Auftragsverarbeitungsvertrag
Aktualisiert am 11. Oktober 2023
PARTEIEN UND HINTERGRUND
(A) Der Kunde („Kunde“) hat mit Klaviyo, Inc. („Klaviyo“) (jeweils eine „Partei“ und gemeinsam die „Parteien“) eine Vereinbarung geschlossen, in der sich Klaviyo bereit erklärt, die Dienste in Übereinstimmung mit der Vereinbarung (die „Vereinbarung“) bereitzustellen. Der vorliegende Auftragsverarbeitungsvertrag (der „AVV“) ist Bestandteil der Vereinbarung und tritt am Datum des Inkrafttretens der Vereinbarung in Kraft, mit der Ausnahme, dass für Kunden, die bereits vor dem oben genannten Aktualisierungsdatum des AVV eine Vereinbarung geschlossen haben, der AVV am 11. Oktober 2023 in Kraft tritt und alle zuvor vereinbarten Datenverarbeitungs- und Datensicherheitsregelungen ersetzt.
(B) In dem Umfang, in dem Klaviyo personenbezogene Daten des Kunden (wie nachfolgend definiert) im Auftrag des Kunden (oder, falls zutreffend, des verbundenen Unternehmens des Kunden) in Verbindung mit der Bereitstellung der Dienste verarbeitet, haben die Parteien vereinbart, dass dies in Übereinstimmung mit den Bedingungen dieses AVV erfolgt.
1. BEGRIFFSBESTIMMUNGEN
Begriffe, die in diesem AVV verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Die folgenden in diesem AVV verwendeten Begriffe werden wie folgt definiert:
„Kontoangaben“ sind die Informationen des Kunden, einschließlich der personenbezogenen Daten der Benutzer des Kunden und des verbundenen Unternehmens des Kunden, die für die Erstellung, den Zugang, die Verwaltung und die Wartung des Kontos zur Verfügung gestellt werden. Diese Informationen können Namen, Benutzernamen, Anmeldedaten, Telefonnummern, E-Mail-Adressen und Rechnungsangaben umfassen, die mit einem Klaviyo-Konto verbunden sind;
ein „verbundenes Unternehmen“ ist ein Unternehmen, das direkt oder indirekt das Eigentum oder die Kontrolle an einer Partei hält, im Eigentum oder unter der Kontrolle einer Partei steht oder mit einer Partei in gemeinsamen Eigentum oder unter gemeinsamer Kontrolle steht und eine Begünstigte der Vereinbarung ist;
„geltende Datenschutzvorschriften“ sind alle geltenden Gesetze, Regeln, Vorschriften und staatlichen Vorgaben in Bezug auf den Schutz der Privatsphäre, die Vertraulichkeit oder die Sicherheit personenbezogener Daten in ihrer jeweils gültigen Form;
„genehmigter Nachtrag“ bezeichnet die Nachtragsvorlage, Version B.1.0, die vom Information Commissioner des Vereinigten Königreichs gemäß S119A(1) Data Protection Act 2018 herausgegeben und dem Parlament des Vereinigten Königreichs am 2. Februar 2022 vorgelegt wurde, und die gemäß Abschnitt 18 der obligatorischen Klauseln (Mandatory Clauses) überarbeitet werden kann;
„personenbezogene Daten des Kunden“ sind die personenbezogenen Daten, die von Klaviyo im Auftrag des Kunden oder eines verbundenen Unternehmens des Kunden in Verbindung mit der Bereitstellung der Dienste verarbeitet werden, was jedoch ausdrücklich die personenbezogenen Daten ausschließt, die in den Kontoangaben enthalten sind;
„DPF“ oder „Data Privacy Framework“ bezeichnet den Datenschutzrahmen EU-USA oder, je nach Einschlägigkeit, die Erweiterung des Vereinigten Königreichs (UK Extension) zum Datenschutzrahmen EU-USA und den Datenschutzrahmen Schweiz-USA;
„EWR“ bezeichnet den Europäischen Wirtschaftsraum;
„Datum des Inkrafttretens“ bezeichnet das Datum des Inkrafttretens des AVV, wie vorstehend in Klausel (A) festgelegt;
„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 (die „DSGVO“) oder, sofern anwendbar, die „UK GDPR“, wie in § 3 des Data Protection Act 2018 des Vereinigter Königreichs definiert;
„verpflichtende Klauseln“ bezeichnet „Teil 2: Verpflichtende Klauseln“ („Part 2: Mandatory Clauses“) des genehmigten Nachtrags;
ein „Mitgliedstaat“ ist ein Mitgliedstaat des EWR, d. h. ein Mitgliedstaat der Europäischen Union, Island, Norwegen oder Liechtenstein;
„personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder als „persönliche Daten“, „personenbezogene Informationen“, „persönlich identifizierbare Informationen“ oder Ähnliches bezeichnet werden. Diese Begriffe haben jeweils die in den geltenden Datenschutzvorschriften definierte Bedeutung;
„Sicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf die personenbezogenen Daten des Kunden führt;
„Standardvertragsklauseln“ bezeichnet Modul Zwei (Übermittlung von Verantwortlichen an Auftragsverarbeiter) und/oder Modul Frei (Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) der Standardvertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission;
„Unterauftragsverarbeiter“ bezeichnet verbundene Unternehmen von Klaviyo und dritte Auftragsverarbeiter, die von Klaviyo mit der Verarbeitung personenbezogener Daten des Kunden beauftragt werden;
„Vereinigtes Königreich oder UK“ bezeichnet das Vereinigte Königreich von Großbritannien und Nordirland.
„US-Datenschutzvorschriften“ sind, soweit anwendbar, Vorschriften auf Bundes- und Bundesstaatenebene zum Datenschutz, zur Verarbeitung personenbezogener Daten, zum Schutz der Privatsphäre und/oder zur Datensicherheit, die jeweils in den USA gelten.
1.2 Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „verarbeiten“, „Aufsichtsbehörde“, „verkaufen“ und „Dienstleister“ haben die Bedeutung, die ihnen jeweils in den Datenschutzvorschriften zugewiesen wird.
2. ZUSAMMENWIRKEN MIT DER VEREINBARUNG
2.1 Dieser AVV ergänzt und ersetzt (im Falle von Widersprüchen) die Vereinbarung in Bezug auf die Verarbeitung personenbezogener Daten des Kunden.
2.2 In Bezug auf die verbundenen Unternehmen des Kunden gewährleistet der Kunde durch den Eintritt in die Vereinbarung, dass er ordnungsgemäß berechtigt ist, diesen AVV für und im Namen seiner verbundenen Unternehmen abzuschließen und dass jedes seiner verbundenen Unternehmen vorbehaltlich Klausel 2.3 an die Bedingungen dieses AVV gebunden ist, so als handle es sich um den Kunden selbst.
2.3 Der Kunde gewährleistet, dass er von allen verbundenen Unternehmen des Kunden, in deren Auftrag Klaviyo personenbezogene Daten des Kunden in Übereinstimmung mit diesem AVV verarbeitet, ordnungsgemäß beauftragt wurde, (a) die Bedingungen dieses AVV im Namen der verbundenen Unternehmen des Kunden durchzusetzen und im Namen der verbundenen Unternehmen des Kunden hinsichtlich der Anwendung und Wahrnehmung jeglicher im Zusammenhang mit diesem AVV entstehenden Ansprüche zu handeln; und (b) alle Benachrichtigungen oder Mitteilungen unter diesem AVV im Namen der verbundenen Unternehmen des Kunden entgegenzunehmen und zu beantworten.
