Hootsuite-Nachtrag zur Datenverarbeitung

Letzte Änderung: 22. Mai 2025

Dieser Nachtrag zur Datenverarbeitung einschließlich seiner Anhänge (Data Processing Addendum –„DPA“), ist Bestandteil der Enterprise-Nutzungsbedingungen oder einer anderen schriftlichen oder elektronischen Vereinbarung, die diesen DPA durch Verweis einbezieht (die „Vereinbarung“), zwischen Hootsuite und der in der Vereinbarung als Kunde bezeichneten Einheit („Kunde“), zum Zweck der Erbringung bestimmter Dienstleistungen (die „Dienstleistungen“).

Im Rahmen der Erbringung der Dienstleistungen an den Kunden gemäß der Vereinbarung kann Hootsuite personenbezogene Kundendaten (wie unten definiert) im Auftrag des Kunden verarbeiten. Dieser DPA legt die Bedingungen fest, die gelten, wenn personenbezogene Kundendaten, die den geltenden Datenschutzgesetzen unterliegen, von Hootsuite im Auftrag des Kunden gemäß der Vereinbarung verarbeitet werden.

Der Kunde tritt in diesen DPA in seinem eigenen Namen und, soweit nach den anwendbaren Datenschutzgesetzen erforderlich, im Namen und im Auftrag seiner verbundenen Unternehmen ein, die gemäß der Vereinbarung die Dienste nutzen dürfen. Sofern hier nicht anders definiert, haben die in diesem DPA großgeschriebenen Begriffe dieselbe Bedeutung wie in der Vereinbarung.

1. VERARBEITUNG VON PERSONENBEZOGENEN DATEN

1.1 Geltungsbereich. Dieser DPA gilt für die Verarbeitung von personenbezogenen Kundendaten, die den geltenden Datenschutzgesetzen unterliegen, durch Hootsuite in seiner Eigenschaft als Auftragsverarbeiter oder Dienstleister zum Zwecke der Bereitstellung der Dienste.

1.2 Rollen. Die Parteien erkennen an und vereinbaren, dass der Kunde in Bezug auf die Verarbeitung personenbezogener Kundendaten der Verantwortliche oder das Unternehmen und Hootsuite der Auftragsverarbeiter oder Dienstleister des Kunden gemäß den geltenden Datenschutzgesetzen ist.

1.3 Einzelheiten der Verarbeitung. Der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sowie die Arten personenbezogener Daten oder Informationen und die Kategorien der betroffenen Personen oder Verbraucher sind in Anhang 1 dieses DPA beschrieben.

1.4 Verantwortlichkeiten des Kunden. Der Kunde hat bei der Nutzung der Dienste: (a) seinen Verpflichtungen als Verantwortlicher oder Unternehmen nachzukommen und die personenbezogenen Kundendaten gemäß den geltenden Datenschutzgesetzen zu verarbeiten; (b) sicherzustellen, dass seine Anweisungen an Hootsuite den geltenden Datenschutzgesetzen entsprechen; (c) die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten zu tragen; und (d) sicherzustellen, dass der Kunde berechtigt ist, personenbezogene Kundendaten an Hootsuite zu übertragen, damit Hootsuite und seine Unterauftragsverarbeiter die personenbezogenen Kundendaten gemäß den geltenden Datenschutzgesetzen rechtmäßig verarbeiten können.

1.5 Anweisungen des Kunden. Der Kunde weist Hootsuite an, personenbezogene Kundendaten zu erheben, zu analysieren, anzuzeigen, zu speichern und anderweitig zu verarbeiten, um die Dienste für den Kunden bereitzustellen und zu verbessern, und zwar in Übereinstimmung mit der Vereinbarung, diesem DPA und, falls zutreffend, der unter https://hootsuite.com/legal/privacy veröffentlichten Datenschutzrichtlinie. Hootsuite wird andere angemessene Anweisungen befolgen, die vom Kunden (z. B. per E-Mail oder Support-Tickets) oder von autorisierten Nutzern der Dienste des Kunden initiiert wurden, sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Hootsuite wird den Kunden informieren, wenn seiner Meinung nach eine Anweisung gegen die geltenden Datenschutzgesetze verstößt.

1.6 Verantwortlichkeiten von Hootsuite. Hootsuite wird in seiner Rolle als Auftragsverarbeiter oder Dienstleister seinen Verpflichtungen gemäß den anwendbaren Datenschutzgesetzen nachkommen und den Kunden benachrichtigen, wenn es diese Verpflichtungen nicht oder nicht mehr erfüllen kann. Hootsuite wird personenbezogene Kundendaten nur gemäß den dokumentierten Anweisungen des Kunden, wie in Abschnitt 1.5 festgelegt, verarbeiten und stimmt zu, dass es: (a) personenbezogene Kundendaten im Sinne der geltenden Datenschutzgesetze (einschließlich CCPA) nicht „verkaufen“ oder „teilen“ wird, (b) personenbezogene Kundendaten nicht für andere Zwecke als die in der Vereinbarung und diesem DPA festgelegten Geschäftszwecke aufbewahren, verwenden oder offenlegen wird, (c) personenbezogene Kundendaten, die im Zusammenhang mit der Vereinbarung erhalten wurden, nicht außerhalb der Beziehung zwischen dem Kunden und Hootsuite verwenden wird oder (d) personenbezogene Kundendaten nicht mit Informationen kombinieren wird, die Hootsuite aus anderen Quellen erhalten hat; in jedem Fall außer wie in der Vereinbarung und den geltenden Datenschutzgesetzen gestattet.

2. UNTERAUFTRAGSVERARBEITER

2.1 Ernennung von Unterauftragsverarbeitern. Der Kunde stimmt zu und erteilt eine allgemeine schriftliche Genehmigung, dass Hootsuite und seine verbundenen Unternehmen Unterauftragsverarbeiter beauftragen dürfen, vorausgesetzt, dass: (a) Hootsuite und jeder Unterauftragsverarbeiter eine schriftliche Vereinbarung mit Datenschutzverpflichtungen abschließen, die ein gleichwertiges Schutzniveau für die personenbezogenen Kundendaten bieten wie die in diesem DPA beschriebenen (insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise bieten, dass die Verarbeitung den Anforderungen der geltenden Datenschutzgesetze entspricht); und (b) Hootsuite für die Compliance seiner Unterauftragsverarbeiter aus diesem DPA sowie für alle Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter verantwortlich bleibt, die dazu führen, dass Hootsuite gegen seine Verpflichtungen aus diesem DPA verstößt.

2.2 Identifizierung und Benachrichtigung autorisierter Unterauftragsverarbeiter. Hootsuite führt eine Liste seiner autorisierten Unterauftragsverarbeiter auf einer öffentlich zugänglichen Webseite, die derzeit unter https://hootsuite.com/legal/subprocessor-list zu finden ist. Der Kunde kann sich anmelden, um Benachrichtigungen über neue oder ersetzte Unterauftragsverarbeiter zu erhalten, indem er eine E-Mail mit dem Betreff „Unterauftragsverarbeiter abonnieren“ an privacy@hootsuite.com sendet. Wenn der Kunde den Erhalt von Benachrichtigungen abonniert, wird Hootsuite den Kunden dreißig (30) Tage im Voraus über jeden geplanten neuen oder Ersatz-Unterauftragsverarbeiter informieren, bevor dieser Unterauftragsverarbeiter ermächtigt wird, personenbezogene Kundendaten im Zusammenhang mit der Bereitstellung der entsprechenden Dienste zu verarbeiten.

