Gmelius | Legal Hub

DSGVO und DPA

Gmelius verpflichtet sich, Datenschutzgesetze wie die Allgemeine Datenschutzverordnung („GDPR“) oder den California Consumer Privacy Act („CCPA“) einzuhalten und es unseren Kunden zu ermöglichen, die letztgenannten Datenschutzgesetze einzuhalten. Wir halten uns an ein strenges Privacy by Design-Framework und verfügen über ein robustes Datenschutz- und Sicherheitsprogramm, das wir kontinuierlich überprüfen und verbessern. Unser Datenschutzhinweis ist unten verfügbar, sodass unsere Kunden sicher sein können, dass ihre Daten rechtmäßig und transparent verarbeitet werden.

Trust Center

Our infrastructure & practices are monitored 24/7.
We're SOC2 Type II certified.
trust.gmelius.com
arrow

1. Verhältnis zur Vereinbarung

1.1. Dieser Zusatz zur Datenverarbeitung („DPA“) ist Teil des Rahmenvertrags oder der Nutzungsbedingungen, abrufbar unter https://gmelius.com/legal/terms oder an einem anderen Ort, an dem die Nutzungsbedingungen von Zeit zu Zeit veröffentlicht werden können (gegebenenfalls die „Vereinbarung“), die vom und zwischen dem Kunden und Gmelius SA („Gmelius“) geschlossen wurde und gemäß dem der Kunde auf die Anwendungsdienste von Gmelius, wie in der jeweiligen Vereinbarung definiert, zugegriffen hat. Gmelius und das Unternehmen sind einzeln eine „Partei“ und gemeinsam die „Parteien“.

1.2. Diese Datenschutzvereinbarung gilt nur in dem Umfang, in dem Gmelius personenbezogene Daten im Zusammenhang mit den Diensten erhält, speichert oder verarbeitet. Anlage 1 beschreibt die Verarbeitungsaktivitäten im Rahmen dieses DPA.

1.3. Die Parteien vereinbaren, dass diese Datenschutzvereinbarung alle bestehenden Datenverarbeitungszusätze ersetzt, die die Parteien möglicherweise zuvor im Zusammenhang mit den Diensten abgeschlossen haben.

1.4. Mit Ausnahme der durch diese Datenschutzvereinbarung vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam. Wenn es einen Konflikt zwischen dieser DPA und der Vereinbarung gibt, hat diese DPA im Umfang dieses Konflikts Vorrang.

1.5. Alle Ansprüche, die im Rahmen oder im Zusammenhang mit dieser DPA geltend gemacht werden, unterliegen der Vereinbarung.

1,6. Das Unternehmen erklärt sich ferner damit einverstanden, dass alle behördlichen Sanktionen, die Gmelius in Bezug auf die Unternehmensdaten aufgrund oder im Zusammenhang mit der Nichteinhaltung seiner Verpflichtungen aus diesem DPA oder den geltenden Datenschutzgesetzen erwachsen, auf die Haftung von Gmelius im Rahmen der Vereinbarung angerechnet und reduziert werden, als ob es sich um eine Haftung gegenüber dem Unternehmen gemäß der Vereinbarung handeln würde.

1.7. Niemand außer einer Partei dieses DPA, seinen Nachfolgern und zulässigen Bevollmächtigten hat das Recht, eine seiner Bestimmungen durchzusetzen (außer in dem Umfang, in dem Einzelpersonen ihre Rechte über einen internationalen Datenübertragungsmechanismus durchsetzen können).

1.8. Diese DPA unterliegt den geltenden Gesetzen und den Zuständigkeitsbestimmungen der Vereinbarung und wird entsprechend ausgelegt, sofern nicht durch einen internationalen Datenübertragungsmechanismus oder geltende Datenschutzgesetze etwas anderes vorgeschrieben ist.

1.9. Im Falle eines Konflikts zwischen dieser Datenschutzvereinbarung und der Vereinbarung übt die Datenschutzbehörde die Kontrolle aus, soweit dies zur Lösung des Konflikts erforderlich ist. Für den Fall, dass die Parteien einen internationalen Datenübertragungsmechanismus verwenden und ein Konflikt zwischen den Verpflichtungen dieses internationalen Datenübertragungsmechanismus und dieser Datenschutzvereinbarung besteht, hat der Internationale Datenübertragungsmechanismus Vorrang.

1,10. Gmelius kann verpflichtet sein, diese Datenschutzvereinbarung zu aktualisieren, um den geltenden Gesetzen zu entsprechen, und in einem solchen Fall wird Gmelius eine angemessene Frist über solche Aktualisierungen informieren.