2.4 Die Parteien vereinbaren, dass mit jeder Benachrichtigung oder Mitteilung, die von Klaviyo an den Kunden gesendet wird, die Verpflichtung erfüllt ist, eine solche Benachrichtigung oder Mitteilung an ein verbundenes Unternehmen des Kunden zu senden.
3. ROLLE DER PARTEIEN
3.1 Die Parteien erkennen an und vereinbaren, dass
(a) für die Zwecke der DSGVO Klaviyo als „Auftragsverarbeiter“ oder „Unterauftragsverarbeiter“ agiert. Klaviyos Funktion als Auftragsverarbeiter oder Unterauftragsverarbeiter wird durch die Funktion des Kunden bestimmt:
(i) Grundsätzlich agiert der Kunde als Verantwortlicher, während Klaviyo als Auftragsverarbeiter agiert.
(ii) In bestimmten Fällen agiert der Kunde als Auftragsverarbeiter im Namen seiner Kunden, wenn der Kunde und sein Kunde einen Auftragsverarbeitungsvertrag in Bezug auf die Verarbeitung personenbezogener Daten von den Kunden des Kunden geschlossen haben;
(b) für die Zwecke der US-Datenschutzvorschriften Klaviyo als „Dienstleister“ oder „Verarbeiter“ bei der Erfüllung seiner Verpflichtungen nach der Vereinbarung handelt;
(c) Kontoangaben nicht diesem AVV unterfallen, sondern vielmehr der Datenschutzerklärung von Klaviyo unterliegen.
4. EINZELHEITEN DER DATENVERARBEITUNG
4.1 Die Einzelheiten der Datenverarbeitung (z. B. Gegenstand, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten und betroffene Personen) sind in der Vereinbarung und in Anhang 1 beschrieben.
4.2 Die personenbezogenen Daten des Kunden werden ausschließlich im Auftrag und auf Weisung des Kunden sowie in Übereinstimmung mit den geltenden Datenschutzvorschriften verarbeitet. Die Vereinbarung und dieser AVV sind als Weisungen des Kunden zur Verarbeitung der personenbezogenen Daten des Kunden zu betrachten. Der Kunde kann im Einklang mit diesem AVV weitere schriftliche Weisungen erteilen.
4.3 Führen die Weisungen des Kunden dazu, dass Klaviyo die personenbezogenen Daten des Kunden unter Verletzung der geltenden Datenschutzvorschriften oder außerhalb des Anwendungsbereich der Vereinbarung oder der DSGVO verarbeitet, so informiert Klaviyo den Kunden unverzüglich entsprechend, es sei denn, die geltenden Datenschutzvorschriften verbieten dies (unbeschadet der Standardvertragsklauseln).
4.4 Klaviyo ist berechtigt, die personenbezogenen Daten des Kunden überall dort zu speichern und zu verarbeiten, wo Klaviyo oder seine Unterauftragsverarbeiter Einrichtungen unterhalten, vorbehaltlich Klausel 5 dieses AVV.
5. UNTERAUFTRAGSVERARBEITER
5.1 Der Kunde erteilt Klaviyo, vorbehaltlich Klausel 5.2, die allgemeine Genehmigung, in einer vereinbarten Liste benannte Unterauftragsverarbeiter sowie Klaviyos aktuelle Unterauftragsverarbeiter, die unter https://www.klaviyo.com/legal/subprocessors zum Datum des Wirksamwerdens dieser Vereinbarung aufgeführt sind, zu beauftragen.
5.2 Klaviyo (i) schließt eine schriftliche Vereinbarung mit jedem Unterauftragsverarbeiter, die diesem Datenschutzverpflichtungen auferlegt, die die personenbezogenen Daten des Kunden mindestens in dem Umfang schützen, wie es gemäß den Verpflichtungen von Klaviyo unter diesem AVV der Fall ist, in dem Umfang, in dem diese für die Art der vom jeweiligen Unterauftragsverarbeiter erbrachten Dienstleistungen gelten und (ii) bleibt für die Einhaltung der Verpflichtungen unter diesem AVV durch jeden Unterauftragsverarbeiter verantwortlich.
5.3 Klaviyo informiert den Kunden mindestens fünfzehn (15) Tage im Voraus über alle vorgeschlagenen Änderungen der Unterauftragsverarbeiter, die Klaviyo zur Verarbeitung der personenbezogenen Daten des Kunden einsetzt (einschließlich der Ergänzung oder des Austauschs von Unterauftragsverarbeitern). Der Kunde kann der Beauftragung eines neuen Unterauftragsverarbeiters durch Klaviyo in angemessener Weise widersprechen (einschließlich der Ausübung seines Widerspruchsrechts gemäß Klausel 9(a) der Standardvertragsklauseln), indem er Klaviyo innerhalb von zehn (10) Tagen, nachdem Klaviyo den Kunden über die vorgeschlagene Änderung informiert hat, schriftlich über den Widerspruch informiert („Widerspruch“). Widerspricht der Kunde der Beauftragung eines neuen Unterauftragsverarbeiters durch Klaviyo, arbeiten der Kunde und Klaviyo guten Glaubens gemeinsam daran, eine für beide Seiten annehmbare Lösung im Umgang mit diesem Widerspruch zu finden. Gelingt es den Parteien nicht, innerhalb eines angemessenen Zeitraums eine für beide Seiten annehmbare Lösung zu finden, kann jede Partei als einziges und ausschließliches Mittel zur Abhilfe die Vereinbarung durch schriftliche Mitteilung an die andere Partei kündigen. Während eines solchen Widerspruchszeitraums kann Klaviyo den betroffenen Teil der Dienste aussetzen.
6. ANFRAGEN ZU DEN RECHTEN DER BETROFFENEN PERSON
6.1 Im Verhältnis zwischen den Parteien liegt es im alleinigen Ermessen und in der alleinigen Verantwortung des Kunden, auf die von einer Einzelperson in Bezug auf die personenbezogenen Daten des Kunden geltend gemachten Rechte („Anfrage einer betroffenen Person“) zu reagieren.
6.2 Klaviyo leitet jede Anfrage einer betroffenen Person, die Klaviyo oder ein Unterauftragsverarbeiter von einer Person in Bezug auf ihre personenbezogenen Daten des Kunden erhält, unverzüglich an den Kunden weiter und rät der Person gegebenenfalls, ihre Anfrage direkt an den Kunden zu richten.
6.3 Klaviyo stellt dem Kunden (unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Kunden) eine Selbstbedienungsfunktion über die Dienste oder andere angemessene Unterstützung nach Bedarf zur Verfügung, damit der Kunde seine Verpflichtung zur Beantwortung der Anfragen betroffener Personen unter den geltenden Datenschutzvorschriften erfüllen kann. Klaviyo kann dem Kunden eine Gebühr in Rechnung stellen und der Kunde hat Klaviyo die Kosten für eine solche Unterstützung, die über die Bereitstellung von Selbstbedienungsfunktionen, die Teil der Dienste sind, hinausgeht, zu erstatten.
