Anhang zur Datenverarbeitung

This Data Processing Addendum (“DPA”) supplements the Order concluded between you (“the Controller” or “the Customer”) and GetResponse S.A. or GetResponse Inc [depending on you concluded an Order with] (defined below “the Processor” or “GetResponse”).	Der vorliegende Anhang zur Datenverarbeitung (“DPA”) ergänzt den zwischen Ihnen (dem “für die Verarbeitung Verantwortlichen” oder dem “Kunden”) und der Gesellschaft GetResponse S.A. (im Folgenden als “Datenverarbeiter” oder “GetResponse” definiert) abgeschlossenen Auftrag.
BACKGROUND:	HINTERGRUND:
The Customer and GetResponse entered into a GetResponse Order Form for the GetResponse MAX or MAX² Service or the GetResponse MAX (Enterprise) or MAX² Service Agreement (the “Order”). 1. Definitions 1.1 The following words and phrases used in this DPA shall have the following meanings except where the context otherwise requires: “Applicable Law” GDPR, or the PDPA, or LGPD, or any other applicable data protection regulations that Customer or GetResponse are subject to and that may apply to Personal Data processing activities. “Controller” the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; here the Customer. “Data Subject” a natural person who is the subject of Personal Data Processing. “GDPR” the EU General Data Protection Regulation (2016/679) and laws implementing and supplementing GDPR. “GetResponse” one of the following entities: (i) GetResponse S. A. al. Grunwaldzka 413, Gdansk (80-309) Poland or (ii) GetResponse Inc. 3 Germay Dr, Ste 5 PMB 15672 Wilmington, DE 19804 USA, or (iii) GetResponse Malaysia Sdn. Bhd. Unit No. L25-1, Level 25, TSLAW Tower, No. 39, Jalan Kamuning, 55100 Kuala Lumpur, Wilayah Persekutuan Kuala Lumpur, Malaysia, or (iv) GetResponse Tecnologias Brasil Ltda. Irmã Gabriela Street, 51, Cidade Monções, City of São Paulo, State of São Paulo, Zip Code 04571-130, Brasil, depending on which entity the Customer concluded the Order with. “LGPD” the Brazilian General Personal Data Protection Law 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” or “LGPD”) a statutory law on data protection and privacy in the Federative Republic of Brazil. “Personal Data” any information relating to a natural person who is directly or indirectly identified or identifiable from that information or from that information in combination with other information in the possession of the Controller and the personal data (as defined in the GDPR) of the Customer’s customers as set out HERE. “PDPA” the Malaysian Personal Data Protection Act of 2010 and its subsidiary legislation. “Processing” any operation carried out with Personal Data, such as collection, production, receipt, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, deletion, evaluation or control of the information, modification, communication, transfer, dissemination or extraction. “Processor” a natural or legal person, public authority, agency or other body which processes personal data on behalf of the Controller. “Purpose” the purpose for processing Personal Data as set out HERE. “Services” the processing of Personal Data to be carried out by GetResponse in accordance with this DPA, the scope of which is set out in HERE. “Supervising Authority” an authority tasked to implement and enforce privacy laws and regulations in a jurisdiction that the Customer and/or the Processor is/are subject. 1.2 This DPA is subject to the terms of an Order and is incorporated into the Order. 1.3. Except as otherwise defined herein, all capitalized terms used in this DPA or its Annexes shall have the meaning attributed to them in the Order and Terms of Service constituting integral part of the Order.	