2. Definitionen

2.1. Die folgenden Begriffe haben die unten angegebenen Bedeutungen. Alle Begriffe in Großbuchstaben, die in diesem DPA nicht definiert sind, haben die in der Vereinbarung festgelegten Bedeutungen.

2.2. Für die folgenden Begriffe gelten die im CCPA festgelegten Definitionen:“Geschäft,““Verkauf“,“Dienstanbieter“, und“Dritte Partei.“

2.3. “Vereinbarung“ bezeichnet die zwischen den Parteien abgeschlossene (n) Vereinbarung (en), die die Erbringung der Dienstleistungen für das Unternehmen regeln.

2.4. “Daten zum Unternehmen“ bezeichnet alle personenbezogenen Daten, die Gmelius im Auftrag des Unternehmens als Auftragsverarbeiter im Rahmen der Erbringung von Dienstleistungen verarbeitet.

2,5. “Einwilligung“ bezeichnet die von der betroffenen Person freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der sie zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

2.6. “Steuerung“ bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. „Verantwortlicher“ umfasst gleichwertige Begriffe in anderen Datenschutzgesetzen, wie z. B. den von der CCPA definierten Begriff „Unternehmen“ oder „Dritter“, je nachdem, was der Kontext erfordert.

2.7. “Datenschutzrecht“ bezeichnet alle Datenschutz- und Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich der Verordnung 2016/679 (Allgemeine Datenschutzverordnung) („GDPR“), und Cal. Civ. Codetitel 1.81.5, § 1798.100 ff. (California Consumer Privacy Act) („CCPA“).

2.8. “Datensubjekt“ bezeichnet eine identifizierte oder identifizierbare natürliche Person.

2.9. “Anonymisierte Daten“ bezeichnet einen Datensatz, der keine personenbezogenen Daten enthält. Aggregierte Daten sind anonymisierte Daten. „Anonymisieren“ bedeutet, anonymisierte Daten aus personenbezogenen Daten zu erstellen.

2,10. “EEA„bedeutet den Europäischen Wirtschaftsraum.

2,11. “Personenbezogene Daten“ bezeichnet Informationen, die eine betroffene Person identifizieren, sich auf sie beziehen, sie beschreiben, vernünftigerweise mit ihr in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihr in Verbindung gebracht werden könnten. „Personenbezogene Daten“ umfassen gleichwertige Begriffe im Datenschutzrecht, wie z. B. den von der CCPA definierten Begriff „personenbezogene Daten“, je nachdem, was der Kontext erfordert.

2,12“Verletzung personenbezogener Daten“ bezeichnet eine Sicherheitsverletzung der Dienste, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Unternehmensdaten führt.

2,13. “Prozess“ oder“Bearbeitung“ jeder Vorgang oder jede Reihe von Vorgängen, die eine Partei mit personenbezogenen Daten durchführt, einschließlich der Erfassung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Sperrung, Löschung oder Zerstörung.

2,14. “Prozessor“ bezeichnet ein Unternehmen, das personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet. „Verarbeiter“ umfasst gleichwertige Begriffe in anderen Datenschutzgesetzen, wie z. B. den von der CCPA definierten Begriff „Dienstanbieter“, je nachdem, wie es der Kontext erfordert.

2,15. “Sensible Daten“ bezeichnet die folgenden Arten und Kategorien von Daten: Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten; biometrische Daten; Gesundheitsdaten, einschließlich geschützter Gesundheitsinformationen, die dem Health Insurance Portability and Accountability Act unterliegen; Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person; behördliche Identifikationsnummern (z. B. SSN, Führerschein); Zahlungskarteninformationen; nicht öffentliche personenbezogene Daten, die der Gramm Lega unterliegen Billey Act; und unverschlüsselte Kennung in Kombination mit einem Passwort oder einem anderen Zugangscode, der den Zugriff auf das Konto einer betroffenen Person ermöglichen würde, und genaue Geolokalisierung.

2,16. “Dienstleistungen„bezeichnet jedes Produkt oder jede Dienstleistung, die Gmelius dem Unternehmen gemäß der Vereinbarung zur Verfügung stellt.

2,17. “Standardvertragsklauseln„bezeichnet die Standardvertragsklauseln der Europäischen Union für internationale Übermittlungen aus dem Europäischen Wirtschaftsraum in Drittländer, Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.

2,18. “Subprozessor“ bezeichnet einen Auftragsverarbeiter, der von einer Partei beauftragt wird, die als Auftragsverarbeiter handelt.

