann, um die Dienstleistungen zu erbringen und die sonstigen Rechte und Pflichten von Sinch gemäß dieser DSGVO und dem Hauptvertrag zu erfüllen;
  3. er seine betroffenen Personen über den Einsatz von Verarbeitern bei der Verarbeitung seiner personenbezogenen Daten informieren wird, soweit dies nach den geltenden EU-Datenschutzgesetzen erforderlich ist; und
  4. in angemessener Zeit und im Rahmen des Möglichen auf Anfragen der betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten zu reagieren und Sinch rechtzeitig entsprechende Anweisungen zu erteilen.

Confidentiality
1. Sinch Email stellt sicher, dass jeder seiner Mitarbeiter und Subprozessoren, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegt und mit den einschlägigen Sicherheits- und Datenschutzanforderungen geschult ist.

Technical and Organizational Measures
1. Sinch wird in Bezug auf die persönlichen Daten des Kunden, (a) angemessene und geeignete Maßnahmen, wie in Anhang 2 beschrieben, in Bezug auf die Sicherheit der Sinch-Infrastruktur und der Plattformen, die zur Erbringung der im Hauptvertrag beschriebenen Dienste verwendet werden, zu ergreifen und zu dokumentieren und (b) auf angemessene Anfrage und auf Kosten des Kunden den Kunden bei der Einhaltung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu unterstützen.
2. Die internen Betriebsverfahren von Sinch müssen den spezifischen Anforderungen eines effektiven Datenschutzmanagements entsprechen.

Data Subject Requests
1. Sinch stellt spezielle Werkzeuge zur Verfügung, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen. Dazu gehören unsere APIs und Schnittstellen zum Durchsuchen von Ereignisdaten, Unterdrücken und Abrufen von Nachrichteninhalten. Wenn Sinch eine Beschwerde, eine Anfrage oder ein Ersuchen (einschließlich Ersuchen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den anwendbaren Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, wird Sinch den Kunden benachrichtigen. Unter Berücksichtigung der Art der Verarbeitung unterstützt Sinch Email den Kunden auf Kosten des Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung dieser Rechte der betroffenen Personen zu reagieren.

Personal Data Breaches
1. Sinch benachrichtigt den Kunden unverzüglich, sobald Sinch Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die die personenbezogenen Daten des Kunden betrifft. Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Sinch Email zur Verfügung stehen, unternimmt Sinch Email wirtschaftlich angemessene Anstrengungen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen zur Meldung oder Information von Regulierungsbehörden, betroffene Personen und andere Personen, die gegen solche personenbezogenen Daten verstoßen, in dem nach den EU-Datenschutzgesetzen erforderlichen Umfang erfüllen kann.

Data Protection Impact Assessments
1. Sinch Email leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Aufsichtsbehörden, sofern dies für den Kunden zur Erfüllung seiner Verpflichtungen aus den EU-Datenschutzgesetzen erforderlich ist.

Audits
1. Sinch Email stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die zumutbar sind, um die Einhaltung des AV-Vertrags durch den Kunden nachzuweisen.
2. Der Kunde oder ein beauftragter externer Prüfer kann auf schriftlichen begründeten Antrag eine Überprüfung in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch Email und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Sinch Email zu unterbrechen und die Vertraulichkeit zu gewährleisten. Der Kunde ist für alle Kosten und Aufwendungen des Verarbeiters verantwortlich, die sich aus der Bereitstellung solcher Prüfungsrechte ergeben.
3. Das in Absatz 10(b) oben beschriebene Prüfungsrecht wird für den Kunden anwendbar, wenn Sinch keine ausreichenden Nachweise für die Einhaltung der Bestimmungen diesem AV-Vertrag vorgelegt hat. Ausreichende Beweise sind entweder: (i) eine Zertifizierung hinsichtlich der Einhaltung von ISO 27001 oder anderer von Sinch umgesetzter Normen (Geltungsbereich wie im Zertifikat definiert); oder (ii) einen Prüfungs- oder Bescheinigungsbericht eines unabhängigen Dritten. Eine Prüfung, wie sie in diesem Absatz 10 beschrieben ist, wird auf Kosten des Kunden durchgeführt und erfordert eine angemessene Vorankündigung durch den Kunden von mindestens dreißig (30) Tagen.

Return or Destruction of the Customer’s Personal Data
1. Der Kunde kann durch schriftliche Mitteilung an Sinch spätestens zum Zeitpunkt der Beendigung des Hauptvertrags die Rückgabe und/oder eine Bescheinigung über die Löschung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich unter der Kontrolle oder im Besitz von Sinch und den Unterauftragsverarbeitern befinden. Sinch stellt eine Kopie der Daten des Kunden in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.
2. Innerhalb von neunzig (90) Tagen nach Beendigung des Kontos löscht Sinch alle gemäß diesem AV-Vertrag verarbeiteten personenbezogenen Daten, es sei denn, der Kunde beantragt die Rückgabe der personenbezogenen Daten wie in Absatz 11 Buchstabe a oben beschrieben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder die Vereinbarung festgelegte Aufbewahrungsfristen.
3. Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe personenbezogener Daten nach der Beendigung oder dem Auslaufen des Vertrags entstehen, gehen zu Lasten des Kunden.