7. SICHERHEIT UND PRÜFUNGEN
7.1 Klaviyo sorgt für die angemessene technische und organisatorische Implementierung und Aufrechterhaltung von Datenschutz- und Sicherheitsmaßnahmen, um die Sicherheit der personenbezogenen Daten des Kunden zu gewährleisten, einschließlich, jedoch nicht beschränkt auf den Schutz vor unbefugter oder rechtswidriger Verarbeitung (einschließlich, jedoch nicht beschränkt auf die unbefugte oder rechtswidrige Weitergabe von, den Zugang zu und/oder die Änderung von personenbezogenen Daten des Kunden) sowie vor versehentlichem Verlust, Vernichtung oder Beschädigung dieser Daten.
7.2 Klaviyo sorgt mindestens für die Implementierung und Aufrechterhaltung der in Anhang 2 aufgeführten Maßnahmen. Klaviyo ist berechtigt, die in Anhang 2 aufgeführten Sicherheitsmaßnahmen zu aktualisieren oder zu ändern, einschließlich (falls zutreffend) nach einer Überprüfung dieser Maßnahmen durch Klaviyo in Übereinstimmung mit Klausel 8.6 der Standardvertragsklauseln, vorausgesetzt, dass solche Aktualisierungen und/oder Änderungen das Gesamtniveau des Schutzes, für das Klaviyo in Bezug auf die personenbezogenen Daten des Kunden sorgt, nicht verringern.
7.3 Der Kunde oder ein von ihm beauftragter und für Klaviyo akzeptabler Prüfer (dies schließt keine Prüfer ein, die nicht entsprechend qualifiziert oder unabhängig sind oder bei denen es sich um Wettbewerber von Klaviyo handelt) können die Einhaltung der Verpflichtungen von Klaviyo unter diesem AVV bis zu einmal pro Jahr prüfen, oder häufiger, wenn ein Sicherheitsvorfall eingetreten ist oder in dem Umfang, der durch die geltenden Datenschutzvorschriften vorgeschrieben ist, einschließlich der Fälle, in denen dies von der Aufsichtsbehörde oder einer anderen öffentlichen Behörde dem Kunden vorgeschrieben wird.
7.4 Um eine solche Prüfung zu verlangen, hat der Kunde Klaviyo spätestens zwei Wochen vor dem vorgesehenen Prüftermin einen detaillierten Prüfplan vorzulegen. Klaviyo prüft den vorgeschlagenen Prüfplan und kooperiert mit dem Kunden bei der Festlegung eines endgültigen Prüfplans. Solche Prüfungen sind während der regulären Geschäftszeiten durchzuführen, vorbehaltlich des vereinbarten endgültigen Prüfplans und der Arbeitsschutzrichtlinien oder anderer einschlägiger Richtlinien von Klaviyo, und dürfen die Geschäftstätigkeit von Klaviyo nicht auf unangemessene Weise beeinträchtigen. Durch diese Klausel 7.4 wird Klaviyo in keiner Weise zur Verletzung von Geheimhaltungsverpflichtungen aufgefordert.
7.5 Wenn der vom Kunden verlangte Prüfumfang einer ISO 27001-Zertifizierung, einem SOC-2-Bericht vom Typ II oder einem ähnlichen Auditbericht entspricht und von einem qualifizierten externen Prüfer innerhalb von zwölf (12) Monaten nach der Prüfanforderung des Kunden durchgeführt wird und Klaviyo bestätigt, dass es keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gibt, erklärt sich der Kunde damit einverstanden, diese Ergebnisse zu akzeptieren, anstatt eine Prüfung der in dem Bericht thematisierten Kontrollen zu verlangen.
7.6 Der Kunde informiert Klaviyo unverzüglich über jede Zuwiderhandlung, die während einer Prüfung aufgedeckt wird, und stellt Klaviyo alle Prüfberichte zur Verfügung, die in Verbindung mit einer Prüfung erstellt wurden, es sei denn, dies ist nach geltendem Recht verboten oder wird anderweitig von einer Regulierungs- oder anderen öffentlichen Behörde angeordnet. Der Kunde darf die Prüfberichte nur für die Zwecke der Erfüllung seiner aufsichtsrechtlichen Prüfanforderungen und/oder zur Bestätigung der Einhaltung der Anforderungen dieses AVV verwenden.
7.7 Der Kunde trägt die Kosten für alle Prüfungen. Der Kunde erstattet Klaviyo den Zeitaufwand, der Klaviyo oder seinen Unterauftragsverarbeitern im Zusammenhang mit solchen Prüfungen entsteht.
7.8 Klaviyo prüft seine Unterauftragsverarbeiter regelmäßig und bestätigt auf Anfrage des Kunden deren Einhaltung der Datenschutzvorschriften und der Verpflichtungen, die den Unterauftragsverarbeitern nach dem mit ihnen geschlossenen Auftragsverarbeitungsvertrag auferlegt wurden. Der Kunde kann von Klaviyo nur in begründeten Fällen die Durchführung weiterer Prüfungen verlangen und in solchen Fällen wird Klaviyo weitere Prüfungen im zulässigen Umfang durchführen.
7.9 Der Kunde erkennt an und stimmt zu, dass unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, die in Anhang 2 aufgeführten Sicherheitsmaßnahmen geeignet sind, die Sicherheit der personenbezogenen Daten des Kunden zu gewährleisten.
8. SICHERHEITSVORFÄLLE
Klaviyo wird den Kunden im Falle eines Verstoßes gegen (i) diesen AVV, (ii) die geltenden Datenschutzvorschriften oder (ii) eine Weisung des Kunden im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Kunden gemäß dieses AVV unverzüglich schriftlich benachrichtigen. Unbeschadet der Allgemeingültigkeit des Vorstehenden wird Klaviyo den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls schriftlich benachrichtigen sowie in angemessener Weise bei der Untersuchung eines solchen Sicherheitsvorfalls und der Erfüllung jeglicher Verpflichtung des Kunden unter den geltenden Datenschutzvorschriften, einen solchen Sicherheitsvorfall an Einzelpersonen, Aufsichtsbehörden, andere Behörden oder die Öffentlichkeit zu melden, kooperieren. Klaviyo unternimmt angemessene Schritte, um einen Sicherheitsvorfall einzudämmen und zu untersuchen und stellt dem Kunden ohne schuldhaftes Zögern Informationen über den Sicherheitsvorfall zur Verfügung, einschließlich, jedoch nicht beschränkt auf die Art des Sicherheitsvorfalls, die zur Eindämmung des Sicherheitsvorfalls ergriffenen Maßnahmen und den Status der Untersuchung. Die Benachrichtigung von Klaviyo über einen Sicherheitsvorfall oder die Reaktion auf einen solchen gemäß dieser Klausel 8 stellt keine Anerkennung eines Fehlers oder einer Haftungsverpflichtung von Klaviyo in Bezug auf den Sicherheitsvorfall dar.