3. Beschreibung der Aktivitäten der Parteien zur Verarbeitung personenbezogener Daten und des Status der Parteien

3.1. Anlage 1 beschreibt die Zwecke der Verarbeitung durch die Parteien, die Arten oder Kategorien der an der Verarbeitung beteiligten personenbezogenen Daten und die Kategorien der von der Verarbeitung betroffenen Personen.

3.2. In Anhang 1 ist der Status der Parteien gemäß den geltenden Datenschutzgesetzen aufgeführt.

4. Internationale Datenübertragung

4.1. Einige Rechtsordnungen verlangen, dass ein Unternehmen, das personenbezogene Daten in ein ausländisches Land übermittelt oder von dort aus auf personenbezogene Daten zugreift, zusätzliche Maßnahmen ergreift, um sicherzustellen, dass die personenbezogenen Daten besonderen Schutzmaßnahmen unterliegen (ein“Internationaler Datenübertragungsmechanismus“). Die Parteien werden alle internationalen Datenübertragungsmechanismen einhalten, die nach geltendem Datenschutzrecht erforderlich sein können, einschließlich der Standardvertragsklauseln. Bevor eine Partei personenbezogene Daten an die andere Partei übermittelt oder der anderen Partei den Zugriff auf personenbezogene Daten gestattet, die sich in einer Rechtsordnung befinden, die einen internationalen Datenübertragungsmechanismus vorschreibt, wird die übermittelnde Partei die andere Partei über die entsprechende Anforderung informieren und die Parteien werden nach Treu und Glauben zusammenarbeiten, um die Anforderungen dieses internationalen Datenübertragungsmechanismus zu erfüllen.

4.2. Wenn der internationale Datenübermittlungsmechanismus, auf den sich die Parteien berufen, für ungültig erklärt oder ersetzt wird, werden die Parteien nach Treu und Glauben zusammenarbeiten, um eine geeignete Alternative zu finden.

4.3. In Bezug auf personenbezogene Daten von betroffenen Personen mit Sitz im EWR, in der Schweiz oder im Vereinigten Königreich, die das Unternehmen an Gmelius übermittelt oder Gmelius den Zugriff gewährt, vereinbaren die Parteien, dass sie mit der Ausführung dieser DPA auch die Standardvertragsklauseln einhalten, die durch Verweis aufgenommen werden und einen integralen Bestandteil dieser DPA bilden. Die Parteien vereinbaren, dass die Anlagen 1 und 2 in Bezug auf die Elemente der Standardvertragsklauseln, für die die Mitwirkung der Parteien erforderlich ist, die relevanten Informationen enthalten. Die Parteien vereinbaren, dass sie für personenbezogene Daten von betroffenen Personen im Vereinigten Königreich und der Schweiz die in Anlage 1 aufgeführten Änderungen der Standardvertragsklauseln verabschieden, um die Standardvertragsklauseln je nach Anwendbarkeit an das britische oder schweizerische Recht anzupassen.

5. Datenschutz allgemein

5.1. Einhaltung. Die Parteien werden ihren jeweiligen datenschutzrechtlichen Verpflichtungen und ihren Datenschutzhinweisen nachkommen.

5.2. Verarbeitung personenbezogener Daten durch das Unternehmen. Das Unternehmen erklärt und garantiert, dass es über die Einwilligung oder eine andere Rechtsgrundlage verfügt, die erforderlich ist, um personenbezogene Daten im Zusammenhang mit den Diensten zu erheben und an Gmelius weiterzugeben.

