Datenverarbeitungsvereinbarung

Version 6.0 – Date of Release: 04 May 2023

Nachtrag zur Datenverarbeitung

Diese Vereinbarung zur Datenverarbeitung (dieser "AV-Vertrag") ist Teil des Rahmendienstleistungsvertrags (die "Hauptvereinbarung") zwischen Sinch und dem Kunden und unterliegt der Hauptvereinbarung.

1. Definitionen. Für die Zwecke dieses AV-Vertrags haben großgeschriebene Begriffe die folgenden Bedeutungen. Nicht anders definierte Begriffe mit Großbuchstaben haben die in der Hauptvereinbarung angegebene Bedeutung.

(a) Personenbezogene Daten des Kunden" bezeichnet alle personenbezogenen Daten, die von Sinch im Namen des Kunden verarbeitet werden, um die Services gemäß der Hauptvereinbarung durchzuführen.

(b) "Anwendbare Datenschutzgesetze" bedeuten die DSGVO, wie sie in die innerstaatlichen Gesetze der einzelnen Mitgliedstaaten (und des Vereinigten Königreichs) umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt werden, sowie Gesetze zur Umsetzung, Ersetzung oder Ergänzung der DSGVO und alle Gesetze, die für die Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten von Kunden gelten, einschließlich des California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 ff. („CCPA“)

(c) DSGVO" steht für die Datenschutz-Grundverordnung (EU) 2016/679 für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Verkehr solcher Daten.

(d) "Sinch Infrastruktur" bedeutet (i) die physischen Einrichtungen von Sinch ; (ii) die gehostete Cloud-Infrastruktur; (iii) das Unternehmensnetzwerk von Sinch und das nicht öffentliche interne Netzwerk, die Software und Hardware, die für die Bereitstellung der Services erforderlich sind und die von Sinch gesteuert werden; in jedem Fall in dem Umfang, in dem zur Bereitstellung der Services verwendet wird.

(e) "Eingeschränkte Übertragung" bezeichnet eine Übertragung der personenbezogenen Daten des Kunden von Sinch an einen Subprozessor, wenn eine solche Übertragung durch EU-Datenschutzgesetze (oder durch die Bestimmungen von Datenübertragungsvereinbarungen, die zur Beseitigung der Datenübertragungsbeschränkungen der EU-Datenschutzgesetze getroffen wurden), verboten wäre, sofern keine angemessenen Schutzmaßnahmen für solche Übertragungen gemäß den EU-Datenschutzgesetzen erforderlich sind.

(f) Dienste" bezeichnet die Dienste, die Sinch dem Kunden gemäß der Hauptvereinbarung erbringt.

(g) "Standardvertragsklauseln" bezeichnet die neueste Version der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verarbeiter (die aktuelle Version zum Zeitpunkt dieses AV-Vertrags ist dem Beschluss 2021/914/UE vom 4. Juni 2021 der Europäischen Kommission beigefügt).

(h) UK Addendum" bezeichnet den UK Addendum (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

(i) Die Begriffe "Zustimmung", "Datenverantwortlicher", "betroffene Person", "Mitgliedsstaat", "personenbezogene Daten", "Verletzung personenbezogener Daten", "Verarbeiter", "Subprozessor", "Verarbeitung", "Aufsichtsbehörde" und "Dritte" haben die in Artikel 4 der DSGVO, oder, soweit anwendbar, im CCPA angegebenen Bedeutungen.

2. Einhaltung der EU-Datenschutzgesetze

(a) Sinch und der Kunde müssen jeweils die Bestimmungen und Verpflichtungen einhalten, die ihnen durch die EU-Datenschutzgesetze auferlegt wurden, und sicherstellen, dass ihre Mitarbeiter, und Subprozessoren die Bestimmungen der EU-Datenschutzgesetze einhalten.

