zurück zu Rechtliches

Vereinbarung zur Datenverarbeitung

Zuletzt aktualisiert: 
2024-04-24

Botpress Datenverarbeitungsvertrag (DPA)

Diese DPA ist eine Ergänzung und ein integraler Bestandteil der Vereinbarung zwischen dem in den Nutzungsbedingungen genannten Unternehmen der Botpress Gruppe und dem Kunden. Diese DPA tritt in Kraft, sobald sie durch Verweis in diese Vereinbarung aufgenommen wird.

1.definitionen

1.a Begriffe in Großbuchstaben, die hier nicht definiert sind, haben die ihnen im Vertrag zugewiesene Bedeutung.

1.b In diesem DPA :

(a) "Vereinbarung" hat die Bedeutung, die diesem Begriff in den Allgemeinen Geschäftsbedingungen zugewiesen wird.

(b)"Botpress Gruppe" bedeutet Botpress und alle mit ihr verbundenen Unternehmen.

(c) "Kalifornische personenbezogene Daten" sind personenbezogene Daten, die dem Schutz des CCPA unterliegen.

(d) "Kanadische Datenschutzgesetze" sind der Personal Information Protection and Electronic Documents Act, SC 2000, c 5 und der Act respecting the protection of personal information in the private sector, CQLR c P-39.1, in der jeweils gültigen Fassung, ersetzt oder abgeändert.

(e) "CCPA" bedeutet California Civil Code Sec. 1798.100 et seq. (auch bekannt als California Consumer Privacy Act of 2018).

(f) "Verbraucher", "Unternehmen", "verkaufen" und "Dienstleister" haben die Bedeutung, die ihnen im CCPA zugewiesen wird.

(g) "Verantwortlicher" ist jede Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

(h) "Datenschutzgesetze" sind alle weltweit geltenden Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre, die für eine Partei dieser DPA gelten, insbesondere die europäischen Datenschutzgesetze, die kanadischen Datenschutzgesetze und das CCPA, jeweils in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung.

(i) "Betroffene Person" ist die Person, auf die sich die personenbezogenen Daten beziehen.

(j) "Europa" bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum und/oder ihre Mitgliedstaaten, die Schweiz und das Vereinigte Königreich.

(k) "Europäische Datenschutzgesetze" sind die in Europa geltenden Datenschutzgesetze in ihrer jeweils geänderten, überholten oder ersetzten Fassung.

(l) "Europäische Daten" sind personenbezogene Daten, die dem Schutz der europäischen Datenschutzgesetze unterliegen.

(m) "Zugelassene verbundene Unternehmen" sind alle verbundenen Unternehmen des Kunden, die (i) die Softwaredienste gemäß dem Vertrag nutzen dürfen, (ii) als Verantwortliche für die von Botpress verarbeiteten personenbezogenen Daten gelten und (iii) den europäischen Datenschutzgesetzen unterliegen.

(n) "Person" ist weit auszulegen und umfasst jede natürliche Person, Körperschaft, Gesellschaft mit beschränkter Haftung, Kommanditgesellschaft, Gesellschaft, Vereinigung, Partnerschaft, Treuhandgesellschaft oder Nachlass, Gemeinschaftsunternehmen, staatliche Einrichtung oder deren politische Untergliederung oder jede andere Einrichtung.

(o) "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.

(p) "Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die von einem Auftragsverarbeiter mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch geschieht oder nicht;

(q) "Auftragsverarbeiter" ist eine Person, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.

(r) "Aufsichtsbehörde" bezeichnet gegebenenfalls jede Person oder Strafverfolgungs- oder andere Behörde, die über eine Regulierungs-, Aufsichts- oder Regierungsbefugnis (sei es im Rahmen einer gesetzlichen Regelung oder anderweitig) über die gesamte oder einen Teil der Verarbeitung personenbezogener Daten in Verbindung mit der Erbringung oder dem Erhalt der Dienste verfügt, einschließlich, ohne Einschränkung, der europäischen Datenschutzaufsichtsbehörden;

(s) "Sicherheitsverletzung" bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die von Botpress und/oder Unterauftragsverarbeitern in Verbindung mit der Erbringung der Dienstleistungen übermittelt, gespeichert oder anderweitig verarbeitet werden, wobei Ereignisse, die die Sicherheit personenbezogener Daten nicht beeinträchtigen, wie erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme, nicht eingeschlossen sind.

(t) "Dienstleistungen" bezeichnet die Software-Dienste oder Professional Services, die von einem Unternehmen der Botpress Gruppe für den Kunden oder seine verbundenen Unternehmen erbracht werden.

(u) "Standardvertragsklauseln" sind die Standardvertragsklauseln im Anhang des Beschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, die gegebenenfalls geändert, ersetzt oder überholt werden.

(v) "Unterauftragsverarbeiter" ist jeder von Botpress oder Botpress beauftragte Auftragsverarbeiter, der bei der Erfüllung der Verpflichtungen von Botpress in Bezug auf die Erbringung der Dienstleistungen im Rahmen der Vereinbarung hilft. Zu den Unterauftragsverarbeitern können Dritte oder Botpress verbundene Unternehmen gehören, nicht jedoch Personen, die von Botpress angestellt oder beauftragt sind.