5.3. Zusammenarbeit.

  1. Anfragen der betroffenen Person. (5.3.1.1.) Erleichterung der Antworten. Die Dienste bieten dem Unternehmen eine Reihe von Kontrollmöglichkeiten, die das Unternehmen verwenden kann, um Unternehmensdaten abzurufen, zu korrigieren, zu löschen oder einzuschränken. Diese kann das Unternehmen verwenden, um es bei der Erfüllung seiner datenschutzrechtlichen Verpflichtungen zu unterstützen, einschließlich seiner Verpflichtungen im Zusammenhang mit der Beantwortung von Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden. Soweit das Unternehmen nicht in der Lage ist, unabhängig auf die relevanten Unternehmensdaten innerhalb der Dienste zuzugreifen, wird Gmelius (auf Kosten des Unternehmens) eine angemessene Zusammenarbeit anbieten, um das Unternehmen bei der Beantwortung von Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden im Zusammenhang mit der Verarbeitung von Unternehmensdaten im Rahmen der Vereinbarung zu unterstützen. (5.3.1.2.) Bei Gmelius eingegangene Anfragen. Sollte Gmelius Anfragen von Einzelpersonen zur Ausübung ihrer Rechte erhalten, wird Gmelius die Person über die Notwendigkeit informieren, die Anfrage direkt an das Unternehmen zu richten, und das Unternehmen umgehend über die Anfrage informieren, es sei denn, Gmelius ist es gesetzlich untersagt, eine solche Mitteilung zu übermitteln.
  2. Regierungs- und Ermittlungsanfragen. Wenn eine Regierungsbehörde (z. B. die Federal Trade Commission, der Generalstaatsanwalt eines US-Bundesstaates oder eine europäische Datenschutzbehörde) Gmelius eine Anfrage nach Unternehmensdaten sendet (z. B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Gmelius versuchen, die Strafverfolgungsbehörde anzuweisen, diese Daten direkt vom Unternehmen anzufordern. Im Rahmen dieser Bemühungen kann Gmelius die grundlegenden Kontaktinformationen des Unternehmens an die Regierungsbehörde weitergeben. Wenn Gmelius gezwungen ist, Unternehmensdaten an eine Regierungsbehörde weiterzugeben, wird Gmelius das Unternehmen mit einer angemessenen Frist über die Aufforderung informieren, damit das Unternehmen eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel einleiten kann, sofern dies Gmelius nicht gesetzlich untersagt ist.
  3. Weitere Anforderungen des Datenschutzrechts. Auf Anfrage stellen sich die Parteien gegenseitig relevante Informationen zur Verfügung, um ihren jeweiligen Verpflichtungen (falls vorhanden) zur Durchführung von Datenschutzfolgenabschätzungen oder vorherigen Konsultationen mit den Datenschutzbehörden nachzukommen.

5.4. Vertraulichkeit. Die Parteien stellen sicher, dass ihre Mitarbeiter, unabhängigen Auftragnehmer und Vertreter verpflichtet sind, personenbezogene Daten vertraulich zu behandeln.

5.5. Tracking-Technologien. Das Unternehmen erkennt an, dass Gmelius im Zusammenhang mit der Erbringung der Dienste Cookies, eindeutige Identifikatoren, Web Beacons und ähnliche Tracking-Technologien („Tracking-Technologien“) verwendet. Das Unternehmen wird angemessene Hinweise, Zustimmungs-, Opt-In- und Opt-Out-Mechanismen einrichten, die nach den Datenschutzgesetzen erforderlich sind, damit Gmelius Tracking-Technologien rechtmäßig auf den Geräten von Endnutzern (wie unten definiert) gemäß und wie in der Gmelius-Cookie-Erklärung beschrieben einsetzen und Daten von diesen erheben kann (https://gmelius.com/legal/cookie-policy).

6. Sicherheit der Daten

6.1. Sicherheitskontrollen. Gmelius wird angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen und aufrechterhalten, um Unternehmensdaten vor Verletzungen personenbezogener Daten zu schützen und die Sicherheit und Vertraulichkeit der Unternehmensdaten zu wahren, gemäß den Sicherheitsstandards von Gmelius, die in dieser Datenschutzvereinbarung und unter beschrieben sind https://gmelius.com/legal/security („Sicherheitsmaßnahmen“).

6.2. Aktualisierungen der Sicherheitsmaßnahmen. Das Unternehmen ist dafür verantwortlich, die von Gmelius zur Verfügung gestellten Informationen zur Datensicherheit zu überprüfen und unabhängig zu entscheiden, ob die Dienste den Anforderungen und gesetzlichen Verpflichtungen des Unternehmens gemäß den Datenschutzgesetzen entsprechen. Das Unternehmen erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der technischen Entwicklung unterliegen und dass Gmelius die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Unternehmen erworbenen Dienste führen.

6.3. Pflichten des Unternehmens. Ungeachtet des Vorstehenden erklärt sich das Unternehmen damit einverstanden, dass das Unternehmen für die sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung seiner Anmeldedaten zur Kontoauthentifizierung, des Schutzes der Sicherheit der Unternehmensdaten bei der Übertragung zu und von den Diensten und der Ergreifung aller geeigneten Maßnahmen zur sicheren Verschlüsselung oder Sicherung aller in die Dienste hochgeladenen Unternehmensdaten.

7. Pflichten von Gmelius als Verarbeiter oder Unterauftragsverarbeiter

7.1. Gmelius hat die in diesem Abschnitt 7 dargelegten Verpflichtungen, wenn es personenbezogene Daten in seiner Eigenschaft als Auftragsverarbeiter des Unternehmens verarbeitet; der Klarheit halber gelten diese Verpflichtungen nicht für Gmelius in seiner Eigenschaft als Verantwortlicher, Unternehmen oder Dritter.