9. LÖSCHUNG UND RÜCKGABE
Klaviyo (a) gibt auf Verlangen des Kunden zum Datum der Beendigung oder des Ablaufs der Vereinbarung eine Kopie aller personenbezogenen Daten des Kunden zurück oder stellt eine Selbstbedienungsfunktion bereit, über die der Kunde dies selbst tun kann; und (b) löscht innerhalb von 90 Tagen nach der Beendigung oder dem Ablauf der Vereinbarung alle weiteren Kopien der personenbezogenen Daten des Kunden, die von Klaviyo oder einem Unterauftragsverarbeiter verarbeitet wurden bzw. unternimmt alle angemessenen Anstrengungen, um die Löschung zu veranlassen, es sei denn, eine längere Aufbewahrung ist auf Grund von zwingenden gesetzlichen Vorgaben geboten.
10. VERTRAGSLAUFZEIT
Dieser AVV tritt am Tag des Inkrafttretens in Kraft und bleibt ungeachtet der Beendigung der Vereinbarung in Kraft, bis Klaviyo alle personenbezogenen Daten des Kunden wie in diesem AVV beschrieben löscht; im Anschluss daran läuft dieser AVV automatisch aus.
11. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG
11.1 Standardvertragsklauseln
Die Parteien vereinbaren, dass die Regelungen der Standardvertragsklauseln Modul Zwei (Übermittlung von Verantwortlichen an Auftragsverarbeiter) und Modul Drei (Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) – wie in Anhang 3 dieses AVV näher spezifiziert – hiermit durch Bezugnahme als verbindlicher Teil dieser Vereinbarung aufgenommen werden und als von den Parteien unterzeichnet gelten. Sie gelten dabei für alle Übermittlungen personenbezogener Daten des Kunden (als Datenexporteur) and Klaviyo (als Datenimporteur), die in den Geltungsbereich der DSGVO fallen, und dabei in dem Umfang und solange sich Klaviyo nicht auf den DPF gemäß Klausel 11.2 berufen kann.
11.2 Data Privacy Framework
Klaviyo hat sich unter dem DPF selbst zertifiziert und hält sich an die Datenschutzgrundsätze nach dem DPF. Soweit und solange der DPF in dem betreffenden Land/der betreffenden Region als gültiger Übermittlungsmechanismus anerkannt ist, werden personenbezogene Daten, die aus dem EWR, dem Vereinigten Königreich oder der Schweiz übermittelt werden oder anderweitig unter die DSGVO fallen, auf der Grundlage des DPF übermittelt.
11.3 Unterstützung für grenzüberschreitende Datenübermittlungen
Klaviyo unterstützt den Kunden in angemessener Weise dabei, die Anforderungen an die Übermittlung personenbezogener Daten in Drittländer in Bezug auf betroffene Personen im EWR, in der Schweiz und im Vereinigten Königreich zu erfüllen. Klaviyo stellt dem Kunden auf dessen Anfrage hin Informationen zur Verfügung, die der Kunde vernünftigerweise benötigt, um ein so genanntes Transfer Impact Assessment („TIA“, dt.: Übermittlungsfolgenabschätzung) durchzuführen. Klaviyo stimmt darüber hinaus zu, die vereinbarten und in Anhang 4 dieses AVV dargelegten zusätzlichen Maßnahmen zu ergreifen, um dem Kunden die Einhaltung der Anforderungen, die für die Übermittlung personenbezogener Daten in Drittländer gelten, zu ermöglichen. Klaviyo kann dem Kunden jegliche Unterstützung durch Klaviyo in Bezug auf TIAs, Datenschutz-Folgenabschätzungen oder Konsultationen mit einer Aufsichtsbehörde des Kunden in Rechnung stellen und der Kunde erstattet Klaviyo sodann die entsprechenden Kosten.
12. PERSONENBEZOGENE DATEN DES KUNDEN, DIE DEN DATENSCHUTZVORSCHRIFTEN des Vereinigten Königreichs UND DER SCHWEIZ UNTERLIEGEN
Soweit die Verarbeitung personenbezogener Daten des Kunden den Datenschutzvorschriften des Vereinigten Königreichs oder der Schweiz unterliegt, gilt je nach Einschlägigkeit der in Anhang 5 ausgeführte Nachtrag für das Vereinigten Königreichs und/oder der Nachtrag für die Schweiz.
13. PERSONENBEZOGENE DATEN DES KUNDEN, DIE DEN DATENSCHUTZVORSCHRIFTEN DER USA UNTERLIEGEN
Soweit die Verarbeitung personenbezogener Daten des Kunden den Datenschutzvorschriften der USA unterliegt, gilt der in Anhang 6 enthaltene Nachtrag für die USA.
14. ALLGEMEINES
14.1 Die Parteien bestätigen hiermit, dass sie die Anforderungen dieses AVV verstanden haben und sie einhalten werden.
14.2 Dieser AVV und die Vereinbarung stellen die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieses AVV dar.
─────────────────
Anhang 1
EINZELHEITEN DER VERARBEITUNG
Teil 1
LISTE DER PARTEIEN
1. Datenexporteur
Der Kunde und/oder die verbundenen Unternehmen des Kunden, die in den Ländern des Europäischen Wirtschaftsraums, dem Vereinigten Königreichs und/oder der Schweiz tätig sind, und/oder – soweit zwischen den Parteien vereinbart – der Kunde und/oder die verbundenen Unternehmen des Kunden in einem anderen Land, soweit die DSGVO oder das entsprechende Schweizer Recht Anwendung findet.
Die Funktion und die Kontaktdaten des Ansprechpartners des Kunden und der verbundenen Unternehmen des Kunden sowie die Kontaktdaten der Datenschutzbeauftragten (falls ernannt) und (falls relevant) des Vertreters werden Klaviyo vor der Verarbeitung personenbezogener Daten per E-Mail an privacy@klaviyo.com oder über ein von Klaviyo innerhalb der Dienste zur Verfügung gestelltes Formular im Konto des Kunden mitgeteilt.
Die für die Datenübermittlung unter diesen Klauseln relevanten Tätigkeiten werden durch die Vereinbarung und den Datenexporteur, der über den Umfang der Verarbeitung personenbezogener Daten in Verbindung mit den Diensten, die in diesem Anhang 1 und in der Vereinbarung näher beschrieben werden, entscheidet, definiert.
2. Datenimporteur
Klaviyo, Inc.,
125 Summer Street, Floor 6,
Boston, MA, 02110,
USA
Der Ansprechpartner des Datenimporteurs ist zu erreichen unter privacy@klaviyo.com.
Die Tätigkeiten des Datenimporteurs, die für die Datenübermittlung unter diesen Klauseln relevant sind, sind folgende: Der Datenimporteur verarbeitet vom Datenexporteur zur Verfügung gestellte personenbezogene Daten in dessen Auftrag und im Zusammenhang mit der Bereitstellung der Dienste für den Datenexporteur, wie in diesem Anhang 1 und in der Vereinbarung näher ausgeführt.
Teil 2
BESCHREIBUNG DER ÜBERMITTLUNG
1. Kategorien betroffener Personen
Die Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden:
Abonnenten des Kunden und der verbundenen Unternehmen des Kunden, die Empfänger von Marketingmitteilungen sind, und andere Personen, die Ziel von sonstigen Marketingaktivitäten des Kunden und/oder der verbundenen Unternehmen des Kunden oder deren Kunden sind.