2.3 Recht auf Widerspruch gegen neue Unterauftragsverarbeiter. Der Kunde kann der Nutzung eines neuen oder Ersatz-Unterauftragsverarbeiters durch Hootsuite aus triftigen Gründen widersprechen, indem er Hootsuite unverzüglich innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von Hootsuite gemäß Abschnitt 2.2 schriftlich benachrichtigt. Der Kunde muss die triftigen Gründe für einen solchen Widerspruch darlegen, die sich auf die Compliance mit den geltenden Datenschutzgesetzen beziehen müssen. Nach Erhalt eines Widerspruchs wird Hootsuite angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden zu empfehlen, um die Verarbeitung der personenbezogenen Kundendaten durch den beanstandeten Unterauftragsverarbeiter zu vermeiden. Sollte Hootsuite nicht in der Lage sein, eine solche Änderung oder Empfehlung innerhalb eines angemessenen Zeitraums vorzunehmen, kann der Kunde den betroffenen Teil der Dienste gemäß den Bedingungen der Vereinbarung kündigen.

3. Vertraulichkeit

3.1 Vertraulichkeit. Hootsuite stellt sicher, dass alle Personen, die es zur Verarbeitung der personenbezogenen Kundendaten ermächtigt (einschließlich seiner Mitarbeiter, Vertreter und Auftragnehmer), einer Geheimhaltungspflicht unterliegen, die auch nach Beendigung ihres Arbeits- und/oder Vertragsverhältnisses fortbesteht.

3.2 Anfragen der Regierung. Hootsuite darf personenbezogene Kundendaten nicht an Strafverfolgungsbehörden oder Regierungsbehörden (zusammen „Regierungsbehörde“) weitergeben, es sei denn, der Kunde weist dies an oder es ist erforderlich, um geltende Gesetze oder eine gültige und verbindliche Anordnung einer Regierungsbehörde, wie z. B. eine Vorladung oder einen Gerichtsbeschluss, einzuhalten. Sollte eine Regierungsbehörde Zugang zu den personenbezogenen Kundendaten verlangen, wird Hootsuite, sofern dies nicht gesetzlich untersagt ist, (a) die Regierungsbehörde darüber in Kenntnis setzen, dass Hootsuite als Auftragsverarbeiter oder Dienstleister fungiert, und versuchen, die Regierungsbehörde an den Kunden zu verweisen (und kann der Regierungsbehörde zu diesem Zweck die grundlegenden Kontaktdaten des Kunden bereitstellen); und (b) wirtschaftlich vertretbare Maßnahmen ergreifen, um den Kunden über rechtsverbindliche Anfragen zu informieren, damit der Kunde eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel beantragen kann. Falls Hootsuite gesetzlich verpflichtet ist, auf die Anfrage zu antworten, wird Hootsuite die Rechtmäßigkeit der Anfrage überprüfen und entscheiden, ob die Anfrage angefochten werden kann. In jedem Fall wird Hootsuite nur die minimal erforderlichen Informationen offenlegen, um der Anfrage nachzukommen.

4. Sicherheit

4.1 Sicherheitsmaßnahmen. Hootsuite wird ein Informationssicherheitsprogramm für die Dienste aufrechterhalten, das mit dem Cybersecurity Framework des National Institute of Standards and Technology (NIST) und der Normenreihe Information Security Management Standard (ISMS) (ISO/IEC 27000-Normenreihe) oder mit anderen alternativen Standards übereinstimmt, die diesen Standards im Wesentlichen gleichwertig sind. Es werden geeignete technische und organisatorische Maßnahmen implementiert und aufrechterhalten, um personenbezogene Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit, Vertraulichkeit und Integrität von Kundendaten zu gewährleisten, wie in Anhang 2 dieses DPAs („Sicherheitsmaßnahmen“) näher beschrieben. Diese Sicherheitsmaßnahmen umfassen gegebenenfalls: (a) die Pseudonymisierung und Verschlüsselung von personenbezogenen Kundendaten; (b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Hootsuite sicherzustellen; (c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Kundendaten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und (d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung. Hootsuite kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass diese Aktualisierungen und Änderungen die Gesamtsicherheit der dem Kunden bereitgestellten Dienste nicht wesentlich verringern.

4.2 Audits und Sicherheitszertifizierungen von Drittanbietern. Hootsuite setzt externe Prüfer ein, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, und stimmt zu, dass eine Prüfung durchgeführt wird: (a) jährlich; (b) gemäß AICPA SOC 2 (AT-101) oder im Wesentlichen ähnlichen Anforderungen; und (c) durch unabhängige Sicherheitsexperten, die von Hootsuite ausgewählt und bezahlt werden. Der Kunde stimmt zu, dass die Auditberichte und Zertifizierungen von Hootsuite verwendet werden, um alle Audit- oder Inspektionsanfragen des Kunden (oder des unabhängigen, externen Prüfers des Kunden) zu erfüllen, einschließlich der Erfüllung von Auditpflichten gemäß den anwendbaren Datenschutzgesetzen oder den SCCs. Hootsuite wird diese Berichte auf schriftliche Anfrage des Kunden nicht mehr als einmal pro Jahr und vorbehaltlich der in der Vereinbarung (oder einer separaten Geheimhaltungsvereinbarung, falls erforderlich) festgelegten Vertraulichkeitsverpflichtungen zur Verfügung stellen.

5. VORFALLMANAGEMENT UND BENACHRICHTIGUNG

5.1 Falls Hootsuite von einem Sicherheitsvorfall Kenntnis erlangt, für den gemäß den anwendbaren Datenschutzgesetzen eine Benachrichtigung des Kunden erforderlich ist, wird Hootsuite den Kunden ohne unangemessene Verzögerung über den Sicherheitsvorfall informieren. Hootsuite wird in die Benachrichtigung solche Informationen über den Sicherheitsvorfall aufnehmen, die Hootsuite dem Kunden unter Berücksichtigung der Art der Dienste, der Hootsuite zur Verfügung stehenden Informationen und etwaiger Einschränkungen bei der Offenlegung der Informationen, wie z. B. Vertraulichkeit, vernünftigerweise offenlegen kann. Jegliche von Hootsuite bereitgestellte Benachrichtigung über einen Sicherheitsvorfall stellt keine Anerkennung eines Fehlers oder einer Haftung durch Hootsuite dar und wird auch nicht als solche ausgelegt.

