Datenschutzvereinbarung

17. Juli 2024

1. Einleitung

Ziel der Datenschutzvereinbarung (nachfolgend „DSV“) ist es, die Nutzung personenbezogener Daten des Kunden, der als Verantwortlicher handelt (nachfolgend „Kunde“), durch Hublead zu regeln, das als Auftragsverarbeiter handelt (nachfolgend „Auftragsverarbeiter“) im Rahmen des Vertrags (nachfolgend „Vertrag“).

2. Verpflichtungen

Der Auftragsverarbeiter verpflichtet sich und bestätigt, dass er alle Bestimmungen der geltenden Datenschutzvorschriften einhält, einschließlich der Datenschutz-Grundverordnung (nachfolgend „DSGVO“; Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) und des französischen Datenschutzgesetzes (Gesetz Nr. 78-17 vom 6. Januar 1978 über Informatik, Dateien und Freiheiten). Der Auftragsverarbeiter erklärt, dass er alle ausreichenden Garantien bietet, um die Anforderungen der geltenden Datenschutzvorschriften zu erfüllen und insbesondere die Vertraulichkeit und den Schutz der Daten des Kunden zu gewährleisten.

3. Weisungen

Der Auftragsverarbeiter erklärt und verpflichtet sich, die Daten des Kunden nur auf Grundlage seiner dokumentierten Weisungen zu verwenden, die im Vertrag beschrieben sind.

Der Kunde verpflichtet sich, den Auftragsverarbeiter über jede Änderung der Weisungen zu informieren, die hinsichtlich der Nutzung seiner personenbezogenen Daten vorgenommen werden können. Der Auftragsverarbeiter muss den Kunden unverzüglich schriftlich benachrichtigen, wenn dessen dokumentierte Weisungen einen Verstoß gegen die geltenden Datenschutzvorschriften darstellen.

4. Vertraulichkeit

Der Auftragsverarbeiter erklärt und bestätigt, dass alle seine Mitarbeiter, die personenbezogene Daten des Kunden verarbeiten, durch eine Vertraulichkeitsklausel oder eine andere rechtliche Vereinbarung gebunden sind, die die Vertraulichkeit der personenbezogenen Daten des Kunden gewährleistet. Der Auftragsverarbeiter verpflichtet sich, seine Mitarbeiter regelmäßig zu den geltenden Datenschutzvorschriften zu schulen.

5. Sicherheit

Der Auftragsverarbeiter bestätigt und verpflichtet sich, die Sicherheit der personenbezogenen Daten des Kunden zu gewährleisten und die in Anhang 1 dieser DSV aufgeführten technischen und organisatorischen Maßnahmen umzusetzen, die erforderlich sind, um jedes Risiko einer Datenpanne zu verhindern.

6. Datenpanne

Der Auftragsverarbeiter verpflichtet sich, den Kunden unverzüglich nach Kenntnisnahme über jede Datenpanne zu informieren, die die personenbezogenen Daten des Kunden betreffen könnte. Die Benachrichtigung muss alle Informationen enthalten, die der Kunde zur Bearbeitung der in Artikel 28 der DSGVO beschriebenen Datenpanne benötigt. Im Falle einer Datenpanne verpflichtet sich der Auftragsverarbeiter, alle erforderlichen Maßnahmen zu ergreifen, um die Auswirkungen der Datenpanne zu beheben. Sofern der Kunde nicht seine ausdrückliche, vorherige und schriftliche Zustimmung erteilt hat, ist der Auftragsverarbeiter nicht befugt, Datenpannen der Aufsichtsbehörde und den betroffenen Personen zu melden.

7. Hilfe und Unterstützung hinsichtlich der Sicherheit

Der Auftragsverarbeiter stellt dem Kunden alle notwendigen und erforderlichen Informationen über die im Rahmen des Vertrags umzusetzenden technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung, um die Sicherheit seiner personenbezogenen Daten zu gewährleisten. Der Auftragsverarbeiter stellt dem Kunden auf schriftliche Anfrage alle notwendigen Informationen zur Verfügung, um eine Datenschutz-Folgenabschätzung („DSFA“) durchzuführen. Der Auftragsverarbeiter ist nicht verpflichtet, die Sicherheit des Kunden zu gewährleisten oder zu überwachen oder eine DSFA im Auftrag des Kunden durchzuführen. Jede zusätzliche Anfrage zur Bereitstellung von Informationen kann abgelehnt werden, und gegebenenfalls kann eine zusätzliche Dienstleistung in Rechnung gestellt werden.