2. Kategorien personenbezogener Daten
Die Kategorien übermittelter personenbezogener Daten werden:
Bestimmt durch die Konfiguration der Dienste durch den Kunden und können Name, Telefonnummer, E-Mail-Adresse, Adressdaten, IP-Adresse, Gerätekennungen, Nutzungsdaten (wie z. B. Interaktionen zwischen einem Benutzer und dem Online-System von Klaviyo, die Website- oder E-Mail-Adresse, der verwendete Browser, das verwendete Betriebssystem, die Referrer-URL) umfassen.
Darüber hinaus können der Kunde und das verbundene Unternehmen des Kunden im Zusammenhang mit der vereinbarungsgemäßen Nutzung der Dienste weitere personenbezogene Daten der betroffenen Personen wie oben beschrieben (insbesondere in unstrukturierter Form) erfassen.
3. Besondere Kategorien personenbezogener Daten (falls zutreffend)
Die übermittelten personenbezogenen Daten umfassen die folgenden besonderen Kategorien von Daten: Nicht einschlägig. – Die Richtlinie zur akzeptablen Nutzung von Klaviyo verbietet es dem Kunden die Dienste zu nutzen, um besondere Kategorien personenbezogener Daten anzufordern, anzuzeigen, zu speichern, zu verarbeiten, zu senden oder zu übermitteln.
Die angewandten Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken in vollem Umfang berücksichtigen, wie z. B. strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs ausschließlich für solche Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen, sind: Nicht einschlägig.
4. Häufigkeit der Übermittlung
Die Übermittlung erfolgt fortlaufend und richtet sich nach der Konfiguration der Dienste durch den Kunden.
5. Gegenstand und Art der Verarbeitung
Gegenstand der Verarbeitung ist die Bereitstellung einer Datenanalyse- und Marketingautomatisierungsplattform für den Kunden.
6. Zweck/e der Datenübermittlung und weiteren Verarbeitung
Der/die Zwecke der Datenübermittlung und weiteren Verarbeitung ist/sind: Die Bereitstellung der Dienste für den Kunden in Übereinstimmung mit der Vereinbarung, damit der Kunde Kundendaten analysieren, seine Kundenbeziehungen verbessern und Marketing- sowie anderweitige Mitteilungen an seine Kunden senden kann.
7. Aufbewahrungsfrist
Der Zeitraum, über den hinweg die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird: Die Aufbewahrungsfrist ist in Klausel 10 des AVV festgelegt.
8. Unterauftragsverarbeiter (falls zutreffend)
Bei Übermittlungen an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung anzugeben: Wie in Klausel 5.1 des AVV festgelegt. Die Unterauftragsverarbeiter können während der Laufzeit dieses AVV oder bis zur Beendigung der Vertragsbeziehung mit dem jeweiligen Unterauftragsverarbeiter oder bis zur Beendigung des Zugangs des Unterauftragsverarbeiters gemäß Vereinbarung zwischen Klaviyo und dem Kunden Zugriff auf die personenbezogenen Daten haben.
Teil 3
ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13 der Standardvertragsklauseln.
Wenn der Datenexporteur seinen Sitz in einem EU-Mitgliedstaat hat: Die Aufsichtsbehörde des Landes, in dem der Datenexporteur niedergelassen ist, ist die zuständige Behörde.
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den räumlichen Anwendungsbereich der DSGVO gemäß Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 DSGVO benannt hat: Die zuständige Aufsichtsbehörde ist diejenige des Mitgliedsstaats, in dem der Vertreter ansässig ist.
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 DSGVO in deren räumlichen Anwendungsbereich fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 DSGVO benennen zu müssen: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde in Irland, nämlich die Data Protection Commission (https://www.dataprotection.ie/).
─────────────────
Anhang 2
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Klaviyo hat die folgenden technischen und organisatorischen Maßnahmen (einschließlich entsprechender Zertifizierungen) ergriffen, um ein angemessenes Sicherheitsniveau zu gewährleisten, wobei die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden:
1. Organisatorische Verwaltung und ausgewiesene Mitarbeiter, die für die Entwicklung, Implementierung und Wartung des Informationssicherheitsprogramms von Klaviyo verantwortlich sind.
2. Prüf- und Risikobewertungsverfahren zur regelmäßigen Überprüfung und Bewertung der Risiken für Klaviyo, zur Überwachung und Aufrechterhaltung der Einhaltung der Richtlinien und Verfahren von Klaviyo und zur Berichterstattung über den Zustand der Informationssicherheit und der Einhaltung von Vorschriften an die interne Geschäftsleitung.
3. Anwendung von handelsüblichen und dem Branchenstandard entsprechenden Verschlüsselungstechnologien für personenbezogene Daten des Kunden, die:
(a) von Klaviyo über öffentliche Netzwerke (d. h. das Internet) oder drahtlos übertragen werden; oder
(b) in Ruhezustand oder auf tragbaren oder austauschbaren Datenträgern (z. B. Laptops, CDs/DVDs, USB-Laufwerke, Sicherungsbänder) gespeichert sind.
4. Datensicherheitskontrollen, die mindestens, jedoch nicht ausschließlich, die logische Trennung von Daten, logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen auf der Grundlage von Berechtigungsebenen und Arbeitsfunktionen umfassen (z. B. Gewährung des Zugriffs auf der Grundlage des Need-to-Know-Prinzips und der geringsten Privilegien, Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und unverzügliche Aufhebung/Änderung des Zugriffs bei Beendigung des Beschäftigungsverhältnisses oder bei Änderungen der Tätigkeit).
5. Passwortkontrollen zur Verwaltung und Kontrolle der Passwortstärke, des Ablaufs und der Nutzung, einschließlich des Verbots der Weitergabe von Passwörtern an andere Benutzer und der Anforderung, dass die Passwörter, die den Mitarbeitern von Klaviyo zugewiesen werden: (i) mindestens acht (8) Zeichen lang sein müssen, (ii) nicht in lesbarem Format auf den Computersystemen von Klaviyo gespeichert werden dürfen, (iii) eine definierte Komplexität aufweisen müssen, (iv) einen Schwellenwert für den Verlauf haben müssen, um die Wiederverwendung kürzlich verwendeter Passwörter zu verhindern, und (v) neu vergebene Passwörter nach der ersten Verwendung geändert werden müssen.
6. Systemprüfung oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung des Benutzerzugriffs und der Systemaktivität zur routinemäßigen Überprüfung.
7. Physische und umgebungsbedingte Sicherheit von Rechenzentren, Serverräumen und anderen Bereichen, die personenbezogene Daten enthalten, um: (i) Informationswerte vor unbefugtem physischem Zugriff zu schützen, (ii) die Bewegungen von Personen, die die Einrichtungen von Klaviyo betreten und verlassen, zu verwalten, zu überwachen und zu protokollieren und (iii) Schutz vor Umweltgefahren wie Hitze, Feuer und Wasserschäden zu gewährleisten.
8. Betriebliche Verfahren und Kontrollen zur Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen gemäß den vorgeschriebenen internen und übernommenen Branchenstandards, einschließlich der sicheren Entsorgung von Systemen und Datenträgern, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder Freigabe aus dem Besitz von Klaviyo unlesbar oder nicht wiederherstellbar zu machen.