7.2. Umfang der Verarbeitung. Gmelius verarbeitet Unternehmensdaten nur für die in dieser DPA beschriebenen Zwecke und nur gemäß den dokumentierten, rechtmäßigen Anweisungen des Unternehmens. Die Parteien vereinbaren, dass diese Datenschutzvereinbarung und die Vereinbarung die vollständigen und endgültigen Anweisungen des Unternehmens an Gmelius in Bezug auf die Verarbeitung von Unternehmensdaten im Rahmen der Vereinbarung enthalten und dass für die Verarbeitung außerhalb des Geltungsbereichs dieser Anweisungen (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen dem Unternehmen und Gmelius erforderlich ist. Gmelius ist untersagt: (i) Unternehmensdaten zu verkaufen; (ii) Unternehmensdaten für andere Zwecke als den spezifischen Zweck der Erbringung der in der Vereinbarung genannten Dienste aufzubewahren, zu verwenden oder offenzulegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der Unternehmensdaten für einen anderen kommerziellen Zweck als die Erbringung der in der Vereinbarung angegebenen Dienste; oder (iii) die Unternehmensdaten außerhalb der direkten Geschäftsbeziehung zwischen dem Unternehmen und Gmelius aufzubewahren, zu verwenden oder offenzulegen. Gmelius wird das Unternehmen umgehend informieren, wenn die Befolgung der Anweisungen des Unternehmens zu einem Verstoß gegen das Datenschutzrecht führen würde oder wenn Gmelius Unternehmensdaten als Reaktion auf eine gesetzliche Verpflichtung offenlegen muss, es sei denn, die gesetzliche Verpflichtung verbietet Gmelius eine solche Offenlegung. Ungeachtet gegenteiliger Bestimmungen in diesem Abschnitt kann Gmelius Unternehmensdaten verarbeiten, soweit dies zur Aufdeckung von Datensicherheitsvorfällen oder zum Schutz vor betrügerischen oder illegalen Aktivitäten und zur Entwicklung oder Verbesserung der Qualität seiner Produkte und Dienstleistungen erforderlich ist, vorausgesetzt, dass Gmelius im Zuge dieser Aktivitäten keinem Dritten (außer den Dienstleistern von Gmelius oder sofern vom Unternehmen angewiesen) den Zugriff auf Unternehmensdaten gestattet oder (ii) die Unternehmensdaten zur Änderung verwendet oder fügen Sie persönliche Informationen hinzu, die aus einer Quelle gesammelt wurden, die nicht das Unternehmen ist. Mit der Unterzeichnung dieses Nachtrags bestätigt Gmelius, dass es die hierin enthaltenen Verpflichtungen versteht und einhalten wird.

7.3. Anträge der betroffenen Personen zur Ausübung von Rechten. Gmelius wird das Unternehmen umgehend informieren, wenn Gmelius eine Anfrage von einer betroffenen Person erhält, ihre Rechte in Bezug auf ihre personenbezogenen Daten gemäß geltendem Datenschutzrecht auszuüben. Das Unternehmen ist für die Beantwortung solcher Anfragen verantwortlich. Gmelius wird solchen betroffenen Personen nur antworten, um ihre Anfragen zu bestätigen. Gmelius wird dem Unternehmen auf Anfrage wirtschaftlich angemessene Unterstützung bieten, um das Unternehmen bei der Beantwortung der Anfrage einer betroffenen Person zu unterstützen.

