{"id":35988,"date":"2021-10-31T10:03:00","date_gmt":"2021-10-31T10:03:00","guid":{"rendered":"https:\/\/sinchcomdev.local\/legal\/data-protection-agreement\/"},"modified":"2026-03-17T15:40:17","modified_gmt":"2026-03-17T15:40:17","slug":"data-processing-agreement","status":"publish","type":"legal","link":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/","title":{"rendered":"Vereinbarung \u00fcber die Datenverarbeitung (AV-Vertrag)"},"content":{"rendered":"\n

Version 8 – Datum der Ver\u00f6ffentlichung: 29. Oktober 2025<\/p>\n\n\n\n

Diese Vereinbarung \u00fcber die Datenverarbeitung (AV-Vertrag) (dieser \u201eNachtrag zur Datenverarbeitung<\/strong>\u201c) ist Teil der zugrunde liegenden Dienstleistungsvereinbarung (die \u201eHauptvereinbarung<\/strong>\u201c) zwischen der Sinch-Einheit (\u201eSinch\u201c) und der Kundeneinheit (\u201eKunde\u201c), die diese Hauptvereinbarung \u00fcber die Erbringung von Diensten durch Sinch f\u00fcr den Kunden geschlossen haben, und unterliegt dieser. Dieser Nachtrag zur Datenverarbeitung gilt f\u00fcr Sinch und den Kunden sowie deren jeweilige Tochtergesellschaften. Die Parteien dieses Nachtrags zur Datenverarbeitung sind identisch mit den Parteien der Hauptvereinbarung.\u00a0<\/p>\n\n\n\n