(w) "Drittland" bezeichnet eine Gerichtsbarkeit oder einen Empfänger, (i) die/der von der Europäischen Kommission nicht als ein Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet, und (ii) die/der nicht durch einen geeigneten Rahmen abgedeckt ist, der von den zuständigen Behörden oder Gerichten als ein Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet;

(x) "Nutzungsdaten" sind Daten, die sich auf die Nutzung der Software durch die autorisierten Benutzer beziehen und die personenbezogene Daten enthalten können, wenn die Identifizierung einzelner Benutzer erforderlich ist, jedoch keine Gesprächsdaten. Nutzungsdaten können personenbezogene Daten über die Mitarbeiter und Auftragnehmer des Kunden enthalten, jedoch nicht über Endbenutzer, die mit Kunden-Bots interagieren.

2. die Rolle der Parteien

2.a Bei der Verarbeitung von Konversationsdaten durch die Dienste erkennen die Parteien an und vereinbaren, dass der Kunde als Verantwortlicher und Botpress als Verarbeiter handelt.

2.b Handelt der Kunde als Auftragsverarbeiter im Auftrag eines für die Verarbeitung Verantwortlichen, so gilt Botpress als Unterauftragsverarbeiter des Kunden.

2.c Botpress ist der für die Verarbeitung Verantwortliche in Bezug auf die Nutzungsdaten.

3. die Einhaltung der Datenschutzgesetze

3.a Jede Partei führt die Verarbeitung personenbezogener Daten in Übereinstimmung mit allen geltenden Datenschutzgesetzen durch.

3.b Botpress ist nicht verantwortlich für die Einhaltung von Datenschutzgesetzen, die für den Kunden oder die Branche des Kunden gelten und die nicht allgemein auf Botpress anwendbar sind.

3.c Wenn Botpress feststellt, dass die Verarbeitung personenbezogener Daten gemäß den Anweisungen des Kunden aufgrund einer gesetzlichen Vorschrift nicht möglich ist, wird Botpress (i) den Kunden unverzüglich über diese gesetzliche Vorschrift informieren, soweit dies nach geltendem Recht zulässig ist, und (ii) erforderlichenfalls die gesamte Verarbeitung (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten) einstellen, bis der Kunde neue Anweisungen in Übereinstimmung mit dem geltenden Recht erteilt. Wenn diese Bestimmung geltend gemacht wird, haftet Botpress dem Kunden gegenüber nicht für die Nichterbringung der entsprechenden Softwaredienste oder Professional Services, bis Botpress in angemessener Weise feststellt, dass die Anweisungen des Kunden rechtmäßig sind.

4.Botpress Verpflichtungen

4.a Botpress wird personenbezogene Daten nur für die in dieser DPA beschriebenen Zwecke oder wie anderweitig vereinbart im Rahmen der vom Kunden erhaltenen rechtmäßigen Anweisungen verarbeiten, es sei denn, das geltende Recht schreibt etwas anderes vor.

4.b Botpress implementiert und unterhält angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Sicherheitsvorfällen, einschließlich der in Anhang 2 dieser DSGVO beschriebenen ("Sicherheitsmaßnahmen"). Botpress kann die Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, sofern eine solche Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch die Sicherheitsmaßnahmen gebotenen Schutzes führt.

4.c Botpress behandelt personenbezogene Daten als vertrauliche Informationen des Kunden und stellt sicher, dass alle seine Mitarbeiter oder Kontaktpersonen, die zum Zugriff auf personenbezogene Daten oder zu deren Verarbeitung berechtigt sind, entsprechenden Vertraulichkeitsverpflichtungen (vertraglich oder gesetzlich) in Bezug auf diese personenbezogenen Daten unterliegen.

4.d Botpress wird alle personenbezogenen Daten, die gemäß dieser DPA verarbeitet wurden, bei Beendigung oder Ablauf der Vereinbarung löschen oder zurückgeben. Botpress kann Kopien personenbezogener Daten aufbewahren, wenn dies gesetzlich vorgeschrieben ist oder wenn personenbezogene Daten auf Backup-Systemen archiviert wurden, wobei diese Daten sicher isoliert und vor jeglicher weiteren Verarbeitung geschützt und gemäß den geltenden Löschverfahren gelöscht werden.