Data Transfers
1. Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass Sinch im Zusammenhang mit der Erbringung der vertragsgemäßen Dienstleistungen personenbezogene Daten innerhalb ihrer Unternehmensgruppe weitergeben kann. Diese Übertragungen sind notwendig, um die Dienste weltweit anzubieten.
2. Wenn personenbezogene Daten außerhalb des Landes verarbeitet werden, in dem die beauftragte juristische Person von Sinch ihren Sitz hat, stellt Sinch durch organisatorische, technische und vertragliche Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten sicher, wie es die geltenden Datenschutzgesetze und diese DSGVO vorsehen.
3. Die Standardvertragsklauseln und, falls erforderlich, das UK-Addendum, in denen Sinch als Datenimporteur und der Kunde als Datenexporteur auftritt, sind Bestandteil dieses AV-Vertrags. Wenn die Vereinbarung zwischen Sinch und einem Unterauftragsverarbeiter eine eingeschränkte Weitergabe beinhaltet, stellt Sinch sicher, dass die Weitergabebestimmungen der Standardvertragsklauseln und/oder des britischen Nachtrags in den Hauptvertrag aufgenommen oder anderweitig zwischen Sinch und dem Unterauftragsverarbeiter vereinbart werden. Der Kunde erklärt sich damit einverstanden, sein Prüfungsrecht in den Standardvertragsklauseln auszuüben, indem er Sinch Email anweist, die Prüfung gemäß Absatz 10 durchzuführen.
4. Bei der Übermittlung personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich in Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, werden, soweit solche Übermittlungen den Datenschutzgesetzen und -vorschriften unterliegen und zur Umsetzung angemessener Garantien, die folgenden Garantien getroffen: (i) Standardvertragsklauseln gemäß dem Beschluss 2021/914/EU der Europäischen Kommission vom 4. Juni 2021, (2) für Sinch Email, das EU-US Data Privacy Framework (EU-US DPF) und die UK Extension to the EU-U.S DPF, wie vom U.S. Department of Commerce (3) UK Addendum dargelegt, und (4) zusätzliche Garantien in Bezug auf Sicherheitsmaßnahmen, einschließlich Datenverschlüsselung, Datenaggregation, getrennte Zugangskontrollen und Datenminimierungsprinzipien.

Sub-processing
1. Der Kunde erteilt Sinch hiermit eine allgemeine Vollmacht, Unterauftragsverarbeiter gemäß diesem Absatz 13 und Anhang 1 zu ernennen. Sinch stellt sicher, dass die Unterauftragsverarbeiter durch schriftliche Vereinbarungen gebunden sind, die sie verpflichten, mindestens das von Sinch in dieser DSGVO geforderte Datenschutzniveau zu gewährleisten. Der Kunde ermächtigt Sinch außerdem ausdrücklich, die zum Zeitpunkt diesem AV-Vertrag bereits beauftragten Unterauftragsverarbeiter gemäß Abschnitt (b) weiterhin zu nutzen.
2. Die derzeitigen Unterauftragsverarbeiter für die Dienste sind unter https://sinch.com/de/legal/data-protection-agreement-sub-processors/ ("Unterprozessorliste") aufgeführt. Vorausgesetzt, der Kunde abonniert die Benachrichtigungen über neue Unterauftragsverarbeiter über den Abonnement-Mechanismus, der hier auffindbar ist: https://sinch.com/de/legal/data-protection-agreement-sub-processors/, Sinch benachrichtigt den Kunden auf diesem Wege dreißig (30) Tage im Voraus über alle beabsichtigten Änderungen, die die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters betreffen. Wenn der Kunde Sinch Email innerhalb von zehn (10) Werktagen nach Erhalt dieser Mitteilung alle Einwände aus angemessenen Gründen gegen den vorgeschlagenen Termin schriftlich mitteilt, ernennt Sinch Email diesen vorgeschlagenen Subprozessor erst, wenn angemessene Schritte unternommen wurden, um die Einwände des Kunden zu lösen und dem Kunden wurde eine angemessene schriftliche Erläuterung der ergriffenen Maßnahmen übermittelt. Wenn Sinch Email und der Kunde die Ernennung eines Subprozessors nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.
3. Sinch Email ist verantwortlich für die Handlungen und Unterlassungen von Subprozessoren, wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem AV-Vertrag aufgeführten Angelegenheiten der Fall ist.

Governing law and jurisdiction
1. Die Parteien dieses AV-Vertrags unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Gerichtsstandswahl in Bezug auf Streitigkeiten oder Ansprüche, die sich aus diesem AV-Vertrags ergeben, einschließlich Streitigkeiten über dessen Existenz, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.
2. Dieser AV-Vertrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.
3. Ungeachtet des Vorstehenden in diesem Absatz (a) und (b) unterliegen alle Verpflichtungen, die sich aus oder im Zusammenhang mit den in diesem AV-Vertrag aufgenommenen Standardvertragsklauseln ergeben, dem Recht des in Anhang 1 genannten EU-Mitgliedstaats, wie es für die Gültigkeit dieser Standardvertragsklauseln gemäß dem Beschluss 2021/914/EU der Europäischen Kommission vom 4. Juni 2021 erforderlich ist.