    \n
  1. Definitions. <\/strong>For the purposes of this DPA, capitalized terms shall have the following meanings. Capitalized terms not otherwise defined shall have the meaning given to them in the Principal Agreement.  \n
      \n
    1. \u201ePersonenbezogene<\/strong> Daten des Kunden<\/strong>\u201c bezeichnet alle personenbezogenen Daten, die von Sinch im Auftrag des Kunden verarbeitet werden, um die Dienste im Rahmen der Hauptvereinbarung zu erbringen.\u00a0<\/li>\n\n\n\n
    2. „Geltende Datenschutzgesetze“ <\/strong>bedeutet die DSGVO, wie sie in das nationale Recht jedes Mitgliedstaats (und des Vereinigten K\u00f6nigreichs) umgesetzt wurde und in der jeweils geltenden Fassung ge\u00e4ndert, ersetzt oder \u00fcberarbeitet wurde, sowie Gesetze, die die DSGVO umsetzen, ersetzen oder erg\u00e4nzen, und alle Gesetze, die f\u00fcr die Verarbeitung der personenbezogenen Daten des Kunden gelten, einschlie\u00dflich des California Consumer Privacy Rights Act von 2020, der den California Consumer Privacy Act von 2018 Cal \u00e4ndert. Civ. Code \u00a7 1798.100 et seq (\u201eCCPA<\/strong>\u201c).\u00a0<\/li>\n\n\n\n
    3. \u201eDSGVO<\/strong>\u201c bezeichnet die Datenschutz-Grundverordnung (EU) 2016\/679 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.\u00a0<\/li>\n\n\n\n
    4. „Sinch-Infrastruktur“ <\/strong>bedeutet (i) die physischen Einrichtungen von Sinch; (ii) die gehostete Cloud-Infrastruktur; (iii) das Firmennetzwerk von Sinch und das nicht-\u00f6ffentliche interne Netzwerk, die Software und die Hardware, die f\u00fcr die Bereitstellung der Dienste erforderlich sind und die von Sinch kontrolliert werden; jeweils in dem Umfang, in dem sie f\u00fcr die Erbringung der Dienste verwendet werden.\u00a0<\/li>\n\n\n\n
    5. Eingeschr\u00e4nkte \u00dcbertragung<\/strong>“ bezeichnet eine \u00dcbermittlung der personenbezogenen Daten des Kunden von Sinch an einen Unterauftragsverarbeiter, wenn eine solche \u00dcbermittlung durch die geltenden Datenschutzgesetze (oder durch die Bedingungen von Daten\u00fcbermittlungsabkommen, die zur Ber\u00fccksichtigung der Daten\u00fcbermittlungsbeschr\u00e4nkungen der geltenden Datenschutzgesetze eingef\u00fchrt wurden) in Ermangelung angemessener Schutzma\u00dfnahmen, die f\u00fcr solche \u00dcbermittlungen gem\u00e4\u00df den geltenden Datenschutzgesetzen erforderlich sind, verboten w\u00e4re.\u00a0<\/li>\n\n\n\n
    6. \u201eDienste<\/strong>\u201c bezeichnet die Dienste, die dem Kunden von Sinch gem\u00e4\u00df der Hauptvereinbarung erbracht werden.\u00a0<\/li>\n\n\n\n
    7. \u201eStandardvertragsklauseln<\/strong>\u201c bezeichnet die neueste Fassung der Standardvertragsklauseln f\u00fcr die \u00dcbermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittl\u00e4ndern im Rahmen der DSGVO (die aktuelle Fassung zum Datum dieses Nachtrags zur Datenverarbeitung ist dem Beschluss 2021\/914 (EU) der Europ\u00e4ischen Kommission vom 4. Juni 2021 beigef\u00fcgt).\u00a0\u00a0<\/li>\n\n\n\n
    8. UK Addendum<\/strong>“ bezeichnet das Addendum des Vereinigten K\u00f6nigreichs (Addendum zur internationalen Daten\u00fcbermittlung zu den Standardvertragsklauseln der EU-Kommission), das dargelegt ist unter https:\/\/ico.org.uk\/media2\/migrated\/4019539\/international-data-transfer-addendum.pdf<\/a>\u00a0<\/li>\n\n\n\n
    9. Die Begriffe „Einwilligung<\/strong>„, „Datenverantwortlicher<\/strong>„, „betroffene Person<\/strong>„, „Mitgliedstaat<\/strong>„, „personenbezogene Daten<\/strong>„, „Verletzung personenbezogener Daten<\/strong>„, „Auftragsdatenverarbeiter<\/strong>„, „Unterauftragsverarbeiter“,<\/strong> „Verarbeitung<\/strong>„, „Aufsichtsbeh\u00f6rde<\/strong>“ und „Drittanbieter<\/strong>“ haben die Bedeutungen, die ihnen in Artikel 4 der DSGVO bzw. \u2013 in F\u00e4llen, in denen der CCPA anwendbar ist \u2013 im CCPA zugewiesen werden.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
        \n
      1. Compliance with Applicable Data Protection Laws<\/strong> \n
          \n
        1. Sinch und der Kunde halten jeweils die Bestimmungen und Verpflichtungen ein, die ihnen durch die geltenden Datenschutzgesetze auferlegt werden, und sorgen daf\u00fcr, dass ihre Mitarbeiter und Unterauftragsverarbeiter die Bestimmungen der geltenden Datenschutzgesetze einhalten.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
            \n
          1. Details and Scope of the Processing<\/strong> \n
              \n
            1. The Processing of the Customer\u2019s Personal Data within the scope of the Agreement shall be carried out in accordance with the following stipulations and as required according to the Applicable Data Protection Laws. The parties may amend this information from time to time, as the parties may reasonably consider necessary to meet those requirements.  \n
                \n
              1. Gegenstand und Dauer der Verarbeitung personenbezogener Daten: <\/strong>Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.\u00a0<\/li>\n\n\n\n
              2. Art und Zweck der Verarbeitung personenbezogener Daten: <\/strong>Im Rahmen der Hauptvereinbarung stellt Sinch dem Kunden bestimmte Dienste wie Messaging, E-Mail, Sprachanrufe und andere Kommunikationsdienste zur Verf\u00fcgung, wie in der Hauptvereinbarung n\u00e4her beschrieben, was die Verarbeitung von personenbezogenen Daten beinhaltet. Vorbehaltlich Abschnitt 3(a)(iv) umfassen diese Verarbeitungst\u00e4tigkeiten (a) die Bereitstellung der Dienste, (b) die Erkennung, Verhinderung und L\u00f6sung von Sicherheits- und technischen Problemen und (c) die Beantwortung von Supportanfragen des Kunden.\u00a0<\/li>\n\n\n\n
              3. Die Arten von personenbezogenen <\/strong>Daten, die verarbeitet werden sollen: <\/strong>Die an das Netzwerk von Sinch abgesendeten personenbezogenen Daten, deren Umfang ausschlie\u00dflich vom Datenverantwortlichen nach eigenem Ermessen bestimmt und kontrolliert wird, k\u00f6nnen Name, E-Mail, Telefonnummern, IP-Adresse und andere personenbezogene Daten umfassen, die in den Kontaktlisten und dem Nachrichten- oder Anrufinhalt enthalten sind.\u00a0\u00a0<\/li>\n\n\n\n
              4. Ausschluss des unabh\u00e4ngigen Datenverantwortlichen<\/strong>:\u00a0 Ungeachtet anderer Bestimmungen in dieser Vereinbarung handelt Sinch bei der Verarbeitung von personenbezogenen Daten im Rahmen der Bereitstellung von Kommunikationsdiensten als Teil der Dienste, einschlie\u00dflich der \u00dcbertragung und des Austauschs von Telekommunikationsdiensten \u00fcber Telekommunikationsnetze und anderer Nachrichten und Mitteilungen, einschlie\u00dflich E-Mails, Sprache und anderer Medien \u00fcber andere Kommunikationsplattformen, unabh\u00e4ngig davon, ob der Kunde als Datenverantwortlicher oder Auftragsdatenverarbeiter handelt, als unabh\u00e4ngiger Datenverantwortlicher, und nicht als gemeinsamer Datenverantwortlicher, um seine Kommunikationsdienste zu erbringen und seine notwendigen Funktionen und Gesch\u00e4fte als Anbieter von Kommunikationsdiensten und Mehrwertdiensten (VAS) auszuf\u00fchren, einschlie\u00dflich der notwendigen Ma\u00dfnahmen zur Verhinderung von Spam und Betrug und der Kontrolle, Sicherheit und Wartung seines Netzwerks, der Verwaltung seiner Gesch\u00e4fts- und Compliance-Funktionen und im Einklang mit seinen Verpflichtungen gem\u00e4\u00df den geltenden Gesetzen.\u00a0\u00a0\u00a0<\/li>\n\n\n\n
              5. Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten beziehen: <\/strong>Absender und Empf\u00e4nger von E-Mail- und SMS-Nachrichten, Sprachanrufen oder anderer Kommunikation.\u00a0<\/li>\n<\/ol>\n<\/li>\n\n\n\n
              6. Sinch darf die personenbezogenen Daten des Kunden nur (i) zum Zweck der Erf\u00fcllung seiner Verpflichtungen aus der Hauptvereinbarung und (ii) in \u00dcbereinstimmung mit den in diesem Nachtrag zur Datenverarbeitung beschriebenen dokumentierten Anweisungen oder gem\u00e4\u00df den anderweitigen Anweisungen des Kunden von Zeit zu Zeit verarbeiten. Solche Anweisungen des Kunden sind in der entsprechenden Bestellung, Dienstebeschreibung, im Support-Ticket, in anderen schriftlichen Mitteilungen oder gem\u00e4\u00df den Anweisungen des Kunden bei der Nutzung der Dienste (z. B. \u00fcber eine API oder ein Dashboard) zu dokumentieren.\u00a0\u00a0\u00a0<\/li>\n\n\n\n
              7. Wenn Sinch nach vern\u00fcnftigem Ermessen der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses Nachtrags zur Datenverarbeitung oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verst\u00f6\u00dft, wird Sinch den Kunden unverz\u00fcglich informieren. In beiden F\u00e4llen ist Sinch berechtigt, die Ausf\u00fchrung der betreffenden Anweisung aufzuschieben, bis sie vom Kunden ge\u00e4ndert wurde oder von beiden, dem Kunden und Sinch, einvernehmlich vereinbart wurde.\u00a0<\/li>\n\n\n\n
              8. Der Kunde ist allein verantwortlich f\u00fcr seine Nutzung und Verwaltung von personenbezogenen Daten, die durch die Dienste abgesendet oder \u00fcbertragen werden, einschlie\u00dflich: (i) \u00dcberpr\u00fcfung der Empf\u00e4ngerinformationen wie Telefonnummer oder Adresse und dass diese korrekt in die Dienste eingegeben wurden, (ii) angemessene Benachrichtigung jedes Empf\u00e4ngers \u00fcber die unsichere Natur von E-Mail oder Messaging als Mittel zur \u00dcbertragung von personenbezogenen Daten (soweit zutreffend), (iii) angemessene Begrenzung der Menge oder Art von Informationen, die durch die Dienste offengelegt werden, (iv) Verschl\u00fcsselung jeglicher personenbezogenen Daten, die durch die Dienste \u00fcbertragen werden, wo dies angemessen oder durch geltendes Recht erforderlich ist (wie durch die Verwendung von verschl\u00fcsselten Anh\u00e4ngen, PGP-Toolsets oder S\/MIME). Wenn der Kunde beschlie\u00dft, die obligatorische Verschl\u00fcsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die \u00dcbertragung unverschl\u00fcsselter E-Mails im Klartext \u00fcber das \u00f6ffentliche Internet und offene Netzwerke umfassen k\u00f6nnen. Auf die Dienste hochgeladene Informationen, einschlie\u00dflich Nachrichteninhalten, werden in einem verschl\u00fcsselten Format gespeichert, wenn sie von der Sinch-Infrastruktur verarbeitet werden.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                  \n
                1. Controller and Processor<\/strong> \n
                    \n
                  1. F\u00fcr die Zwecke dieses Nachtrags zur Datenverarbeitung ist der Kunde der Datenverantwortliche f\u00fcr die personenbezogenen Daten des Kunden und Sinch der Auftragsdatenverarbeiter dieser Daten, es sei denn, der Kunde fungiert als Auftragsdatenverarbeiter der personenbezogenen Daten des Kunden; in diesem Fall ist Sinch ein Unterauftragsverarbeiter.\u00a0\u00a0<\/li>\n\n\n\n
                  2. Sinch wird jederzeit einen Mitarbeiter einsetzen, der daf\u00fcr verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bez\u00fcglich der Verarbeitung, die von betroffenen Personen empfangen werden, zu unterst\u00fctzen; und (ii) bei der Erf\u00fcllung aller gesetzlichen Informations- und Offenlegungspflichten, die gelten und mit der Verarbeitung verbunden sind, zu unterst\u00fctzen. Diese Unterst\u00fctzung kann angefordert werden unter dpo@sinch.com<\/a>.\u00a0<\/li>\n\n\n\n
                  3. The Customer warrants that: \n
                      \n
                    1. Die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gr\u00fcnden f\u00fcr die Verarbeitung basiert, wie dies nach den geltenden Datenschutzgesetzen erforderlich sein kann, und dass er w\u00e4hrend der gesamten Laufzeit der Hauptvereinbarung alle erforderlichen Rechte, Erlaubnisse, Registrierungen und Einwilligungen in \u00dcbereinstimmung mit und gem\u00e4\u00df den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch gem\u00e4\u00df diesem Nachtrag zur Datenverarbeitung und der Hauptvereinbarung eingeholt hat und aufrechterhalten wird;\u00a0\u00a0<\/li>\n\n\n\n
                    2. er berechtigt ist und \u00fcber alle erforderlichen Rechte, Erlaubnisse und Einwilligungen verf\u00fcgt, um die personenbezogenen Daten des Kunden an Sinch zu \u00fcbertragen und Sinch anderweitig zu gestatten, die personenbezogenen Daten des Kunden in seinem Auftrag zu verarbeiten, sodass Sinch die personenbezogenen Daten des Kunden rechtm\u00e4\u00dfig nutzen, verarbeiten und \u00fcbertragen kann, um die Dienste auszuf\u00fchren und die anderen Rechte und Verpflichtungen von Sinch gem\u00e4\u00df diesem Nachtrag zur Datenverarbeitung und der Hauptvereinbarung zu erf\u00fcllen;\u00a0<\/li>\n\n\n\n
                    3. er seine betroffenen Personen \u00fcber die Nutzung von Auftragsdatenverarbeitern bei der Verarbeitung ihrer personenbezogenen Daten informieren wird, in dem nach den geltenden Datenschutzgesetzen erforderlichen Umfang; und,\u00a0<\/li>\n\n\n\n
                    4. er in angemessener Zeit und im zumutbaren Umfang auf Anfragen von betroffenen Personen bez\u00fcglich der Verarbeitung ihrer personenbezogenen Daten reagieren und Sinch rechtzeitig angemessene Anweisungen erteilen wird.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                        \n
                      1. Confidentiality<\/strong> \n
                          \n
                        1. Sinch stellt sicher, dass jeder seiner Mitarbeiter und die der Unterauftragsverarbeiter, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen und in den relevanten Anforderungen an die Sicherheit und den Schutz der Daten geschult sind.\u00a0\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                            \n
                          1. Technical and Organizational Measures<\/strong> \n
                              \n
                            1. Sinch wird in Bezug auf die personenbezogenen Daten des Kunden (a) angemessene und geeignete Ma\u00dfnahmen, wie in Anhang 2 beschrieben, in Bezug auf die Sicherheit der Sinch-Infrastruktur und der Plattformen, die zur Bereitstellung der Dienste wie in der Hauptvereinbarung beschrieben verwendet werden, ergreifen und dokumentieren, und (b) auf angemessene Anfrage auf Kosten des Kunden den Kunden dabei unterst\u00fctzen, die Compliance mit den Verpflichtungen des Kunden gem\u00e4\u00df den geltenden Datenschutzgesetzen sicherzustellen.\u00a0<\/li>\n\n\n\n
                            2. Die internen Betriebsverfahren von Sinch m\u00fcssen den spezifischen Anforderungen eines effektiven Managements f\u00fcr den Schutz der Daten entsprechen.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                \n
                              1. Data Subject Requests<\/strong> \n
                                  \n