3. Details und Umfang der Verarbeitung

(a) Die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung erfolgt gemäß den folgenden Bestimmungen und gemäß Artikel 28 Absatz 3 der DSGVO. Die Parteien können diese Informationen von Zeit zu Zeit ändern, wenn die Parteien dies nach vernünftigem Ermessen für erforderlich halten, um diese Anforderungen zu erfüllen.

(i) Gegenstand und Dauer der Verarbeitung personenbezogener Daten: Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten sind in der Hauptvereinbarung festgelegt.

(ii) Art und Zweck der Verarbeitung personenbezogener Daten: Gemäß der Hauptvereinbarung bietet Sinch dem Kunden bestimmte Dienste wie Nachrichten- und E-Mail-Dienste sowie Sprachanrufe und andere Kommunikationsdienste zur Verfügung, die in der Hauptvereinbarung näher ausgeführt werden, und die die Verarbeitung personenbezogener Daten beinhalten. Vorbehaltlich Abschnitt 3(a)(iv) umfassen solche Verarbeitungsaktivitäten (a) die Bereitstellung der Dienste; (b) die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen; und (c) die Beantwortung von Supportanfragen des Kunden.

(iii) Die Arten der zu verarbeitenden personenbezogenen Daten: Die an das Netz von Sinch übermittelten personenbezogenen Daten, deren Umfang vom Datenverantwortlichen nach eigenem Ermessen festgelegt und kontrolliert wird, können Name, E-Mail, IP-Adresse. Telefonnummer und andere personenbezogene Daten, die in den Kontaktlisten und im Nachrichten- oder Anrufinhalt enthalten sind, umfassen.

(iv) Ausschluss des unabhängigen Verantwortlichen: Ungeachtet anderer Bestimmungen hierin handelt Sinch bei der Verarbeitung personenbezogener Daten im Zuge der Bereitstellung von Kommunikationsdiensten als Teil der Dienste, einschließlich der Übertragung und des Austauschs von SMS über Telekommunikationsnetze und anderer Nachrichten und Kommunikationen, wie E-Mails, Sprache und anderer Medien über andere Kommunikationsplattformen, unabhängig davon, ob der Kunde als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter handelt, als unabhängiger Verantwortlicher und nicht als gemeinsamer Verantwortlicher, um seine Kommunikationsdienste bereitzustellen und seine notwendigen Funktionen und Geschäfte (einschließlich der Kontrolle, Sicherheit und Wartung seines Netzwerks, der Verwaltung seines Geschäfts und der Compliance-Funktionen) als Anbieter von Kommunikationsdiensten in Übereinstimmung mit seinen Verpflichtungen unter den geltenden Gesetzen auszuführen Die Kategorien der betroffenen Person, auf die sich die personenbezogenen Daten beziehen: Absender und Empfänger von E-Mail und SMS-Nachrichten, Sprachanrufen und anderen Mitteilungen.

(b) Sinch verarbeitet die personenbezogenen Daten des Kunden (i) nur zum Zwecke der Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung und (ii) gemäß den in diesem AV-Vertrag beschriebenen dokumentierten Anweisungen oder wie vom Kunden von Zeit zu Zeit anderweitig angewiesen. Die Anweisungen dieses Kunden sind in der entsprechenden Bestellung, Leistungsbeschreibung, Support-Ticket, anderen schriftlichen Mitteilungen oder gemäß den Anweisungen des Kunden zur Nutzung der Dienste (z. B. über eine API oder eine Systemsteuerung) zu dokumentieren.

(c) Wenn Sinch der Ansicht ist, dass eine Anweisung des Kunden gegen die Bestimmungen der Hauptvereinbarung oder dieses AV-Vertrag oder gegen die DSGVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In beiden Fällen ist Sinch berechtigt, die Ausführung der entsprechenden Anweisung zu verschieben, bis sie vom Kunden geändert oder sowohl vom Kunden als auch von Sinch einvernehmlich vereinbart wurde.