Order of precedence
1. In Bezug auf den Gegenstand dieses AV-Vertrags im Falle von Widersprüchen zwischen den Bestimmungen dieses AV-Vertrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und (sofern nicht ausdrücklich schriftlich anders vereinbart, im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder angeblich geschlossen werden sollen, haben Vorrang vor den Bestimmungen dieses Nachtrags.

Severance
1. Sollte eine Bestimmung dieses AV-Vertrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses AV-Vertrags gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung soll entweder (i) soweit erforderlich geändert werden, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, wobei die Absichten der Parteien so weit wie möglich beibehalten werden sollen, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchführbare Teil nie darin enthalten gewesen wäre.

Termination
1. Dieser AV-Vertrag und die Standardvertragsklauseln werden zeitgleich und automatisch mit der Kündigung der Hauptvereinbarung beendet.

ANHANG 1

STANDARDVERTRAGSKLAUSELN

In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien Folgendes:

Modul 2 (Verantwortlicher-zu-Auftragsverarbeiter) findet Anwendung, wenn Sinch als Datenverarbeiter des Kunden handelt; Modul 3 (Auftragsverarbeiter-zu-Auftragsverarbeiter) findet Anwendung, wenn Sinch als Unterauftragsverarbeiter des Kunden handelt. Für jedes Modul, falls zutreffend;
Klausel 7 (Kopplungsklausel) ist aufgenommen;
Für die Zwecke von Klausel 9.a) (Einsatz von Unterauftragsverarbeitern) gilt Option 2: Allgemeine schriftliche Genehmigung. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur informiert den Datenexporteur mindestens dreißig (30) Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern;
Die fakultative Formulierung in Klausel 11 (Rechtsbehelfe) zu unabhängigen Abwicklungsgremien wurde nicht übernommen;
Für die Zwecke von Klausel 13 (Aufsicht) fungiert IMY, die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten) als zuständige Aufsichtsbehörde;
Option 1 von Klausel 17 (Anwendbares Recht) findet Anwendung, und die Standardvertragsklauseln unterliegen dem schwedischen Recht;
Für die Zwecke von Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) entscheiden die französischen Gerichte alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben;
Anlagen IA (Liste der Vertragsparteien) und Anlage IB (Beschreibung der Übertragung) sind unter Verwendung der in der Hauptvereinbarung festgelegten und in Absatz 3 des Av-Vertrags aufgeführten Informationen und Einzelheiten auszufüllen;
Anhang IB (Beschreibung der Übertragung) muss weiter ausgefüllt werden, indem angegeben wird, dass keine vertraulichen Daten übertragen werden. Die Häufigkeit der Übertragung muss kontinuierlich sein. Bei Übertragungen an Unterauftragsverarbeiter entsprechen Gegenstand, Art und Dauer der Verarbeitung denen des Datenimporteurs;
Für die Zwecke des Anhangs IC ist die zuständige Aufsichtsbehörde gemäß Klausel 13 das IMY, die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten);
Für die Zwecke von Anhang II sind die technischen und organisatorischen Maßnahmen in Anlage 2 des Av-Vertrags beschrieben;
Für die Zwecke von Anhang III wird in Klausel 13 der DSGVO auf die Liste der Unterauftragsverarbeiter verwiesen;
where the Restricted Transfer is subject to the Regulation as it forms part of the law of England and Wales, Scotland and Northern Ireland (UK GDPR), the Standard Contractual Clauses shall incorporate the UK Addendum completed as follows:
1. Für die Zwecke von Tabelle 1 ist das Startdatum das Datum der Unterschrift Vereinbarung über die Datenverarbeitung (AV-Vertrag) und die Details der Parteien werden unter Verwendung der Informationen und Details im Hauptvertrag ausgefüllt;
2. Für die Zwecke von Tabelle 2 handelt es sich bei der Version der genehmigten EU-SCCs, der das UK Addendum beigefügt ist, um die gemäß diesem Anhang 1 abgeschlossenen Standardvertragsklauseln, wobei das Datum das Datum des Inkrafttretens dieses Nachtrags ist;
3. Für die Zwecke von Tabelle 3 sind die Anhangsinformationen wie in Absatz (h) – (l) dieses Anhang 1 beschrieben; und
4. Für die Zwecke von Tabelle 4 kann die als Importeur handelnde Sinch-Einheit den VK-Zusatz beenden, wenn sich der genehmigte Zusatz ändert.

ANHANG 2

INFORMATIONSSICHERHEIT – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Die in diesem Anhang enthaltenen technischen und organisatorischen Maßnahmen sind Maßnahmen, die auf die von Sinch angebotenen Dienste anwendbar sind. Falls erforderlich, kann Sinch für den Dienst weitere technische und organisatorische Maßnahmen in den Dienstauftrag oder den Dienst aufnehmen

1) Inventar der Informationen und anderer zugehöriger Vermögenswerte   

Es wird ein Inventar der Informationen und anderer zugehöriger Vermögenswerte, einschließlich der Eigentümer, erstellt und gepflegt.  Für jeden Vermögenswert im Inventar wurde gemäß der Kennzeichnungsrichtlinie ein Eigentümer benannt.  

2) Informationen zur Authentifizierung 

Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch einen Managementprozess gesteuert, der auch die Beratung des Personals über den angemessenen Umgang mit Authentifizierungsinformationen umfasst. 