6. ANFRAGEN ZU DATENSCHUTZRECHTEN

6.1 Soweit gemäß den geltenden Datenschutzgesetzen erforderlich und sofern der Kunde nicht anhand der über die Dienste bereitgestellten Funktionen reagieren kann, wird Hootsuite dem Kunden wirtschaftlich angemessene Unterstützung leisten, um dem Kunden zu ermöglichen, auf Anfragen von betroffenen Personen oder Verbrauchern zu reagieren, die ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben möchten, wobei die Art der Verarbeitung der Daten zu berücksichtigen ist.

7. DPIA UND BERATUNGEN

7.1 Auf begründete schriftliche Anfrage des Kunden und soweit nach den geltenden Datenschutzgesetzen erforderlich, wird Hootsuite dem Kunden die notwendige Zusammenarbeit und Unterstützung bieten, um die Verpflichtungen des Kunden zur Durchführung von Datenschutz-Folgenabschätzungen und zur Konsultation von Aufsichtsbehörden im Zusammenhang mit der Nutzung der Dienste zu erfüllen.

8. Internationale Datentransfers

8.1 Internationale Datentransfers. Der Kunde erkennt an und stimmt zu, dass Hootsuite personenbezogene Kundendaten außerhalb des Landes des Kunden übertragen und verarbeiten kann, soweit dies zur Bereitstellung der Dienste erforderlich ist, einschließlich Kanada und anderer Länder, in denen Hootsuite, seine verbundenen Unternehmen und Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen. Hootsuite wird alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass solche Übertragungen in Übereinstimmung mit den geltenden europäischen Datenschutzgesetzen durchgeführt werden. Insbesondere erkennt der Kunde an, dass Hootsuite personenbezogene Kundendaten in Kanada verarbeiten kann, einer Gerichtsbarkeit, deren angemessenes Schutzniveau für personenbezogene Daten von der Europäischen Kommission anerkannt wird.

8.2 Standardvertragsklauseln (SCCs). Soweit die Übermittlung personenbezogener Kundendaten vom Kunden an Hootsuite eine eingeschränkte Übermittlung beinhaltet und die Übermittlung nicht durch einen Angemessenheitsstatus abgedeckt ist, werden die SCCs einbezogen und bilden einen integralen Bestandteil dieses DPAs, wobei der Kunde (und alle verbundenen Unternehmen des Kunden) als „Datenexporteur“ und Hootsuite Inc. als „Datenimporteur“ gelten, wie folgt:

(a) In Bezug auf personenbezogene Kundendaten, die der DSGVO unterliegen: (i) Modul Zwei (Verantwortlicher zu Auftragsverarbeiter) findet Anwendung; (ii) in Klausel 7 findet die optionale Docking-Klausel Anwendung; (iii) in Klausel 9 findet Option 2 Anwendung, und die Frist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters ist in Abschnitt 2.2 dieses DPAs festgelegt; (iv) in Klausel 11 findet die optionale Formulierung keine Anwendung; (v) in Klausel 17 findet Option 1 Anwendung, und die SCCs unterliegen irischem Recht; (vi) in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt; (vii) Anhang I der SCCs gilt als mit den in Anlage 1 dieses DPAs aufgeführten Informationen ausgefüllt; und (viii) Anhang II der SCCs gilt als mit den in Anlage 2 dieses DPAs aufgeführten Informationen ausgefüllt.

(b) In Bezug auf personenbezogene Kundendaten, die der UK GDPR unterliegen, gelten die SCCs gemäß Abschnitt 8.2(a) mit den folgenden Änderungen: (i) Die SCCs gelten als gemäß dem UK Addendum geändert, das als von den Parteien ausgeführt und in diesen DPA aufgenommen gilt und einen integralen Bestandteil davon bildet; (ii) etwaige Konflikte zwischen den SCCs und dem UK Addendum werden gemäß Abschnitt 10 und Abschnitt 11 des UK Addendums gelöst; (iii) die Tabellen 1 bis 3 in Teil 1 werden jeweils mit den in den Anhängen 1 und 2 dieses DPAs aufgeführten Informationen ausgefüllt; und (iv) Tabelle 4 in Teil 1 gilt als ausgefüllt, wenn „keine Partei“ ausgewählt wird.

(c) In Bezug auf personenbezogene Kundendaten, die dem Schweizer DSG unterliegen, gelten die SCCs gemäß Abschnitt 8.2(a) mit den folgenden Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ und bestimmte Artikel darin werden durch Verweise auf das Schweizer DSG und die entsprechenden Artikel oder Abschnitte darin ersetzt; (ii) Verweise auf „EU“, „Union“ und „Mitgliedstaat“ werden durch Verweise auf „Schweiz“ ersetzt; (iii) Klausel 13(a) und Anhang II(C) werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der Eidgenössische Datenschutzbeauftragte; (iv) Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständigen Gerichte“ werden durch Verweise auf den „Eidgenössischen Datenschutzbeauftragten“ und die „zuständigen Gerichte der Schweiz“ ersetzt; (v) in Klausel 17 unterliegen die SCCs dem Recht der Schweiz; und (vi) in Klausel 18(b) werden Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt.

8.3 Klarstellungen zu den Standardvertragsklauseln. Sollte der Hootsuite-Vertragspartner im Rahmen der Vereinbarung nicht Hootsuite Inc. sein, bleibt dieser Vertragspartner (nicht Hootsuite Inc.) gegenüber dem Kunden voll und ganz für die Erfüllung der SCCs durch Hootsuite Inc. verantwortlich. Der Kunde muss alle Anweisungen oder Ansprüche in Bezug auf die SCCs an diesen Vertragspartner richten. Die Parteien vereinbaren, dass, wenn Hootsuite die Compliance mit den Standardvertragsklauseln nicht gewährleisten kann, Hootsuite den Kunden unverzüglich informieren muss und der Kunde Hootsuite eine angemessene Frist zur Behebung der Nichteinhaltung einräumen soll. Während dieses Zeitraums arbeiten Hootsuite und der Kunde in angemessener Weise zusammen, um zu vereinbaren, welche zusätzlichen Sicherheitsvorkehrungen oder -maßnahmen gegebenenfalls erforderlich sein könnten. Der Kunde ist nur berechtigt, die Übertragung personenbezogener Kundendaten auszusetzen und/oder die betroffenen Teile der Dienste wegen Nichteinhaltung der SCCs zu kündigen, wenn Hootsuite die Nichteinhaltung nicht vor Ablauf der Heilungsfrist behoben hat oder nicht beheben kann. Zusätzlich, falls Hootsuite einen alternativen Übertragungsmechanismus einführt, gilt dieser anstelle der in Abschnitt 8.2 dieses DPAs beschriebenen SCCs, jedoch nur insoweit, als dieser alternative Übertragungsmechanismus den geltenden europäischen Datenschutzgesetzen entspricht und sich auf die Gebiete erstreckt, in die die personenbezogenen Kundendaten übertragen werden.