                                1. Sinch stellt spezifische Tools zur Verf\u00fcgung, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterst\u00fctzen. Dazu geh\u00f6ren unsere APIs und Schnittstellen, um Ereignisdaten und Unterdr\u00fcckungen zu durchsuchen und Nachrichteninhalte abzurufen. Wenn Sinch eine Beschwerde, Erkundigung oder Anfrage (einschlie\u00dflich Anfragen von betroffenen Personen zur Aus\u00fcbung ihrer Rechte gem\u00e4\u00df den geltenden Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erh\u00e4lt, wird Sinch den Kunden benachrichtigen. Unter Ber\u00fccksichtigung der Art der Verarbeitung wird Sinch den Kunden durch geeignete technische und organisatorische Ma\u00dfnahmen, soweit dies vern\u00fcnftigerweise m\u00f6glich ist, bei der Erf\u00fcllung der Verpflichtung des Kunden unterst\u00fctzen, auf Anfragen zur Aus\u00fcbung der Rechte dieser betroffenen Personen zu reagieren.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                    \n
                                  1. Personal Data Breaches<\/strong> \n
                                      \n
                                    1. Sinch benachrichtigt den Kunden unverz\u00fcglich, sobald Sinch Kenntnis von einer Verletzung personenbezogener Daten erh\u00e4lt, die die personenbezogenen Daten des Kunden betrifft. Unter Ber\u00fccksichtigung der Art der Verarbeitung und der Sinch zur Verf\u00fcgung stehenden Informationen wird Sinch wirtschaftlich angemessene Anstrengungen unternehmen, um dem Kunden ausreichende Informationen zur Verf\u00fcgung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen erf\u00fcllen kann, Regulierungsbeh\u00f6rden, betroffene Personen und andere Stellen \u00fcber eine solche Verletzung personenbezogener Daten in dem nach den geltenden Datenschutzgesetzen erforderlichen Umfang zu melden oder zu informieren.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                        \n
                                      1. Data Protection Impact Assessments<\/strong> \n
                                          \n
                                        1. Sinch wird dem Kunden unter Ber\u00fccksichtigung der Art der Verarbeitung und der verf\u00fcgbaren Informationen auf Kosten des Kunden angemessene Unterst\u00fctzung bei allen Folgenabsch\u00e4tzungen f\u00fcr den Schutz der Daten und vorherigen Konsultationen mit Aufsichtsbeh\u00f6rden oder anderen zust\u00e4ndigen Regulierungsbeh\u00f6rden leisten, wie es f\u00fcr den Kunden erforderlich ist, um seine Verpflichtungen gem\u00e4\u00df den geltenden Datenschutzgesetzen zu erf\u00fcllen.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                            \n
                                          1. Audits<\/strong> \n
                                              \n
                                            1. Sinch stellt dem Kunden auf angemessene Anfrage Informationen zur Verf\u00fcgung, die vern\u00fcnftigerweise erforderlich sind, um die Compliance mit diesem Nachtrag zur Datenverarbeitung nachzuweisen.\u00a0\u00a0<\/li>\n\n\n\n
                                            2. Der Kunde oder ein beauftragter Drittanbieter-Auditor kann auf angemessene schriftliche Anfrage eine Inspektion in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchf\u00fchren, ohne den Gesch\u00e4ftsbetrieb von Sinch zu unterbrechen und unter Gew\u00e4hrleistung der Vertraulichkeit.\u00a0\u00a0<\/li>\n\n\n\n
                                            3. Das oben in Absatz 10(b) beschriebene Audit-Recht wird f\u00fcr den Kunden anwendbar, falls Sinch keine ausreichenden Nachweise f\u00fcr seine Compliance mit den Bestimmungen dieses Nachtrags zur Datenverarbeitung vorgelegt hat. Als ausreichender Nachweis gilt entweder: (i) eine Zertifizierung \u00fcber die Compliance mit ISO 27001 oder anderen von Sinch implementierten Standards (Umfang wie im Zertifikat definiert); oder (ii) ein Audit- oder Best\u00e4tigungsbericht eines unabh\u00e4ngigen Drittanbieters. Eine Pr\u00fcfung, wie sie in diesem Absatz 10 beschrieben ist, wird auf Kosten des Kunden durchgef\u00fchrt und erfordert eine angemessene Vorank\u00fcndigung durch den Kunden von mindestens drei\u00dfig (30) Tagen.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                \n
                                              1. Return or Destruction of the Customer’s Personal Data<\/strong> \n
                                                  \n
                                                1. Der Kunde kann durch schriftliche Mitteilung an Sinch sp\u00e4testens zum Zeitpunkt der Beendigung der Hauptvereinbarung die R\u00fcckgabe und\/oder eine L\u00f6schbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich unter der Kontrolle oder im Besitz von Sinch und Unterauftragsverarbeitern befinden. Sinch stellt eine Kopie der Daten des Kunden in einer Form zur Verf\u00fcgung, die gelesen und weiterverarbeitet werden kann.\u00a0\u00a0<\/li>\n\n\n\n
                                                2. Innerhalb von neunzig (90) Tagen nach Beendigung des Kontos wird Sinch alle gem\u00e4\u00df diesem Nachtrag zur Datenverarbeitung verarbeiteten personenbezogenen Daten l\u00f6schen, es sei denn, der Kunde verlangt die R\u00fcckgabe von personenbezogenen Daten wie oben in Absatz 11(a) beschrieben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien, Aufzeichnungen f\u00fcr gesetzlich, statutarisch oder vertraglich festgelegte Kundenbindungsfristen aufzubewahren.\u00a0\u00a0<\/li>\n\n\n\n
                                                3. Alle zus\u00e4tzlichen Kosten, die im Zusammenhang mit der R\u00fcckgabe personenbezogener Daten nach der Beendigung oder dem Ablauf des Abkommens entstehen, gehen zu Lasten des Kunden.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                    \n
                                                  1. Data Transfers<\/strong> \n
                                                      \n
                                                    1. Der Kunde erkennt an und stimmt zu, dass Sinch im Zusammenhang mit der Erbringung der Dienste unter dem Abkommen personenbezogene Daten innerhalb seiner Unternehmensgruppe \u00fcbertragen kann. Diese \u00dcbertragungen sind notwendig, um die Dienste weltweit bereitzustellen.\u00a0<\/li>\n\n\n\n
                                                    2. Wann immer personenbezogene Daten au\u00dferhalb des Landes verarbeitet werden, in dem die vertragsschlie\u00dfende juristische Person von Sinch ans\u00e4ssig ist, wird Sinch durch organisatorische, technische und vertragliche Ma\u00dfnahmen ein angemessenes Schutzniveau f\u00fcr personenbezogene Daten sicherstellen, wie es die geltenden Datenschutzgesetze und dieser Nachtrag zur Datenverarbeitung verlangen.\u00a0\u00a0\u00a0<\/li>\n\n\n\n
                                                    3. Die Standardvertragsklauseln und, falls erforderlich, das UK Addendum, bei denen Sinch als Datenimporteur und der Kunde als Datenexporteur auftritt, sind als Teil dieses Nachtrags zur Datenverarbeitung integriert. Wenn die Vereinbarung von Sinch mit einem Unterauftragsverarbeiter eine eingeschr\u00e4nkte \u00dcbertragung beinhaltet, wird Sinch sicherstellen, dass die Bestimmungen zur Weiter\u00fcbermittlung der Standardvertragsklauseln und\/oder des UK Addendum in die Hauptvereinbarung aufgenommen oder anderweitig zwischen Sinch und dem Unterauftragsverarbeiter geschlossen werden. Der Kunde stimmt zu, sein Audit-Recht in den Standardvertragsklauseln auszu\u00fcben, indem er Sinch anweist, das in Absatz 10 dargelegte Audit durchzuf\u00fchren.\u00a0<\/li>\n\n\n\n
                                                    4. F\u00fcr \u00dcbertragungen personenbezogener Daten aus der Europ\u00e4ischen Union, dem Europ\u00e4ischen Wirtschaftsraum und\/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten K\u00f6nigreich in L\u00e4nder, die kein angemessenes Niveau an Schutz der Daten im Sinne der Datenschutzgesetze der vorgenannten Gebiete gew\u00e4hrleisten, insofern solche \u00dcbertragungen Datenschutzgesetzen und -vorschriften unterliegen und um angemessene Schutzma\u00dfnahmen zu implementieren, werden die folgenden Schutzma\u00dfnahmen ergriffen: (i) Standardvertragsklauseln gem\u00e4\u00df dem Beschluss 2021\/914\/EU der Europ\u00e4ischen Kommission vom 4. Juni 2021, (2) f\u00fcr Sinch Email, das EU-US Data Privacy Framework (EU-US DPF) und die UK Extension to the EU-U.S DPF, wie vom U.S Department of Commerce festgelegt, (3) UK Addendum, und (4) zus\u00e4tzliche Schutzma\u00dfnahmen in Bezug auf Sicherheitsma\u00dfnahmen einschlie\u00dflich Datenverschl\u00fcsselung, Datenaggregation, Trennung von Zugriffskontrollen und Datenminimierungsprinzipien.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                        \n
                                                      1. Sub-processing<\/strong> \n
                                                          \n
                                                        1. Der Kunde erteilt Sinch hiermit eine allgemeine Vollmacht, Unterauftragsverarbeiter gem\u00e4\u00df diesem Absatz 13 und Anhang 1 zu ernennen. Sinch wird sicherstellen, dass Unterauftragsverarbeiter durch schriftliche Vereinbarungen gebunden sind, die von ihnen verlangen, mindestens das Niveau an Schutz der Daten zu bieten, das von Sinch durch diesen Nachtrag zur Datenverarbeitung verlangt wird. Der Kunde erteilt Sinch au\u00dferdem eine ausdr\u00fcckliche Genehmigung, die zum Datum dieses Nachtrags zur Datenverarbeitung bereits beauftragten Unterauftragsverarbeiter gem\u00e4\u00df Abschnitt (b) weiterhin zu nutzen.\u00a0\u00a0<\/li>\n\n\n\n
                                                        2. Die aktuellen Unterauftragsverarbeiter f\u00fcr die Dienste sind aufgef\u00fchrt unter https:\/\/sinch.com\/legal\/data-protection-agreement-sub-processors\/<\/a> (\u201eUnterprozessorliste<\/strong>\u201c). Vorausgesetzt, der Kunde abonniert die Benachrichtigungen \u00fcber neue Unterauftragsverarbeiter \u00fcber den Abonnement-Mechanismus, der hier auffindbar ist: https:\/\/sinch.com\/legal\/data-protection-agreement-sub-processors\/<\/a>, wird Sinch den Kunden \u00fcber diesen Mechanismus drei\u00dfig (30) Tage im Voraus \u00fcber alle beabsichtigten \u00c4nderungen hinsichtlich der Hinzuf\u00fcgung oder des Austauschs eines Unterauftragsverarbeiters benachrichtigen. Wenn der Kunde Sinch innerhalb von zehn (10) Werktagen nach Erhalt dieser Benachrichtigung schriftlich \u00fcber begr\u00fcndete Einw\u00e4nde gegen die vorgeschlagene Ernennung informiert, wird Sinch diesen vorgeschlagenen Unterauftragsverarbeiter nicht ernennen, bis angemessene Schritte unternommen wurden, um die vom Kunden vorgebrachten Einw\u00e4nde auszur\u00e4umen, und dem Kunden eine angemessene schriftliche Erkl\u00e4rung der unternommenen Schritte zur Verf\u00fcgung gestellt wurde. Wenn Sinch und der Kunde die Ernennung eines Unterauftragsverarbeiters nicht innerhalb einer angemessenen Frist l\u00f6sen k\u00f6nnen, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu k\u00fcndigen.\u00a0\u00a0<\/li>\n\n\n\n
                                                        3. Sinch ist f\u00fcr die Handlungen und Unterlassungen von Unterauftragsverarbeitern verantwortlich, so wie es dem Kunden gegen\u00fcber f\u00fcr seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem Nachtrag zur Datenverarbeitung vorgesehenen Angelegenheiten verantwortlich ist.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                            \n
                                                          1. Governing law and jurisdiction<\/strong> \n
                                                              \n
                                                            1. Die Parteien dieses Nachtrags zur Datenverarbeitung unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Wahl des Gerichtsstands in Bezug auf jedwede Streitigkeiten oder Anspr\u00fcche, die aus diesem Nachtrag zur Datenverarbeitung entstehen, einschlie\u00dflich Streitigkeiten bez\u00fcglich dessen Existenz, G\u00fcltigkeit oder Beendigung oder den Folgen dessen Nichtigkeit.\u00a0\u00a0<\/li>\n\n\n\n
                                                            2. Dieser Nachtrag zur Datenverarbeitung und alle au\u00dfervertraglichen oder anderen Verpflichtungen, die sich daraus oder in Verbindung damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.\u00a0\u00a0<\/li>\n\n\n\n
                                                            3. Ungeachtet des Vorstehenden unter Absatz (a) und (b) unterliegen alle Verpflichtungen, die sich aus oder im Zusammenhang mit den in diesem Nachtrag zur Datenverarbeitung aufgenommenen Standardvertragsklauseln ergeben, den Gesetzen des in Anhang 1 genannten EU-Mitgliedstaats, wie es f\u00fcr die G\u00fcltigkeit dieser Standardvertragsklauseln gem\u00e4\u00df dem Beschluss 2021\/914\/EU der Europ\u00e4ischen Kommission vom 4. Juni 2021 erforderlich ist.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                                \n
                                                              1. Order of precedence<\/strong> \n
                                                                  \n
                                                                1. In Bezug auf den Gegenstand dieses Nachtrags zur Datenverarbeitung haben im Falle von Unstimmigkeiten zwischen den Bestimmungen dieses Nachtrags zur Datenverarbeitung und anderen Vereinbarungen zwischen den Parteien, einschlie\u00dflich der Hauptvereinbarung und einschlie\u00dflich (au\u00dfer wo ausdr\u00fccklich schriftlich anders vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags zur Datenverarbeitung geschlossen wurden oder vorgeblich geschlossen wurden, die Bestimmungen dieses Nachtrags zur Datenverarbeitung Vorrang.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                                    \n
                                                                  1. Severance<\/strong> \n
                                                                      \n
                                                                    1. Sollte eine Bestimmung dieses Nachtrags zur Datenverarbeitung ung\u00fcltig oder nicht durchsetzbar sein, so bleibt der Rest dieses Nachtrags zur Datenverarbeitung g\u00fcltig und in Kraft. Die ung\u00fcltige oder nicht durchsetzbare Bestimmung wird entweder (i) so ge\u00e4ndert, wie es erforderlich ist, um ihre G\u00fcltigkeit und Durchsetzbarkeit zu gew\u00e4hrleisten, wobei die Absichten der Parteien so genau wie m\u00f6glich gewahrt bleiben, oder, wenn dies nicht m\u00f6glich ist, (ii) so ausgelegt, als ob der ung\u00fcltige oder nicht durchsetzbare Teil nie darin enthalten gewesen w\u00e4re.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n
                                                                        \n
                                                                      1. Termination<\/strong> \n
                                                                          \n
                                                                        1. Dieser Nachtrag zur Datenverarbeitung und die Standardvertragsklauseln enden gleichzeitig und automatisch mit der Beendigung der Hauptvereinbarung.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n