Im Besonderen:

Schränken Sie nicht die zulässigen Zeichen ein, die verwendet werden können. 
Passwort mit einer Mindestlänge von 12 Zeichen und erzwungener Komplexität
Verwenden Sie geheime Fragen nicht als einzige Voraussetzung für das Zurücksetzen von Kennwörtern.
E-Mail-Bestätigung einer Passwortänderungsanfrage verlangen
Bei der Passwortänderung zusätzlich zum neuen Passwort das aktuelle Passwort verlangen 
Überprüfen Sie neu erstellte Kennwörter anhand von Listen mit gängigen Kennwörtern oder Datenbanken mit durchgesickerten Kennwörtern.  
Überprüfen Sie bestehende Benutzerpasswörter regelmäßig auf Kompromisse
Gespeicherte Geheimnisse müssen gesalzen und mit einer geeigneten Einweg-Schlüsselableitungsfunktion gehasht werden. 
Erzwingen Sie eine angemessene Kontosperrung und einen Brute-Force-Schutz für den Kontozugriff – maximal 5 fehlgeschlagene Anmeldungen, dann Sperre für 30 Minuten
Das letzte Passwort darf nicht wieder verwendet werden
MFA & SSO sollte in allen Anwendungsfällen verwendet werden

3) Zugangsrechte  

Zugriffsrechte auf Informationen und andere zugehörige Ressourcen werden in Übereinstimmung mit den themenspezifischen Richtlinien und Regeln der Organisation für die Zugriffskontrolle bereitgestellt, überprüft, geändert und entfernt.  

Im Besonderen:

Die Zugangsrechte zu Büros, Informationen und Systemen werden vierteljährlich überprüft.

4) IKT-Bereitschaft für die Geschäftskontinuität    

Die IKT-Bereitschaft wird auf der Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, gewartet und getestet.   

Im Besonderen:

Alle Geschäftsbereiche verfügen über einen oder mehrere Disaster-Recovery-Pläne (Notfallwiederherstellungspläne), die speziell auf das Produktangebot abgestimmt sind.
Die Disaster-Recovery-Pläne werden jährlich getestet.

5) Sensibilisierung für die Informationssicherheit, Aufklärung und Schulung

Die Mitarbeiter der Organisation und relevante interessierte Kreise erhalten eine angemessene Sensibilisierung für die Informationssicherheit, Ausbildung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitspolitik der Organisation, themenspezifischer Richtlinien und Verfahren, die für ihre jeweilige Funktion relevant sind. 

Im Besonderen:

Alle Mitarbeiter innerhalb von 2 Wochen nach Arbeitsbeginn abgeschlossen  
Alle Mitarbeiter haben in den letzten 12 Monaten eine ISA-Schulung absolviert  
Der Inhalt der ISA-Schulung wird alle 12 Monate aktualisiert.

6) Kapazitätsmanagement   

Die Nutzung der Ressourcen wird überwacht und entsprechend dem aktuellen und erwarteten Kapazitätsbedarf angepasst.   

7) Schutz vor Malware   

Der Schutz vor Malware ist implementiert und wird durch eine angemessene Sensibilisierung der Benutzer unterstützt.  Alle Endgeräte sollten über eine EDR/XDR-Endpunkt-Erkennung verfügen.

8) Management von technischen Schwachstellen 

Es werden Informationen über technische Schwachstellen der verwendeten Informationssysteme eingeholt, die Gefährdung von Sinch durch solche Schwachstellen wird bewertet und es werden geeignete Maßnahmen ergriffen.   

Im Besonderen:

Schwachstellen-Scan alle 7 Tage. 
Anwendung von Sicherheits-Patches auf alle Komponenten des Anwendungsstapels mit einem Schweregrad höher als „Mittel“, wie vom Herausgeber des Patches festgelegt, innerhalb eines Monats (30 Tage) nach der Veröffentlichung
Manueller Blackbox-Pen-Test, der alle 12 Monate durchgeführt wird

9) Konfigurationsmanagement  

Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken werden anhand der folgenden Standards festgelegt, dokumentiert, umgesetzt, überwacht und überprüft: NIST 800-53 und CIS-Kontrollen.

10) Informationssicherung     

Sicherungskopien von Informationen, Software und Systemen werden in Übereinstimmung mit der vereinbarten themenspezifischen Richtlinie für Sicherungskopien gepflegt und regelmäßig getestet.  

Die Sicherungsroutine gibt mindestens an: 

Sicherungsintervalle (mindestens wöchentlich)
Anforderungen an die Aufbewahrung
Speicherort für die Datensicherung 
Umfang der Sicherung (z. B. Daten, Konfigurationen, vollständige Systemsicherung)
Sicherungsstrategie (z. B. online versus offline, Anzahl der Backups, Verhältnis zwischen vollständiger und inkrementeller Sicherung)
Tests zur Wiederherstellung von Sicherungskopien müssen für geschäftskritische Systeme mindestens vierteljährlich und für alle anderen Systeme mindestens einmal jährlich durchgeführt werden.

11)Überwachung der Aktivitäten 

Netze, Systeme und Anwendungen werden auf anomales Verhalten überwacht und es werden geeignete Maßnahmen ergriffen, um potenzielle Vorfälle im Bereich der Informationssicherheit zu bewerten.  Netze, Systeme und Anwendungen werden auf anomales und bösartiges Verhalten überwacht, um potenzielle Sicherheitsvorfälle zu erkennen. 