5. die Verpflichtungen des Kunden

5.a Der Kunde ist dafür verantwortlich, dass seine Nutzung der Softwaredienste oder der Software in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen erfolgt, indem er u.a. sicherstellt, dass (i) er berechtigt ist, Botpress mit der Verarbeitung personenbezogener Daten in seinem Namen in Übereinstimmung mit dieser DSGVO zu beauftragen, (ii) er das Recht hat, die personenbezogenen Daten an Botpress zur Verarbeitung in Übereinstimmung mit den Vertragsbedingungen (einschließlich dieser DSGVO) zu übermitteln oder Zugang zu ihnen zu gewähren, (iii) er sicherstellt, dass die Anweisungen des Kunden in Bezug auf die Verarbeitung personenbezogener Daten den anwendbaren Gesetzen, einschließlich der Datenschutzgesetze, entsprechen;

5.b Der Kunde hat Botpress unverzüglich schriftlich zu benachrichtigen, wenn er Grund zu der Annahme hat oder wenn er benachrichtigt wurde, dass die Verarbeitung personenbezogener Daten durch den Kunden über die Dienste gegen geltendes Recht, einschließlich Datenschutzgesetze, verstößt oder verstoßen könnte.

5.c Der Kunde ist dafür verantwortlich, zu prüfen, ob die von Botpress implementierten Sicherheitsmaßnahmen den Verpflichtungen des Kunden gemäß den anwendbaren Datenschutzgesetzen in angemessener Weise entsprechen. Der Kunde ist auch dafür verantwortlich, sicherzustellen, dass sein Zugang zu den Softwarediensten gesichert und autorisiertem Personal vorbehalten ist.

6. die Verletzung der Sicherheit

6.a Botpress wird den Kunden unverzüglich benachrichtigen, wenn er von einer Sicherheitsverletzung Kenntnis erlangt, und wird rechtzeitig Informationen über eine solche Sicherheitsverletzung zur Verfügung stellen, sobald diese bekannt wird oder vom Kunden in angemessener Weise angefordert wird.

6.b Auf Anfrage leistet Botpress dem Kunden unverzüglich angemessene Unterstützung, damit der Kunde eine Sicherheitsverletzung den Aufsichtsbehörden und/oder den betroffenen Personen melden kann, wenn eine solche Meldung nach den Datenschutzgesetzen erforderlich ist.

7 Unterauftragsverarbeiter

7.a Botpress kann Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen. Die derzeitigen Unterauftragsverarbeiter sind in Anhang 3 aufgeführt; jede Änderung der Unterauftragsverarbeiter wird dem Kunden mitgeteilt.

7.b Botpress wählt Unterauftragsverarbeiter aus, die Datenschutzverpflichtungen anbieten, die mindestens das gleiche Schutzniveau für personenbezogene Daten bieten wie die in dieser DPA (einschließlich, wo angemessen, der Standardvertragsklauseln), soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen zutrifft. Botpress bleibt verantwortlich für die Einhaltung der Verpflichtungen dieser DPA durch jeden Unterauftragsverarbeiter und für alle Handlungen oder Unterlassungen eines solchen Unterauftragsverarbeiters, die einen Verstoß gegen die Verpflichtungen von Botpressgemäß dieser DPA verursachen.

7.c Wenn Botpress europäische Daten im Auftrag des Kunden verarbeitet, kann der Kunde einem neuen Unterauftragsverarbeiter aus angemessenen datenschutzrechtlichen Gründen widersprechen. Wird ein solcher Einwand mitgeteilt, erklärt sich Botpress bereit, die Angelegenheit nach Treu und Glauben zu erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Kann keine solche Lösung erzielt werden, kann Botpress entweder auf die Ernennung des neuen Unterauftragsverarbeiters verzichten oder dem Kunden gestatten, sein Abonnement für den Teil der Softwaredienste, der auf diesen neuen Unterauftragsverarbeiter angewiesen ist, zu kündigen, ohne dass eine der Parteien dafür haftet (jedoch unbeschadet der vor der Kündigung angefallenen Gebühren).

7.d Falls gesetzlich oder gemäß den Standardvertragsklauseln erforderlich, wird Botpress sich in angemessener Weise bemühen, dem Kunden die erforderlichen Informationen über die Vereinbarungen von Botpressmit den Unterauftragsverarbeitern zur Verfügung zu stellen. Der Kunde erklärt sich damit einverstanden, dass einige Informationen in solchen Vereinbarungen geschwärzt oder auf vertraulicher Basis zur Verfügung gestellt werden können.

8. die Übermittlung personenbezogener Daten

8.a Die Verarbeitung personenbezogener Daten, die keine europäischen Daten sind, durch die Unternehmen der Botpress Gruppe findet in jeder Rechtsordnung statt, in der eine solche Verarbeitung nach den geltenden Gesetzen der Datenschutz-Jurisdiktion zulässig ist.

8.b Die Verarbeitung der europäischen Daten erfolgt ausschließlich :

a) Innerhalb Europas;

b) in einer Rechtsordnung, die gemäß einer Entscheidung der Europäischen Kommission auf der Grundlage der geltenden Datenschutzgesetze ein angemessenes Schutzniveau bietet;

c) in jeder Rechtsordnung durch eine Organisation oder Einrichtung, die angemessene Garantien bietet, auch durch die Standardvertragsklauseln;

d) in jeder Rechtsordnung mit schriftlicher Zustimmung des Kunden oder der betroffenen Person.