                                                                          ANHANG 1<\/strong><\/p>\n\n\n\n

                                                                          STANDARDVERTRAGSKLAUSELN<\/strong><\/p>\n\n\n\n

                                                                          In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien Folgendes:\u00a0<\/p>\n\n\n\n

                                                                            \n
                                                                          1. Modul 2 (Datenverantwortlicher-zu-Auftragsdatenverarbeiter) findet Anwendung, wenn Sinch als Auftragsdatenverarbeiter des Kunden handelt; Modul 3 (Auftragsdatenverarbeiter-zu-Auftragsdatenverarbeiter) findet Anwendung, wenn Sinch als Unterauftragsverarbeiter des Kunden handelt. F\u00fcr jedes Modul, sofern zutreffend:\u00a0<\/li>\n\n\n\n
                                                                          2. Klausel 7 (Kopplungsklausel) wird aufgenommen;\u00a0<\/li>\n\n\n\n
                                                                          3. F\u00fcr die Zwecke von Klausel 9.a) (Einsatz von Unterauftragsverarbeitern) gilt Option 2: Allgemeine schriftliche Genehmigung. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs f\u00fcr die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgef\u00fchrt sind. Der Datenimporteur wird den Datenexporteur mindestens drei\u00dfig (30) Tage im Voraus schriftlich \u00fcber beabsichtigte \u00c4nderungen an dieser Liste durch das Hinzuf\u00fcgen oder Ersetzen von Unterauftragsverarbeitern informieren;\u00a0<\/li>\n\n\n\n
                                                                          4. Die optionale Formulierung in Klausel 11 (Rechtsbehelfe) zu unabh\u00e4ngigen Streitbeilegungsstellen wird nicht aufgenommen;\u00a0<\/li>\n\n\n\n
                                                                          5. F\u00fcr die Zwecke von Klausel 13 (Aufsicht) fungiert IMY, die schwedische Beh\u00f6rde f\u00fcr den Schutz der Daten (Integritetsskyddsmyndigheten),\u00a0 als zust\u00e4ndige Aufsichtsbeh\u00f6rde;\u00a0<\/li>\n\n\n\n
                                                                          6. Option 1 von Klausel 17 (Anwendbares Recht) findet Anwendung, und die Gesetze von Schweden regeln die Standardvertragsklauseln;\u00a0<\/li>\n\n\n\n
                                                                          7. F\u00fcr die Zwecke von Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) werden die Gerichte von Schweden jedwede Streitigkeiten beilegen, die sich aus den Standardvertragsklauseln ergeben;\u00a0<\/li>\n\n\n\n
                                                                          8. Anhang IA (Liste der Parteien) und Anhang IB (Beschreibung der \u00dcbertragung) m\u00fcssen unter Verwendung der in der Hauptvereinbarung angegebenen und in Absatz 3 des Nachtrags zur Datenverarbeitung aufgef\u00fchrten Informationen und Details ausgef\u00fcllt werden;\u00a0<\/li>\n\n\n\n
                                                                          9. Anhang IB (Beschreibung der \u00dcbertragung) muss weiter ausgef\u00fcllt werden, indem angegeben wird, dass keine sensiblen personenbezogenen Daten \u00fcbertragen werden. Die H\u00e4ufigkeit der \u00dcbertragung muss kontinuierlich sein. F\u00fcr \u00dcbertragungen an Unterauftragsverarbeiter m\u00fcssen Gegenstand, Art und Dauer der Verarbeitung dieselben sein wie die des Datenimporteurs;\u00a0<\/li>\n\n\n\n
                                                                          10. F\u00fcr die Zwecke von Anhang IC ist die zust\u00e4ndige Aufsichtsbeh\u00f6rde in \u00dcbereinstimmung mit Klausel 13 IMY, die schwedische Datenschutzbeh\u00f6rde (Integritetsskyddsmyndigheten);\u00a0<\/li>\n\n\n\n
                                                                          11. F\u00fcr die Zwecke von Anhang II sind die technischen und organisatorischen Ma\u00dfnahmen in Anhang 2 des Nachtrags zur Datenverarbeitung beschrieben;\u00a0<\/li>\n\n\n\n
                                                                          12. F\u00fcr die Zwecke von Anhang III wird in Klausel 13 des Nachtrags zur Datenverarbeitung auf die Liste der Unterauftragsdatenverarbeiter verwiesen;\u00a0<\/li>\n\n\n\n
                                                                          13. where the Restricted Transfer is subject to the Regulation as it forms part of the law of England and Wales, Scotland and Northern Ireland (UK GDPR), the Standard Contractual Clauses shall incorporate the UK Addendum completed as follows: \n
                                                                              \n
                                                                            1. F\u00fcr die Zwecke von Tabelle 1 ist das Startdatum das Datum der Unterzeichnung des Nachtrags zur Datenverarbeitung und die Details der Parteien m\u00fcssen unter Verwendung der in der Hauptvereinbarung angegebenen Informationen und Details ausgef\u00fcllt werden;\u00a0<\/li>\n\n\n\n
                                                                            2. F\u00fcr die Zwecke von Tabelle 2 ist die Version der genehmigten EU-SCCs, an die das UK Addendum angeh\u00e4ngt ist, die Standardvertragsklauseln, wie sie gem\u00e4\u00df diesem Anhang 1 ausgef\u00fcllt wurden, wobei das Datum das G\u00fcltigkeitsdatum dieses Addendums ist;\u00a0<\/li>\n\n\n\n
                                                                            3. F\u00fcr die Zwecke von Tabelle 3 sind die Anhangsinformationen wie in den Abs\u00e4tzen (h) – (l) dieses Anhangs 1 beschrieben; und,\u00a0<\/li>\n\n\n\n
                                                                            4. F\u00fcr die Zwecke von Tabelle 4 kann die Sinch-Einheit, die als Importeur handelt, das UK Addendum beenden, wenn sich das genehmigte Addendum \u00e4ndert.\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n

                                                                              ANHANG 2<\/strong><\/p>\n\n\n\n

                                                                              INFORMATIONSSICHERHEIT \u2013 TECHNISCHE UND ORGANISATORISCHE MA\u00dfNAHMEN<\/strong><\/p>\n\n\n\n

                                                                              Die in diesem Anhang enthaltenen technischen und organisatorischen Ma\u00dfnahmen sind Ma\u00dfnahmen, die auf die von Sinch angebotenen Dienste anwendbar sind. Falls erforderlich, kann Sinch f\u00fcr den Dienst weitere technische und organisatorische Ma\u00dfnahmen in die Dienstbestellung oder den Dienst aufnehmen.<\/p>\n\n\n\n

                                                                              1) Bestandsaufnahme von Informationen und anderen damit verbundenen Werten\u202f\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                              Es wird ein Inventar von Informationen und anderen damit verbundenen Werten, einschlie\u00dflich Eigent\u00fcmern, erstellt und gepflegt.\u202f\u202fF\u00fcr jeden Wert innerhalb des Inventars wurde gem\u00e4\u00df der Richtlinie zur Wertkennzeichnung ein Eigent\u00fcmer ernannt. \u202f\u00a0<\/p>\n\n\n\n