(d) Der Kunde ist allein verantwortlich für die Nutzung und Verwaltung der von den Diensten übermittelten oder übertragenen personenbezogenen Daten, einschließlich: (i) Überprüfung der Adressdaten des Empfängers wie Telefonnummer oder Adresse und deren korrekte Eingabe in die Dienste (ii) angemessene Benachrichtigung eines Empfängers über die Unsicherheit von E-Mails oder Nachrichten als Mittel zur Übermittlung personenbezogener Daten (sofern zutreffend), (iii) angemessene Begrenzung der Menge oder Art der Informationen, die durch die Dienste offengelegt werden (iv) Verschlüsselung aller über die Dienste übertragenen personenbezogenen Daten, sofern dies nach geltendem Recht angemessen oder erforderlich ist (z. B. durch Verwendung verschlüsselter Anhänge, PGP-Toolsets oder S/MIME). Wenn der Kunde beschließt, die obligatorische Verschlüsselung nicht zu konfigurieren, erkennt er an, dass die Dienste die Übertragung unverschlüsselter E-Mails im Klartext über das öffentliche Internet und offene Netzwerke umfassen können. Auf die Dienste hochgeladene Informationen, einschließlich Nachrichteninhalte, werden bei der Verarbeitung durch die Sinch Infrastruktur in einem verschlüsselten Format gespeichert.

4. Datenverantwortlicher und Verarbeiter

(a) Für die Zwecke dieses AV-Vertrags ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden und Sinch ist der Verarbeiter dieser Daten, es sei denn, der Kunde fungiert als Verarbeiter der personenbezogenen Daten des Kunden. In diesem Fall ist Sinch ein Subprozessor.

(b) Sinch muss jederzeit über einen Beauftragten verfügen, der dafür verantwortlich ist, den Kunden (i) bei der Beantwortung von Anfragen bezüglich der Datenverarbeitung, die von betroffenen Personen erhalten wurden, zu unterstützen; und (ii) beim Ausfüllen aller rechtlichen Informationen und Offenlegungspflichten, die für die Datenverarbeitung gelten und damit verbunden sind. Diese Unterstützung kann unter privacy@mailgun.com für Sinch Email und dpo@sinch.com für andere Sinch Dienste werden.

(i) die Verarbeitung der personenbezogenen Daten des Kunden auf rechtlichen Gründen für die Verarbeitung basiert, wie dies nach den EU-Datenschutzgesetzen erforderlich sein kann, und alle erforderlichen Rechte, Berechtigungen, Registrierungen und Einwilligungen in Übereinstimmung mit den Bestimmungen der Hauptvereinbarung während der gesamten Laufzeit der Hauptvereinbarung getroffen hat und mit und gemäß den EU-Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch gemäß diesem AV-Vertrags und der Hauptvereinbarung aufrecht erhält;

(ii) er berechtigt ist und über alle erforderlichen Rechte, Berechtigungen und Einwilligungen verfügt, um die personenbezogenen Daten des Kunden an Sinch zu übertragen und Sinch anderweitig die Verarbeitung der personenbezogenen Daten des Kunden in seinem Namen zu gestatten, damit Sinch die personenbezogenen Daten des Kunden rechtmäßig verwenden, verarbeiten und übertragen kann, um die Dienste zu erbringen und die anderen Rechte und Pflichten von Sinch gemäß diesem AV-Vertrag und der Hauptvereinbarung zu erfüllen;

(iii) seine betroffenen Personen über den Einsatz von Verarbeitern bei der Verarbeitung seiner personenbezogenen Daten informieren wird, soweit dies nach den geltenden EU-Datenschutzgesetzen erforderlich ist; und

(iv) in angemessener Zeit und soweit dies nach vernünftigem Ermessen möglich ist, auf Anfragen von betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten reagieren und Sinch rechtzeitig entsprechende Anweisungen erteilen wird.

5. Vertraulichkeit

(a) Sinch stellt sicher, dass jeder seiner Mitarbeiter und Subprozessoren, die zur Verarbeitung der personenbezogenen Daten des Kunden berechtigt sind, Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegt und mit den einschlägigen Sicherheits- und Datenschutzanforderungen geschult ist.