9. Änderungsmanagementverfahren und Nachverfolgungsmechanismen, um alle Änderungen an Klaviyos Technologie- und Informationswerten zu prüfen, freizugeben und zu überwachen.
10. Vorfall-/Problemmanagementverfahren, die es Klaviyo ermöglichen, Ereignisse im Zusammenhang mit Klaviyos Technologie- und Informationswerten zu untersuchen, darauf zu reagieren, sie einzudämmen und zu melden.
11. Netzsicherheitskontrollen, die den Einsatz von Firewall-Systemen, Intrusion-Detection-Systemen und anderen Verfahren zur Korrelation von Datenverkehr und Ereignissen vorsehen, um Systeme vor Eindringlingen zu schützen und das Ausmaß eines erfolgreichen Angriffs einzudämmen.
12. Technologien zur Bewertung von Schwachstellen, zur Patch-Verwaltung und zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die darauf ausgelegt sind, erkannte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu erkennen, zu bewerten, zu entschärfen und davor zu schützen.
13. Verfahren zur Aufrechterhaltung der Geschäftsfähigkeit/-kontinuität und zur Wiederherstellung im Katastrophenfall, um den Dienst aufrechtzuerhalten und/oder sich von vorhersehbaren Notfällen oder Katastrophen zu erholen.
─────────────────
Anhang 3
STANDARDVERTRAGSKLAUSELN
Für die Zwecke der Standardvertragsklauseln gilt das Folgende:
1. Modul Zwei gilt für die Verarbeitung gemäß Klausel 3.1(a)(i) des AVV und Modul Drei gilt für die Verarbeitung gemäß Klausel 3.1(a)(ii) des AVV.
2. Klausel 7 der Standardvertragsklauseln (Kopplungsklausel) findet keine Anwendung.
3. Klausel 9(a) Option 2 (Allgemeine schriftliche Genehmigung) wird gewählt und der zu bestimmende Zeitraum wird in Klausel 5.3 des AVV festgelegt.
4. Die Option in Klausel 11(a) der Standardvertragsklauseln (unabhängige Streitbeilegungsstelle) findet keine Anwendung.
5. In Bezug auf Klausel 17 der Standardvertragsklauseln (Anwendbares Recht) vereinbaren die Parteien die Anwendung der ersten Option. Die Parteien kommen überein, dass das Recht der Republik Irland gelten soll.
6. In Klausel 18 der Standardvertragsklauseln (Gerichtsstand und Zuständigkeit) unterwerfen sich die Parteien der Zuständigkeit der Gerichte der Republik Irland.
7. Für die Zwecke von Anhang I der Standardvertragsklauseln enthält Anhang 1 die Angaben zu (i) den Parteien, (ii) der Beschreibung der Übermittlung und (iii) der zuständigen Aufsichtsbehörde.
8. Für die Zwecke des Anhangs II der Standardvertragsklauseln enthält Anhang 2 die technischen und organisatorischen Maßnahmen.
9. Die Spezifikationen für Anhang III der Standardvertragsklauseln werden durch Klausel 5.1 des AVV bestimmt. Name, Position und Kontaktdaten des Ansprechpartners des Unterauftragsverarbeiters werden auf Anfrage von Klaviyo mitgeteilt.
─────────────────
Anhang 4
ZUSÄTZLICHE MASSNAHMEN
Klaviyo verpflichtet sich darüber hinaus, zusätzliche Maßnahmen auf der Grundlage von Leitlinien der EU-Aufsichtsbehörden zu ergreifen, um den Schutz der personenbezogenen Daten des Kunden in Bezug auf die Verarbeitung in einem Drittland zu erhöhen, wie in diesem Anhang 4 beschrieben.
1. Zusätzliche technische Maßnahmen (Verschlüsselung)
1.1 Die personenbezogenen Daten werden (zwischen den Parteien und durch Klaviyo zwischen den Datenzentren sowie zu einem Unterauftragsverarbeiter und zurück) unter Verwendung einer starken Verschlüsselung übermittelt.
1.2 Im Ruhezustand werden die personenbezogenen Daten von Klaviyo mit einer starken Verschlüsselung gespeichert.
2. Zusätzliche organisatorische Maßnahmen
2.1 Interne Richtlinien für die Steuerung von Übermittlungen, insbesondere bei Unternehmensgruppen
(a) Vorsehung geeigneter interner Richtlinien mit klarer Zuweisung (i) der Zuständigkeiten für die Datenübermittlung, (ii) der Berichtswege und (iii) der Standardverfahren zur Reaktion auf formelle oder informelle Zugriffsanfragen von Behörden.
(b) Entwicklung spezifischer Schulungen für das Personal, das für die Bearbeitung von Zugriffsanfragen von Behörden zuständig ist, die regelmäßig aktualisiert werden, um neuen Entwicklungen in der Gesetzgebung und Rechtsprechung in dem Drittland und im EWR Rechnung zu tragen.
2.2 Maßnahmen zur Transparenz und Rechenschaftspflicht
Regelmäßige Veröffentlichung von Transparenzberichten oder Zusammenfassungen über Zugriffsanfragen von Behörden und die Beantwortung derselben, soweit die Veröffentlichung nach vor Ort geltendem Recht zulässig ist.
2.3 Organisatorische Methoden und Maßnahmen zur Datenminimierung
Erarbeitung und Umsetzung bewährter Praktiken seitens beider Parteien zur angemessenen und rechtzeitigen Einbeziehung von und zur Gewährung von Zugriff für (i) ihre jeweiligen Datenschutzbeauftragten, sofern vorhanden, sowie (ii) ihre Rechts- und internen Prüfabteilungen im Hinblick auf Fragen der internationalen Übermittlung personenbezogener Daten.
2.4 Sonstiges
Verabschiedung und regelmäßige Überprüfung interner Richtlinien durch Klaviyo, um die Eignung der implementierten zusätzlichen Maßnahmen zu bewerten und weitere oder alternative Lösungen zu identifizieren und umzusetzen, soweit dies notwendig ist, um sicherzustellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie das im EWR garantierte Schutzniveau für die übermittelten personenbezogenen Daten aufrechterhalten wird.
3. Zusätzliche vertragliche Maßnahmen
3.1 Transparenzverpflichtungen
(a) Klaviyo erklärt, dass (1) Klaviyo nicht vorsätzlich Hintertüren oder ähnliche Programme erstellt hat, die genutzt werden könnten, um auf das System und/oder personenbezogene Daten zuzugreifen, (2) Klaviyo nicht vorsätzlich seine Geschäftsprozesse in einer Art und Weise erstellt oder verändert hat, die den Zugriff auf personenbezogene Daten oder Systeme erleichtert, und (3) Klaviyo nach nationalem Recht oder staatlichen Vorgaben nicht verpflichtet ist, (i) Hintertüren zu erstellen oder aufrechtzuerhalten oder (ii) den Zugriff auf personenbezogene Daten oder Systeme zu erleichtern, oder (iii) im Besitz des Verschlüsselungscodes zu sein oder diesen auszuhändigen.
(b) Klaviyo überprüft regelmäßig die Gültigkeit der für den TIA-Fragebogen bereitgestellten Informationen und informiert den Kunden unverzüglich über eventuelle Änderungen. Klausel 14(e) der Standardvertragsklauseln bleibt hiervon unberührt.