8.c Wenn die Verarbeitung europäischer Daten in einem Drittland stattfindet, wird davon ausgegangen, dass die Parteien die Standardvertragsklauseln nur in Bezug auf die betreffenden personenbezogenen Daten und die betreffende Verarbeitung abgeschlossen haben. Die Parteien vereinbaren, dass für die Zwecke der Standardvertragsklauseln :

a) Wenn der Kunde ein Kontrolleur und Botpress ein Auftragsverarbeiter ist, gilt Modul 2 (Kontrolleur an Auftragsverarbeiter).

b) Ist der Auftraggeber ein Auftragsverarbeiter und Botpress ein Unterauftragsverarbeiter, so gilt Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter).

c) In Bezug auf die Nutzungsdaten gilt Modul 1 (von der verantwortlichen Stelle an die verantwortliche Stelle).

d) In Klausel 7 der Standardvertragsklauseln wird die fakultative Andockklausel nicht angewendet;

e) In Klausel 9 der Standardvertragsklauseln gilt die Option 2, und die Frist für die vorherige schriftliche Mitteilung von Änderungen des Unterauftragsverarbeiters beträgt 10 Tage;

f) In Klausel 11 der Standardvertragsklauseln wird die fakultative Formulierung nicht angewendet;

g) In Klausel 17 (Option 1) wird festgelegt, dass die Standardvertragsklauseln irischem Recht unterliegen;

h) Gemäß Klausel 18(b) der Standardvertragsklauseln sind für Streitigkeiten die irischen Gerichte zuständig;

i)Botpress ist der "Datenimporteur" und der Kunde ist der "Datenexporteur" (im eigenen Namen und im Namen der zugelassenen verbundenen Unternehmen);

j) die in den Anhängen 1 und 2 dieser DPA aufgeführten relevanten Informationen gelten als in den Anhängen der Standardvertragsklauseln enthalten;

k) wenn und soweit die Standardvertragsklauseln mit einer Bestimmung dieser DPA kollidieren, haben die Standardvertragsklauseln in dem Maße Vorrang, in dem sie kollidieren.

8.d Übertragungen in die Schweiz und das Vereinigte Königreich. Soweit eine Übermittlung personenbezogener Daten zwischen dem Kunden und Botpress und/oder einem Unterauftragsverarbeiter den Datenschutzgesetzen der Schweiz oder des Vereinigten Königreichs unterliegt, gelten die Standardvertragsklauseln als geändert, um die Anforderungen der anwendbaren Datenschutzgesetze der Schweiz und des Vereinigten Königreichs widerzuspiegeln, einschließlich Verweisen auf die Gesetzgebung, das anwendbare Recht und die zuständigen Behörden und Gerichte.

9 CCPA-Verarbeitung

9.a Bei der Verarbeitung personenbezogener Daten aus Kalifornien in Übereinstimmung mit den Anweisungen des Kunden erkennen die Parteien an und stimmen zu, dass der Kunde ein Unternehmen und Botpress ein Dienstleister im Sinne des CCPA ist. Die Parteien vereinbaren, dass Botpress die persönlichen Daten aus Kalifornien als Dienstleister ausschließlich zum Zweck der Erbringung der Software-Services und Professional Services im Rahmen der Vereinbarung (der "Geschäftszweck") oder wie anderweitig durch das CCPA erlaubt, verarbeiten wird.

10 Ersuchen von Drittparteien

10.a Der Kunde ist dafür verantwortlich, jede Anfrage einer betroffenen Person oder einer Aufsichtsbehörde in Bezug auf ihre persönlichen Daten zu beantworten, und der Kunde muss die verfügbaren Funktionen der Softwaredienste nutzen, um relevante Informationen über die Verarbeitung persönlicher Daten abzurufen.

10.b Wenn der Kunde nicht in der Lage ist, eine Anfrage einer betroffenen Person oder einer Aufsichtsbehörde ("Anfrage") selbst zu bearbeiten, wird Botpress dem Kunden in angemessenem Umfang Unterstützung bei der Beantwortung solcher Anfragen im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung leisten. Sofern und soweit eine Anfrage nicht auf der Nichteinhaltung der Verpflichtungen von Botpress aus dieser DPA beruht, erstattet der Kunde Botpress seine angemessenen Kosten für die Unterstützung des Kunden.

10.c Wenn eine Anfrage oder eine andere Mitteilung bezüglich der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt an Botpress gerichtet wird, informiert Botpress den Kunden umgehend und weist die betroffene Person oder die Aufsichtsbehörde an, ihre Anfrage direkt an den Kunden zu richten. Der Kunde ist allein verantwortlich für die inhaltliche Beantwortung solcher Anfragen oder Mitteilungen, die personenbezogene Daten betreffen.