                                                                              2) Authentifizierungsinformationen\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                              Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch einen Managementprozess gesteuert, der die Beratung des Personals \u00fcber den angemessenen Umgang mit Authentifizierungsinformationen einschlie\u00dft.\u202f\u202f \u202f\u00a0<\/p>\n\n\n\n

                                                                              Insbesondere: \u202f\u00a0<\/p>\n\n\n\n

                                                                                \n
                                                                              • Beschr\u00e4nken Sie nicht die zul\u00e4ssigen Zeichen, die verwendet werden k\u00f6nnen.\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Passwort mit einer Mindestl\u00e4nge von 12 Zeichen und erzwungener Komplexit\u00e4t\u00a0<\/li>\n\n\n\n
                                                                              • Geheime Fragen nicht als einzige Anforderung zum Passwort zur\u00fccksetzen verwenden\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • E-Mail-Validierung einer Anfrage zur Passwort\u00e4nderung erfordern\u202f \u202f\u00a0<\/li>\n\n\n\n
                                                                              • Bei der Passwort\u00e4nderung zus\u00e4tzlich zum neuen Passwort das aktuelle Passwort verlangen\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Neu erstellte Passw\u00f6rter gegen Listen g\u00e4ngiger Passw\u00f6rter oder Datenbanken mit geleakten Passw\u00f6rtern \u00fcberpr\u00fcfen\u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Bestehende Nutzer-Passw\u00f6rter regelm\u00e4\u00dfig auf Kompromittierung \u00fcberpr\u00fcfen\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Gespeicherte Geheimnisse m\u00fcssen mit einem Salt versehen und mithilfe einer geeigneten Einweg-Schl\u00fcsselableitungsfunktion gehasht werden.\u202f\u202f\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Angemessene Kontosperrung und Brute-Force-Schutz beim Kontozugriff erzwingen: max. 5 fehlgeschlagene Logins, dann Sperre f\u00fcr 30 Minuten\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • Das letzte Passwort darf nicht wiederverwendet werden\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                              • MFA & Einmalanmeldung (SSO) sollten in allen Anwendungsf\u00e4llen verwendet werden<\/li>\n<\/ul>\n\n\n\n

                                                                                3) Zugriffsrechte\u202f\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                Zugriffsrechte auf Informationen und andere damit verbundene Werte werden in \u00dcbereinstimmung mit der themenspezifischen Richtlinie und den Regeln der Organisation f\u00fcr die Zugriffskontrolle bereitgestellt, \u00fcberpr\u00fcft, ge\u00e4ndert und entfernt.\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                Insbesondere:\u00a0\u00a0<\/p>\n\n\n\n

                                                                                  \n
                                                                                • Die Zugriffsrechte auf B\u00fcros, Informationen und Systeme werden viertelj\u00e4hrlich \u00fcberpr\u00fcft.\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                  4)\u202fIKT-Bereitschaft f\u00fcr die Gesch\u00e4ftskontinuit\u00e4t\u202f\u202f\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                  Die IKT-Bereitschaft wird basierend auf den Zielen zur Gesch\u00e4ftskontinuit\u00e4t und den IKT-Kontinuit\u00e4tsanforderungen geplant, implementiert, gewartet und getestet.\u202f\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                  Insbesondere:\u00a0<\/p>\n\n\n\n

                                                                                    \n
                                                                                  • Alle Gesch\u00e4ftseinheiten haben einen oder mehrere Disaster-Recovery-Pl\u00e4ne, die speziell auf das Produktangebot abgestimmt sind.\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                  • Die Disaster-Recovery-Pl\u00e4ne werden j\u00e4hrlich getestet. \u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                    5) Bewusstsein f\u00fcr Informationssicherheit, Aufkl\u00e4rung und Schulung<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                    Das Personal der Organisation und relevante interessierte Parteien erhalten angemessenes Bewusstsein f\u00fcr Informationssicherheit, Bildung und Schulung sowie regelm\u00e4\u00dfige Aktualisierungen der Informationssicherheitsrichtlinie der Organisation, themenspezifischer Richtlinien und Verfahren, wie es f\u00fcr ihre Arbeitsfunktion relevant ist.\u202f\u00a0<\/p>\n\n\n\n

                                                                                    Insbesondere:\u00a0<\/p>\n\n\n\n

                                                                                      \n
                                                                                    • Von allen Mitarbeitern innerhalb von 2 Wochen nach dem Startdatum abgeschlossen\u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                    • Alle Mitarbeiter haben in den letzten 12 Monaten eine ISA-Schulung durchgef\u00fchrt\u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                    • Der Inhalt der ISA-Schulung wird alle 12 Monate aktualisiert\u202f\u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                      6) Kapazit\u00e4tsmanagement\u202f\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                      Die Nutzung von Ressourcen wird in \u00dcbereinstimmung mit aktuellen und erwarteten Kapazit\u00e4tsanforderungen \u00fcberwacht und angepasst.\u202f\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                      7) Schutz vor Malware\u202f\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                      Der Schutz vor Malware wird implementiert und durch angemessenes Nutzer-Bewusstsein unterst\u00fctzt.\u202f\u202fAlle Endpunkt-Ger\u00e4te sollten \u00fcber EDR\/XDR-Endpunkt-Erkennung verf\u00fcgen.\u00a0<\/p>\n\n\n\n

                                                                                      8) Management technischer Schwachstellen<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                      Informationen \u00fcber technische Schwachstellen der genutzten Informationssysteme werden eingeholt, die Anf\u00e4lligkeit von Sinch f\u00fcr solche Schwachstellen wird bewertet und geeignete Ma\u00dfnahmen werden ergriffen.\u202f\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                      Insbesondere:\u00a0\u00a0<\/p>\n\n\n\n

                                                                                        \n
                                                                                      • Schwachstellen-Scan alle 7 Tage.\u202f\u202f \u202f\u00a0<\/li>\n\n\n\n
                                                                                      • Sicherheits-Patches auf alle Komponenten des Anwendungsstapels anwenden, die einen Schweregrad von mehr als \u201eMittel\u201c aufweisen, wie vom Herausgeber des Patches bestimmt, innerhalb eines Monats (30 Tage) nach Ver\u00f6ffentlichung\u00a0<\/li>\n\n\n\n
                                                                                      • Manueller Blackbox-Pentest wird alle 12 Monate durchgef\u00fchrt\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                        9)\u202fKonfigurationsmanagement\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                        Konfigurationen, einschlie\u00dflich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken werden etabliert, dokumentiert, implementiert, \u00fcberwacht und gem\u00e4\u00df den folgenden Standards \u00fcberpr\u00fcft: NIST 800-53 und CIS Controls.\u00a0 \u00a0<\/p>\n\n\n\n

                                                                                        10)\u202f Informationssicherung\u202f\u202f\u202f\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                        Sicherungskopien von Informationen, Software und Systemen werden gepflegt und regelm\u00e4\u00dfig in \u00dcbereinstimmung mit der vereinbarten themenspezifischen Richtlinie f\u00fcr Backups getestet.\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                        Die Sicherungsroutine legt mindestens fest:\u202f\u202f \u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                          \n
                                                                                        • Sicherungsintervalle (mindestens w\u00f6chentlich)\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                        • Kundenbindungsanforderungen\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                        • Standort f\u00fcr die Sicherungsspeicherung\u202f\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                        • Umfang der Sicherung (z. B. Daten, Konfigurationen, vollst\u00e4ndige Systemsicherung)\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                        • Sicherungsstrategie (z. B. online versus offline, Anzahl der Sicherungen, Verh\u00e4ltnis zwischen vollst\u00e4ndiger und inkrementeller Sicherung)\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                        • Tests zur Wiederherstellung von Backups m\u00fcssen mindestens viertelj\u00e4hrlich f\u00fcr gesch\u00e4ftskritische Systeme und mindestens j\u00e4hrlich f\u00fcr alle anderen durchgef\u00fchrt werden\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                          11)\u202f\u00dcberwachungsaktivit\u00e4ten<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                          Netzwerke, Systeme und Anwendungen werden auf anomales Verhalten \u00fcberwacht und es werden angemessene Ma\u00dfnahmen ergriffen, um potenzielle Vorf\u00e4lle der Informationssicherheit zu evaluieren.\u202f\u202fNetze, Systeme und Anwendungen werden auf anomales und b\u00f6sartiges Verhalten \u00fcberwacht, um potenzielle Sicherheitsvorf\u00e4lle zu erkennen.\u202f\u202f\u202f \u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                          12) Netzwerksicherheit\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                          Netze und Netzger\u00e4te werden gesichert, verwaltet und kontrolliert, um Informationen in Systemen und Anwendungen zu sch\u00fctzen.\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                          Zum Beispiel:\u00a0<\/p>\n\n\n\n

                                                                                            \n
                                                                                          • Daten im Ruhezustand auf Servern, Anwendungen und Datenbanken verschl\u00fcsseln (mindestens AES256).\u202fDaten bei der \u00dcbertragung verschl\u00fcsseln (TLS 1.2 oder h\u00f6her). \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                          • Angemessene Protokollierung und \u00dcberwachung, um die Aufzeichnung und Erkennung von Aktionen zu erm\u00f6glichen, die die Informationssicherheit, einschlie\u00dflich EDR\/XDR, beeintr\u00e4chtigen k\u00f6nnen oder daf\u00fcr relevant sind\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                          • Der Produkteigent\u00fcmer muss eine aktuelle Dokumentation pflegen, einschlie\u00dflich Netzwerkdiagrammen und Konfigurationsdateien von Ger\u00e4ten (z. B. Router, Switches).\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                          • H\u00e4rtung von Netzwerkger\u00e4ten\u00a0<\/li>\n\n\n\n
                                                                                          • Netzwerkverwaltungskan\u00e4le sind vom restlichen Netzwerkverkehr getrennt\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                            13) Systemlebenszyklus-Management<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                            Es werden Regeln f\u00fcr die sichere Entwicklung von Software und Systemen aufgestellt und angewendet. \u202f\u00a0<\/p>\n\n\n\n