3.2 Verpflichtungen zur Ergreifung bestimmter Maßnahmen
Im Falle einer Anordnung zur Offenlegung von oder Gewährung des Zugriffs auf personenbezogene Daten verpflichtet sich Klaviyo, die ersuchende Behörde über die Unvereinbarkeit der Anordnung mit den in Artikel 46 der DSGVO enthaltenen Garantien und den daraus resultierenden Konflikt mit den Verpflichtungen von Klaviyo zu informieren.
3.3 Befähigung betroffener Personen zur Ausübung ihrer Rechte
(a) Klaviyo verpflichtet sich, die betroffene Person in angemessener Weise für alle materiellen und immateriellen Schäden zu entschädigen, die ihr durch die Offenlegung ihrer personenbezogenen Daten entstehen, die im Rahmen der gewählten Übermittlungsmethode unter Verstoß gegen die darin enthaltenen Verpflichtungen offengelegt wurden.
(b) Ungeachtet des Vorstehenden ist Klaviyo nicht verpflichtet, die betroffene Person zu entschädigen, soweit die betroffene Person bereits eine Entschädigung für denselben Schaden erhalten hat.
(c) Die Entschädigung beschränkt sich auf materielle und immaterielle Schäden, wie in der DSGVO vorgesehen, und schließt Folgeschäden sowie alle sonstigen Schäden aus, die nicht aus dem Verstoß gegen die DSGVO durch Klaviyo resultieren.
4. Zusätzliche Verpflichtungen im Falle von Ersuchen oder Zugriff durch öffentliche Behörden
4.1 Klaviyo informiert den Kunden unverzüglich:
(a) über alle rechtsverbindlichen Ersuchen einer Strafverfolgungs- oder einer anderen staatlichen Behörde („Behörde“), die vom Kunden zur Verfügung gestellten personenbezogenen Daten („übermittelte personenbezogene Daten“) offenzulegen; eine solche Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten. Diese Mitteilung erfolgt vor der Offenlegung personenbezogener Daten als Reaktion auf solche Anfragen.
(b) Wenn Klaviyo von einem direkten Zugriff auf die Übermittlung personenbezogener Daten durch Behörden in Übereinstimmung mit den Gesetzen des Empfängerlandes erfährt, muss diese Mitteilung alle Klaviyo vorliegenden Informationen enthalten.
(c) Falls es Klaviyo untersagt ist, den Kunden und/oder die betroffene Person zu benachrichtigen, stimmt Klaviyo zu, sich nach besten Kräften zu bemühen, eine Aufhebung der Untersagung zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Klaviyo stimmt zu, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.
4.2 Klaviyo stimmt zu, die Rechtmäßigkeit des Ersuchens der Behörde nach dem Recht des Empfängerlandes zu überprüfen, insbesondere, ob dies im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse geschieht, und alle verfügbaren Rechtsmittel auszuschöpfen, um das Ersuchen anzufechten, wenn Klaviyo nach einer sorgfältigen Prüfung zu dem Schluss kommt, dass nach dem Recht des Empfängerlandes Gründe für dieses Vorgehen vorliegen. Dazu gehören Ersuchen gemäß § 702 des United States Foreign Intelligence Surveillance Court oder der Executive Order 12333. Bei der Anfechtung eines Ersuchens beantragt Klaviyo einstweilige Maßnahmen mit dem Ziel, die Vollziehung des Ersuchens auszusetzen, bis das Gericht in der Sache selbst entschieden hat. Klaviyo legt die angeforderten personenbezogenen Daten erst dann offen oder gewährt den Zugriff auf diese, wenn dies nach den geltenden Verfahrensregeln erforderlich ist, und stellt – basierend auf einer angemessenen Auslegung des Ersuchens – die zu diesem Zeitpunkt erforderliche Mindestmenge an Informationen zur Verfügung, um dem Ersuchen nachzukommen.
4.3 Klaviyo stimmt zu, die Informationen, die zur Einhaltung dieses Anhangs 4 erforderlich sind, für die Laufzeit der Vereinbarung aufzubewahren und, sofern dies nicht durch geltendes Recht untersagt ist, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen, wenn dies nach geltendem Recht erforderlich ist.
─────────────────
Anhang 5
NACHTRAG FÜR DAS VEREINIGTES KÖNIGREICH UND DIE SCHWEIZ
1. NACHTRAG FÜR DAS VEREINIGTES KÖNIGREICH
In Bezug auf jegliche Übermittlungen personenbezogener Daten vom Kunden (als Datenexporteur) an Klaviyo (als Datenimporteur), die in den Anwendungsbereich der UK GDPR fallen, gilt:
1.1 Der genehmigte Nachtrag, wie in diesem Anhang 5 näher ausgeführt, ist Teil dieses AVV und die Standardvertragsklauseln sind im Sinne der Bestimmungen des genehmigten Nachtrags zu lesen und auszulegen, soweit dies gemäß Klausel 12 der Standardvertragsklauseln erforderlich ist.
1.2 Abweichend von Tabelle (Table) 1 des genehmigten Nachtrags und in Übereinstimmung mit Klausel 17 der obligatorischen Klauseln werden die Parteien in Anhang 1 Teil 1 dieses AVV näher bezeichnet.
1.3 Die ausgewählten Module und Klauseln, die gemäß Tabelle 2 des genehmigten Nachtrags festzulegen sind, werden in Anhang 3 dieses AVV in der Fassung der obligatorischen Klauseln näher beschrieben.
1.4 Anhang (Annex) 1A und B der Tabelle 3 des genehmigten Nachtrags werden durch Anhang 1 dieses AVV spezifiziert, Anhang II des genehmigten Nachtrags wird durch Anhang 2 dieses AVV weiter spezifiziert und Anhang III des genehmigten Nachtrags wird durch Anhang 1 Teil 2 Klausel 8 dieses AVV weiter spezifiziert.
1.5 Klaviyo (als Datenimporteur) kann diesen AVV, soweit der genehmigte Nachtrag Anwendung findet, in Übereinstimmung mit Klausel 19 der obligatorischen Klauseln beenden.
1.6 Klausel 16 der obligatorischen Klauseln findet keine Anwendung.
2. NACHTRAG FÜR DIE SCHWEIZ
Wie in Klausel 12 des AVV festgelegt, gilt dieser Nachtrag für die Schweiz für jede Verarbeitung personenbezogener Daten des Kunden, die dem schweizerischen Datenschutzrecht oder sowohl dem schweizerischen Datenschutzrecht als auch der DSGVO unterliegt.
2.1 Auslegung dieses Nachtrags
(a) Wenn in diesem Nachtrag Begriffe verwendet werden, die in den Standardvertragsklauseln definiert sind, wie in Anhang 3 dieses AVV näher ausgeführt, haben diese Begriffe die gleiche Bedeutung wie in den Standardvertragsklauseln. Darüber hinaus kommt den folgenden Begriffen die jeweils folgende Bedeutung zu:
(i) „dieser Nachtrag“ bezeichnet diesen Nachtrag zu den Klauseln.
(ii) „Klauseln“ bezeichnet die Standardvertragsklauseln, wie in Anhang 3 dieses AVV näher beschrieben.