6. Technische und organisatorische Maßnahmen

(a) Sinch ergreift und dokumentiert in Bezug auf die personenbezogenen Daten des Kunden vernünftige und angemessene Maßnahmen, wie in Annex 2 beschrieben, in Bezug auf die Sicherheit der Sinch Infrastruktur und der zur Bereitstellung der Dienste verwendeten Plattformen, wie in der Hauptvereinbarung beschrieben, erforderlich sind und (b) auf begründete Anfrage auf Kosten des Kunden den Kunden dabei unterstützen, die Einhaltung der Verpflichtungen des Kunden gemäß Artikel 32 der DSGVO sicherzustellen.

(b) Die internen Betriebsverfahren von Sinch müssen den spezifischen Anforderungen eines effektiven Datenschutzmanagements entsprechen.

7. Anträge von betroffenen Personen

(a) Sinch bietet spezielle Tools, um Kunden bei der Beantwortung von Anfragen betroffener Personen zu unterstützen Dazu gehören unsere APIs und Schnittstellen zum Durchsuchen von Ereignisdaten, Unterdrücken und Abrufen von Nachrichteninhalten. Wenn Sinch eine Beschwerde, Anfrage oder Anforderung (einschließlich Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den EU-Datenschutzgesetzen) in Bezug auf die personenbezogenen Daten des Kunden direkt von betroffenen Personen erhält, benachrichtigt Sinch den Kunden innerhalb von 14 Tagen nach Erhalt der Beschwerde, Anfrage oder Anforderung. Unter Berücksichtigung der Art der Verarbeitung unterstützt Sinch den Kunden auf Kosten des Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung dieser Rechte der betroffenen Personen zu reagieren.

8. Verletzungen personenbezogener Daten

(a) Sinch wird den Kunden unverzüglich benachrichtigen, sobald Sinch Kenntnis von einer Verletzung von personenbezogenen Daten erhält, die sich auf die personenbezogenen Daten des Kunden auswirkt. Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Sinch zur Verfügung stehen, unternimmt Sinch wirtschaftlich angemessene Anstrengungen, um dem Kunden ausreichende Informationen zur Verfügung zu stellen, damit der Kunde auf Kosten des Kunden alle Verpflichtungen zur Meldung oder Information von Regulierungsbehörden, betroffene Personen und andere Personen, die gegen solche personenbezogenen Daten verstoßen, in dem nach den EU-Datenschutzgesetzen erforderlichen Umfang erfüllen kann.

9. Datenschutz-Folgenabschätzungen

(a) Sinch leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen auf Kosten des Kunden angemessene Unterstützung bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Aufsichtsbehörden, sofern dies für den Kunden zur Erfüllung seiner Verpflichtungen aus den EU-Datenschutzgesetzen erforderlich ist.

10. Audits

(a) Sinch stellt dem Kunden auf angemessene Anfrage Informationen zur Verfügung, die zumutbar sind, um die Einhaltung des AV-Vertrags durch den Kunden nachzuweisen.

(b) Der Kunde oder ein beauftragter externer Prüfer kann auf schriftlichen begründeten Antrag eine Überprüfung in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Sinch und in dem nach den Datenschutzgesetzen erforderlichen Umfang durchführen, ohne den Geschäftsbetrieb von Sinch zu unterbrechen und die Vertraulichkeit zu gewährleisten. Der Kunde ist für alle Kosten und Aufwendungen des Verarbeiters verantwortlich, die sich aus der Bereitstellung solcher Prüfungsrechte ergeben.