12) Netzsicherheit 

Netze und Netzgeräte werden gesichert, verwaltet und kontrolliert, um Informationen in Systemen und Anwendungen zu schützen. 

Zum Beispiel:

Verschlüsseln Sie Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken (mindestens AES256). Verschlüsseln Sie die Daten während der Übertragung (TLS 1.2 oder höher).
Angemessene Protokollierung und Überwachung, um die Aufzeichnung und Erkennung von Aktionen zu ermöglichen, die sich auf die Informationssicherheit auswirken können oder dafür relevant sind, einschließlich EDR.
Der Produkteigentümer muss eine aktuelle Dokumentation einschließlich Netzwerkdiagrammen und Konfigurationsdateien von Geräten (z. B. Router, Schalter).
Härtung von Netzwerkgeräten
Die Kanäle für die Netzwerkverwaltung sind vom übrigen Netzwerkverkehr getrennt.

13) Verwaltung des Lebenszyklus von Systemen 

Es werden Regeln für die sichere Entwicklung von Software und Systemen aufgestellt und angewendet.  

Zum Beispiel, in Sinch:

Das System ist auf eine sichere Art und Weise entwickelt worden, die je nach Bedarf Bedrohungsmodelle einsetzt.
Es gibt einen Plan für die Wartung des Systems in Übereinstimmung mit der Kontrolle des Schwachstellenmanagements 
Es gibt einen Eigentümer des Systems
Es gibt einen Plan, das System zu ersetzen (Null-Altlasten-Politik)

14) Sicherheitstests in Entwicklung und Abnahme 

Sicherheitsprüfverfahren werden im Entwicklungszyklus definiert und implementiert.  

SAST- und Schwachstellen-Scans & zur Erkennung von Geheimnissen in CICD-Pipelines. Wenn möglich dynamische Anwendungssicherheitstests (DAST)
Keine kritischen oder schwerwiegenden Sicherheitslücken wurden behoben, bevor sie für Kunden verfügbar waren
Sichere Verwaltung der Netzwerkinfrastruktur.  
Alle Projekte folgen den Sicherheitschecklisten für die Produktfreigabe

15) Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden 

In Sinch wurden physische und ökologische Sicherheitsmaßnahmen eingeführt.

Zum Beispiel, in Sinch:

Sicherheitsabgrenzungen werden definiert und verwendet, um Bereiche zu schützen, die Informationen und andere zugehörige Werte enthalten.
Sichere Bereiche sind durch geeignete Zugangskontrollen und Zugangspunkte geschützt.
Die physische Sicherheit von Büros, Räumen und Anlagen wird konzipiert und umgesetzt.
Die Räumlichkeiten werden ständig auf unbefugten physischen Zugang überwacht.
Der Schutz vor physischen und umweltbedingten Bedrohungen wie Naturkatastrophen und anderen absichtlichen oder unabsichtlichen physischen Bedrohungen der Infrastruktur wird konzipiert und umgesetzt.
Es werden Sicherheitsmaßnahmen für die Arbeit in Sicherheitsbereichen konzipiert und umgesetzt.
Klare Regeln für den Umgang mit Papieren und Wechseldatenträgern auf dem Schreibtisch und klare Regeln für den Umgang mit Bildschirmen in Informationsverarbeitungsanlagen sind festgelegt und werden entsprechend durchgesetzt.
Die Geräte sind sicher und geschützt platziert.
Vermögenswerte außerhalb des Standorts sind geschützt.
Speichermedien werden während ihres Lebenszyklus – Erwerb, Verwendung, Transport und Entsorgung – gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet.
Informationsverarbeitungseinrichtungen sind vor Stromausfällen und anderen Störungen geschützt, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden.
Kabel, die Strom, Daten oder unterstützende Informationsdienste transportieren, sind vor Abhören, Störungen oder Schäden geschützt.
Die Ausrüstung wird ordnungsgemäß gewartet, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu gewährleisten.
Geräte, die Speichermedien enthalten, werden überprüft, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.

Sinch hat auch ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022 eingeführt.

16) Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung  

Es wurden Maßnahmen ergriffen, um eine begrenzte Speicherung personenbezogener Daten zu gewährleisten.

Zum Beispiel, Sinch:

Es wurde eine Datenaufbewahrungsrichtlinie eingeführt, die klar festlegt, welche spezifischen Datentypen erhoben werden, wie lange diese aufbewahrt werden und wann sie gelöscht werden.
Einführung automatisierter Löschverfahren. 
Regelmäßige Überprüfung und Aktualisierung der Aufbewahrungsrichtlinie.
Begrenzt die Datenerhebung auf das, was für den jeweiligen Geschäftszweck erforderlich ist.
Schulung der Mitarbeiter in Sachen Datenspeicherung.
Regelmäßige Überprüfung und Überwachung der Datenaufbewahrung
Verschlüsselung zum Schutz der gespeicherten Daten, um das Risiko eines unbefugten Zugriffs oder einer Offenlegung zu verringern.

17) Maßnahmen zur Gewährleistung der Rechenschaftspflicht 

Es wurden geeignete technische und organisatorische Maßnahmen ergriffen, um den Anforderungen der Rechenschaftspflicht gerecht zu werden.