11. die Prüfung von personenbezogenen Daten

11.a Auf Anfrage und nach angemessener Benachrichtigung von Botpress ist der Kunde berechtigt, auf eigene Kosten die notwendigen Überprüfungen vorzunehmen, um sicherzustellen, dass die von Botpress im Auftrag des Kunden verarbeiteten personenbezogenen Daten gemäß den Anweisungen des Kunden verarbeitet werden. Auf Verlangen des Kunden ermöglicht Botpress die Überprüfung und Kontrolle der von Botpress durchgeführten Verarbeitung. Eine solche Prüfung kann durch den Kunden und/oder einen (vom Kunden ausgewählten und von Botpress angemessenerweise akzeptierten) Dritten, der im Namen des Kunden handelt, durchgeführt werden. Der Kunde ergreift alle erforderlichen Maßnahmen, um Schäden oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäftsbetrieb der Unternehmen der Gruppe Botpress zu vermeiden.

11.b Der Kunde und Botpress vereinbaren im Voraus die Art, den Umfang und die Dauer eines Audits durch den Kunden, und der Kunde erstattet Botpress alle angemessenen Kosten, die mit einem solchen Audit verbunden sind und die auf Anfrage des Kunden vor Beginn des Audits geschätzt werden können. Soweit möglich, werden die Anforderungen des Kunden an eine Prüfung durch die von Botpress zur Verfügung gestellten Prüfberichte Dritter erfüllt, sofern diese verfügbar sind.

11.c Wenn Botpress europäische Daten im Auftrag des Kunden verarbeitet, stellt Botpress dem Kunden auf angemessene Anfrage (auf vertraulicher Basis) (i) eine zusammenfassende Kopie seines/ihrer Sicherheitstestberichts/-berichte und (ii) schriftliche Antworten auf alle angemessenen Informationsanfragen des Kunden zur Verfügung, die notwendig sind, um die Einhaltung der DSGVO durch Botpress zu bestätigen, vorausgesetzt, dass der Kunde dieses Recht nicht mehr als einmal pro Kalenderjahr ausübt, es sei denn, der Kunde kann berechtigte Gründe für den Verdacht vorbringen, dass Botpressdie DSGVO nicht einhält.

12. haftungsbeschränkung

12.a Die Haftung von Botpressund seinen verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA (und allen anderen DPAs zwischen den Parteien) und den Standardvertragsklauseln (sofern anwendbar) ergibt, ist unabhängig davon, ob es sich um einen Vertrag, eine unerlaubte Handlung oder eine andere Haftungstheorie handelt, auf den Gesamtbetrag der Gebühren beschränkt, die der Kunde in den 12 Monaten vor dem haftungsbegründenden Ereignis an Botpress als Gegenleistung für die Dienstleistungen bezahlt hat.

13. gerichtliche Zuständigkeit

Sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben, unterliegt diese DPA den auf das Abkommen anwendbaren Gesetzen und ist entsprechend auszulegen, und Streitigkeiten im Zusammenhang mit diesem Abkommen werden von den zuständigen Gerichten des im Vorschlag angegebenen Gerichtsstands entschieden.

Soweit die Datenschutzgesetze vorschreiben, dass diese DPA den Gesetzen eines Mitgliedstaates der Europäischen Union unterliegt, unterliegt diese DPA den Gesetzen Irlands, und Streitigkeiten im Zusammenhang mit dieser Vereinbarung sind von den irischen Gerichten zu entscheiden.

14. allgemein

14.a Vorrang. Im Falle von Widersprüchen zwischen einer der Bestimmungen dieser DPA und einer anderen Bestimmung des Abkommens haben die Bestimmungen der DPA stets Vorrang, es sei denn, es wird ausdrücklich festgelegt, dass eine andere Bestimmung des Abkommens Vorrang hat oder dass eine Bestimmung dieser DPA aufgehoben oder geändert werden soll.

14.b Änderungen. Botpress kann diese DPA ändern, um Änderungen seiner Datenverarbeitungspraktiken zu berücksichtigen. Jede Änderung, die nicht der sprachlichen Klarstellung dient (die dem Kunden routinemäßig mitgeteilt wird), wird dem Kunden vorgelegt und tritt erst in Kraft, wenn sie vom Kunden akzeptiert wird. Wenn eine Änderung dieser DPA durch geltendes Recht erforderlich ist, wird der Kunde

hat die Möglichkeit, eine solche Änderung zu akzeptieren oder sein Abonnement für die Softwaredienste zu kündigen.

14.c Trennbarkeit. Sollten einzelne Bestimmungen dieser DPA ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser DPA davon nicht berührt.

Anhang 1 - Einzelheiten der Verarbeitung

Identifizierung des Controllers

Der Kunde

Kontaktperson: die Person, die in dem vom Kunden akzeptierten Vorschlag angegeben ist. Identifizierung des Auftragsverarbeiters

Wenn der Kunde in Kanada ansässig ist: Technologies Botpress Inc.

Wenn der Kunde an einem anderen Ort ansässig ist: Botpress, Inc.