9. RÜCKGABE UND LÖSCHUNG VON PERSONENBEZOGENEN DATEN

9.1 Bei Beendigung der Dienste ist Hootsuite verpflichtet, auf schriftliche Anforderung des Kunden, die innerhalb von 30 Tagen nach Beendigung der Dienste bei Hootsuite eingegangen ist, alle personenbezogenen Kundendaten und Kopien dieser Daten, die sich in seiner Obhut oder Kontrolle befinden, zurückzugeben oder zu löschen, es sei denn, Hootsuite ist gesetzlich verpflichtet, die personenbezogenen Kundendaten aufzubewahren. Bis die personenbezogenen Kundendaten gelöscht oder zurückgegeben werden, wird Hootsuite die personenbezogenen Kundendaten weiterhin in Übereinstimmung mit der Vereinbarung, diesem DPA und den geltenden Datenschutzgesetzen schützen.

10. ALLGEMEINE BESTIMMUNGEN

10.1 Rechtliche Wirkung. Dieser DPA ist ein Nachtrag zu der Vereinbarung zwischen dem Kunden und Hootsuite und wird als Teil dieser Vereinbarung aufgenommen. Sofern hierin nicht ausdrücklich anders vorgesehen, ist eine Hootsuite-Entität keine Partei dieses DPAs (oder der SCCs), es sei denn, sie ist Partei der Vereinbarung. Mit Ausnahme der durch diesen DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft. Dieser DPA ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen oder Mitteilungen zwischen dem Kunden und Hootsuite, ob schriftlich oder mündlich, bezüglich des Gegenstands dieses DPAs, einschließlich aller zuvor zwischen Hootsuite und dem Kunden geschlossenen Nachträge zur Datenverarbeitung.

10.2 Konflikt. Falls es einen Konflikt zwischen einer Bestimmung dieses DPAs und einer Bestimmung der Vereinbarung gibt, gilt folgende Rangfolge: (1) die SCCs; (2) diese DPA; und (3) jeder andere Teil der Vereinbarung.

10.3 Beendigung. Dieser DPA bleibt bis zur Beendigung der Vereinbarung in Kraft.

10.4 Haftungsbeschränkungen. Die Haftung jeder Partei im Rahmen dieses DPAs (einschließlich der SCCs) unterliegt den in der Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen. Zur Vermeidung von Missverständnissen gilt die Gesamthaftung von Hootsuite und seinen verbundenen Unternehmen für alle Ansprüche, die sich aus diesem DPA ergeben oder damit in Zusammenhang stehen, insgesamt für alle Ansprüche, einschließlich der Ansprüche des Kunden und der verbundenen Unternehmen des Kunden. In keinem Fall schränkt dieser DPA die Rechte einer betroffenen Person oder eines Verbrauchers gemäß den anwendbaren Datenschutzgesetzen oder den SCCs ein.

10.5 Offenlegung dieses DPAs. Der Kunde erkennt an, dass Hootsuite diesen DPA und alle relevanten Datenschutzbestimmungen in der Vereinbarung auf Anfrage einer europäischen Aufsichtsbehörde oder einer anderen europäischen, kanadischen oder US-amerikanischen Justiz- oder Regulierungsbehörde offenlegen darf.

10.6 Änderungen. Wir können jederzeit jeden Teil dieses DPAs ändern, indem wir die überarbeiteten Bedingungen auf der Hootsuite-Website veröffentlichen. Wir werden Sie über alle Änderungen informieren, die nach unserem alleinigen Ermessen wesentliche Auswirkungen auf diesen DPA haben. Der aktualisierte DPA tritt zum Zeitpunkt der Veröffentlichung oder zu einem späteren, im aktualisierten DPA angegebenen Zeitpunkt in Kraft. Ihre fortgesetzte Nutzung der Dienste nach Inkrafttreten solcher Änderungen gilt als Ihre Zustimmung zu diesen Änderungen.

11. DEFINITIONEN

11.1 In diesem DPA haben die folgenden Begriffe die unten angegebene Bedeutung:

(a) Die Begriffe „Unternehmen“, „Verbraucher“, „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „personenbezogene Informationen“, „Auftragsverarbeiter“, „Dienstleister“ und „Aufsichtsbehörde“ haben die Bedeutungen, die ihnen nach den geltenden Datenschutzgesetzen zugewiesen werden.

(b) „Verbundenes Unternehmen“ bezeichnet jede Einrichtung, die die betreffende Einrichtung direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der Stimmrechtsanteile der betreffenden Entität.

(c) „Vereinbarung“ bezeichnet die schriftliche oder elektronische Vereinbarung, die der Kunde mit Hootsuite abgeschlossen hat und die diesen DPA durch Verweis einbezieht.

(d) „Anwendbare Datenschutzgesetze“ bezeichnet europäische Datenschutzgesetze, US-Datenschutzgesetze und alle anderen Datenschutz- und Privatsphärengesetze und -vorschriften, die für die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung gelten.

(e) „Personenbezogene Kundendaten“ bezeichnet alle personenbezogenen Daten oder persönlichen Informationen, die vom Kunden (oder in dessen Namen) Hootsuite zur Verfügung gestellt oder anderweitig von Hootsuite im Namen des Kunden im Rahmen der Vereinbarung verarbeitet werden, wie in Anhang 1 dieses DPAs beschrieben. „Personenbezogene Kundendaten“ schließen keine personenbezogenen Daten oder Informationen ein, die der Kunde über Drittanbieterdienste verarbeitet, die nicht von Hootsuite bereitgestellt werden, die der Kunde jedoch im Zusammenhang mit den Diensten abrufen oder verwenden kann.

(f) „Europa“ bedeutet für die Zwecke dieses DPAs den Europäischen Wirtschaftsraum und seine Mitgliedstaaten, die Schweiz und das Vereinigte Königreich („UK“).

(g) „Europäische Datenschutzgesetze“ bezeichnet alle Datenschutz- und Privatsphärengesetze und -vorschriften Europas, die für die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung gelten, einschließlich: (i) der EU-Datenschutz-Grundverordnung („DSGVO“); (ii) aller anwendbaren nationalen Umsetzungen der DSGVO; (iii) der DSGVO, wie sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 und des Data Protection Act 2018 (zusammen die „UK-DSGVO“) Teil des britischen Rechts ist; und (iv) des Schweizerischen Bundesgesetzes über den Datenschutz von 2020 und seiner Verordnung („Schweizerisches FADP“); jeweils in der gültigen, geänderten, ersetzten oder abgelösten Fassung.

(h) „Hootsuite“ bezeichnet die Entität Hootsuite, die Vertragspartei der Vereinbarung ist, nämlich Hootsuite Inc. (111 East 5th Avenue, 3rd Floor, Vancouver, British Columbia, Kanada V5T 4L1), Sparkcentral Europe NV (Kempische Steenweg 311 b6.01, 3500 Hasselt, Belgien), Heyday Technologies Inc. (1100 avenue des Canadiens-de-Montréal, Bureau, 150 Montreal, Quebec, Kanada, H3B 2S2), Talkwalker S.à r.l. (33 avenue John F. Kennedy, L-1855, Luxemburg), Talkwalker Inc. (3616 Far West Blvd., Suite 117 #419, Austin, TX 78731), Talkwalker Pte. Ltd. (9, Raffles Place, #26-01 Republic Plaza, Singapur 048619) oder Talkwalker KK (Ark Hills South Tower 16F, 1-4-5 Roppongi, Minato-ku Tokyo, 13, 106-0032, Japan).

