Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Nutzungsbedingungen zwischen CallMama Limited („CallMama“, „Auftragsverarbeiter“) und dem Geschäftskunden, der ihr zustimmt („Kunde“, „Verantwortlicher“). Sie gilt, wenn CallMama personenbezogene Daten im Namen des Kunden verarbeitet – in der Praxis, wenn ein Geschäftskunde das CallMama-Webportal nutzt, um die Kommunikation mit seinen eigenen Anrufern und Kontakten weiterzuleiten, zu speichern oder aufzuzeichnen.
1. Rollen
Für die personenbezogenen Daten, die der Kunde über den Dienst über seine eigenen Anrufer und Kontakte verarbeitet („personenbezogene Kundendaten“), ist der Kunde der Verantwortliche und CallMama der Auftragsverarbeiter. CallMama verarbeitet personenbezogene Kundendaten nur gemäß den dokumentierten Anweisungen des Kunden, zu denen die Nutzungsbedingungen, diese DPA und die Nutzung der Servicefunktionen durch den Kunden gehören.
2. Gegenstand und Einzelheiten der Verarbeitung
| Artikel | Detail |
|---|---|
| Thema | Bereitstellung des CallMama-Anruf-, Messaging-, Nummern-, Routing- und (Webportal-)Aufzeichnungsdienstes |
| Dauer | Die Laufzeit der Nutzungsbedingungen |
| Natur und Zweck | Bereitstellung der Dienste für den Kunden und seine Endbenutzer, einschließlich Hosting, Übertragung, Weiterleitung, Speicherung und (sofern der Kunde dies ermöglicht) Aufzeichnen der Kommunikation des Kunden; und um die Sicherheit und Integrität des Dienstes aufrechtzuerhalten |
| Arten personenbezogener Daten | Kontaktnummern, Namen, Anruf- und Nachrichtenmetadaten und -inhalte, Voicemail, Anrufaufzeichnungen und andere Daten, die der Kunde verarbeiten möchte |
| Kategorien betroffener Personen | Die Anrufer, Kontakte, Kunden und Mitarbeiter des Kunden |
Aufbewahrungsfristen: Anrufdetailaufzeichnungen werden für die von den geltenden Telekommunikations- und Steuergesetzen vorgeschriebenen Zeiträume aufbewahrt (in der Regel 90 Tage bis 12 Monate, je nach Gerichtsbarkeit). Alle anderen personenbezogenen Daten des Kunden werden so lange aufbewahrt, bis der Kunde die Löschung beantragt, die DPA endet oder die geltende Aufbewahrungsfrist abläuft, je nachdem, was früher eintritt.
3. Pflichten von CallMama
- Verarbeiten Sie personenbezogene Daten des Kunden nur auf dokumentierte Anweisung des Kunden, sofern gesetzlich nichts anderes vorgeschrieben ist (in diesem Fall wird CallMama den Kunden informieren, sofern das Gesetz dies nicht verbietet).
- Stellen Sie sicher, dass die zur Verarbeitung der Daten berechtigten Personen zur Vertraulichkeit verpflichtet sind.
- Implementieren Sie geeignete technische und organisatorische Sicherheitsmaßnahmen (Anhang unten).
- Unterstützen Sie den Kunden unter Berücksichtigung der Art der Verarbeitung bei Anfragen betroffener Personen, Sicherheit, Meldung von Verstößen und Folgenabschätzungen zum Datenschutz.
- Löschen Sie innerhalb von 30 Tagen nach Beendigung der Nutzungsbedingungen oder schriftlicher Aufforderung alle personenbezogenen Daten des Kunden oder geben Sie sie zurück und bestätigen Sie die Löschung schriftlich, es sei denn, das geltende Recht erfordert eine fortgesetzte Aufbewahrung. In diesem Fall informiert CallMama den Kunden über die Rechtsgrundlage und das voraussichtliche Löschdatum.
- Stellen Sie Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA erforderlich sind, und gestatten Sie Audits und Inspektionen durch den Kunden oder seinen autorisierten Prüfer, vorbehaltlich: (i) schriftlicher Mitteilung mit einer Frist von 60 Werktagen; (ii) Verhalten während der Geschäftszeiten ohne unangemessene Störung; (iii) Prüfer, der zur Vertraulichkeit verpflichtet ist; (iv) Der Kunde trägt die Kosten, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß. CallMama kann anstelle eines direkten Audits einen ISO 27001- oder SOC 2-Bericht bereitstellen.