Der Kunde und GetResponse haben ein Auftragsformular von GetResponse für den GetResponse MAX oder MAX² Service oder den GetResponse MAX (Enterprise)- oder MAX² Dienstleistungsvertrag (einen “Auftrag”) ausgefüllt. 1. Definitionen 1.1 Die nachstehenden in diesem DPA benutzten Bezeichnungen und Ausdrücke haben die nachfolgende Bedeutung, soweit aus dem Zusammenhang nichts anderes hervorgeht: “Anwendbares Recht“ Die DSGVO, das PDPA, die LGPD oder andere anwendbare Datenschutzbestimmungen, denen der Kunde oder GetResponse unterliegt und die für die Verarbeitung personenbezogener Daten gelten können. “Für die Verarbeitung Verantwortlicher” die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; in diesem Fall der Kundehat die Bedeutung im Sinne der DSGVO “Datenverarbeiter” hat die Bedeutung im Sinne der DSGVO “Betroffene(r)” eine natürliche Person, die von der Verarbeitung personenbezogener Daten betroffen isthat die Bedeutung im Sinne der DSGVO. “DSGVO” die Datenschutz-Grundverordnung (2016/679) und Gesetze zur Anwendung und Ergänzung der DSGVO. “GetResponse” eine der folgenden Einheiten: (i) GetResponse S. A. al. Grunwaldzka 413, Gdansk (80-309) Polen oder (ii) GetResponse Inc. 3 Germay Dr, Ste 5 PMB 15672 Wilmington, DE 19804 USA, oder (iii) GetResponse Malaysia Sdn. Bhd. Unit No. L25-1, Level 25, TSLAW Tower, No. 39, Jalan Kamuning, 55100 Kuala Lumpur, Wilayah Persekutuan Kuala Lumpur, Malaysia, oder (iv) GetResponse Tecnologias Brasil Ltda. Irmã Gabriela Street, 51, Cidade Monções, São Paulo, 04571-130 São Paulo, Brasilien, je nachdem, mit welchem Unternehmen der Kunde die Vereinbarung eingegangen ist. “LGPD” das brasilianische Allgemeine Gesetz zum Schutz personenbezogener Daten mit der Nr. 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” oder “LGPD”), welches den Schutz von Daten und der Privatsphäre in der Föderativen Republik Brasilien regelt. “Persönliche Daten” jegliche Angaben zu einer natürlichen Person, die direkt oder indirekt durch diese Angaben oder durch diese Angaben in Kombination mit anderen Angaben im Besitz des für die Verarbeitung Verantwortlichen identifiziert oder identifizierbar istdie persönlichen Daten (gemäß Definition in der DSGVO) der Kunden des Kunden, wie HIER dargelegt. “PDPA” das malaysische Gesetz zum Schutz personenbezogener Daten von 2010 und dessen untergeordnete Gesetze. “Verarbeitung” jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie z. B. Erhebung, Erstellung, Erhalt, Einstufung, Verwendung, Zugriff, Vervielfältigung, Übertragung, Verteilung, Verarbeitung, Archivierung, Speicherung, Löschung, Bewertung oder Kontrolle der Informationen sowie deren Veränderung, Kommunikation, Übertragung, Verbreitung oder Extrahierung. “Auftragsverarbeiter” eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. “Zweck” der Zweck der Verarbeitung Persönlicher Daten, wie HIER dargelegt. “Dienstleistungen” die durch GetResponse gemäß dem vorliegenden DPA vorgenommene Verarbeitung Persönlicher Daten, deren Umfang HIER dargelegt ist. “Aufsichtsbehörde” eine Behörde, die mit der Umsetzung und Durchsetzung von Datenschutzgesetzen und -vorschriften in dem Rechtsraum betraut ist, dem der Kunde und/oder der Auftragsverarbeiter unterliegt/unterliegen. 1.2 Der vorliegende DPA unterliegt den Bestimmungen eines Auftrags und ist Bestandteil des Auftrags. 1.3. Soweit in diesen Bestimmungen nichts anderes festgelegt ist, haben alle mit Großbuchstaben geschriebenen Ausdrücke in diesem DPA oder seinen Anhängen die Bedeutung, die ihnen in dem Auftrag und den Dienstleistungsbedingungen, die integraler Bestandteil des Auftrags sind, zugewiesen wurde.