Zum Beispiel, Sinch:

Verabschiedung und Umsetzung von Datenschutzmaßnahmen.
Es wurde ein „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“-Ansatz (Privacy by Design und by Default) verfolgt.  
Schriftliche Verträge mit Organisationen abschließen, die personenbezogene Daten im Auftrag von Sinch verarbeiten.
Seine Verarbeitungstätigkeiten zu dokumentieren.
Durchführung von Datenschutz-Folgenabschätzungen.
Ernennung eines Gruppen-Datenschutzbeauftragten (Gruppen-DPO)

18) Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung von Daten  

Innerhalb von Sinch werden Maßnahmen ergriffen, um die Ausübung der Rechte der betroffenen Personen zu ermöglichen.

Zum Beispiel, Sinch:

Löscht personenbezogene Daten sowohl aus Sicherungssystemen als auch aus aktiven Systemen, sofern erforderlich, und informiert die betroffene Person klar darüber, was mit ihren Daten geschieht.
Kontaktiert jeden Empfänger, um ihn über die Löschung zu informieren, falls personenbezogene Daten an Dritte weitergegeben wurden, es sei denn, dies ist unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden. Wenn personenbezogene Daten in einer Online-Umgebung veröffentlicht wurden, ergreift die Organisation angemessene Maßnahmen, um anderen für die Verarbeitung Verantwortlichen mitzuteilen, dass sie Links zu diesen Daten sowie Kopien oder Replikationen dieser Daten löschen sollen, sofern sie diese verarbeiten.
Informiert die betroffene Person auf Anfrage darüber, welche Drittparteien die personenbezogenen Daten erhalten haben.
Stellt personenbezogene Daten auf Anfrage in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung. Wenn möglich und wenn eine Person dies wünscht, kann die Organisation die Informationen direkt an eine andere Organisation weiterleiten.

19) Maßnahmen zur Gewährleistung der Datensparsamkeit 

Es werden Maßnahmen ergriffen, um die Menge der verarbeiteten Daten zu minimieren.

Zum Beispiel führt Sinch für jede Verarbeitungstätigkeit bei Sinch:

Maßnahmen, die sicherstellen, dass die Erhebung personenbezogener Daten angemessen und sachdienlich ist und sich streng auf das beschränkt, was in Bezug auf die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Hat bewertet, dass die Zwecke der Verarbeitungstätigkeit nicht mit weniger datenschutzkritischen Daten erreicht werden können (z. B. die mit weniger granularen Daten arbeiten) oder ein intrusives Verfahren (d. h. die Verwendung weniger intrusiver Mittel).
Dokumentiert die Anforderungen für jedes Datenfeld in Bezug auf den Zweck.