- Aufzeichnungen über die Verarbeitung: CallMama führt Aufzeichnungen über alle Verarbeitungskategorien, die im Auftrag des Kunden gemäß Artikel 30 Absatz 2 der DSGVO durchgeführt werden und auf schriftliche Anfrage erhältlich sind.
- DPIA-Unterstützung: Wenn für die Anrufaufzeichnung oder andere Verarbeitung eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der DSGVO erforderlich ist, stellt CallMama angemessene Unterstützung bereit, einschließlich Informationen zu Sicherheitsmaßnahmen, Unterauftragsverarbeitern und Verarbeitungsaktivitäten.
4. Pflichten des Kunden
- Für die Rechtsgrundlage der Verarbeitung und die Rechtmäßigkeit seiner Weisungen ist der Kunde verantwortlich.
- Wenn der Kunde die Anrufaufzeichnungsfunktion des Webportals nutzt, muss der Kunde seinen Anrufern die Benachrichtigungen geben und die gesetzlich vorgeschriebenen Einwilligungen einholen – siehe Hinweis zur Anrufaufzeichnung.
- Der Kunde darf keine CallMama-Daten besonderer Kategorie oder sensible Daten senden, die über die Verarbeitung des Dienstes hinausgehen.
5. Unterauftragsverarbeiter
Der Kunde erteilt CallMama eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern, einschließlich der in der aufgeführten Liste der Unterauftragsverarbeiter veröffentlicht auf CallMama.com. CallMama erlegt jedem Unterauftragsverarbeiter Datenschutzverpflichtungen auf, die denen entsprechen, die CallMama durch dieses DPA auferlegt werden, einschließlich Vertraulichkeitsverpflichtungen. CallMama bleibt für die Leistung seiner Unterprozessoren verantwortlich. CallMama benachrichtigt den Kunden mindestens 14 Tage vor der Hinzufügung oder dem Austausch eines Unterauftragsverarbeiters. Der Kunde kann einem neuen oder Ersatz-Unterauftragsverarbeiter aus angemessenen, dokumentierten Datenschutzgründen widersprechen, indem er CallMama innerhalb von 14 Tagen nach Erhalt der Mitteilung schriftlich darüber informiert. Können die Parteien den Einspruch nicht lösen, kann der Kunde den betroffenen Teil des Dienstes durch schriftliche Mitteilung kündigen. Die fortgesetzte Nutzung des Dienstes nach Ablauf der 14-tägigen Widerspruchsfrist stellt die Annahme des neuen Unterauftragsverarbeiters dar.
6. Internationale Überweisungen
Wenn personenbezogene Kundendaten aus dem EWR oder dem Vereinigten Königreich in ein Land ohne Angemessenheitsbeschluss übermittelt werden, unterliegt die Übertragung den EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der Kommission), Modul 2 (Controller-to-Processor) für EWR-Übertragungen und dem UK IDTA 2022 für Übertragungen im Vereinigten Königreich. Beide werden durch Verweis einbezogen und mit den Einzelheiten in Abschnitt 2 ergänzt. CallMama hat für alle Unterauftragsverarbeiter in Drittländern Folgenabschätzungen für die Übertragung durchgeführt.
7. Verletzung des Schutzes personenbezogener Daten
CallMama wird den Kunden unverzüglich benachrichtigen, und wenn möglich spätestens 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft. Dieser Zeitrahmen soll es dem Kunden ermöglichen, den Verstoß zu beurteilen und, falls erforderlich, die zuständige Aufsichtsbehörde innerhalb der in Artikel 33 der DSGVO und Artikel 33 der UK-DSGVO vorgeschriebenen Frist von 72 Stunden zu benachrichtigen. Die Benachrichtigung umfasst, soweit zu diesem Zeitpunkt bekannt, Folgendes: (a) eine Beschreibung der Art des Verstoßes, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen und Datensätze; (b) die wahrscheinlichen Folgen des Verstoßes; und (c) die Maßnahmen, die zur Behebung des Verstoßes ergriffen oder vorgeschlagen wurden. Wenn Informationen nicht sofort verfügbar sind, wird CallMama sie phasenweise ohne weitere unangemessene Verzögerung bereitstellen.