2. Subject matter of this DPA and Processing purposes. 2.1 For the purposes of this DPA, the Parties have agreed that the Customer is the Controller and GetResponse is the Processor of the Personal Data. 2.2 The subject matter, duration, nature and purposes of Processing and the Personal Data categories and Data Subject types in respect of which GetResponse may process to fulfil the business purposes of the Order and this DPA are available at https://www.getresponse.com/de/legal/max-avv-annex-1 2.3 The scope of the Services provided by GetResponse shall be limited to providing the Customer with the service tools to be used for the Purpose of Personal Data Processing. 2.4 The Services provided by GetResponse do not impact on the scope of the Personal Data processed by the Customer under the Order and this DPA except for specifying the minimum scope of the Personal Data required for the proper use of the Services. 2.5 Unless expressly indicated in this DPA, GetResponse shall not determine nor be responsible for the purposes and means of Processing and shall not monitor the scope of the Personal Data processed nor the lawful bases for their Processing as determined by the Customer.	2. Gegenstand dieses DPA und Zweck der Datenverarbeitung. 2.1 Die Parteien sind übereingekommen, dass der Kunde für die Zwecke des vorliegenden DPA, der für die Verarbeitung Verantwortliche und GetResponse der Verarbeiter der Persönlichen Daten ist. 2.2 Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Kategorien der Persönlichen Daten und Typen der Betroffenen, anhand derer GetResponse die Verarbeitung vornehmen kann, um die Geschäftsziele des Auftrags und des vorliegenden DPA zu erfüllen, sind einsehbar unter https://www.getresponse.com/de/legal/max-avv-annex-1 2.3 Der Umfang, der durch GetResponse erbrachten Dienstleistungen wird, darauf beschränkt, dass dem Kunden die Dienstleistungstools zur Verfügung gestellt werden, die dieser zur Verarbeitung der Persönlichen Daten anwenden kann. 2.4 Die durch GetResponse erbrachten Dienstleistungen haben keinen Einfluss auf den Umfang der durch den Kunden gemäß Auftrag und dem vorliegenden DPA verarbeiteten Daten, außer dass sie den Mindestumfang der Persönlichen Daten angeben, die für eine ordnungsgemäße Verwendung der Dienstleistungen notwendig sind. 2.5 Sofern nicht ausdrücklich in diesem DPA angegeben, bestimmt GetResponse weder Zweck noch Mittel der Datenverarbeitung noch ist es für diese verantwortlich und kontrolliert weder den Umfang der verarbeiteten Persönlichen Daten noch die gesetzlichen Grundlagen für deren Verarbeitung durch den Kunden.
3. Customers obligations 3.1 The Customer shall ensure that it will provide GetResponse with such information and co-operation as GetResponse reasonably requires to carry out its Services under this DPA, especially, but not limited to, the Personal Data Processing activities and purposes.; 3.2 The Customer shall ensure that in circumstances where it intends to carry on the activities of direct marketing it has obtained all necessary marketing consents, including consents to send and distribute commercial information by email, or telephone, SMS or any other messaging application or platforms and to use telecommunications terminal equipment and automated phone call systems for direct marketing purposes strictly in accordance with any Applicable Law. 3.3 The Customer shall use the Services in accordance with the Order and ensure the security of Customer Account authentication data at all times and protect this Account authentication data against unauthorized access and use.; 3.4 The Customer also confirms and expressly undertakes not to engage in any activity in connection with Personal Data that is in breach any Applicable Law. 3.5 The Customer shall not request or instruct GetResponse to perform any act or service that amounts to an infringement of any Applicable Law.	3. Pflichten des Kunden 3.1 Der Kunde gewährleistet, dass GetResponse in dem Maße mit Informationen versorgt und ihm Unterstützung gewährt wird, wie es GetResponse billigerweise benötigt, um seine Dienstleistungen gemäß dem vorliegenden DPA zu erbringen, insbesondere, aber nicht ausschließlich, die Tätigkeiten und Zwecke der Verarbeitung personenbezogener Daten.; 3.2 Der Kunde stellt sicher, dass er, sofern er beabsichtigt, die Aktivitäten des Direktmarketings fortzusetzen, über alle notwendigen Marketinggenehmigungen verfügt, einschließlich der Genehmigung zum Versand und zur Verbreitung kommerzieller Informationsmaterialien über E-Mail, Telefon, SMS oder jegliche andere Messaging-Anwendung oder -Plattform und zum Einsatz von Telekommunikationsendgeräten und automatisierten Fernsprechanlagen für Zwecke des Direktmarketings streng nach Maßgabe der geltenden Gesetze. 3.3 Der Kunde setzt die Dienstleistungen entsprechend dem Auftrag ein, garantiert die Sicherheit der Authentizifierungsdaten für das Kundenkonto zu jedem Zeitpunkt und schützt diese Kontenauthentifizierungsdaten gegen unbefugten Zugriff und Gebrauch; 3.4 Der Kunde bestätigt zudem und verpflichtet sich ausdrücklich dazu, keinerlei Tätigkeit in Zusammenhang mit den Persönlichen Daten zu unternehmen, die im Widerspruch zu den Vorschriften der geltenden Gesetze steht. steht. 3.5 Der Kunde erteilt GetResponse keinerlei Anfragen oder Anweisungen zur Ausübung von Tätigkeiten oder Dienstleistungen, die eine Verletzung der geltenden Gesetze steht. darstellen würden.