                                                                                            Zum Beispiel bei Sinch:\u00a0<\/p>\n\n\n\n

                                                                                              \n
                                                                                            • Das System ist auf sichere Weise mit dem entsprechenden Design unter Nutzung von Bedrohungsmodellierung nach Bedarf gestaltet.\u202f\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                            • Es gibt ein Abonnement, um das System in \u00dcbereinstimmung mit der Schwachstellenmanagement-Kontrolle zu warten\u202f\u00a0\u00a0<\/li>\n\n\n\n
                                                                                            • Es gibt einen Eigent\u00fcmer des Systems\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                            • Es gibt ein Abonnement, um das System zu ersetzen (Zero-Legacy-Richtlinie)\u202f \u202f\u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                              14) Sicherheitstests in Entwicklung und Abnahme<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                              Sicherheitspr\u00fcfverfahren werden im Entwicklungszyklus definiert und implementiert.\u202f\u202f\u202f\u202f\u00a0<\/p>\n\n\n\n

                                                                                                \n
                                                                                              • SAST- und Schwachstellen- & Geheimnis-Erkennungsscans in CI\/CD-Pipelines. Wenn m\u00f6glich DAST\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                              • Keine kritischen oder hohen Schwachstellen behoben, bevor sie f\u00fcr Kunden verf\u00fcgbar sind\u202f \u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                              • Sichere Verwaltung der Netzwerkinfrastruktur.\u202f\u202f\u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                              • Alle Projekte befolgen die Sicherheit-Checklisten f\u00fcr Produktfreigaben\u202f \u202f\u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                                15) Ma\u00dfnahmen zur Gew\u00e4hrleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                                Innerhalb von Sinch wurden physische und umgebungsbezogene Sicherheitsma\u00dfnahmen implementiert.\u00a0\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                Zum Beispiel bei Sinch:\u00a0<\/p>\n\n\n\n

                                                                                                  \n
                                                                                                • Sicherheitsbereiche werden definiert und verwendet, um Bereiche zu sch\u00fctzen, die Informationen und andere damit verbundene Werte enthalten.\u00a0<\/li>\n\n\n\n
                                                                                                • Sichere Bereiche sind durch geeignete Zugangskontrollen und Zugangspunkte gesch\u00fctzt.\u00a0<\/li>\n\n\n\n
                                                                                                • Die physische Sicherheit f\u00fcr B\u00fcros, R\u00e4ume und Einrichtungen ist entsprechend im Design konzipiert und implementiert.\u00a0<\/li>\n\n\n\n
                                                                                                • R\u00e4umlichkeiten werden kontinuierlich auf unbefugten physischen Zugang \u00fcberwacht.\u00a0<\/li>\n\n\n\n
                                                                                                • Der Schutz vor physischen und umweltbedingten Bedrohungen wie Naturkatastrophen und anderen absichtlichen oder unabsichtlichen physischen Bedrohungen der Infrastruktur wird konzipiert und umgesetzt.<\/li>\n\n\n\n
                                                                                                • Sicherheits-Metriken f\u00fcr das Arbeiten in sicheren Bereichen sind in ihrem Design konzipiert und implementiert.\u00a0<\/li>\n\n\n\n
                                                                                                • Klare Regeln f\u00fcr den Umgang mit Papieren und Wechseldatentr\u00e4gern auf dem Schreibtisch und klare Regeln f\u00fcr den Umgang mit Bildschirmen in Informationsverarbeitungsanlagen sind festgelegt und werden entsprechend durchgesetzt.<\/li>\n\n\n\n
                                                                                                • Ausr\u00fcstung ist sicher aufgestellt und gesch\u00fctzt.\u00a0<\/li>\n\n\n\n
                                                                                                • Werte au\u00dferhalb des Standorts sind gesch\u00fctzt.\u00a0<\/li>\n\n\n\n
                                                                                                • Speichermedien werden w\u00e4hrend ihres Lebenszyklus – Erwerb, Verwendung, Transport und Entsorgung – gem\u00e4\u00df dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet.<\/li>\n\n\n\n
                                                                                                • Informationsverarbeitungseinrichtungen sind vor Stromausf\u00e4llen und anderen St\u00f6rungen gesch\u00fctzt, die durch Ausf\u00e4lle der unterst\u00fctzenden Versorgungseinrichtungen verursacht werden.<\/li>\n\n\n\n
                                                                                                • Kabel, die Strom, Daten oder unterst\u00fctzende Informationsdienste transportieren, sind vor Abh\u00f6ren, St\u00f6rungen oder Sch\u00e4den gesch\u00fctzt.<\/li>\n\n\n\n
                                                                                                • Die Ausr\u00fcstung wird ordnungsgem\u00e4\u00df gewartet, um Verf\u00fcgbarkeit, Integrit\u00e4t und Vertraulichkeit von Informationen zu gew\u00e4hrleisten.\u00a0<\/li>\n\n\n\n
                                                                                                • Ger\u00e4te, die Speichermedien enthalten, werden \u00fcberpr\u00fcft, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher \u00fcberschrieben worden sind.<\/li>\n<\/ul>\n\n\n\n

                                                                                                  Sinch wendet au\u00dferdem ein Informationssicherheitsmanagementsystem (ISMS) gem\u00e4\u00df ISO\/IEC 27001:2022 an.\u00a0<\/p>\n\n\n\n

                                                                                                  16) Ma\u00dfnahmen zur Gew\u00e4hrleistung einer begrenzten Daten-Kundenbindung\u202f<\/strong>\u202f\u00a0<\/p>\n\n\n\n

                                                                                                  Ma\u00dfnahmen zur Gew\u00e4hrleistung einer begrenzten Kundenbindung personenbezogener Daten wurden implementiert.\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                  Zum Beispiel, Sinch:\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                    \n
                                                                                                  • Hat eine Daten-Kundenbindungsrichtlinie etabliert, die klar definiert, welche spezifischen Arten von Daten erfasst werden, wie lange sie in Kundenbindung bleiben und wann sie gel\u00f6scht werden.\u00a0<\/li>\n\n\n\n
                                                                                                  • Einf\u00fchrung automatisierter L\u00f6schverfahren.\u202f\u00a0<\/li>\n\n\n\n
                                                                                                  • \u00dcberpr\u00fcft und aktualisiert regelm\u00e4\u00dfig die Kundenbindungs-Richtlinie.\u00a0<\/li>\n\n\n\n
                                                                                                  • Beschr\u00e4nkt die Datenerhebung auf das, was f\u00fcr den spezifischen Gesch\u00e4ftszweck erforderlich ist.\u00a0<\/li>\n\n\n\n
                                                                                                  • Schult Mitarbeiter in der Daten-Kundenbindung.\u00a0<\/li>\n\n\n\n
                                                                                                  • \u00dcberpr\u00fcft und \u00fcberwacht regelm\u00e4\u00dfig die Daten-Kundenbindung\u00a0<\/li>\n\n\n\n
                                                                                                  • Setzt Verschl\u00fcsselung ein, um gespeicherte Daten zu sch\u00fctzen und das Risiko eines unbefugten Zugriffs oder einer Offenlegung zu verringern.\u202f\u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                                    17) Metriken zur Gew\u00e4hrleistung der Rechenschaftspflicht\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                                    Geeignete technische und organisatorische Ma\u00dfnahmen wurden implementiert, um die Anforderungen der Rechenschaftspflicht zu erf\u00fcllen.\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                    Zum Beispiel Sinch: \u202f\u00a0<\/p>\n\n\n\n

                                                                                                      \n
                                                                                                    • Richtlinien f\u00fcr den Schutz der Daten verabschiedet und implementiert.\u00a0<\/li>\n\n\n\n
                                                                                                    • Es wurde ein Ansatz nach dem Prinzip \u201eSchutz der Daten durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen\u201c verfolgt.\u202f\u202f\u00a0<\/li>\n\n\n\n
                                                                                                    • Schriftliche Vertr\u00e4ge mit Organisationen geschlossen, die personenbezogene Daten im Auftrag von Sinch verarbeiten.\u00a0<\/li>\n\n\n\n
                                                                                                    • Seine Verarbeitungsaktivit\u00e4ten dokumentiert.\u00a0<\/li>\n\n\n\n
                                                                                                    • Folgenabsch\u00e4tzungen f\u00fcr den Schutz der Daten durchgef\u00fchrt.\u00a0<\/li>\n\n\n\n
                                                                                                    • Einen Gruppen-Datenschutzbeauftragten (Group DPO) ernannt\u202f\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                                      18) Metriken zur Erm\u00f6glichung der Daten\u00fcbertragbarkeit und Gew\u00e4hrleistung der L\u00f6schung\u202f\u202f<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                                      Metriken, die die Aus\u00fcbung der Rechte der betroffenen Person erm\u00f6glichen, sind innerhalb von Sinch implementiert.\u00a0<\/p>\n\n\n\n

                                                                                                      Zum Beispiel Sinch:\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                        \n
                                                                                                      • L\u00f6scht personenbezogene Daten sowohl aus Sicherungssystemen als auch aus aktiven Systemen, sofern erforderlich, und informiert die betroffene Person klar dar\u00fcber, was mit ihren Daten geschieht.<\/li>\n\n\n\n
                                                                                                      • Kontaktiert jeden Empf\u00e4nger, um ihn \u00fcber die L\u00f6schung zu informieren, falls die personenbezogenen Daten an Dritte weitergegeben wurden, es sei denn, dies ist unm\u00f6glich oder mit einem unverh\u00e4ltnism\u00e4\u00dfigen Aufwand verbunden. Wenn personenbezogene Daten in einer Online-Umgebung ver\u00f6ffentlicht wurden, ergreift die Organisation angemessene Ma\u00dfnahmen, um anderen Datenverantwortlichen mitzuteilen, dass sie Links zu diesen Daten sowie Kopien oder Replikationen dieser Daten l\u00f6schen sollen, sofern sie diese verarbeiten.\u00a0<\/li>\n\n\n\n
                                                                                                      • Informiert die betroffene Person bei jeder Anfrage dar\u00fcber, welche Drittanbieter die personenbezogenen Daten erhalten haben.\u00a0<\/li>\n\n\n\n
                                                                                                      • Stellt personenbezogene Daten auf Anfrage in einem strukturierten, g\u00e4ngigen und maschinenlesbaren Format zur Verf\u00fcgung. Wenn m\u00f6glich und wenn eine Person dies w\u00fcnscht, kann die Organisation die Informationen direkt an eine andere Organisation weiterleiten.<\/li>\n<\/ul>\n\n\n\n