8. Haftung und Laufzeit
Diese DPA ergänzt die Nutzungsbedingungen und unterliegt diesen. Im Falle eines Konflikts zwischen dieser DPA und den Nutzungsbedingungen in Bezug auf die Verarbeitung personenbezogener Daten hat diese DPA Vorrang. Diese DPA unterliegt den Gesetzen der Sonderverwaltungszone Hongkong. Für Streitigkeiten, die sich aus den Standardvertragsklauseln der EU ergeben, gelten jedoch die in den geltenden Standardvertragsklauseln (Klausel 17 und Klausel 18 des Durchführungsbeschlusses 2021/914 der Kommission) genannten Gesetze und Gerichte. Diese DPA tritt in Kraft, wenn der Kunde die Nutzungsbedingungen akzeptiert (oder, für Kunden, die eine gegengezeichnete DPA benötigen, an dem Datum, an dem sie zuletzt von beiden Parteien unterzeichnet wurden) und gilt so lange, wie CallMama personenbezogene Kundendaten verarbeitet.
Anhang – Sicherheitsmaßnahmen
CallMama setzt die folgenden technischen und organisatorischen Maßnahmen um, wie in Artikel 32 der DSGVO gefordert und im Anhang II der Standardvertragsklauseln der EU näher beschrieben:
A. Verschlüsselung und Daten während der Übertragung
- Verschlüsselung während der Übertragung: Alle zwischen dem Dienst und Endbenutzergeräten übertragenen personenbezogenen Daten werden mit TLS 1.2 oder höher verschlüsselt. Eine unverschlüsselte Übermittlung personenbezogener Daten ist untersagt.
- Verschlüsselung im Ruhezustand: Sensible personenbezogene Daten (einschließlich Anrufaufzeichnungen und Voicemails) werden im Ruhezustand mit AES-256 oder einem gleichwertigen Verfahren verschlüsselt. Alle Sicherungsmedien sind verschlüsselt.
B. Zugangskontrollen und Authentifizierung
- Multi-Faktor-Authentifizierung: erforderlich für alle Mitarbeiter, die auf Systeme zugreifen, die personenbezogene Kundendaten enthalten, einschließlich Fernzugriff.
- Rollenbasierte Zugriffskontrolle: Der Zugriff auf personenbezogene Kundendaten ist auf Mitarbeiter beschränkt, deren Rolle dies erfordert. Die Zugriffsrechte werden vierteljährlich überprüft und bei Beendigung oder Rollenwechsel sofort entzogen.
- Eindeutige Benutzerkonten: Jeder Mitarbeiter hat eine eindeutige Kennung. Geteilte Konten sind verboten. Anforderungen an die Passwortkomplexität werden durchgesetzt.
- Sitzungsverwaltung: Inaktive Sitzungen laufen automatisch ab. Die maximale Anzahl fehlgeschlagener Anmeldeversuche löst eine Kontosperrung aus.
C. Überwachung, Protokollierung und Reaktion auf Vorfälle
- Sicherheitsüberwachung: Systeme werden kontinuierlich auf Sicherheitsereignisse überwacht. Systeme zur Erkennung und Verhinderung von Einbrüchen werden eingesetzt.
- Audit-Protokollierung: Jeder Zugriff auf und jede Änderung der personenbezogenen Daten des Kunden wird protokolliert. Protokolle werden mindestens 12 Monate lang aufbewahrt und sind manipulationssicher.
- Reaktion auf den Vorfall: Ein dokumentierter Vorfallreaktionsplan wird mindestens einmal jährlich gepflegt und getestet. Vorfälle werden gemäß dieser DPA klassifiziert, eingedämmt und gemeldet.
D. Physische und Infrastruktursicherheit
- Sicherheit im Rechenzentrum: Persönliche Kundendaten werden in ISO 27001-zertifizierten Rechenzentren (Hetzner) mit physischen Zugangskontrollen, Videoüberwachung, Umgebungskontrollen und unterbrechungsfreier Stromversorgung gehostet.