Kontaktperson:

Jean-Bernard Perrron

[email protected]

Kategorien von betroffenen Personen

Der Kunde kann im Zuge der Nutzung des Softwaredienstes personenbezogene Daten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen und vorbehaltlich der geltenden Nutzungsbedingungen bestimmt und kontrolliert wird und die personenbezogene Daten zu den folgenden Kategorien von Datensubjekten enthalten können, aber nicht darauf beschränkt sind:

  • Personen, die die Software im Auftrag des Kunden nutzen
  • Endnutzer von Kundenbots

Kategorien von personenbezogenen Daten

Der Kunde kann personenbezogene Daten an die Software-Dienste übermitteln und den Endbenutzern erlauben, personenbezogene Daten an die Software-Dienste zu übermitteln, wobei der Umfang dieser Übermittlung vom Kunden nach eigenem Ermessen und vorbehaltlich der geltenden Nutzungsbedingungen bestimmt und kontrolliert wird.

Der Softwareservice ist nicht für die Verarbeitung sensibler Daten konzipiert. Der Kunde sollte selbst dafür verantwortlich sein, die Eignung des Softwareservices für die Verarbeitung sensibler Daten zu prüfen.

Botpress wird Kontaktinformationen über autorisierte Benutzer (Name, E-Mail, Telefon) sowie Nutzungs- und Verhaltensdaten über die Produktnutzung für den technischen Support und statistische Zwecke verarbeiten.

Art der Verarbeitung

  • Speicherung und sonstige Verarbeitung, die für die Bereitstellung, Aufrechterhaltung und Verbesserung der dem Kunden angebotenen Dienste erforderlich ist;
  • Offenlegung im Einklang mit dem Abkommen (einschließlich dieser DPA) und/oder gemäß den geltenden Gesetzen;
  • Botpress wird personenbezogene Daten in dem Maße verarbeiten, wie es für die Erbringung der Dienstleistungen gemäß dem Vertrag erforderlich ist, und wie es der Kunde bei der Nutzung der Dienstleistungen anweist.
  • Botpress Verarbeitet Nutzungsdaten zur technischen Unterstützung und zu statistischen Zwecken (zur Produktverbesserung und -entwicklung).

Zeitraum, in dem personenbezogene Daten aufbewahrt werden

Vorbehaltlich der Verpflichtung von Botpress, Daten zu löschen oder an den Kunden zurückzugeben, verarbeitet Botpress personenbezogene Daten für die Dauer des Vertrags, sofern nicht schriftlich etwas anderes vereinbart wurde.

Schema 2 - Sicherheitsmaßnahmen

1. die Verwaltung

Botpress setzt angemessene Richtlinien und Verfahren in Bezug auf personenbezogene Daten um, einschließlich:

  • Verfahren zur Informationssicherheit;
  • Grundsätze für die Verwendung personenbezogener Daten ;
  • Verfahren zur Meldung von Sicherheits- und Datenschutzvorfällen ;
  • Mechanismen der Risikobewertung;
  • Interne Audit-Verfahren ;
  • Vertragliche Maßnahmen;

2. der Benutzerzugang

  • Die Funktionen und Verantwortlichkeiten der Botpress Nutzer und Nutzerprofile mit Zugang zu personenbezogenen Daten und Informationssystemen sind klar definiert.
  • Botpress ergreift Maßnahmen, um seine Nutzer über die Sicherheitsvorschriften, die sich auf die Erfüllung ihrer Aufgaben auswirken, und über die Folgen eines Verstoßes gegen diese Vorschriften zu informieren.
  • Klartextprotokolle werden nicht für den Zugriff auf oder die Übertragung von personenbezogenen Daten verwendet. Für diese Vorgänge wird nur das SSL-Protokoll akzeptiert.
  • Botpress die Sicherheit der Prozesse und Verfahren für die Handhabung oder Entsorgung von physischen Medien oder Geräten, die personenbezogene Daten enthalten können, gewährleistet.
  • Personenbezogene Daten sind physisch von anderen Botpress Daten getrennt oder logisch getrennt, wenn sie sich in einer Datenbank oder virtuellen Umgebung befinden. Wenn personenbezogene Daten nicht physisch von anderen Daten, Systemen oder Anwendungen getrennt sind, die nicht mit dem Kunden in Verbindung stehen, wendet Botpress angemessene Sicherheitskontrollen an, einschließlich Zugangskontrollen.

3. die Zugangskontrolle

Botpress unterhält die Server, die relevanten Datenbanken und andere Hardware- und/oder Software-Komponenten, die personenbezogene Daten speichern, in einem sicheren Datenzentrum, dessen Zugang kontrolliert und überwacht wird, um nur befugtes Personal zuzulassen.