4. Obligations of GetResponse 4.1 GetResponse shall process the Personal Data within the scope and for the purposes expressly indicated in the Agreement and this DPA only, and for no other scope or purpose. 4.2 GetResponse shall process the Personal Data only in accordance with Applicable Law and shall not perform its obligations under this DPA in such a way as to cause the Customer to breach any of its applicable obligations under the Applicable Law. 4.3 GetResponse shall only process the Personal Data on behalf of the Customer and in strict compliance with the Customer’s instructions as set out and contained in this DPA and the Agreement and shall not process the Personal Data in any manner for any other purposes, which also applies to transfers of Personal Data to a third country or an international organization under GDPR, save as is required by applicable legal regulations or by any regulatory body to which GetResponse is subject, in which case GetResponse shall inform the Customer of this legal obligation prior to the start of processing, unless such law prohibits the provision of such information for reasons of important public interest. 4.4 GetResponse shall ensure that all GetResponse employees and contractors: a. are informed of the confidential nature of the Personal Data and are bound by confidentiality obligations and use restrictions of the Personal Data; b. have undertaken training on the data protection and security; c. are aware both of their personal duties and obligations under the Applicable Law and this DPA. 4.5. In Processing Personal Data in accordance with this DPA and the Agreement, GetResponse shall implement and ensure that it has in place sufficient and appropriate technical and organizational security measures to protect the Personal Data against unauthorized or unlawful Processing, and against accidental loss, destruction, damage, misuse, alteration or disclosure. These measures shall be sufficient and appropriate to avoid harm which might result from any unauthorized or unlawful Processing, accidental loss, destruction, misuse or damage to the Personal Data, having regard to the state of technological development, the costs of implementation (including, as appropriate, the measures referred to in Article 32(1) of the GDPR or any other that may arise from Applicable Law), and the nature, scope, context and purposes of processing the Personal Data, as well as the risk of varying likelihood and severity for the rights and freedoms of the Data Subjects. GetResponse may at any time change the implemented measures provided that the security and protection level shall not be lower than originally provided and ensured. 4.6 GetResponse shall provide all reasonable assistance to the Customer in the Customer’s response to any Data Subject requests, complaints or enquiries from either a Data Subject or from a relevant Supervising Authority. 4.7 GetResponse shall assist the Customer in complying with the obligations pursuant to Articles 32 to 36 of the GDPR if applicable, or any other Applicable Law in respect of the Services by providing the Customer with all necessary information and in respect of supporting the Customer in connection with any data protection impact assessment and consultation with a Supervising Authority shall do so only in so far as the Customer is unable to fulfil its obligations by other means and upon payment of the reasonable costs incurred by GetResponse.	4. Verpflichtungen von GetResponse 4.1 GetResponse verarbeitet die Persönlichen Daten ausschließlich in dem Ausmaß und für die in der Dienstleistungsvereinbarung und dem DPA ausdrücklich angegeben Zwecke, in keinerlei anderem Ausmaß und zu keinerlei anderen Zwecken. 