(i) „Verarbeitung“ oder „Verarbeiten“ bezeichnet jeden Vorgang oder jede Vorgangsreihe, die an den personenbezogenen Kundendaten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, einschließlich der Erhebung, Nutzung und Offenlegung der personenbezogenen Kundendaten.

(j) „Eingeschränkte Übertragung“ bedeutet eine Übertragung von personenbezogenen Kundendaten aus Europa in ein Land, das kein angemessenes Schutzniveau für personenbezogene Daten im Sinne der geltenden europäischen Datenschutzgesetze bietet.

(k) „Sicherheitsvorfall“ bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Kundendaten führt, die von Hootsuite im Zusammenhang mit der Bereitstellung der Dienste verarbeitet werden. Dies schließt erfolglose Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Daten des Kunden nicht gefährden, nicht ein, darunter erfolglose Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

(l) „Dienste“ bezeichnet die von Hootsuite dem Kunden bereitgestellten Dienste, wie in der Vereinbarung oder im zugehörigen Bestell- oder Autorisierungsformular (sofern zutreffend) festgelegt.

(m) „SCCs“ bezeichnet die Standardvertragsklauseln, die von der Europäischen Kommission gemäß ihrer Entscheidung 2021/914 vom 4. Juni 2021 genehmigt wurden und von Zeit zu Zeit geändert, ersetzt oder aufgehoben werden können.

(n) „Unterauftragsverarbeiter“ bezeichnet jeden Drittverarbeiter, der von Hootsuite oder seinen verbundenen Unternehmen zur Unterstützung bei der Bereitstellung der Dienste für den Kunden gemäß der Vereinbarung und diesem DPA beauftragt wird. Unterauftragsverarbeiter umfassen nicht die Mitarbeiter, Auftragnehmer oder Berater von Hootsuite oder seinen verbundenen Unternehmen.

(o) „UK Addendum” bezeichnet den internationalen Datentransfer-Nachtrag zu den Standardvertragsklauseln der EU-Kommission, der vom britischen Informationskommissar gemäß Abschnitt 119A(1) des Datenschutzgesetzes 2018 herausgegeben wurde und der von Zeit zu Zeit geändert, ersetzt oder abgelöst werden kann.

(p) „US-Datenschutzgesetze“ bezeichnet alle bundes- und einzelstaatlichen Datenschutzgesetze der Vereinigten Staaten, die auf die Verarbeitung personenbezogener Kundendaten im Rahmen dieser Vereinbarung Anwendung finden, einschließlich, aber nicht beschränkt auf: (i) den California Consumer Privacy Act, geändert durch den California Privacy Rights Act, und alle diesbezüglichen Durchführungsbestimmungen (zusammen der „CCPA“); (ii) den Virginia Consumer Data Protection Act („CDPA“); (iii) den Colorado Privacy Act („CPA“); (iv) den Utah Consumer Privacy Act („UCPA“); (v) den Connecticut Data Privacy Act („CTDPA“); den Montana Consumer Data Privacy Act („MCDPA“); (vii) den Texas Data Privacy and Security Act („TDPSA“); (viii) den Oregon Consumer Privacy Act („OCPA“); (ix) den Iowa Consumer Data Protection Act („ICDPA“); (x) den Delaware Personal Data Privacy Act („DPDPA“); (xi) den Nebraska Data Privacy Act („NDPA“); (xii) den New Jersey Data Privacy Act („NJDPA“); (xiii) den Tennessee Information Protection Act („TIPA“); (xiv) den Maryland Online Data Privacy Act („MODPA“); (xv) den New Hampshire Privacy Act („NHPA“); und (xvi) den Minnesota Consumer Data Privacy Act („MCDPA“); jeweils in der gültigen und in der geänderten, abgelösten oder ersetzten Fassung.

Anhang 1: Beschreibung der Verarbeitung

Dieser Anhang beschreibt die Verarbeitung von personenbezogenen Kundendaten durch die Parteien im Zusammenhang mit den Diensten und bildet einen integralen Bestandteil der Vereinbarung. Sofern hier nicht anders definiert, haben die in diesem DPA großgeschriebenen Begriffe dieselbe Bedeutung wie in der Vereinbarung.

(A) Liste der Parteien

Datenexporteur:
Name:	Der Datenexporteur ist die in der Vereinbarung als „Kunde“ bezeichnete Entität.
Adresse:	Die Adresse ist in der Vereinbarung festgelegt.
Name, Position und Kontaktdaten der Kontaktperson:	Die Kontaktinformationen sind in der Vereinbarung aufgeführt.
Aktivitäten, die im Zusammenhang mit den im Rahmen dieser Klauseln übertragenen Daten stehen:	Verarbeitungsaktivitäten bei der Inanspruchnahme der Dienste, wie in der Vereinbarung festgelegt
Rolle (Verantwortlicher/Verarbeiter):	Verantwortlicher

Datenimporteur:
Name:	Der Datenimporteur ist die zuständige Hootsuite-Entität, wie in Abschnitt 8 des DPA festgelegt.
Adresse:	Die Adresse der zutreffenden Hootsuite-Entität, wie in Abschnitt 8 des DPA festgelegt.
Name, Position und Kontaktdaten der Kontaktperson:	Jennifer Ma, Senior Director, Datenschutz- und Produkt-Compliance und Datenschutzbeauftragte
Aktivitäten, die im Zusammenhang mit den im Rahmen dieser Klauseln übertragenen Daten stehen:	Verarbeitungsaktivitäten bei der Bereitstellung der Dienste, wie in der Vereinbarung festgelegt
Rolle (Verantwortlicher/Verarbeiter):	Verarbeiter