8. Hilfe und Unterstützung hinsichtlich der Rechte der betroffenen Personen

Der Auftragsverarbeiter stellt dem Kunden auf schriftliche Anfrage alle notwendigen und erforderlichen Informationen zur Verfügung, damit der Kunde seiner Pflicht zur Erfüllung der Anfragen der betroffenen Personen nachkommen kann. Der Auftragsverarbeiter führt auf schriftliche Anfrage des Kunden die technischen Maßnahmen durch, die erforderlich sind, damit der Kunde seiner Pflicht zur Erfüllung der Anfragen der betroffenen Personen nachkommen kann. Der Auftragsverarbeiter ist jedoch nicht verpflichtet, Anfragen zu Rechten von Einzelpersonen anstelle und im Auftrag des Kunden zu bearbeiten. Jede zusätzliche Anfrage zur Sicherstellung einer solchen Verwaltung kann abgelehnt werden, und gegebenenfalls kann eine zusätzliche Dienstleistung in Rechnung gestellt werden.

9. Unterauftragsverarbeiter

Der Kunde stimmt zu, dass der Auftragsverarbeiter mit den in Anhang 2 dieser DSV aufgeführten Unterauftragsverarbeitern zusammenarbeiten darf, ausschließlich zum Zweck der Erfüllung des Vertrags. Der Auftragsverarbeiter muss den Kunden mindestens zwei Monate vor der Änderung der Liste der Unterauftragsverarbeiter gemäß Anhang 2 per E-Mail informieren, damit der Kunde Einspruch erheben kann.

Der Auftragsverarbeiter verpflichtet sich, nur Unterauftragsverarbeiter mit den notwendigen und ausreichenden Garantien einzusetzen, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten des Kunden zu gewährleisten. Der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss ähnliche Pflichten enthalten wie die in diesem Vertrag festgelegten. Der Kunde kann per Einschreiben mit Rückschein widersprechen, wenn (i) der Unterauftragsverarbeiter ein Wettbewerber des Kunden ist, (ii) der Kunde und der Unterauftragsverarbeiter sich in einem Vor-Rechtsstreit oder Rechtsstreit befinden, und (iii) der Unterauftragsverarbeiter innerhalb eines Jahres nach seiner Beauftragung durch den Auftragsverarbeiter von einer Datenschutzaufsichtsbehörde verurteilt wurde. Jede dieser Situationen muss nachgewiesen werden. Sofern der Auftragsverarbeiter sich nicht verpflichtet, den Unterauftragsverarbeiter innerhalb von drei Monaten nach Eingang des Widerspruchs zu ändern, kann der Kunde den Vertrag unter Einhaltung einer Kündigungsfrist von sechs (6) Monaten und ohne Entschädigung kündigen. In jedem Fall bleibt der Auftragsverarbeiter für die Handlungen des Unterauftragsverarbeiters im Rahmen des Vertrags verantwortlich.

10. Verbleib personenbezogener Daten

Der Kunde informiert den Auftragsverarbeiter schriftlich und spätestens einen Monat vor Ende des Vertrags über seine Wahl: (Option 1) Rückgabe der personenbezogenen Daten an den Auftragsverarbeiter und anschließende Löschung der personenbezogenen Daten und aller vorhandenen Kopien, oder (Option 2) direkte Löschung der personenbezogenen Daten und aller vorhandenen Kopien, oder (Option 3) Übertragung der personenbezogenen Daten an einen neuen Anbieter und anschließende Löschung der personenbezogenen Daten und aller vorhandenen Kopien. Sofern im Vertrag nicht anders vorgesehen, muss Option 3 Gegenstand eines Kostenvoranschlags durch den Auftragsverarbeiter sein. Wenn der Kunde den Auftragsverarbeiter nicht innerhalb der vorgesehenen Frist über seine Wahl informiert, behält sich der Auftragsverarbeiter das Recht vor, die Daten und alle Kopien direkt zu löschen (Option 2). Der Auftragsverarbeiter bestätigt dem Kunden schriftlich, dass die personenbezogenen Daten und alle Kopien wirksam gelöscht wurden.