ANHANG 3

ABWEICHUNGEN

Deviations.
1. For Customers and contracts in Brazil, in addition to what is agreed upon in this DPA, the established obligations will adopt the following word and guidelines:
  1. The definitions highlighted below shall replace the ones used in this DPA:
    1. „Besondere Kategorien personenbezogener Daten“ sind sensible personenbezogene Daten, d. h. Daten über die rassische oder ethnische Herkunft, religiöse Überzeugungen, politische Meinungen, die Mitgliedschaft in einer Gewerkschaft oder einer religiösen, weltanschaulichen oder politischen Organisation, Daten über Gesundheit oder das Sexualleben einer natürlichen Person, genetische oder biometrische Daten, sofern sie sich auf eine natürliche Person beziehen.
    2. „Anwendbare Datenschutzgesetze“ bezeichnet das brasilianische allgemeine Datenschutzgesetz (Gesetz Nr. 13.709/2018) („LGPD“, Lei Geral de Proteção de Dados, das brasilianische Datenschutzgesetz) und die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt werden, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Kalifornischer Gesetzeskodex § 1798.100 et seq („CCPA“).
    3. Unter „Datenverarbeitung“ ist jeder Vorgang zu verstehen, der mit personenbezogenen Daten durchgeführt wird, wie z. B. das Erheben, das Erstellen, der Erhalt, die Klassifizierung, die Verwendung, der Zugriff, die Reproduktion, die Übermittlung, die Verteilung, die Verarbeitung, die Archivierung, die Speicherung, die Löschung, die Informationsbewertung oder -kontrolle, die Änderung, die Mitteilung, die Übertragung, die Verbreitung oder die Extraktion.
    4. Die Begriffe „Einwilligung,“ „Auftragsverarbeiter,“ „Datenverantwortlicher,“ „betroffene Person,“ „personenbezogene Daten,“ „Verarbeitung,“ und „nationale Behörde“ haben die Bedeutung, die ihnen in der LGPD zugewiesen wird. In Ermangelung einer spezifischen Definition in der LGPD wird die in Artikel 4 der DSGVO enthaltene Definition für die folgenden Begriffe übernommen: „Drittanbieter,“ „Verletzung des Schutzes personenbezogener Daten,“ „Unterauftragsverarbeiter“ und „Aufsichtsbehörde(n)“ (oder „Kontrollbehörde“).
  2. Abschnitt 3 Buchstabe b) erhält folgenden Wortlaut:
    Sinch verarbeitet die personenbezogenen Daten des Kunden nur zu folgenden Zwecken (i) die Erfüllung seiner Verpflichtungen aus dem Hauptvertrag; (ii) die regelmäßige Ausübung von Rechten, einschließlich vertraglicher Rechte und Rechte in Gerichts-, Verwaltungs- und Schiedsgerichtsverfahren; (iii) die Verhinderung von Betrug und die Sicherheit der betroffenen Person zu gewährleisten; und (iv) in Übereinstimmung mit den in diesem AV-Vertrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.
  3. Die Bestimmungen von Klausel 13 Buchstabe b) finden keine Anwendung.
  4. Abschnitt 6 Buchstabe b) erhält folgenden Wortlaut:
    Die internen Betriebsverfahren beider Parteien müssen den spezifischen Anforderungen eines wirksamen Datenschutzmanagements und der Informationssicherheit entsprechen, einschließlich, aber nicht beschränkt auf die Zugangsverwaltung, die Betrugsbekämpfung und die unrechtmäßige Nutzung der Dienste von Sinch.
2. For Customers and contracts in Colombia, in addition to what is agreed upon in this DPA, the following is applicable concerning the definition of the term “Applicable Data Protection Laws” as well the processing and transfer of personal data:
  1. „Anwendbare Datenschutzgesetze“ bezeichnet das kolumbianische Gesetz 1581 aus dem Jahr 2012 und das Regulierungsdekret 1377 aus dem Jahr 2013 sowie andere Verordnungen, die die vorgenannten Gesetze ändern, ersetzen oder ergänzen, sowie die DSGVO, wie sie in die innerstaatliche Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, und Gesetze, die die DSGVO umsetzen, ersetzen oder ergänzen, sowie alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Kalifornischer Gesetzeskodex § 1798.100 et seq („CCPA“).
  2. „Der für die Verarbeitung Verantwortliche nimmt zur Kenntnis, dass der Auftragsverarbeiter personenbezogene Daten in Gebiete außerhalb Kolumbiens übermitteln, speichern und verarbeiten kann, wo sie den Gesetzen der ausländischen Rechtsordnungen unterliegen, in denen sie gespeichert sind. Der für die Verarbeitung Verantwortliche bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen von betroffenen Personen und Datenbankeinträgen verfügt, die es dem Verarbeiter erlauben, die Daten in Datenbanken und in Ländern zu verarbeiten, die mindestens die gleichen Datenschutzstandards (angemessenes Schutzniveau) erfüllen wie die kolumbianischen Gesetze (wie z. B., unter anderem das Gesetz 1581 aus dem Jahr 2012, die Rechtsverordnung 1377 aus dem Jahr 2013, die Verordnung Nr. 90 aus dem Jahr 2018, das einmalige Rundschreiben der Oberaufsichtsbehörde für Industrie und Handel und das externe Rundschreiben Nr. 005 aus dem Jahr 2017 der Oberaufsichtsbehörde für Industrie und Handel sowie andere Vorschriften, die die vorgenannten ändern, ersetzen oder ergänzen).“
3. Für Kunden und Verträge in Argentinien gilt in Bezug auf die Verarbeitung und Übermittlung personenbezogener Daten zusätzlich zu den in diesem AV-Vertrag getroffenen Vereinbarungen Folgendes: Der Kunde bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen der betroffenen Personen für die Verarbeitung und Übermittlung personenbezogener Daten, einschließlich sensibler Daten, falls zutreffend, an SINCH verfügt. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit dem Gesetz Nr. 25.326 („Gesetz zum Schutz personenbezogener Daten der Republik Argentinien“) und den von der Agentur für den Zugang zu öffentlichen Informationen erlassenen Bestimmungen und Beschlüssen erfolgt. Die Übermittlung personenbezogener Daten an Länder oder internationale oder supranationale Organisationen erfolgt nur an Empfänger, die ein angemessenes Schutzniveau gewährleisten.
4. For Customers and contracts in Uruguay, in addition to what is agreed upon in this DPA, the following applies concerning the processing and transfer of personal data:
  1. Der für die Verarbeitung Verantwortliche bestätigt, dass er über alle erforderlichen vorherigen Genehmigungen der betroffenen Personen und der Datenbankeinträge verfügt, die es Sinch erlauben, personenbezogene Daten zu verarbeiten und sie in Länder zu übertragen und/oder zu übermitteln, die mindestens den gleichen Standard des Schutzes personenbezogener Daten (angemessenes Schutzniveau) erfüllen, wie er in der uruguayischen Gesetzgebung vorgesehen ist, wie z.B., aber nicht beschränkt auf, das Gesetz Nr. 18.331, die Rechtsverordnung Nr. 414/009 und das Gesetz Nr. 19.670 sowie andere Vorschriften, die die vorgenannten ändern, ersetzen oder ergänzen.
  2. Die Bestimmungen von Klausel 13 Buchstabe b) finden keine Anwendung.
5. Für Kunden und Verträge in Mexiko gelten zusätzlich zu den in diesem AV-Vertrag getroffenen Vereinbarungen die unten hervorgehobenen Definitionen, die die in diesem AV-Vertrag verwendeten Definitionen ersetzen:
  „Anwendbare Datenschutzgesetze“ bezeichnet das mexikanische Bundesgesetz über den Schutz personenbezogener Daten im Besitz von Privatpersonen („LFPDPPP“, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, das mexikanische Bundesgesetz zum Schutz personenbezogener Daten bei privaten Stellen) und andere Verordnungen, die das Vorgenannte ändern, ersetzen oder ergänzen, sowie die DSGVO, wie sie in die innerstaatliche Gesetzgebung jedes Mitgliedstaats (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, sowie Gesetze, die die DSGVO umsetzen, ersetzen oder ergänzen, und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Kalifornischer Gesetzeskodex § 1798.100 et seq („CCPA“).