(B) Beschreibung der Verarbeitung und Übertragung

Services
Kategorien von betroffenen Personen oder Verbrauchern im Zusammenhang mit Daten:	- Mitarbeiter, Berater oder Auftragnehmer des Kunden, die zur Nutzung der Dienste autorisiert sind. - Personen, deren personenbezogene Daten oder Informationen in (i) Social Media und anderen Messaging-Diensten (z. B. WhatsApp, WeChat, X, Facebook, Instagram, TikTok, SMS); (ii) Chat-Kommunikationen, einschließlich Beiträgen, Mitteilungen, Nachrichten, Seiten oder Feeds; und (iii) anderen öffentlichen Quellen (z. B. Global News Group) enthalten sind und die im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet werden.
Kategorien personenbezogener Daten oder persönlicher Informationen:	Die Informationen, die über die Dienste verarbeitet werden, werden von den Kunden nach ihrem alleinigen Ermessen bestimmt und kontrolliert und können die folgenden Kategorien umfassen: Alle Dienste - Identifikationsdaten (z. B. Name, Social-Media-Kennung, Benutzername, Benutzer-ID, Profilinformationen, Geolokalisierungsdaten) - Kontaktdaten (z. B. Name, E-Mail-Adresse, Telefonnummer) - Social Media Inhalte und andere nutzergenerierte Inhalte im Internet/auf der Plattform (z. B. Statusaktualisierungen, Beiträge, Kommentare, Seiten, Profile, Likes, Feeds, Artikel in Blogs oder Foren, die Stichwörter und Merkmale enthalten) Hootsuite-Dienste - Sonstige individuelle Informationen (z. B. Alter, Geschlecht, Arbeitgeber, Beruf, geografischer Standort, Bildung, finanzieller Status, Gewohnheiten, Interessen und Vorlieben) - E-Mails, Dokumente, nutzergenerierte Inhalte (z. B. Nachrichten, Beiträge, Fotos, Videos, Kommentare, Seiten, Profile, Feeds oder Mitteilungen auf Social-Media-Websites/-Netzwerken) und andere Daten in elektronischer Form - Kunden-Inputs und -Outputs für KI-gestützte Dienste - Content, Mitteilungen, Nachrichten, Daten und andere Informationen, die oben nicht beschrieben sind und die der Kunde über die Dienste sendet oder empfängt - Kategorien personenbezogener Daten, die in den Hootsuite-Inbox-Produkten, Hootsuite-Chatbot-Produkten und Hootsuite-Listening-Produkten beschrieben sind Sparkcentral-Dienste; Hootsuite-Inbox-Produkte - Messaging Inhalte, die Einzelpersonen freigeben (z. B. Social-Media-Nachrichten, In-App-Nachrichten, SMS) - Social-Media- und Messaging-Metadaten (z. B. Anzahl der Social-Media-Follower, Anzahl der Beiträge, Anzahl der Tweets) Heyday-Dienste; Hootsuite-Chatbot-Produkte - Konversationsdaten (z. B. Konversationen, die über die Website des Kunden oder andere unterstützte Messenger-Dienste abgerufen und verarbeitet werden, sowie Bestellinformationen) - Geräte- und Browsing-Daten (z. B. IP-Adresse, Anzahl der Besuche auf der Website, Anzahl der aufgerufenen Seiten, verbrachte Zeit, Chat-Navigation, Benutzer-Tags) Talkwalker-Dienste; Hootsuite-Listening-Produkte - Öffentlich zugängliche persönliche Merkmale von Social-Media- und Internetnutzern (z. B. Alter, Geschlecht, Interessen und Vorlieben, beruflicher und Bildungshintergrund, Fotos und Videos) - Alle anderen Informationen im Zusammenhang mit der Markenüberwachung, die in einem öffentlich zugänglichen sozialen Medium oder auf einer Internetseite veröffentlicht werden und personenbezogene Daten enthalten
Vertrauliche Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen:	Die Informationen, die über die Dienste verarbeitet werden, werden von den Kunden bestimmt und kontrolliert und können folgende sensible Daten umfassen: personenbezogene Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, Daten über die Gesundheit oder das Sexualleben oder Daten über Straftaten, strafrechtliche Verurteilungen oder Sicherheitsmaßnahmen offenbaren. Siehe Anhang 2 für angewandte Einschränkungen und Schutzmaßnahmen für sensible Daten.
Häufigkeit der Übertragung:	Stetig
Art der Verarbeitung:	Sammlung, Speicherung, Organisation, Änderung, Abruf, Offenlegung, Kommunikation und andere Verwendungen bei der Erbringung der Dienstleistungen, wie in der Vereinbarung festgelegt.
Zweck(e) und Gegenstand der Übermittlung und Weiterverarbeitung:	Verarbeitungstätigkeiten im Rahmen der Erbringung der Dienste gemäß der Vereinbarung, einschließlich: - Bereitstellung des Zugriffs auf die Hootsuite-, Sparkcentral-, Heyday- und/oder Talkwalker-Dienste; - Bereitstellung, Wartung und Aktualisierung der lizenzierten, konfigurierten und von Kunden und autorisierten Nutzern genutzten Funktionalitäten; - Überwachung der Systemleistung, Sicherheit und Verfügbarkeit in Echtzeit; - Identifizierung, Diagnose und Behebung technischer Probleme, Bugs und Fehler, einschließlich der Durchführung von Tests und Qualitätssicherung; - Erleichterung von Integrationen mit autorisierten Drittanbieteranwendungen und -diensten; und - Sonstige Verarbeitungstätigkeiten, die für die Erbringung der Dienste gemäß den dokumentierten Anweisungen des Kunden erforderlich sind.
Zeitraum und Dauer, für die die personenbezogenen Daten oder persönlichen Informationen verarbeitet und aufbewahrt werden:	Gemäß Abschnitt 9 des DPA.

Für die Zwecke der SCCs wird die zuständige Aufsichtsbehörde gemäß der DSGVO bestimmt.

Anhang 2: Sicherheitsmaßnahmen

Dieser Anhang beschreibt die technischen und organisatorischen Maßnahmen, die von Hootsuite umgesetzt werden sollen, und bildet einen integralen Bestandteil der Vereinbarung. Sofern hier nicht anders definiert, haben die in diesem DPA großgeschriebenen Begriffe dieselbe Bedeutung wie in der Vereinbarung.

Die technischen und organisatorischen Maßnahmen („TOMs“), die (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen umzusetzen sind, werden für die jeweiligen Dienste unter dem folgenden Link beschrieben: https://www.hootsuite.com/legal/security-practices. Die folgende Tabelle enthält Beispiele für die von Hootsuite implementierten TOMs.