11. Audits

Der Kunde hat das Recht, einmal jährlich ein Audit in Form eines schriftlichen Fragebogens durchzuführen, um die Einhaltung dieses Vertrags zu überprüfen. Der Fragebogen hat die Kraft einer eidesstattlichen Erklärung, die den Auftragsverarbeiter bindet. Der Fragebogen kann dem Auftragsverarbeiter in jeder Form übermittelt werden, der sich verpflichtet, innerhalb von maximal zwei Monaten nach Erhalt zu antworten. Der Kunde hat außerdem das Recht, einmal jährlich ein Vor-Ort-Audit auf eigene Kosten durchzuführen, jedoch nur im Falle einer Datenpanne oder Nichteinhaltung der geltenden Datenschutzvorschriften und dieses Vertrags, einschließlich wie durch den schriftlichen Fragebogen festgestellt. Ein Vor-Ort-Audit kann entweder vom Kunden oder von einem vom Kunden beauftragten unabhängigen Dritten durchgeführt werden und muss dem Auftragsverarbeiter mindestens dreißig (30) Tage vor dem Audit schriftlich mitgeteilt werden. Der Auftragsverarbeiter hat das Recht, die Wahl des unabhängigen Dritten abzulehnen, wenn dieser i) ein Wettbewerber ist oder ii) sich in einem Vor-Rechtsstreit oder Rechtsstreit mit ihm befindet. In diesem Fall verpflichtet sich der Kunde, einen neuen unabhängigen Dritten für die Durchführung des Audits auszuwählen. Der Auftragsverarbeiter kann den Zugang zu bestimmten Bereichen aus Vertraulichkeits- oder Sicherheitsgründen verweigern. In diesem Fall führt der Auftragsverarbeiter das Audit in diesen Bereichen auf eigene Kosten durch und teilt die Ergebnisse dem Kunden mit. Im Falle von Abweichungen während des Audits verpflichtet sich der Auftragsverarbeiter, unverzüglich die erforderlichen Maßnahmen zur Einhaltung dieses Vertrags umzusetzen.

12. Übermittlung personenbezogener Daten außerhalb der Europäischen Union

Der Auftragsverarbeiter bestätigt und verpflichtet sich, alles Notwendige zu tun, um personenbezogene Daten des Kunden nicht außerhalb der Europäischen Union zu übermitteln oder Unterauftragsverarbeiter außerhalb der Europäischen Union einzusetzen. Sollten solche Übermittlungen dennoch im Rahmen des Vertrags erforderlich sein, bestätigt und erklärt der Auftragsverarbeiter, dass er alle erforderlichen Mechanismen zur Regelung dieser Übermittlungen umsetzen wird, insbesondere verbindliche Unternehmensregeln („BCR“) oder von der Europäischen Kommission angenommene Standarddatenschutzklauseln.

13. Zusammenarbeit mit den Aufsichtsbehörden

In Bezug auf die im Rahmen des Vertrags durchgeführte Verarbeitung verpflichtet sich der Auftragsverarbeiter, auf Anfrage alle erforderlichen Informationen bereitzustellen, damit der Kunde mit der zuständigen Aufsichtsbehörde zusammenarbeiten kann.

14. Kontakt

Sowohl der Kunde als auch der Auftragsverarbeiter benennen einen Ansprechpartner, der für diesen Vertrag zuständig ist und der die verschiedenen Benachrichtigungen und Mitteilungen im Rahmen des Vertrags empfängt. Wenn ein Datenschutzbeauftragter („DSB“) vom Kunden und/oder dem Auftragsverarbeiter bestellt wurde, ist der Ansprechpartner zwingend der Datenschutzbeauftragte.

15. Nichtigkeit

Im Falle der Nichtigkeit des Vertrags, unabhängig von der Ursache, hat der Kunde dem Auftragsverarbeiter schriftlich innerhalb einer Frist von einem Monat nach Ausspruch der Nichtigkeit seine Entscheidung über den Verbleib seiner Daten gemäß Artikel 10 dieses Vertrags mitzuteilen.