Botpress wirksame Maßnahmen zur logischen Zugangskontrolle auf allen Systemen anwendet, die zur Erstellung, Übermittlung oder Verarbeitung personenbezogener Daten verwendet werden, einschließlich, aber nicht beschränkt auf:

  • Authentifizierung des Benutzers, der eindeutige Identifikatoren ("Benutzer-IDs") und Namen verwenden muss.
  • Eine ausreichend komplexe und robuste Passwortstrategie.
  • Die Zugriffsrechte/Privilegien der Nutzer auf Informationsressourcen, die personenbezogene Daten enthalten, müssen auf einer Need-to-know-Basis gewährt werden, die mit den Aufgaben und Verantwortlichkeiten des Nutzers zusammenhängt.
  • Der Zugang von Nutzern zu Computersystemen, die den Zugang zu personenbezogenen Daten ermöglichen, wird unverzüglich gelöscht, wenn der Nutzer aus dem Dienst ausscheidet oder wenn der Nutzer den Arbeitsplatz wechselt und der neue Arbeitsplatz keinen Zugang erfordert.
  • Standardpasswörter und Sicherheitseinstellungen müssen in den Produkten/Anwendungen von Drittanbietern geändert werden, die zur Unterstützung personenbezogener Daten verwendet werden.
  • Drittanbieter unterliegen bei der Verarbeitung personenbezogener Daten den gleichen Sicherheitsanforderungen und Verpflichtungen wie die autorisierten Nutzer von Botpress.
  • Jährliche Überprüfung der Berechtigung von Benutzerkonten und der damit verbundenen Berechtigungen für den Zugang zu personenbezogenen Daten.

4. die Sicherheitsarchitektur des Netzes

Botpress wirksame Maßnahmen zur Kontrolle des Netzzugangs zu allen Systemen ergreift, die zur Erstellung, Übermittlung oder Verarbeitung personenbezogener Daten verwendet werden, einschließlich, aber nicht beschränkt auf:

  • Firewalls sind jederzeit einsatzbereit und werden an der Netzgrenze zwischen dem internen (privaten) Netz von Botpress und dem öffentlichen Netz (Internet) installiert.
  • Im Netz Botpress werden ordnungsgemäß konfigurierte und überwachte Systeme zur Erkennung und Verhinderung von Eindringlingen eingesetzt.
  • Auf der Datenbank und anderen Informationssystemen, die für die Verarbeitung personenbezogener Daten verwendet werden, sind nur die Dienste/Prozesse und Ports aktiviert, die für die Ausführung von Routineprogrammen erforderlich sind. Alle anderen Dienste/Prozesse auf dem Host sind deaktiviert.
  • Alle Informationssysteme, Repositories und andere Systeme, die zur Verarbeitung personenbezogener Daten verwendet werden, müssen sich physisch in einer kontrollierten Rechenzentrumsumgebung befinden und zum Schutz der Informationssysteme eingesetzt werden.
  • Sichere Kanäle (z.B. TLS, SFTP, SSH, IPSEC, etc.) müssen durchgängig für die Kommunikation mit dem Rechenzentrum Botpress verwendet werden.

5 Schwachstellenmanagement-Kontrollen

Botpress auf allen Systemen, die zur Erstellung, Übermittlung oder Verarbeitung personenbezogener Daten verwendet werden, wirksame Kontrollen zum Schutz vor Sicherheitslücken durchführt, einschließlich, aber nicht beschränkt auf folgende Maßnahmen

  • Einsatz von Netzwerk-Präventions- und Erkennungsgeräten, um Phishing-E-Mails und Malware herauszufiltern, bevor sie auf Arbeitsstationen gelangen, die von Botpress verwaltet werden und direkten oder indirekten Zugang zu personenbezogenen Daten haben.
  • Einsatz von Anti-Virus- und Anti-Malware-Präventions- und Erkennungssoftware auf allen Arbeitsplätzen, die von Botpress verwaltet werden und personenbezogene Daten verarbeiten.
  • Beibehaltung eines Standard-Patch-Management-Prozesses und -Verfahrens, um den Schutz aller Geräte zu gewährleisten, die für den Zugriff, die Verarbeitung oder die Speicherung personenbezogener Daten verwendet werden.
  • Geräte und Dokumente, die personenbezogene Daten enthalten, müssen die Identifizierung der Informationen, auf die zugegriffen wird, ermöglichen, müssen inventarisiert werden und dürfen nur den Benutzern zugänglich sein, die gemäß dem Sicherheitsdokument zum Zugriff auf die Daten berechtigt sind.
  • Maßnahmen zur Verhinderung von Diebstahl, Verlust oder unbefugtem Zugriff auf personenbezogene Daten während der Übertragungs- und Transfervorgänge.

6. die Sicherung, Wiederherstellung und Verfügbarkeit von Daten

Botpress setzt die folgenden Pläne für die Wiederherstellung im Notfall und die Geschäftskontinuität um, um maximale Ausfallzeiten und Datenverluste zu minimieren.