4.2 GetResponse verarbeitet die Persönlichen Daten ausschließlich in Übereinstimmung mit den geltenden Gesetzen und kommt seinen Verpflichtungen aus dem vorliegenden DPA niemals in einer Weise nach, die dazu führen würde, dass der Kunde irgendeine der geltenden Pflichten gemäß der geltenden Gesetze verletzt; 4.3 GetResponse verarbeitet die Persönlichen Daten nur im Auftrag des Kunden und unter strenger Beachtung der Kundenanweisungen, wie sie in diesem DPA und der Vereinbarung dargelegt und enthalten sind, und wird die Persönlichen Daten in keiner Weise für andere Zwecke verarbeiten, inklusive der Übertragung Persönlicher Daten in ein Drittland oder an eine internationale Organisation im Rahmen der DSGVO, abgesehen von denen, die das geltende Recht oder eine Aufsichtsbehörde verlangt, der GetResponse unterliegt, in welchem Fall GetResponse den Kunden vor Beginn der Verarbeitung über diese rechtliche Verpflichtung informiert, es sei denn, das betreffende Gesetz verbietet die Bereitstellung dieser Informationen aus Gründen des wichtigen öffentlichen Interesses. 4.4 GetResponse stellt sicher, dass alle Mitarbeiter und Auftragnehmer von GetResponse: a. informiert werden über die vertrauliche Art der Persönlichen Daten, an Vertraulichkeitsverpflichtungen gebunden sind und die Persönlichen Daten unter Einsatz von Beschränkungen benutzen; b. an Schulungen zum Datenschutz und zur Datensicherheit teilgenommen haben; c. sich ihrer aus den geltenden Gesetzen und dem vorliegenden DPA ergebenden persönlichen Pflichten und Verpflichtungen bewusst sind. 4.5. In Bezug auf die Verarbeitung Persönlicher Daten entsprechend diesem DPA und der Vereinbarung, ergreift GetResponse ausreichende und angemessene technische und organisatorische Sicherheitsmaßnahmen und stellt sicher, dass es über solche verfügt, um die Persönlichen Daten gegen unbefugte und rechtswidrige Verarbeitung, gegen unbeabsichtigten Verlust, Zerstörung, Beschädigung, Missbrauch, Veränderungen oder Weitergabe zu schützen. Diese Maßnahmen sollten ausreichend und angemessen sein im Hinblick auf die Vermeidung von Schaden, der durch unbefugte und rechtswidrige Verarbeitung, unbeabsichtigten Verlust, Zerstörung, Missbrauch oder Beschädigung verursacht werden könnte, was den Stand der technischen Entwicklung, die Kosten der Umsetzung (ggf. einschließlich der in Artikel 32(1) der DSGVO oder etwaiger anderer geltender Gesetze), die Art, den Umfang, den Zusammenhang und den Zweck der Verarbeitung der Persönlichen Daten sowie das Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der Betroffenen angeht. GetResponse kann zu jedem Zeitpunkt die durchgeführten Maßnahmen ändern, vorausgesetzt, dass dadurch das Sicherungs- und Schutzniveau nicht niedriger wird als dasjenige, das ursprünglich zur Verfügung gestellt und gewährleistet wurde. 4.6 GetResponse lässt dem Kunden jegliche angemessene Unterstützung zukommen in Bezug auf die Beantwortung von Anfragen Betroffener bzw. Beschwerden oder Fragen, sei es von Seiten Betroffener oder von Seiten einer zuständigen Aufsichtsbehörde, durch den Kunden. 4.7 GetResponse unterstützt den Kunden bei der Erfüllung seiner Verpflichtungen, die sich aus Artikel 32 bis 36 der DSGVO, sofern zutreffend, oder einem anderen geltenden Recht in Bezug auf die Dienstleistungen ergeben, indem es dem Kunden alle notwendigen Informationen zukommen lässt, wird dabei aber in Bezug auf die Unterstützung des Kunden in Zusammenhang mit Datenschutzverträglichkeitsprüfungen und Beratung mit einer Aufsichtsbehörde nur dann tätig, wenn der Kunde nicht in der Lage ist, seine Verpflichtungen anderweitig zu erfüllen, sowie gegen Erstattung der angemessenen Kosten, die GetResponse dabei entstehen.