16. Änderung

Der Kunde behält sich das Recht vor, diesen Vertrag zu ändern, falls Änderungen der geltenden Datenschutzvorschriften eine Änderung einer seiner Bestimmungen zur Folge haben.

17. Anwendbares Recht

Ungeachtet anderslautender Bestimmungen im Vertrag unterliegt dieser Vertrag französischem Recht. Jeder Streit im Zusammenhang mit der Erfüllung dieses Vertrags unterliegt der ausschließlichen Zuständigkeit der Gerichte des Bezirks des Berufungsgerichts am Wohnsitz des Kunden.

Anhang 1 – Sicherheitsmaßnahmen

Hublead nimmt Sicherheit sehr ernst. Unser Team hat auf jeder Ebene Sicherheits-Best-Practices implementiert.

Sicherheitspraktiken in unserem Team

Hublead verkauft keine Kundendaten und unsere Richtlinie besteht darin, die Datenprivatsphäre unserer Nutzer zu respektieren. Unser Geschäftsmodell basiert auf kostenpflichtigen Hublead-Abonnements.

  • Zwei-Faktor-Authentifizierung wird bei den von Hublead genutzten Drittanbieter-Diensten verwendet
  • Jeder Computer, auf dem Hublead-Entwicklungswerkzeuge laufen, ist gesichert und auf dem neuesten Stand
  • Mitarbeiter, die über unser internes System auf Kundendaten zugreifen können, haben unterschiedliche Sicherheitsstufen. Wir stellen sicher, dass sie nur Zugang zu relevanten Daten haben (d.h. keine Chat-Nachrichten, keine Endkunden-Daten).
  • Hublead-Mitarbeitercomputer speichern keine Kundendaten
  • Wir haben keine Server oder Sicherheitsschlüssel in unseren Büros. So stellen wir sicher, dass Hublead- und Nutzerdaten im Falle eines Einbruchs in unsere Büros nicht gefährdet sind.

Infrastruktur- & Datensicherheit

Hier sind einige unserer Praktiken in Bezug auf Infrastruktur & Datenmanagement:

  • Alle Server und Dienste laufen mit den neuesten Sicherheitsupdates und werden sofort gepatcht, wenn eine Kernel-Schwachstelle veröffentlicht wird
  • Server befinden sich in Frankreich
  • Unsere Datenbanken werden täglich gesichert
  • Unser Netzwerk ist durch Firewalls geschützt
  • Unser System verfügt über ein automatisches Überwachungssystem, das uns ermöglicht, Probleme zu erkennen, bevor sie unsere Kunden betreffen
  • Server-Authentifizierung über geschützte SSH-Schlüssel (direkte Passwort-Authentifizierung ist nicht möglich)
  • Missbrauchende IP-Adressen werden automatisch gesperrt oder ratenbegrenzt (verhindert Brute-Force-Angriffe auf Konten)
  • Jeglicher Datenverkehr ist verschlüsselt (TLS)
  • Unsere Datenbanken sind im Ruhezustand verschlüsselt
  • CRM-Tokens unserer Nutzer haben eine zusätzliche Verschlüsselungsschicht

Anhang 2 – Dienstleister

  1. GitHub: Code-Versionierung und -Freigabe
  2. Google Workspace: E-Mail- und Drive-Dienste
  3. HubSpot: CRM
  4. Stripe: Zahlungsdienstleister

Anhang 3 – Allgemeine Informationen

Kategorien verarbeiteter personenbezogener Daten

Standard (Name, LinkedIn-URL, öffentliche E-Mail und Telefonnummer, Berufsbezeichnung, Unternehmensinformationen, Fähigkeiten, Land, Ausbildung, Erfahrungsstufe)

Speicherdauer

Weniger als eine Stunde, in den meisten Fällen überhaupt nicht gespeichert

Rechtsgrundlage

Erfüllung des mit dem Kunden geschlossenen Vertrags

Zwecke

Übertragung personenbezogener Daten von LinkedIn in ein CRM