Cookie-Untergruppe	Cookies	Verwendete Cookies
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Erstanbieter
community.sinch.com	AWSALB , LiSESSIONID	Erstanbieter
appengage.sinch.com	dd_cookie_test_	Erstanbieter
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Erstanbieter
cockpit2.sinch.com	SESSION	Erstanbieter
engage.sinch.com	instapage-variant-xxxxxxxx	Erstanbieter
dashboard.sinch.com	cookietest	Erstanbieter
brand.sinch.com	PHPSESSID , AWSALBCORS	Erstanbieter
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Erstanbieter
mediabrief.com	__cf_bm	Drittanbieter
recaptcha.net	_GRECAPTCHA	Drittanbieter
cision.com	__cf_bm	Drittanbieter
techtarget.com	__cf_bm	Drittanbieter

Cookie-Untergruppe	Cookies	Verwendete Cookies
community.sinch.com	ValueSurveyVisitorCount	Erstanbieter
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Erstanbieter
appengage.sinch.com	_dd_s	Erstanbieter
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Erstanbieter
brand.sinch.com	AMP_TEST	Erstanbieter
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Erstanbieter
www.sinch.com	d-a8e6 , s-9da4	Erstanbieter
nr-data.net	JSESSIONID	Drittanbieter
sinch-en.newsroom.cision.com	_ga, _gid	Drittanbieter
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	Drittanbieter
g.fastcdn.co	instap-spses.85bb	Drittanbieter
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	Drittanbieter
www.googletagmanager.com	userId	Drittanbieter
hello.learn.mailgun.com	visitor_id#####, visitor_id	Drittanbieter
dev.visualwebsiteoptimizer.com	_vwo_ssm	Drittanbieter
box.com	box_visitor_id	Drittanbieter
app.box.com	z, cn	Drittanbieter
sinch-tfn.paperform.co	laravel_session	Drittanbieter
go.sinch.in	visitor_id#####, visitor_id	Drittanbieter
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Cookie-Untergruppe	Cookies	Verwendete Cookies
portal.sinch.com	pnctest	Erstanbieter
partner.appengage.sinch.com	_dd_s	Erstanbieter
investors.sinch.com	Erstanbieter
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Erstanbieter
tickets.sinch.com	selectedidp	Erstanbieter
engage.sinch.com	ln_or	Erstanbieter
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Erstanbieter
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Erstanbieter
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Erstanbieter
www.recaptcha.net	_GRECAPTCHA	Drittanbieter
boxcdn.net	__cf_bm	Drittanbieter
d2oeshgsx64tgz.cloudfront.net	cookietest	Drittanbieter
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	Drittanbieter
vimeo.com	__cf_bm, vuid	Drittanbieter
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	Drittanbieter
box.com	site_preference	Drittanbieter
app.box.com	bv	Drittanbieter
sinch-tfn.paperform.co	XSRF-TOKEN	Drittanbieter
cision.com	cf_clearance	Drittanbieter

Cookie-Untergruppe	Cookies	Verwendete Cookies
investors.sinch.com	visitor_id	Erstanbieter
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Erstanbieter
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Erstanbieter
go.latam.sinch.com	visitor_id##### , pardot	Erstanbieter
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	Drittanbieter
pi.pardot.com	lpv151751, pardot	Drittanbieter
hsforms.com	_cfuvid	Drittanbieter
google.com	CONSENT	Drittanbieter
sinch.in	_gclxxxx, _gcl_au	Drittanbieter
www.linkedin.com	bscookie	Drittanbieter
bing.com	MUID, MSPTC	Drittanbieter
www.facebook.com		Drittanbieter
hello.learn.mailgun.com	pardot	Drittanbieter
www.youtube.com	TESTCOOKIESENABLED	Drittanbieter
dev.visualwebsiteoptimizer.com	uuid	Drittanbieter
g2crowd.com	__cf_bm	Drittanbieter
pardot.com	visitor_id#####, visitor_id	Drittanbieter
tracking.g2crowd.com	_session_id	Drittanbieter
hubspot.com	__cf_bm, _cfuvid	Drittanbieter
doubleclick.net	test_cookie, IDE	Drittanbieter
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	Drittanbieter
go.sinch.in	pardot	Drittanbieter
liadm.com	lidid	Drittanbieter
www.google.com	_GRECAPTCHA	Drittanbieter

Cookie-Untergruppe	Cookies	Verwendete Cookies
community.sinch.com	ln_or	Erstanbieter
sinch.in	_fbp	Drittanbieter
youtube-nocookie.com	CONSENT	Drittanbieter
youtube.com	YSC	Drittanbieter

Vereinbarung zur Datenverarbeitung

Legal and Compliance

Privacy Notices

Other