7.4. Subprozessoren von Gmelius.

  1. Bestehende Subprozessoren. Das Unternehmen erklärt sich damit einverstanden, dass Gmelius die in Anlage 1 aufgeführten Unterauftragsverarbeiter verwenden darf.
  2. Einsatz von Subprozessoren. Das Unternehmen erteilt Gmelius die allgemeine Genehmigung, Unterauftragsverarbeiter zu beauftragen, wenn Gmelius und diese Unterauftragsverarbeiter eine Vereinbarung treffen, nach der der Unterauftragsverarbeiter Verpflichtungen erfüllen muss, die nicht weniger schützend sind als diese DPA.
  3. Benachrichtigung von Ergänzungen oder Änderungen an Unterauftragsverarbeiter. Gmelius wird (i) auf schriftliche Anfrage des Unternehmens eine aktuelle Liste der von Gmelius ernannten Unterauftragsverarbeiter unter bereitstellen https://gmelius.com/legal/dpa; und (ii) das Unternehmen mindestens dann (10) Kalendertage vor solchen Änderungen benachrichtigen (wofür eine E-Mail ausreichend ist), wenn es Subprozessoren hinzufügt oder ändert. Das Unternehmen kann der Ernennung eines neuen oder geänderten Unterauftragsverarbeiters durch Gmelius innerhalb von fünf (5) Kalendertagen nach einer solchen Mitteilung schriftlich widersprechen, sofern dieser Widerspruch auf triftigen Gründen im Zusammenhang mit dem Datenschutz beruht. In einem solchen Fall werden die Parteien diese Bedenken nach Treu und Glauben erörtern, um eine Lösung zu finden. Ist dies nicht möglich, kann das Unternehmen die Vereinbarung aussetzen oder kündigen (unbeschadet der Gebühren, die dem Unternehmen vor der Aussetzung oder Kündigung entstanden sind).
  4. Haftung für Unterauftragsverarbeiter. Gmelius haftet für die Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem Gmelius haften würde, wenn Gmelius die Dienstleistungen des Unterauftragsverarbeiters direkt im Rahmen des DPA erbringt, sofern in der Vereinbarung nichts anderes festgelegt ist.

7,5. Verletzung personenbezogener Daten. Gmelius wird das Unternehmen unverzüglich über eine Verletzung des Schutzes personenbezogener Daten informieren, die Gmelius im Zusammenhang mit den Diensten verarbeitet. Auf Anfrage stellt Gmelius dem Unternehmen Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung, soweit dies für das Unternehmen erforderlich ist, um seinen Verpflichtungen zur Untersuchung oder Benachrichtigung der Behörden nachzukommen, mit der Ausnahme, dass Gmelius sich das Recht vorbehält, vertrauliche oder wettbewerbsrelevante Informationen zu korrigieren. Das Unternehmen stimmt zu, dass eine E-Mail-Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten ausreichend ist, und das Unternehmen wird Gmelius benachrichtigen, wenn es seine Kontaktinformationen ändert. Das Unternehmen erklärt sich damit einverstanden, dass Gmelius das Unternehmen nicht über sicherheitsrelevante Ereignisse informieren darf, die nicht zu einer Verletzung des Schutzes personenbezogener Daten führen oder sich auf personenbezogene Daten auswirken, die Gmelius im Zusammenhang mit den Diensten verarbeitet.

7.6. Löschung und Rückgabe personenbezogener Daten. Bei Kündigung oder Ablauf der Vereinbarung löscht Gmelius auf Anfrage des Unternehmens (nachdem dem Unternehmen die Möglichkeit zum Herunterladen gemäß der Vereinbarung gewährt wurde) alle Unternehmensdaten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, mit der Ausnahme, dass diese Anforderung nicht gilt, soweit Gmelius nach geltendem Recht verpflichtet ist, einige oder alle Unternehmensdaten aufzubewahren. Gmelius wird diese Unternehmensdaten sicher isolieren und vor jeder weiteren Verarbeitung schützen, sofern dies nicht gesetzlich vorgeschrieben ist Gesetz.

7.7. Überprüfung der Einhaltung. Auf begründeten Antrag wird Gmelius die Einhaltung dieser Datenschutzvereinbarung überprüfen, vorausgesetzt, das Unternehmen übt dieses Recht nicht öfter als einmal pro Jahr aus.

Zeitplan 1

Beschreibung der Verarbeitung und der Subprozessoren

Processing ActivityStatus of the PartiesCategories of Personal Data ProcessedCategories of Sensitive Data ProcessedApplicable SCCs Module
Company discloses Personal Data to Gmelius in connection with the Services.Company is a Controller.Gmelius is a Processor.Any Personal Data Company discloses to Gmelius.NoneModule 2Module 3, if Company acts as a Processor to another Controller.
Gmelius provides (Email) Tracking Technologies for Company’s use.Gmelius is a Controller.Company is a Controller.Device and browser identifiers and information connected to such identifiersNoneModule 1
Gmelius provides professional services to Company.Gmelius is a Controller.Company is a Controller.Name, email address, user ID.NoneModule 1
Gmelius creates account information for Company’s end-users and collects usage information from them.Gmelius is a Controller.Company is a Controller.User ID.Usage dataNoneModule 1
Company contacts Gmelius for support.Company is a Controller.Gmelius is a Controller.Name, email address, user ID.NoneModule 1
The parties Process Personal Data of their representatives to, e.g., (a) administer and provide the Services; (b) manage invoices; (c) manage the Agreement and resolve any disputes relating to it; (d) respond and/or raise general queries; and (e) comply with their respective regulatory obligations.Gmelius is a Controller.Company is a Controller.Name, title, and contact information. NoneModule 1

Subprozessoren

Das Unternehmen ermächtigt Gmelius, die unten aufgeführten Subprozessoren gemäß Abschnitt 7.4 zu verwenden.