5. Transfer of Personal Data outside the EEA, if GDPR applies 5.1 In the case of transfer of Personal Data under this DPA outside the European Economic Area (EEA) to third countries that ensure an adequate level of protection of Personal Data, the implementing decisions of the European Commission stating the adequate level of protection of Personal Data shall apply. 5.2 In the case of transfer of Personal Data under this DPA outside the European Economic Area (EEA) to third countries that do not ensure an adequate level of protection of Personal Data within the meaning of the GDPR, the SCC shall apply to this DPA. SCC content is available here. 5.3 To the extent that the Parties rely on the SCC to legalize the transfer of Personal Data outside the EEA, and this mechanism is no longer considered to provide an adequate level of protection within the meaning of the GDPR, the Parties undertake to cooperate to promptly identify and implement an appropriate alternative mechanism, that can lawfully support such a transfer.	5. Übermittlung von Personenbezogenen Daten an Länder außerhalb des EWR bei Anwendung der DSGVO 5.1 Bei der Übermittlung personenbezogener Daten im Rahmen dieses Vertrags außerhalb des Europäischen Wirtschaftsraums (EWR) an Drittländer, die ein angemessenes Schutzniveau für personenbezogene Daten bieten, gelten die Durchführungsbeschlüsse der Europäischen Kommission, die ein angemessenes Schutzniveau für personenbezogene Daten feststellen. 5.2 Bei der Übermittlung personenbezogener Daten im Rahmen dieses Vertrags außerhalb des Europäischen Wirtschaftsraums (EWR), d. h. an Drittländer, die kein angemessenes Schutzniveau für personenbezogene Daten im Sinne der DSGVO bieten, sind die Standardvertragsklauseln (SCC) auf diesen DPA anwendbar. Der Inhalt der SCC ist hier verfügbar. 5.3 Soweit sich die Vertragsparteien zur Legitimierung der Übermittlung personenbezogener Daten an Länder außerhalb des EWR auf die SCC stützen und dieser Mechanismus nicht mehr als ein solcher angesehen wird, der ein angemessenes Schutzniveau im Sinne der DSGVO bietet, verpflichten sich die Vertragsparteien, zusammenzuarbeiten, um unverzüglich einen angemessenen alternativen Mechanismus, der eine solche Übermittlung rechtmäßig unterstützen kann, zu erkennen und zu implementieren.
6. Security measures 6.1 GetResponse shall at all times implement sufficient and appropriate technical and organizational security measures against unauthorized or unlawful processing, access, disclosure, copying, modification, storage, reproduction, display or distribution of Personal Data, and against accidental or unlawful loss, destruction, alteration, disclosure, misuse or damage to Personal Data in accordance with the security measures listed at https://www.getresponse.com/de/legal/max-avv-annex-2	6. Sicherheitsmaßnahmen 6.1 GetResponse ergreift zu jeder Zeit ausreichende und angemessene technische und organisatorische Sicherheitsmaßnahmen gegen unbefugte und rechtswidrige Verarbeitung, Zugriff, Weitergabe, Vervielfältigung, Veränderung, Speicherung, Wiedergabe, Vorführung oder Vertrieb Persönlicher Daten sowie gegen unbeabsichtigten oder rechtswidrigen Verlust, Zerstörung, Veränderung, Weitergabe, Missbrauch oder Beschädigung Persönlicher Daten, gemäß den unter https://www.getresponse.com/de/legal/max-avv-annex-2 Sicherheitsvorschriften.
7. Personal Data breach 7.1 GetResponse will promptly and within 48 hours notify the Customer if any Personal Data is lost or destroyed or becomes damaged, corrupted or unusable. 7.2 GetResponse will promptly and within 48 hours notify the Customer if it becomes aware of any accidental, unauthorized or unlawful Processing of the Personal Data or any Personal Data breach. 7.3 GetResponse will provide the Customer with a description of the nature of the Personal Data breach including the categories and approximate number of both the Data Subjects and Personal Data records concerned, the likely consequences and the measures taken to mitigate against any possible adverse effects arising from the Personal Data breach.	7. Verletzung des Schutzes Persönlicher Daten 7.1 GetResponse benachrichtigt den Kunden unverzüglich und innerhalb von 48 Stunden, falls irgendwelche Persönlichen Daten verloren gehen bzw. zerstört, beschädigt oder unbrauchbar werden. 7.2 GetResponse benachrichtigt den Kunden unverzüglich und innerhalb von 48 Stunden, falls es von irgendeiner unbeabsichtigten, unerlaubten oder rechtswidrigen Verarbeitung Persönlicher Daten oder irgendeiner Verletzung des Schutzes Persönlicher Daten erfährt. 7.3 GetResponse lässt dem Kunden eine Beschreibung der Art der Verletzung des Schutzes der persönlichen Daten einschließlich der Kategorien und ungefähren Anzahl sowohl der Betroffenen als auch der betroffenen Persönlichen Datensätze zukommen, den wahrscheinlichen Konsequenzen und den zur Milderung möglicher negativer Folgen, die sich aus der Verletzung des Schutzes der Persönlichen Daten ergeben, ergriffenen Maßnahmen.