(c) Das oben in Absatz 10(b) beschriebene Auditrecht gilt für den Kunden, falls Sinch keine ausreichenden Nachweise seiner Einhaltung der Bestimmungen dieses AV-Vertrags vorgelegt hat. Ausreichende Nachweise umfassen die Vorlage entweder: (i) einer Zertifizierung über die Einhaltung von ISO 27001 oder anderen von Sinch implementierten Standards (Geltungsbereich wie im Zertifikat definiert) oder (ii) eines Audit- oder Bescheinigungsberichts eines unabhängigen Dritten. Ein Audit, wie in diesem Absatz 10 beschrieben, wird auf Kosten und Aufwand des Kunden durchgeführt.

11. Rückgabe oder Zerstörung der personenbezogenen Daten des Kunden

(a) Der Kunde kann durch schriftliche Mitteilung an Sinch , spätestens zum Zeitpunkt der Beendigung der Hauptvereinbarung, die Rückgabe und/oder Löschbescheinigung aller Kopien der personenbezogenen Daten des Kunden verlangen, die sich in der Kontrolle oder im Besitz von Sinch und Subprozessoren befinden. Sinch stellt eine Kopie der Daten des Kunden in einer Form zur Verfügung, die gelesen und weiterverarbeitet werden kann.

(b) Innerhalb von neunzig (90) Tagen nach Terminierung des Kontos muss Sinch alle gemäß diesem AV-Vertrag verarbeiteten personenbezogenen Daten löschen und/oder zurückgeben, es sei denn, der Kunde verlangt die Rückgabe personenbezogener Daten wie vorstehend in Absatz 11(a) beschrieben. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder die Vereinbarung festgelegte Aufbewahrungsfristen.

(c) Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf der Vereinbarung entstehen, trägt der Kunde.

12. Datenübermittlungen

(a) Nach Ausführung dieses AV-Vertrags schließt Sinch auf Anfrage des Kunden und auf Anforderung der EU-Datenschutzgesetze als Datenimporteur die Standardvertragsklauseln ab, wobei der Kunde als Datenexporteur fungiert. Wenn die Vereinbarung von Sinch mit einem Subprozessor eine eingeschränkte Übertragung beinhaltet, stellt Sinch sicher, dass die Weiterleitungsbestimmungen der Standardvertragsklauseln in die Hauptvereinbarung zwischen Sinch und dem Subprozessor aufgenommen oder anderweitig geschlossen werden. Der Kunde erklärt sich damit einverstanden, sein Prüfungsrecht in den Standardvertragsklauseln auszuüben, indem er Sinch anweist, die Prüfung gemäß Absatz 10 durchzuführen.

(b) Der Kunde erkennt an und erklärt sich damit einverstanden, dass Sinch im Zusammenhang mit der Erbringung der Dienste im Rahmen der Vereinbarung personenbezogene Daten innerhalb seiner Unternehmensgruppe übertragen kann. Diese Übertragungen sind für die globale Bereitstellung der Dienste erforderlich.

(c) Für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich an Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der vorgenannten Gebiete gewährleisten, soweit solche Übertragungen den Datenschutzgesetzen und -bestimmungen unterliegen und um angemessene Schutzmaßnahmen umzusetzen, werden folgende Schutzmaßnahmen getroffen: (i) Standardvertragsklauseln gemäß dem Beschluss 2010/87/EU der Europäischen Kommission und (2) zusätzliche Schutzmaßnahmen in Bezug auf Sicherheitsmaßnahmen, einschließlich Grundsätze zur Datenverschlüsselung und Datenminimierung.

13. Unterverarbeitung

(a) Der Kunde ermächtigt Sinch hiermit im Allgemeinen, Subprozessoren gemäß diesem Absatz 13 und Anhang 1 zu ernennen. Sinch stellt sicher, dass Subprozessoren an schriftliche Vereinbarungen gebunden sind, nach denen sie mindestens das von Sinch gemäß diesem AV-Vertrag geforderte Datenschutzniveau gewährleisten müssen. Der Kunde ermächtigt Sinch außerdem ausdrücklich weiterhin die Subprozessoren zu verwenden, die zum Zeitpunkt des AV-Vertrags bereits beschäftigt waren, wie in Abschnitt (b) angegeben.