- Sicherung und Wiederherstellung: Es werden regelmäßig Backups erstellt und sicher gespeichert. Verfahren zur Notfallwiederherstellung werden dokumentiert und getestet. Ziele für die Wiederherstellungszeit werden definiert und überprüft.
E. Personal- und Lieferantenkontrollen
- Vertraulichkeit des Personals: Alle Mitarbeiter und Auftragnehmer mit Zugriff auf personenbezogene Daten des Kunden sind an vertragliche Vertraulichkeitsverpflichtungen gebunden. Hintergrundüberprüfungen werden durchgeführt, sofern dies nach geltendem Recht zulässig ist.
- Sicherheitsschulung: Alle Mitarbeiter, die Zugriff auf personenbezogene Daten haben, erhalten regelmäßig und jährlich Schulungen zum Thema Datenschutz und Sicherheitsbewusstsein.
- Due-Diligence-Prüfung des Anbieters: Alle Unterauftragsverarbeiter werden vor der Beauftragung auf die Einhaltung von Datenschutz- und Sicherheitsvorschriften überprüft und fortlaufend überwacht.
F. Entwicklung und Änderungsmanagement
- Sichere Entwicklung: Sicherheit ist in den Softwareentwicklungslebenszyklus integriert. Codeüberprüfungen umfassen eine Sicherheitsbewertung. Es sind Verfahren für das Schwachstellenmanagement und das Patch-Management vorhanden.
- Penetrationstests: Unabhängige Penetrationstests werden mindestens einmal jährlich durchgeführt. Kritische Schwachstellen werden innerhalb von 30 Tagen behoben.
- Datenminimierung: Systeme sind so konzipiert, dass die verarbeiteten personenbezogenen Daten minimiert werden. Gegebenenfalls wird Pseudonymisierung eingesetzt.
So führen Sie diesen DPA aus
Ein Geschäftskunde, der eine unterzeichnete DPA benötigt, sollte sich an uns wenden legal@CallMama.com. Die Annahme der Nutzungsbedingungen durch einen Geschäftskunden, der die Daten seiner eigenen Endbenutzer über den Dienst verarbeitet, stellt auch die Annahme dieser DPA dar.
9. Zusätzliche Bestimmungen für bestimmte Gerichtsbarkeiten
Vereinigte Staaten – CCPA / CPRA
Wenn personenbezogene Kundendaten personenbezogene Daten von Einwohnern Kaliforniens umfassen, ist CallMama ein „Dienstleister“ gemäß CCPA/CPRA und kein „Dritter“. CallMama wird personenbezogene Kundendaten nicht verkaufen oder weitergeben, diese nicht außerhalb der direkten Geschäftsbeziehung aufbewahren, verwenden oder offenlegen und bescheinigt die Einhaltung der CCPA/CPRA-Beschränkungen. Unterauftragsverarbeiter, die personenbezogene Daten aus Kalifornien verarbeiten, unterliegen den entsprechenden Einschränkungen der Dienstleister.
Kanada – PIPEDA und Quebec Law 25
Wenn personenbezogene Kundendaten personenbezogene Daten von in Kanada ansässigen Personen umfassen:
- PIPEDA: Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA) verlangt von CallMama die Implementierung von Sicherheitsmaßnahmen im Einklang mit Prinzip 7 (Schutzmaßnahmen). Der Kunde bleibt für die Einholung sinnvoller Einwilligungen und die Beantwortung von Zugriffs- und Korrekturanfragen verantwortlich.
- Quebecer Gesetz 25: Für Einwohner von Quebec schreibt Gesetz 25 (gültig ab September 2023) eine 72-Stunden-Meldepflicht bei Verstößen an die Commission d'accès à l'information (CAI) vor. CallMama benachrichtigt den Kunden innerhalb von 24 Stunden, nachdem ihm ein Verstoß bekannt wurde, der die Daten von Einwohnern Quebecs betrifft.
Diese Seite ist Teil der Compliance-Dokumentation von CallMama. Siehe auch unsere Datenschutzrichtlinie, Nutzungsbedingungen, Und Kontaktmöglichkeiten.