Art der TOMs	Beschreibung der TOMs
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten	Pseudonymisierung Die Verarbeitung personenbezogener Daten ist innerhalb der Dienste eingeschränkt. Wenn beispielsweise Daten verarbeitet werden (z. B. wiederhergestellt und analysiert), wird dort, wo es möglich ist, eine eindeutige ID anstelle der vollständigen persönlichen Datenfelder wie Vor- und Nachname des Kontobenutzers und seiner geschäftlichen E-Mail-Adresse zur Identifikation genutzt. Verschlüsselung Daten, die Hootsuite von Kunden zur Verfügung gestellt werden, werden während der Übertragung und im Ruhezustand verschlüsselt, um Sicherheitsbedrohungen auf dem Niveau der Industriestandards abzuwehren.
Maßnahmen zur Sicherstellung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten	Zugriffskontrollen - Richtlinien und Verfahren zur Zugriffskontrolle, die Onboarding, Offboarding, Rollenwechsel, regelmäßige Zugriffsprüfungen, Einschränkungen und Nutzungskontrolle von Administratorrechten sowie Timeouts bei Inaktivität betreffen, wurden eingeführt. - Die Identifizierung und Trennung von kollidierenden Aufgaben und Verantwortungsbereichen, wie die Trennung von Aufgaben, wird umgesetzt. - Ein aktueller und präziser Bestand an Computerkonten wird aufrechterhalten. - Die Grundsätze „Need-to-know“ und „Least Privilege“ werden durchgesetzt, und die Zugriffsrechte der Benutzer werden regelmäßig überprüft, um übermäßige Privilegien zu erkennen. - Es wird eine Begrenzung der Anmeldeversuche durchgesetzt. - Der Fernzugriff auf Produktionssysteme und andere sensible Netzwerksegmente erfordert eine Vernetzung über ein VPN. Authentifizierung - Passwörter erfordern eine definierte Mindestkomplexität. Initiale Passwörter müssen nach dem ersten Anmelden geändert werden. - Der Zugang zu den Systemen, die von Hootsuite-Mitarbeitern und Vertragspersonal genutzt werden, wird durch eine Multi-Faktor-Authentifizierung (MFA) kontrolliert. - Single Sign-On (SSO) wurde unternehmensweit implementiert, um eine umfassendere und zentralisiertere Zugriffskontrolle auf die von Hootsuite-Mitarbeitern und Vertragspersonal genutzten Systeme sicherzustellen. Personalpraktiken -Alle Mitarbeiter sind an Vertraulichkeitsvereinbarungen sowie an die Sicherheits- und Datenschutzrichtlinie von Hootsuite gebunden. Bei der Einstellung und danach mindestens einmal jährlich erhalten alle Mitarbeiter eine Schulung zu Sicherheits- und Datenschutzmaßnahmen. - Vor der Einstellung wird eine Vorabprüfung (die auch eine Überprüfung des strafrechtlichen Hintergrunds umfassen kann) durchgeführt, die der Sensibilität der Rolle angemessen ist und wo dies gesetzlich zulässig ist. Intrusionserkennung und -überwachung - Mechanismen zur Erkennung von Intrusionsversuchen werden verwendet, um die Dienste auf unbefugtes Eindringen zu überwachen. - Firewalls werden nach den besten Praktiken der Branche konfiguriert, und Ports, die nicht für die Bereitstellung der Hootsuite-Dienste verwendet werden, werden durch die Konfiguration unseres Rechenzentrumsanbieters blockiert. - Schwachstellen-Scans werden in der Produktion durchgeführt, und es werden wirtschaftlich vertretbare Anstrengungen unternommen, um alle Feststellungen zu beheben, die ein wesentliches Risiko für die Hootsuite-Umgebung darstellen. - Bildschirmsperren werden durchgesetzt und eine vollständige Festplattenverschlüsselung für Firmen-Laptops wird implementiert.
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit von und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen	Notfallwiederherstellung Kundendaten werden redundant an mehreren Standorten in den Rechenzentren des Hosting-Anbieters von Hootsuite gespeichert, um die Verfügbarkeit sicherzustellen; es gibt Backup- und Wiederherstellungsverfahren, die eine Wiederherstellung nach einer größeren Katastrophe ermöglichen. Backups Kundeninhalte und der Quellcode der Anwendung werden automatisch mindestens jede Nacht gesichert. Das Betriebsteam von Hootsuite wird bei einem Ausfall dieses Systems alarmiert.
Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Effektivität der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten	Sicherheitsteam Ein engagierter Sicherheitsleiter und ein Sicherheitsteam beaufsichtigen, überwachen und testen die technischen und organisatorischen Maßnahmen, die für die Dienste implementiert wurden. Audits und Zertifizierungen - Unabhängige Validierung der Existenz und Reife des Cybersicherheitsprogramms und des Datenschutzprogramms durch folgende Zertifizierungen: ∙ISO/IEC 27001:2022 Rahmenwerk für das Management der Informationssicherheit ∙ISO/IEC 27701:2019 Datenschutzkontrollen zum Schutz persönlicher Informationen ∙ISO/IEC 27017:2015 Sicherheitsrichtlinien für Cloud-Dienste ∙ISO/IEC 27018:2019 Schutz persönlicher Daten in öffentlichen Clouds - Eine jährliche SOC 2 Typ II-Prüfung, die von einem unabhängigen Dritten durchgeführt wird, um die Wirksamkeit der verwendeten technischen und organisatorischen Maßnahmen zu testen. Zu den sicherheitsbezogenen Audits und Zertifizierungen von Hootsuite-Diensten gehören auch: - Der SOC 3-Bericht beschreibt Informationen zu den internen Sicherheitskontrollen von Hootsuite. - Hootsuite hat die Einhaltung des UK Cyber Essentials Program erfüllt. - Hootsuite ist zur Nutzung im Rahmen des Federal Risk and Authorization Management Programms der US-Regierung autorisiert, einem Zertifizierungsprozess, der nach dem NIST SP 800-53- Standard geprüft wird.
Maßnahmen zur Identifizierung und Autorisierung von Nutzern	Protokolle - Protokolle, die Einzelheiten zu Datenübertragungen von IT-Systemen aufzeichnen, die personenbezogene Daten speichern oder verarbeiten, sowie zum Benutzerzugriff auf die Dienste, werden vom Sicherheitsteam überwacht und überprüft, um autorisierte Zugriffe zu verifizieren. - Alle Systemprotokolle, die wichtige Informationen enthalten, wie z. B. Authentifizierungs- und Netzwerkzugriffsprotokolle, werden in einem zentralen Repository gesammelt und von einem dedizierten Team auf verdächtige Aktivitäten überwacht. Verschlüsselung und Firewalls - Alle öffentlich zugänglichen Schnittstellen sind durch branchenübliche Verschlüsselung und Firewalls gesichert. - Produktionssysteme sind nur nach der Verwendung von MFA zugänglich. - Firewalls (z. B. Web Application Firewall, Netzwerk-Firewalls) werden auf Produktionssystemen eingesetzt und kontinuierlich überwacht. Zugriffskontrolle - Die rollenbasierte Zugriffskontrolle wird gemäß den Prinzipien „Need-to-know“ und „Least Privilege“ durchgesetzt.
Maßnahmen zum Schutz von Daten während der Übertragung	Die Dienste unterstützen die neuesten sicheren Verschlüsselungs-Suites und Protokolle nach Industriestandard, um den gesamten Traffic während der Übertragung zu verschlüsseln. Hootsuite unterstützt derzeit TLS 1.2 oder höher für seinen Web-Traffic. Der Fernzugriff auf Produktionssysteme und einige andere sensible Netzwerksegmente ist nur über einen VPN-Tunnel möglich, der eine Multi-Faktor-Authentifizierung (MFA) erfordert und durchgängig verschlüsselt ist.