(b) Die derzeitigen Subprozessoren für die Dienste sind unter https://www.sinch.com/data-protection-agreement/sub-processors/ aufgeführt (" Verzeichnis der Subprozessoren"). Unter der Voraussetzung, dass der Kunde die Benachrichtigung über neue Subprozessoren über den Abonnement-Mechanismus unter https://www.sinch.com/data-protection-agreement/sub-processors/ abonniert, wird Sinch den Kunden über diesen Mechanismus dreißig (30) Tage im Voraus über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch eines Subprozessors informieren. Wenn der Kunde Sinch innerhalb von zehn (10) Werktagen nach Erhalt dieser Mitteilung alle Einwände aus angemessenen Gründen gegen den vorgeschlagenen Termin schriftlich mitteilt, ernennt Sinch diesen vorgeschlagenen Subprozessor erst, wenn angemessene Schritte unternommen wurden, um die Einwände des Kunden zu lösen und dem Kunden wurde eine angemessene schriftliche Erläuterung der ergriffenen Maßnahmen übermittelt. Wenn Sinch und der Kunde die Ernennung eines Subprozessors nicht innerhalb einer angemessenen Frist lösen können, hat jede Partei das Recht, die Hauptvereinbarung aus wichtigem Grund zu kündigen.

(c) Sinch ist verantwortlich für die Handlungen und Unterlassungen von Subprozessoren, wie es dem Kunden gegenüber für seine eigenen Handlungen und Unterlassungen in Bezug auf die in diesem AV-Vertrag aufgeführten Angelegenheiten der Fall ist.

14. Anwendbares Recht und Gerichtsstand

(a) Die Parteien dieses AV-Vertrags unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Gerichtsstandswahl in Bezug auf Streitigkeiten oder Ansprüche, die sich aus diesem AV-Vertrags ergeben, einschließlich Streitigkeiten über dessen Existenz, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.

(b) Dieser AV-Vertrag und alle außervertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.

(c) Ungeachtet des Vorstehenden in den Absätzen (a) und (b) unterliegen alle Verpflichtungen, die sich aus oder im Zusammenhang mit den in diesen AV-Vertrag aufgenommenen Standardvertragsklauseln ergeben, dem Recht des in Anhang 1 genannten EU-Mitgliedstaates, wie es für die Gültigkeit dieser Standardvertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914/ der Europäischen Kommission vom 4. Juni 2021 erforderlich ist.

15. Rangfolge

(a) In Bezug auf den Gegenstand dieses AV-Vertrags im Falle von Widersprüchen zwischen den Bestimmungen dieses AV-Vertrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und (sofern nicht ausdrücklich schriftlich anders vereinbart, im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder angeblich geschlossen werden sollen, haben Vorrang vor den Bestimmungen dieses Nachtrags.

16. Abtrennung

(a) Sollte eine Bestimmung dieses AV-Vertrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses AV-Vertrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) nach Bedarf geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, während die Absichten der Parteien so genau wie möglich gewahrt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob die ungültige Bestimmung oder ein nicht durchsetzbarer Teil nie darin enthalten gewesen war.

17. Beendigung

(a) Mit der Kündigung der Hauptvereinbarung, werden dieser AV-Vertrag und die Standardvertragsklauseln mit der Erfüllung der Verpflichtung von Sinch zur Löschung der personenbezogenen Date, die gemäß Absatz 11 verarbeitet werden, beendet.

(b) Jede Änderung oder Variation dieses Nachtrags ist für die Parteien nicht bindend, es sei denn, sie ist schriftlich festgelegt und von bevollmächtigten Vertretern der einzelnen Parteien unterzeichnet.

* * *

ZU URKUND DESSEN wird dieser Nachtrag geschlossen und ist ab dem oben genannten Datum verbindlicher Bestandteil der Hauptvereinbarung.