Sub-Processor Country Purpose DPA
Cloudflare, Inc. USA DNS and CDN View
Stripe, Inc. USA Payment Gateway View
Google, Inc. USA Cloud Infrastructure, Logging, Analytics View
HubSpot, Inc. USA Sales & Marketing View
Twilio, (Sendgrid), Inc. USA Email Delivery Service View

Zeitplan 2

Technische und organisatorische Sicherheitsmaßnahmen von Gmelius

Gmelius unterhält administrative, physische und technische Sicherheitsvorkehrungen, um die Sicherheit, Vertraulichkeit und Integrität der von Gmelius im Rahmen der Dienste verarbeiteten personenbezogenen Daten des Kunden zu schützen, wie hier beschrieben: https://gmelius.com/legal/security

Anlage A

Standardvertragsklauseln

Klausel 7: Die Parteien erlauben kein Andocken.

Klausel 9, Modul 2 (a): Die Parteien wählen Option 2. Der Zeitraum beträgt 5 Tage.

Klausel 9, Modul 3 (a): Die Parteien wählen Option 2. Der Zeitraum beträgt 5 Tage.

Klausel 11 (a): Die Parteien wählen nicht die Option der unabhängigen Streitbeilegung.

Klausel 17: Die Parteien sind sich einig, dass die maßgebliche Gerichtsbarkeit der Mitgliedstaat ist, in dem der Datenexporteur ansässig ist.

Klausel 18: Für die Module 1—3 sind sich die Parteien einig, dass das Forum der Mitgliedstaat ist, in dem der Datenexporteur ansässig ist.

Anhang I (A): Der Datenexporteur ist das Unternehmen. Der Datenimporteur ist Gmelius. Die Kontaktdaten der Parteien sind Teil der Vereinbarung.

Anhang I (B): Die Parteien sind sich einig, dass Schedule 1 die Übertragung beschreibt.

Anhang I (C): Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde, die in erster Linie für den Datenexporteur zuständig ist.

Anlage II: Die Parteien vereinbaren, dass Anhang 2 die technischen und organisatorischen Maßnahmen beschreibt, die für die Übertragung gelten.

Lokalisierung der Standardvertragsklauseln

Für die Schweiz

  • Die Parteien übernehmen den DSGVO-Standard für alle Datenübertragungen.
  • Klausel 13 und Anhang I (C): Die zuständigen Behörden gemäß Klausel 13 und in Anhang I (C) sind der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte und gleichzeitig die oben angegebene Behörde des EWR-Mitgliedstaats.
  • Klausel 17: Die Parteien sind sich einig, dass die maßgebliche Gerichtsbarkeit der Mitgliedstaat ist, in dem der Datenexporteur ansässig ist.
  • Klausel 18: Für die Module 1—3 sind sich die Parteien einig, dass das Forum der Mitgliedstaat ist, in dem der Datenexporteur ansässig ist. Die Parteien vereinbaren, die Standardvertragsklauseln so auszulegen, dass betroffene Personen in der Schweiz ihre Rechte gemäß Klausel 18 (c) in der Schweiz geltend machen können.
  • Die Parteien vereinbaren, die Standardvertragsklauseln so auszulegen, dass der Begriff „Datensubjekte“ Informationen über schweizerische juristische Personen umfasst, bis das revidierte Bundesgesetz über den Datenschutz in Kraft tritt.

Für das Vereinigte Königreich

  • Die Parteien vereinbaren, dass die Standardvertragsklauseln als geändert gelten, soweit dies erforderlich ist, damit sie für Übertragungen aus dem Vereinigten Königreich in ein Drittland gelten und angemessene Schutzmaßnahmen für Übertragungen gemäß Artikel 46 der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs („britische DSGVO“) bieten. Zu diesen Änderungen gehören die Änderung der Verweise auf die DSGVO des Vereinigten Königreichs und die Änderung der Verweise auf EU-Mitgliedstaaten auf das Vereinigte Königreich.
  • Klausel 17: Die Parteien vereinbaren, dass die maßgebliche Gerichtsbarkeit das Vereinigte Königreich ist.
  • Klausel 18: Für die Module 1—3 vereinbaren die Parteien, dass als Gerichtsstand die Gerichte von England und Wales zuständig sind. Die Parteien vereinbaren, dass die betroffenen Personen vor den Gerichten eines beliebigen Landes im Vereinigten Königreich rechtliche Schritte gegen jede Partei einleiten können.