                                                                                                        19) Metriken zur Gew\u00e4hrleistung der Datenminimierung\u202f\u00a0<\/strong>\u00a0<\/p>\n\n\n\n

                                                                                                        Metriken zur Minimierung der Menge an verarbeiteten Daten sind implementiert.\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                        Zum Beispiel f\u00fcr jede Verarbeitungsaktivit\u00e4t von Sinch:\u00a0\u00a0<\/p>\n\n\n\n

                                                                                                          \n
                                                                                                        • Implementierte Metriken, die sicherstellen, dass die Erhebung von personenbezogenen Daten angemessen, relevant und streng auf das beschr\u00e4nkt ist, was im Hinblick auf die Zwecke, f\u00fcr die sie verarbeitet werden, notwendig ist.\u00a0\u00a0<\/li>\n\n\n\n
                                                                                                        • Hat beurteilt, dass die Zwecke seiner Verarbeitungsaktivit\u00e4t nicht mit weniger in die Privatsph\u00e4re eingreifenden Daten (z. B. durch die Arbeit mit weniger granularen Daten) oder durch ein weniger eingreifendes Verfahren (d. h. die Verwendung weniger eingreifender Mittel) erreicht werden k\u00f6nnen.\u00a0<\/li>\n\n\n\n
                                                                                                        • Dokumentierte die Anforderung f\u00fcr jedes Datenfeld in Bezug auf den Zweck.\u00a0<\/li>\n<\/ul>\n\n\n\n