Sinch Der Kunde

Unterschrift: Unterschrift:

Name: Name:

Titel: Titel:

Datum der Unterschrift

ANHANG 1

STANDARDVERTRAGSKLAUSELN

In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien Folgendes:

(a) Modul 2 (vom Datenverantwortlichen zum Datenverarbeiter) gilt, wenn Sinch als Datenverarbeiter des Kunden fungiert; Modul 3 (vom Datenverarbeiter zu Datenverarbeiter) gilt, wenn Sinch als Unterauftragsverarbeitern des Kunden fungiert. Für jedes Modul, falls zutreffend;

(b) Klausel 7 (Kopplungsklausel) ist aufgenommen;

(c) Für die Zwecke von Klausel 9.a) (Einsatz von Unterauftragsverarbeitern) gilt Option 2: Allgemeine schriftliche Genehmigung. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur informiert den Datenexporteur mindestens dreißig (30) Tage im Voraus ausdrücklich schriftlich über alle beabsichtigten Änderungen dieser Liste durch die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern;

(d) Die fakultative Formulierung in Klausel 11 (Rechtsbehelfe) zu unabhängigen Abwicklungsgremien wurde nicht übernommen;

(e) Für die Zwecke von Klausel 13 (Aufsicht) fungiert die IMY, die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten) als zuständige Aufsichtsbehörde;

(f) Option 1 von Klausel 17 (Geltendes Recht) gilt, und die Standardvertragsklauseln unterliegen den Gesetzen Schwedens;

(g) Für die Zwecke von Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) entscheiden die Gerichte Schwedens über alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben;

(h) Anlagen IA (Liste der Vertragsparteien) und Anlage IB (Beschreibung der Übertragung) sind unter Verwendung der in der Hauptvereinbarung festgelegten und in Absatz 3 des Av-Vertrags aufgeführten Informationen und Einzelheiten auszufüllen;

(i) Anhang IB (Beschreibung der Übertragung) muss weiter ausgefüllt werden, indem angegeben wird, dass keine vertraulichen Daten übertragen werden. Die Häufigkeit der Übertragung muss kontinuierlich sein. Bei Übertragungen an Unterauftragsverarbeiter entsprechen Gegenstand, Art und Dauer der Verarbeitung denen des Datenimporteurs;

(j) Für den Zweck von Anhang IC ist die zuständige Aufsichtsbehörde in Übereinstimmung mit Klausel 13 IMY, die schwedische Datenschutzbehörde, (Integritetsskyddsmyndigheten),

(k) Für die Zwecke von Anhang II sind die technischen und organisatorischen Maßnahmen in Anlage 2 des Av-Vertrags beschrieben;

(l) Für die Zwecke von Anhang III ist die Liste der Unterauftragsverarbeiter in Anhang 3 des Nachtrags enthalten;

(m) wenn die eingeschränkte Übertragung der Verordnung unterliegt, da sie Teil des Gesetzes von England und Wales, Schottland und Nordirland (UK DSGVO) ist, werden die Standardvertragsklauseln den folgenden Nachtrag des Vereinigten Königreichs enthalten:

(i) Für die Zwecke von Tabelle 1 ist das Startdatum das Datum der Unterschrift der Vereinbarung über die Datenverarbeitung (AV-Vertrag) und die Details der Parteien werden unter Verwendung der Informationen und Details im Hauptvertrag ausgefüllt;

(ii)Für die Zwecke von Tabelle 2 handelt es sich bei der Version der genehmigten EU-SCCs, der das UK Addendum beigefügt ist, um die gemäß diesem Anhang 1 abgeschlossenen Standardvertragsklauseln, wobei das Datum das Datum des Inkrafttretens dieses Nachtrags ist;

(iii) Für die Zwecke von Tabelle 3 sind die Anhangsinformationen wie in Absatz (h) - (l) dieses Anhang 1 beschrieben; und

(iv) Für die Zwecke von Tabelle 4 kann die als Importeur handelnde Sinch Gesellschaft den britischen Nachtrag beenden, wenn sich der genehmigte Nachtrag ändert.