Maßnahmen zum Schutz von Daten während der Speicherung	Kunden-Content wird im Ruhezustand verschlüsselt (unter Verwendung von AES mit 128- oder 256-Bit-Verschlüsselung), wo dies angemessen ist und unter Berücksichtigung der Art des Contents und der damit verbundenen Risiken. Zugriffskontrollen (wie oben beschrieben) werden implementiert, um den Zugriff nur auf autorisiertes Personal zu beschränken, und zwar auf der Basis von „Need-to-know“ und „Least Privilege“, um die Dienste aufrechtzuerhalten.
Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden	Sicherheit des Cloud-Dienstanbieters Hootsuite nutzt Amazon Web Services (AWS) für seine Produktionsrechenzentren, um die Dienste von Hootsuite, Sparkcentral und Heyday bereitzustellen. AWS verfügt über international anerkannte Zertifizierungen und Akkreditierungen, die die Einhaltung strenger internationaler Standards wie ISO 27017 für Cloud-Sicherheit, ISO 27018 für Cloud-Datenschutz, SOC 1, SOC 2 und SOC 3 sowie PCI DSS Level 1 belegen. Informationen zu den Zertifizierungen und zur Compliance von Amazon Web Services können auf der AWS Security-Website und der AWS Compliance-Website abgerufen werden. Hootsuite verwendet Hetzner für seine Produktionsrechenzentren, um die Hootsuite Listening-Dienste und die Talkwalker-Dienste bereitzustellen. Hetzner verfügt über die ISO 27001-Zertifizierung. Hootsuite-Bürosicherheit Alle Hootsuite-Büros, in denen personenbezogene Daten verarbeitet werden, verfügen über: - Elektronische Zutrittskontrollsysteme zum Schutz der Haupteingangs- und Sicherheitsbereiche - Überwachung der Anlage durch Sicherheitsdienste und Protokollierung des Zugangs zur Anlage - Videoüberwachung von sicherheitsrelevanten Bereichen wie Ein- und Ausgängen - Zentrale Zuweisung und Widerruf von Zugangsberechtigungen - Identifizierung aller Besucher durch Überprüfung ihres Personalausweises und Registrierung (ein Besucherprotokoll wird geführt) - Obligatorische Identifizierung innerhalb der Sicherheitsbereiche für alle Mitarbeiter und Besucher - Besucher müssen jederzeit von Mitarbeitern begleitet werden.
Maßnahmen zur Sicherstellung der Ereignisprotokollierung	Alle Systeme, die zur Bereitstellung der Hootsuite-Dienste verwendet werden, einschließlich Firewalls, Routern, Netzwerkswitches, Intrusion-Detection-Systemen, Anti-Malware-Diensten und Betriebssystemen, protokollieren Informationen auf sicheren Protokollservern, um Sicherheitsüberprüfungen und -analysen zu ermöglichen. Weitere Informationen auch unter: Intrusionserkennung und -Überwachung weiter oben
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration	Produktionsserver, Datenbanken und Cloud-Sicherheitskonfigurationen werden gemäß den internen Konfigurationsrichtlinien und in Übereinstimmung mit der Konfigurationsverwaltungsrichtlinie gehärtet. Die Konfiguration und der Aufbau von Systemen werden im Code über unsere Konfigurationsverwaltungssysteme verwaltet. Änderungen an Konfigurationssätzen erfordern eine Überprüfung und Genehmigung durch Kollegen. Neue Instanzen werden aus vorkonfigurierten und gehärteten „Basis-Images“ erstellt.
Maßnahmen für die interne IT- und IT-Sicherheitsführung und -verwaltung sowie Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten	Hootsuite implementiert und pflegt Sicherheitsrichtlinien und -verfahren nach Industriestandard, die mit dem Cybersicherheitsrahmen des National Institute of Standards and Technology (NIST) übereinstimmen. Es gibt einen engagierten Sicherheitsleiter und ein Team, das die Sicherheitsrichtlinien und -standards umsetzt und die jährlichen Audits und Zertifizierungen, wie oben erwähnt, überwacht (z. B. SOC 2 Typ II, UK Cyber Essentials-Programm, FedRAMP-Autorisierung, ISO 27001, je nach der jeweiligen Entität, auf die es sich bezieht).
Maßnahmen zur Sicherstellung der Datenminimierung	Der Zugriff auf personenbezogene Daten ist auf der Grundlage des „Need-to-know“-Prinzips und des „Least-Privilege“-Prinzips beschränkt. Datenexporteure (Kunden) sind Datenverantwortliche für die Daten, die sie in die Dienste hochladen, und können entscheiden, die Menge der verarbeiteten Daten zu begrenzen. Der Zugriff auf Produktionsserver wird durch rollenbasierte Zugriffskontrollen kontrolliert.
Maßnahmen zur Sicherstellung der Datenqualität	Daten werden in Echtzeit mithilfe von APIs aus Social-Media-Netzwerken abgerufen, und die Genauigkeit und Qualität der Daten hängt von den Quelldaten der Social-Media-Netzwerke ab. Datenexporteure (Kunden) sind Datenverantwortliche für die Daten, die sie in die Dienste hochladen, und können die Daten aktualisieren oder ändern, um die Datenqualität zu gewährleisten.
Maßnahmen zur Sicherstellung einer begrenzten Datenaufbewahrung	Um die Datengenauigkeit zu gewährleisten und die Datenaufbewahrung zu minimieren, werden die aus Social Media-Netzwerken abgerufenen Daten, sofern für die Dienste zutreffend, nur vorübergehend zur Anzeige gespeichert. Es existiert eine Richtlinie zur Aufbewahrung und Vernichtung von Aufzeichnungen, und die Daten werden so lange aufbewahrt, wie es erforderlich ist, um die Dienste bereitzustellen, Aufzeichnungen zu führen, rechtliche Verpflichtungen zu erfüllen, Streitigkeiten beizulegen und die Bedingungen für die Dienste durchzusetzen. Es gibt Verfahren zur Löschung von Daten, wenn die betroffene Person die Löschung beantragt.
Maßnahmen zur Sicherstellung der Verantwortlichkeit	Ein engagierter Sicherheitsleiter und ein Team sind dafür verantwortlich, dass angemessene Sicherheits- und Datenschutzrichtlinien und -verfahren implementiert und eingehalten werden. Hootsuite hat einen Datenschutzbeauftragten ernannt, der zusammen mit dem Datenschutzteam das Datenschutzprogramm leitet. Auf der Führungsebene werden Führungskräfte regelmäßig über Datenschutzangelegenheiten informiert und können strategische Beiträge zu den Datenschutzpraktiken von Hootsuite leisten. Die Mitarbeiter nehmen jährlich an einer Schulung zu Datenschutz und Sicherheit teil. Es wurde ein Verfahren implementiert, um umgehend auf Anfragen von betroffenen Personen zu antworten und diese zu bearbeiten, wie z. B. Anträge auf Zugriff und Löschung ihrer Daten. Hootsuite beachtet die Prinzipien des „Privacy by Design“. Dazu gehört auch die Durchführung von Datenschutz-Folgenabschätzungen und -prüfungen bei der Implementierung neuer Produktfunktionen und neuer Prozesse.
Maßnahmen zur Ermöglichung der Datenportabilität und Sicherstellung der Datenlöschung	Kunden können die Rückgabe oder Löschung aller personenbezogenen Daten und Kopien dieser Daten in ihrer Obhut oder Kontrolle anfordern. Es gibt Verfahren zur Löschung von Daten, wenn die betroffene Person die Löschung beantragt. Für die Datenportabilität gibt es innerhalb der Dienste „Datenexport“-Optionen, mit denen Kundeninhalte in CSV-Formate exportiert werden können.
Informationen zu Unterauftragsverarbeitern	Siehe: https://www.hootsuite.com/legal/subprocessor-list

Falls Sie eine schriftliche und unterschriebene Vereinbarung benötigen, klicken Sie bitte hier, füllen Sie Ihre Kundendaten aus und unterzeichnen Sie den Nachtrag elektronisch.