  • Botpress Notfallwiederherstellungsfunktionen implementiert, die darauf ausgelegt sind, die Funktionsfähigkeit des Systems, das personenbezogene Daten enthält, innerhalb eines von den Parteien vereinbarten Zeitraums oder, falls dies nicht möglich ist, innerhalb eines angesichts der Art der personenbezogenen Daten angemessenen Zeitraums wiederherzustellen.
  • Botpress stellt systematisch sicher, dass personenbezogene Daten nur für befugtes Personal von Botpress zugänglich sind (z. B. sind externe Backups systematisch zu verschlüsseln).
  • Um die Risiken durch Umweltbedrohungen, Gefahren und Möglichkeiten des unbefugten Zugriffs zu verringern, müssen die Geräte von Orten entfernt sein, die mit hoher Wahrscheinlichkeit Umweltrisiken ausgesetzt sind, und durch redundante Geräte in angemessener Entfernung ergänzt werden.
  • Es sind Sicherheitsmechanismen und Redundanzen einzurichten, um die Geräte vor Ausfällen der Versorgungsdienste (z. B. Stromausfälle, Netzunterbrechungen usw.) zu schützen.
  • Es sind Richtlinien und Verfahren für die Datenaufbewahrung und -speicherung festzulegen und Sicherungs- oder Redundanzmechanismen zu implementieren, um die Einhaltung regulatorischer, gesetzlicher, vertraglicher oder geschäftlicher Anforderungen zu gewährleisten. Die Wiederherstellung von Festplatten- oder Bandsicherungen ist in geplanten Abständen zu testen.

7. das Sicherheitsaudit

Botpress setzt Kontrollen auf allen Systemen ein, die zur Erstellung, Übermittlung oder Verarbeitung personenbezogener Daten verwendet werden, einschließlich, aber nicht beschränkt auf:

  • Schwachstellenscans oder Audits von Dritten bei nach außen gerichteten (öffentlichen) Infrastrukturgeräten, die personenbezogene Daten enthalten.
  • Penetrationstests durch Dritte für Botpress Systeme, die personenbezogene Daten speichern und verarbeiten.
  • Regelmäßige Bewertung durch Dritte, wenn Anwendungen oder Prozesse Finanzinformationen unterstützen.
  • Botpress verpflichtet sich, alle infolge von Penetrationstests festgestellten Schwachstellen zu beheben und den Kunden über die Abhilfemaßnahmen zu informieren.

8. schulung und Sensibilisierung

Botpress ein Programm zur Sensibilisierung für die Sicherheit seiner Mitarbeiter und Dienstleister einführt, die mit den Systemen interagieren, in denen personenbezogene Daten verarbeitet werden, einschließlich:

  • Botpress stellt sicher, dass seine Mitarbeiter mit den Gefahren und Problemen des Informationsrisikomanagements im Zusammenhang mit den Diensten von Botpress sowie mit den einschlägigen Grundsätzen des Informationsrisikomanagements vertraut sind.
  • Botpress Das Personal erhält Schulungen und regelmäßige Aktualisierungen zu den einschlägigen Strategien und Verfahren für das Informationsrisikomanagement des Standardklassifizierungssystems für das Risikomanagement und den entsprechenden Verfahren.
  • Die Mitarbeiter von Unterauftragnehmern werden über das Klassifizierungssystem für das Informationsrisikomanagement von Botpress und die entsprechenden Verfahren informiert.
  • Es sind Richtlinien und Verfahren festzulegen, um sichtbare Dokumente, die sensible Daten enthalten, zu löschen, wenn ein Arbeitsplatz unbeaufsichtigt ist, und um die Abmeldung von Arbeitsplatzsitzungen bei Inaktivität durchzusetzen.

Liste 3 - Unterauftragsverarbeiter Sofern nicht anders angegeben, ist der Ort der Verarbeitung : USA.

Amazon Webdienste

  • AWS hostet unsere Cloud-Dienste und alle Kundendaten.
  • AWS verarbeitet Analysedaten über die Nutzung der Cloud-Dienste Botpress .

Google Analytics

  • Google Analytics verarbeitet Analysedaten über die Nutzung von Botpress cloud services.

Freshdesk

  • Freshdesk bietet Helpdesk-Dienste an.
  • Freshdesk verarbeitet alle von den Nutzern für den technischen Support bereitgestellten Daten.

Hotjar

  • Wir nutzen die Hotjar-Dienste für den Service.
  • Hotjar liefert Informationen über das Verhalten der Besucher des Dienstes.

OpenAI

  • OpenAI wird verwendet, um Benutzereingaben zu verarbeiten und Textantworten zu erzeugen.

Mixpanel

  • Mixpanel wird verwendet, um Produkt- und Website-Nutzungsanalysen zu sammeln, die zur Verbesserung des Dienstes verwendet werden.

Intercom

  • Intercom wird verwendet, um den Besuchern des Dienstes und der Website Live-Support zu bieten.
Datenverarbeitungsvertrag abschließen
Alle Systeme einsatzbereit
SOC 2
Zertifiziert
GDPR
Konform
© 2024
Plattform
Preisgestaltung
Agent Studio
Autonomer Motor
Wissensgrundlagen
Tische
Hub
Integrationen
Kanäle
LLMs
Ressourcen
Mit Sales sprechen
Dokumentation
Einen Experten finden
Videos
Kundengeschichten
API-Referenz
Blog
Status
v12 Ressourcen
Gemeinschaft
Unterstützung der Gemeinschaft
Partner werden
Werden Sie Botschafter
Werden Sie ein Partner
Veranstaltungen
Unternehmen
Über
Karriere
Nachrichten & Presse
Rechtliches
Datenschutz
© Botpress 2024