Last Updated:
April 26, 2023
Sign Icon

Reporting Security Issues

At Gmelius, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present. We have implemented a responsible disclosure policy to ensure that problems are addressed quickly and safely. If you believe you've discovered a security vulnerability in our product, we want to hear from you.
Report a security issue
Sign Icon

Sign Business Associate Agreement

A copy of our BAA is availaible for signature below. This agreement is crucial for ensuring compliance with HIPAA regulations, particularly if your organization handles protected health information (PHI). By signing the BAA, you acknowledge the responsibilities and obligations related to safeguarding sensitive data.
Sign BAA on behalf of your organization
Sign Icon

Sign Data Processing Addendum

Our Data Processing Addendum (DPA) and Standard Contractual Clauses (SCC) are essential documents designed to ensure compliance with data protection regulations, such as the GDPR. By signing these documents, you confirm your commitment to maintaining the privacy and security of personal data processed on behalf of your organization.
Sign DPA & SCC on behalf of your organization
Impressum
Gmelius SA (Gmelius Ltd.)
Rue de Pré-Bois 14
‍1216 Cointrin//Meyrin
Genf, Schweiz
Registriernummer:
CHE-411,148,873
Kontakte
Legal[email protected]
Sicherheit[email protected]
DPO[email protected]

Wenden Sie sich an Gmelius Legal

Kontaktieren Sie unser engagiertes Team per E-Mail [email protected]. Wir helfen Ihnen gerne bei Fragen oder geben detaillierte Informationen zu unseren Dienstleistungen und Richtlinien.

Sehen Sie sich unser Trust Center an

Fordern Sie ein Exemplar unseres neuesten SOC2 Type II-Berichts an und erfahren Sie mehr über unsere Infrastruktur, Richtlinien und Praktiken, indem Sie unser Trust Center unter besuchen trust.gmelius.com

Sparen Sie täglich 1 Stunde bei Ihren Emails.

Google
Weiter mit Google

Produkt

AnmeldungDemoversionErweiterung installierenInstallieren Sie PWA für iOS und AndroidInstallieren Sie die Google Workspace AppEntwickler-API

Künstliche Intelligenz

E-Mail-Automatisierungsagenten
KI-Antwortassistenten
KI-Sortierassistenten
KI-Dispatching-Assistenten
Automatisierungsregeln und Agenten

Zusammenarbeit im Team

Gemeinsamer Gmail-Posteingang
Geteilte Gmail-Etiketten
Geteilte E-Mail-Entwürfe
E-Mail-Notizen & @mentions
E-Mail-Delegierung
E-Mail-Vorlagen
E-Mail-Permalinks

Verwaltung von E-Mails

Kanban-Tafeln
Benutzerdefinierte Ansichten
E-Mail-Analytik
E-Mail-Tags
Aktuelle Konversationen

Firma

PreisgestaltungJuristischer KnotenpunktPartnerprogrammTrust CenterProdukt-UpdatesProdukt-Roadmap

Geschichten von Kunden

Französisches Rotes Kreuz
Nori
Merserwis
Boise State University

Folge Gmelius

Ikone LinkedIn
LinkedIn
Ikone Instagram
Instagram
Symbol X (Twitter)
X (Twitter)
Ikone Youtube
Youtube

Ressourcen

BlogHilfecenterGmelius AcademyVideosAPI-DokumentationStatusseite

E-Mail-Vorlagen

Accounts Payable
Accounts Receivable
Admissions
Billing
Customer Service
Human Resources
Legal
Maintenance
Recruitment
Sales

Logos von Google Workspace

Gmail
Chat
Docs
Drive
Forms
Meet
Slides
Kalender
Bettlaken

Integrationen

Gmail
Gmail
Google Groups
Google Groups
Google Workspace Admin
Google Workspace Admin
Google Meet
Google Meet
Google Calendar
Google Calendar
Salesforce
Salesforce
HubSpot
HubSpot
Slack
Slack
Trello
Trello
Nicereply
Nicereply
Zapier
Zapier
Machen
Machen

Von Gmelius

Ikone LinkedIn
Backup Space

Sprache

enEnglish
frFrançais
deDeutsch
Less Email. More Life.
© Gmelius. Alle Rechte vorbehalten.
Nutzungsbedingungen
Datenschutzrichtlinie
Sicherheit
DSGVO und DPA
Cookie-Richtlinie
Google Cloud-Partner