                                                                                                          ANHANG 3<\/strong><\/p>\n\n\n\n

                                                                                                          ABWEICHUNGEN<\/strong><\/p>\n\n\n\n

                                                                                                            \n
                                                                                                          1. Deviations.<\/strong> \n
                                                                                                              \n
                                                                                                            1. For Customers and contracts in Brazil, in addition to what is agreed upon in this DPA, the established obligations will adopt the following word and guidelines: \n
                                                                                                                \n
                                                                                                              1. The definitions highlighted below shall replace the ones used in this DPA: \n
                                                                                                                  \n
                                                                                                                1. „Besondere Kategorien personenbezogener Daten“ sind sensible personenbezogene Daten, d. h. Daten \u00fcber die rassische oder ethnische Herkunft, religi\u00f6se \u00dcberzeugungen, politische Meinungen, die Mitgliedschaft in einer Gewerkschaft oder einer religi\u00f6sen, weltanschaulichen oder politischen Organisation, Daten \u00fcber Gesundheit oder das Sexualleben einer nat\u00fcrlichen Person, genetische oder biometrische Daten, sofern sie sich auf eine nat\u00fcrliche Person beziehen.<\/li>\n\n\n\n
                                                                                                                2. \u201eGeltenden Datenschutzgesetze\u201c bedeutet das brasilianische allgemeine Datenschutzgesetz (Gesetz Nr. 13.709\/2018) (\u201eLGPD\u201c) und die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten K\u00f6nigreichs) umgesetzt und von Zeit zu Zeit ge\u00e4ndert, ersetzt oder abgel\u00f6st wird, sowie Gesetze zur Umsetzung, Ersetzung oder Erg\u00e4nzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschlie\u00dflich des California Consumer Privacy Act von 2018, Cal. Civ. Code \u00a7 1798.100 ff. (\u201eCCPA\u201c).\u00a0<\/li>\n\n\n\n
                                                                                                                3. Unter „Datenverarbeitung“ ist jeder Vorgang zu verstehen, der mit personenbezogenen Daten durchgef\u00fchrt wird, wie z. B. das Erheben, das Erstellen, der Erhalt, die Klassifizierung, die Verwendung, der Zugriff, die Reproduktion, die \u00dcbermittlung, die Verteilung, die Verarbeitung, die Archivierung, die Speicherung, die L\u00f6schung, die Informationsbewertung oder -kontrolle, die \u00c4nderung, die Mitteilung, die \u00dcbertragung, die Verbreitung oder die Extraktion.<\/li>\n\n\n\n
                                                                                                                4. Die Begriffe \u201eEinwilligung\u201c, \u201eAuftragsdatenverarbeiter\u201c, \u201eDatenverantwortlicher\u201c, \u201ebetroffene Person\u201c, \u201epersonenbezogenen Daten\u201c, \u201eVerarbeitung\u201c und \u201enationale Beh\u00f6rde\u201c haben die Bedeutungen, die ihnen im LGPD zugewiesen sind. In Ermangelung einer spezifischen Definition im LGPD wird die in Artikel 4 der DSGVO enthaltene Definition f\u00fcr die folgenden Begriffe \u00fcbernommen: \u201eDrittanbieter\u201c, \u201eVerletzung personenbezogener Daten\u201c, \u201eUnterauftragsverarbeiter\u201c und \u201eAufsichtsbeh\u00f6rde(n)\u201c (oder \u201eKontrollbeh\u00f6rde\u201c).\u00a0<\/li>\n<\/ol>\n<\/li>\n\n\n\n
                                                                                                                5. Der Abschnitt 3(b) erh\u00e4lt folgenden Wortlaut:\u00a0
                                                                                                                  Sinch wird die personenbezogenen Daten des Kunden nur verarbeiten f\u00fcr die Zwecke (i) der Erf\u00fcllung seiner Verpflichtungen aus dem Hauptabkommen; (ii) der regelm\u00e4\u00dfigen Aus\u00fcbung von Rechten, einschlie\u00dflich vertraglicher und in gerichtlichen, administrativen und schiedsrichterlichen Verfahren; (iii) der Sicherstellung der Betrugspr\u00e4vention und der Sicherheit der betroffenen Person; und (iv) in \u00dcbereinstimmung mit den in diesem Nachtrag zur Datenverarbeitung beschriebenen dokumentierten Anweisungen oder wie anderweitig vom Kunden von Zeit zu Zeit angewiesen. Die Anweisungen des Kunden sind in der entsprechenden Bestellung, Dienstleistungsbeschreibung, in einem Support-Ticket, in sonstigen schriftlichen Mitteilungen oder gem\u00e4\u00df den Anweisungen des Kunden bei der Nutzung der Dienste (wie etwa \u00fcber eine API oder ein Dashboard) zu dokumentieren.\u00a0<\/li>\n\n\n\n
                                                                                                                6. Die in Klausel 13(b) enthaltenen Bestimmungen finden keine Anwendung.\u00a0<\/li>\n\n\n\n
                                                                                                                7. Der Abschnitt 6 (b) erh\u00e4lt folgenden Wortlaut:\u00a0\u00a0
                                                                                                                  Die internen Betriebsverfahren beider Parteien m\u00fcssen den spezifischen Anforderungen eines effektiven Managements f\u00fcr den Schutz der Daten und der Informationssicherheit entsprechen, einschlie\u00dflich, aber nicht beschr\u00e4nkt auf Zugriffsverwaltung, Betrugspr\u00e4vention und unrechtm\u00e4\u00dfige Nutzung der Dienste von Sinch.\u00a0\u00a0<\/li>\n<\/ol>\n<\/li>\n\n\n\n
                                                                                                                8. For Customers and contracts in Colombia, in addition to what is agreed upon in this DPA, the following is applicable concerning the definition of the term \u201cApplicable Data Protection Laws\u201d as well the processing and transfer of personal data:  \n
                                                                                                                    \n
                                                                                                                  1. \u201eGeltenden Datenschutzgesetze\u201c bedeutet das kolumbianische Statutory Law 1581 aus dem Jahr 2012 und das Regulatory Decree 1377 aus dem Jahr 2013 sowie weitere Vorschriften, die diese \u00e4ndern, ersetzen oder erg\u00e4nzen, sowie die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten K\u00f6nigreichs) umgesetzt und von Zeit zu Zeit ge\u00e4ndert, ersetzt oder abgel\u00f6st wird, sowie Gesetze zur Umsetzung, Ersetzung oder Erg\u00e4nzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschlie\u00dflich des California Consumer Privacy Act von 2018, Cal. Civ. Code \u00a7 1798.100 ff. (\u201eCCPA\u201c).\u00a0<\/li>\n\n\n\n
                                                                                                                  2. \u201eDer Datenverantwortliche nimmt zur Kenntnis, dass der Auftragsdatenverarbeiter personenbezogenen Daten in Gebiete au\u00dferhalb Kolumbiens \u00fcbermitteln, speichern und verarbeiten kann, wo sie den Gesetzen der ausl\u00e4ndischen Rechtsordnungen unterliegen, in denen sie aufbewahrt werden. Der Datenverantwortliche best\u00e4tigt, dass er \u00fcber alle erforderlichen vorherigen Genehmigungen der betroffenen Personen und Datenbankeintr\u00e4ge verf\u00fcgt, die es dem Auftragsdatenverarbeiter erlauben, die Daten in Datenbanken und in L\u00e4ndern zu verarbeiten, die mindestens die gleichen Standards f\u00fcr den Schutz der Daten (angemessenes Schutzniveau) erf\u00fcllen wie die kolumbianischen Gesetze (wie u. a. das Statutory Law 1581 aus dem Jahr 2012, das Regulatory Decree 1377 aus dem Jahr 2013, das Decree Nr. 90 aus dem Jahr 2018,\u00a0das Unique Circular der Superintendence of Industry and Commerce und das External Circular Nr. 005 aus dem Jahr 2017 der Superintendence of Industry and Commerce sowie andere Vorschriften, die diese \u00e4ndern, ersetzen oder erg\u00e4nzen).\u201c\u00a0<\/li>\n<\/ol>\n<\/li>\n\n\n\n
                                                                                                                  3. F\u00fcr Kunden und Vertr\u00e4ge in Argentinien gilt zus\u00e4tzlich zu dem, was in diesem Nachtrag zur Datenverarbeitung vereinbart wurde, in Bezug auf die Verarbeitung und \u00dcbermittlung von personenbezogenen Daten Folgendes: Der Kunde best\u00e4tigt, dass er \u00fcber alle erforderlichen vorherigen Genehmigungen der betroffenen Personen f\u00fcr die Verarbeitung und \u00dcbermittlung der personenbezogenen Daten, einschlie\u00dflich sensibler Daten, falls zutreffend, an SINCH verf\u00fcgt. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung der personenbezogenen Daten in \u00dcbereinstimmung mit dem Gesetz Nr. 25.326 (\u201eGesetz zum Schutz der personenbezogenen Daten der Republik Argentinien\u201c) und den von der Agentur f\u00fcr den Zugang zu \u00f6ffentlichen Informationen erlassenen Bestimmungen und Beschl\u00fcssen erfolgt. Die \u00dcbermittlung von personenbezogenen Daten an L\u00e4nder oder internationale oder supranationale Organisationen wird nur an Empf\u00e4nger durchgef\u00fchrt, die ein angemessenes Schutzniveau bieten.\u00a0\u00a0<\/li>\n\n\n\n
                                                                                                                  4. For Customers and contracts in Uruguay, in addition to what is agreed upon in this DPA, the following applies concerning the processing and transfer of personal data: \n
                                                                                                                      \n
                                                                                                                    1. Der Datenverantwortliche best\u00e4tigt, dass er \u00fcber alle erforderlichen vorherigen Genehmigungen der betroffenen Personen und der Datenbankeintr\u00e4ge verf\u00fcgt, die es Sinch erlauben, die personenbezogenen Daten zu verarbeiten und sie in L\u00e4nder zu \u00fcbertragen und\/oder zu \u00fcbermitteln, die mindestens den gleichen Standard f\u00fcr den Schutz der personenbezogenen Daten (angemessenes Schutzniveau) erf\u00fcllen, wie er in der uruguayischen Gesetzgebung vorgesehen ist, wie z. B., aber nicht beschr\u00e4nkt auf, das Gesetz Nr. 18.331, das Regulatory Decree Nr. 414\/009 und das Gesetz Nr. 19.670 sowie andere Vorschriften, die diese \u00e4ndern, ersetzen oder erg\u00e4nzen.\u00a0<\/li>\n\n\n\n
                                                                                                                    2. Die in Klausel 13(b) enthaltenen Bestimmungen finden keine Anwendung.\u00a0<\/li>\n<\/ol>\n<\/li>\n\n\n\n
                                                                                                                    3. F\u00fcr Kunden und Vertr\u00e4ge in Mexiko ersetzen zus\u00e4tzlich zu den in diesem Nachtrag zur Datenverarbeitung vereinbarten Bestimmungen die unten hervorgehobenen Definitionen die in diesem Nachtrag zur Datenverarbeitung verwendeten Definitionen:\u00a0\u00a0
                                                                                                                      \u201eGeltenden Datenschutzgesetze\u201c bedeutet das mexikanische Bundesgesetz \u00fcber den Schutz der personenbezogenen Daten in den H\u00e4nden von Privatpersonen (\u201eLFPDPPP\u201c) und andere Vorschriften, die das Vorgenannte \u00e4ndern, ersetzen oder erg\u00e4nzen, sowie die DSGVO, wie sie in die nationale Gesetzgebung jedes Mitgliedstaats (und des Vereinigten K\u00f6nigreichs) umgesetzt und von Zeit zu Zeit ge\u00e4ndert, ersetzt oder abgel\u00f6st wird, sowie Gesetze zur Umsetzung, Ersetzung oder Erg\u00e4nzung der DSGVO und alle Gesetze, die auf die Verarbeitung der personenbezogenen Daten des Kunden anwendbar sind, einschlie\u00dflich des California Consumer Privacy Act von 2018, Cal. Civ. Code \u00a7 1798.100 ff. (\u201eCCPA\u201c).\u00a0<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n","protected":false},"author":19,"parent":58356,"menu_order":50,"template":"","meta":{"_acf_changed":false,"footnotes":""},"legal_category":[],"class_list":["post-35988","legal","type-legal","status-publish","hentry"],"acf":[],"yoast_head":"\nExplore Data Processing Agreement - Sinch<\/title>\n<meta name=\"description\" content=\"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Explore Data Processing Agreement - Sinch\" \/>\n<meta property=\"og:description\" content=\"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/\" \/>\n<meta property=\"og:site_name\" content=\"Sinch\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/wearesinch\/\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-17T15:40:17+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/sinch.com\/wp-content\/uploads\/2026\/02\/SI-Powering-Trusted-Comms.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"668\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@WeAreSinch\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data1\" content=\"28 Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/data-processing-agreement\\\/\",\"url\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/data-processing-agreement\\\/\",\"name\":\"Explore Data Processing Agreement - Sinch\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#website\"},\"datePublished\":\"2021-10-31T10:03:00+00:00\",\"dateModified\":\"2026-03-17T15:40:17+00:00\",\"description\":\"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/data-processing-agreement\\\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/data-processing-agreement\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/data-processing-agreement\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/sinch.com\\\/de\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Legal\",\"item\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Terms and Conditions\",\"item\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"Other Sinch Terms & Conditions\",\"item\":\"https:\\\/\\\/sinch.com\\\/de\\\/legal\\\/terms-and-conditions\\\/other-sinch-terms-conditions\\\/\"},{\"@type\":\"ListItem\",\"position\":5,\"name\":\"Vereinbarung \u00fcber die Datenverarbeitung (AV-Vertrag)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#website\",\"url\":\"https:\\\/\\\/sinch.com\\\/de\\\/\",\"name\":\"Sinch\",\"description\":\"SMS Messaging, Voice, Email, Video & Verification APIs | Sinch\",\"publisher\":{\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/sinch.com\\\/de\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#organization\",\"name\":\"Sinch\",\"url\":\"https:\\\/\\\/sinch.com\\\/de\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/sinch.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Thumbnail-Logo-Honey.png\",\"contentUrl\":\"https:\\\/\\\/sinch.com\\\/wp-content\\\/uploads\\\/2024\\\/09\\\/Thumbnail-Logo-Honey.png\",\"width\":800,\"height\":496,\"caption\":\"Sinch\"},\"image\":{\"@id\":\"https:\\\/\\\/sinch.com\\\/de\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/wearesinch\\\/\",\"https:\\\/\\\/x.com\\\/WeAreSinch\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/sinch\",\"https:\\\/\\\/www.youtube.com\\\/channel\\\/UCZZ2u_B2afTxA0v-xcgfsaw\",\"https:\\\/\\\/www.instagram.com\\\/wearesinch\\\/\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Explore Data Processing Agreement - Sinch","description":"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/","og_locale":"de_DE","og_type":"article","og_title":"Explore Data Processing Agreement - Sinch","og_description":"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.","og_url":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/","og_site_name":"Sinch","article_publisher":"https:\/\/www.facebook.com\/wearesinch\/","article_modified_time":"2026-03-17T15:40:17+00:00","og_image":[{"width":1200,"height":668,"url":"https:\/\/sinch.com\/wp-content\/uploads\/2026\/02\/SI-Powering-Trusted-Comms.png","type":"image\/png"}],"twitter_card":"summary_large_image","twitter_site":"@WeAreSinch","twitter_misc":{"Gesch\u00e4tzte Lesezeit":"28 Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/","url":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/","name":"Explore Data Processing Agreement - Sinch","isPartOf":{"@id":"https:\/\/sinch.com\/de\/#website"},"datePublished":"2021-10-31T10:03:00+00:00","dateModified":"2026-03-17T15:40:17+00:00","description":"At Sinch we take data protection very seriously. You can find out about our data protection agreement here. Have a question? Get in contact with us today.","breadcrumb":{"@id":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/data-processing-agreement\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/sinch.com\/de\/"},{"@type":"ListItem","position":2,"name":"Legal","item":"https:\/\/sinch.com\/de\/legal\/"},{"@type":"ListItem","position":3,"name":"Terms and Conditions","item":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/"},{"@type":"ListItem","position":4,"name":"Other Sinch Terms & Conditions","item":"https:\/\/sinch.com\/de\/legal\/terms-and-conditions\/other-sinch-terms-conditions\/"},{"@type":"ListItem","position":5,"name":"Vereinbarung \u00fcber die Datenverarbeitung (AV-Vertrag)"}]},{"@type":"WebSite","@id":"https:\/\/sinch.com\/de\/#website","url":"https:\/\/sinch.com\/de\/","name":"Sinch","description":"SMS Messaging, Voice, Email, Video & Verification APIs | Sinch","publisher":{"@id":"https:\/\/sinch.com\/de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sinch.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/sinch.com\/de\/#organization","name":"Sinch","url":"https:\/\/sinch.com\/de\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/sinch.com\/de\/#\/schema\/logo\/image\/","url":"https:\/\/sinch.com\/wp-content\/uploads\/2024\/09\/Thumbnail-Logo-Honey.png","contentUrl":"https:\/\/sinch.com\/wp-content\/uploads\/2024\/09\/Thumbnail-Logo-Honey.png","width":800,"height":496,"caption":"Sinch"},"image":{"@id":"https:\/\/sinch.com\/de\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/wearesinch\/","https:\/\/x.com\/WeAreSinch","https:\/\/www.linkedin.com\/company\/sinch","https:\/\/www.youtube.com\/channel\/UCZZ2u_B2afTxA0v-xcgfsaw","https:\/\/www.instagram.com\/wearesinch\/"]}]}},"_links":{"self":[{"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal\/35988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal"}],"about":[{"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/types\/legal"}],"author":[{"embeddable":true,"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/users\/19"}],"version-history":[{"count":3,"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal\/35988\/revisions"}],"predecessor-version":[{"id":181565,"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal\/35988\/revisions\/181565"}],"up":[{"embeddable":true,"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal\/58356"}],"wp:attachment":[{"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/media?parent=35988"}],"wp:term":[{"taxonomy":"legal_category","embeddable":true,"href":"https:\/\/sinch.com\/de\/wp-json\/wp\/v2\/legal_category?post=35988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}