(iii) „schweizerische Datenschutzvorschriften“ bezeichnet das am 1. September 2023 in Kraft getretene revidierte Datenschutzgesetz sowie die Ausführungsbestimmungen in der Datenschutzverordnung und der neuen Verordnung über Datenschutzzertifizierungen, sowie jede neue oder revidierte Fassung dieser Gesetze, die zukünftig in Kraft treten könnte.
(b) Dieser Nachtrag ist im Sinne der Bestimmungen der schweizerischen Datenschutzvorschriften zu lesen und auszulegen, und zwar dergestalt, dass er die Absicht erfüllt, die angemessenen Garantien gemäß Artikel 46 DSGVO und/oder Artikel 16 der schweizerischen Datenschutzvorschriften zu bieten, je nachdem, was gilt.
(c) Dieser Nachtrag darf nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in den schweizerischen Datenschutzvorschriften vorgesehen sind.
(d) Jede Bezugnahme auf Rechtsvorschriften (oder spezifische Bestimmungen von Rechtsvorschriften) bezeichnet die betreffende Rechtsvorschrift (oder spezifische Bestimmung der Rechtsvorschrift) in ihrer jeweils gültigen Fassung. Dies gilt auch für den Fall, dass die Rechtsvorschrift (oder spezifische Bestimmung) nach Abschluss dieses Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt wurden.
2.2 Maßgeblichkeit
Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen diesem Nachtrag und den Bestimmungen der Klauseln oder anderer damit zusammenhängender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieses Nachtrags bestehen oder anschließend geschlossen werden, sind die Bestimmungen maßgebend, die den betroffenen Personen den größten Schutz bieten.
2.3 Einbeziehung der Klauseln
(a) In Bezug auf die Verarbeitung personenbezogener Daten, die den schweizerischen Datenschutzvorschriften oder sowohl den schweizerischen Datenschutzvorschriften als auch der DSGVO unterliegen, ändert dieser Nachtrag den AVV, einschließlich der in Anhang 3 dieses AVV aufgeführten Bestimmungen, in dem Umfang, der für ihre Gültigkeit erforderlich ist:
(i) bei Übermittlungen durch den Datenexporteur an den Datenimporteur, soweit die schweizerischen Datenschutzvorschriften oder die schweizerischen Datenschutzvorschriften und die DSGVO auf die Verarbeitung durch den Datenexporteur bei dieser Übermittlung anwendbar sind; und
(ii) geeignete Garantien für die Übermittlungen gemäß Artikel 46 DSGVO und/oder Artikel 16 der schweizerischen Datenschutzvorschriften vorzusehen, je nachdem, was zutrifft.
(b) Soweit die Verarbeitung personenbezogener Daten ausschließlich den schweizerischen Datenschutzvorschriften unterliegt, umfassen die Änderungen des AVV, einschließlich der Standardvertragsklauseln, wie in Anhang 3 dieses AVV näher ausgeführt und wie in Klausel 2.1 dieses Nachtrags für die Schweiz vorgeschrieben, (ohne Einschränkung):
(i) Verweise auf die „Klauseln“ oder die „Standardvertragsklauseln“ bezeichnen diesen Nachtrag für die Schweiz in der Form, in der er die Standardvertragsklauseln ändert, und
(ii) Klausel 6 Beschreibung der Übermittlung(en) erhält folgende Fassung:
„Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang 1 dieses AVV aufgeführt, wenn die schweizerischen Datenschutzvorschriften auf die Verarbeitung durch den Datenexporteur bei dieser Übermittlung Anwendung finden.“
(iii) Verweise auf die „Verordnung (EU) 2016/679“ oder „diese Verordnung“ oder die „DSGVO“ werden durch „schweizerische Datenschutzvorschriften“ ersetzt und Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ oder der „DSGVO“ werden durch die entsprechenden Artikel oder Paragraphen der schweizerischen Datenschutzvorschriften ersetzt, soweit diese anwendbar sind.
(iv) Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen.
(v) Verweise auf die „Europäische Union“, „Union“, „EU“ und „EU-Mitgliedstaat“ werden alle durch „Schweiz“ ersetzt.
(vi) Klausel 13(a) und Teil C von Anhang I finden keine Anwendung; die „zuständige Aufsichtsbehörde“ ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (der „EDÖB“), sofern die Übermittlungen unter die schweizerischen Datenschutzvorschriften fallen;
(vii) Klausel 17 wird durch folgenden Wortlaut ersetzt:
„Diese Klauseln unterliegen dem schweizerischen Recht, soweit die Übermittlungen den schweizerischen Datenschutzvorschriften unterliegen“.
(viii) Klausel 18 wird durch folgenden Wortlaut ersetzt:
„Alle Streitigkeiten, die sich aus diesen Klauseln in Bezug auf die schweizerischen Datenschutzvorschriften ergeben, werden von den Gerichten der Schweiz beigelegt. Eine betroffene Person kann den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten der Stadt in der Schweiz verklagen, in der sie ihren gewöhnlichen Wohnsitz hat. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.“
2.4 Soweit eine Verarbeitung personenbezogener Daten sowohl den schweizerischen Datenschutzvorschriften als auch der DSGVO unterliegt, gilt der AVV, einschließlich der in Anhang 3 dieses AVV näher bezeichneten Klauseln (i) unverändert und (ii) zusätzlich, soweit eine Übermittlung den schweizerischen Datenschutzvorschriften unterliegt, in der durch die Klauseln 2.1 und 2.3 dieses Nachtrags für die Schweiz geänderten Fassung, mit der einzigen Ausnahme, dass Klausel 17 der Standardvertragsklauseln nicht ersetzt wird, wie in Klausel 2.3(b)(vii) dieses Nachtrags für die Schweiz festgelegt.
2.5 Der Kunde sichert zu, dass er und/oder seine verbundenen Unternehmen, die nach den schweizerischen Datenschutzvorschriften erforderlichen Meldungen an den EDÖB gemacht haben.
─────────────────
Anhang 6
Nachtrag FÜR DIE USA
Wie in Klausel 13 des AVV festgelegt, gilt dieser Nachtrag für die USA für jede Verarbeitung personenbezogener Daten des Kunden, die den Datenschutzvorschriften der USA unterliegt.
Soweit es die Datenschutzvorschriften der USA erfordern, ist es Klaviyo untersagt:
(a) personenbezogene Daten des Kunden an Dritte zu verkaufen oder Dritten anderweitig gegen Geld oder eine Gegenleistung von Wert zur Verfügung zu stellen;
(b) personenbezogene Daten des Kunden für verhaltensbezogene Werbung an Dritte weiterzugeben;
(c) personenbezogene Daten des Kunden für andere Zwecke als die in der Vereinbarung genannten Geschäftszwecke zu speichern, zu nutzen oder offenzulegen es sei denn, die Datenschutzvorschriften der USA erlauben dies;
(d) personenbezogene Daten des Kunden außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufzubewahren, zu nutzen oder offenzulegen und
(e) personenbezogene Daten des Kunden mit personenbezogenen Daten, die Klaviyo von oder im Namen einer oder mehrerer anderer Personen erhält oder die Klaviyo im Rahmen seiner eigenen Interaktion mit der betroffenen Person erhebt, zu kombinieren, es sei denn, die Datenschutzvorschriften der USA erlauben dies.