8. Sub-processors 8.1 The Customer authorizes GetResponse to engage any of the third party sub-processors listed at https://www.getresponse.com/de/legal/max-avv-annex-3 8.2 In the event of any intended change to the listed sub-processors, GetResponse shall inform the Customer of such change upon 30 days’ notice via the web page indicated in Clause 8.1 herein. A change of the list doesn’t constitute a change of the DPA. 8.3 The Customer shall have the opportunity to object to such change by emailing GetResponse and within 14 days of receipt of notice of such intended change. 8.4 In the event of any objection GetResponse shall have a period of 30 days from receipt of such objection to determine its response. Parties shall jointly and in good faith attempt to find an appropriate solution to accommodate the Customer’s objection and possibility to continue using the Service. At the same time, GetResponse may indicate that expressing an objection may result in a limitation of certain functionalities of the Service. On the expiry of the 30-day period, if the Parties cannot agree on whether the list of sub-processers may be changed, either Party may terminate the Order pursuant to the relevant provisions of the Order. 8.5. Engagement of sub-processors may only take place within the limits of and for the purpose of performing the Services. GetResponse hereby represents that (i) the sub-processors it has engaged meet all the requirements arising from Applicable Law, (ii) it has entered into Personal Data processing agreements with the sub-processors and that such agreements include provisions imposing obligations analogical to those defined in the DPA in respect of GetResponse, and that (iii) the Personal Data protection standard followed by the sub-processors is at least equal to the Personal Data protection standard followed by GetResponse. If sub-processor chosen by GetResponse is located in a third country within the meaning of GDPR, and GDPR applies, GetResponse shall be obliged to ensure that the conditions set in Chapter V of the GDPR are met.	8. Sub-Datenverarbeiter 8.1. Der Kunde bevollmächtigt GetResponse, eine beliebige dritte Partei aus der nachfolgenden Liste https://www.getresponse.com/de/legal/max-avv-annex-3 als Sub-Datenverarbeiter zu beauftragen. 8.2 Im Falle einer beabsichtigten Änderung der Liste der Sub-Datenverarbeiter setzt GetResponse den Kunden durch eine Mitteilung über die in 8.1 des vorliegenden Dokuments genannte Webseite 30 Tage im Voraus in Kenntnis. Eine Änderung der Liste stellt keine Änderung des DPA dar. 8.3 Der Kunde erhält die Möglichkeit, gegen eine solche Änderung Einspruch zu erheben, indem er GetResponse eine E-Mail schreibt, und zwar innerhalb einer Frist von 14 Tagen nach Erhalt der Mitteilung bezüglich der geplanten Änderung. 8.4 Im Falle eines Einspruchs erhält GetResponse eine Frist von 30 Tagen ab Erhalt des Einspruchs, um seine Antwort festzulegen. Die Parteien bemühen sich gemeinsam und nach Treu und Glauben, eine angemessene Lösung zu finden, um dem Widerspruch des Kunden Rechnung zu tragen und ihm die weitere Nutzung des Services zu ermöglichen. Gleichzeitig kann GetResponse darauf hinweisen, dass die Äußerung eines Widerspruchs zu einer Einschränkung bestimmter Funktionalitäten des Services führen kann. Nach Ablauf der 30-Tage-Frist und wenn sich die Parteien nicht darüber einigen können, ob die Liste der Sub-Datenverarbeiter abgeändert werden darf, kann jede der Parteien den Auftrag kündigen gemäß den einschlägigen Bestimmungen des Auftrags. 8.5 Die Beauftragung von Sub-Datenverarbeitern darf nur im Rahmen und zum Zweck der Erbringung des Dienstes erfolgen. GetResponse stellt hiermit sicher, dass (i) die von ihm beauftragten Sub-Datenverarbeiter alle Anforderungen erfüllen, die sich aus dem geltenden Recht ergeben, (ii) es mit den Sub-Datenverarbeitern Verarbeitungsverträge für personenbezogene Daten eingegangen ist, die Bestimmungen über Verpflichtungen enthalten, die denen des DPA in Bezug auf GetResponse entsprechen, und dass (iii) der von den Sub-Datenverarbeitern befolgte Standard zum Schutz personenbezogener Daten mindestens dem von GetResponse befolgten Standard zum Schutz personenbezogener Daten entspricht. Wenn der von GetResponse ausgewählte Sub-Datenverarbeiter in einem Drittland im Sinne der DSGVO ansässig ist und somit die DSGVO Anwendung findet, ist GetResponse verpflichtet, sicherzustellen, dass die in Kapitel V der DSGVO festgelegten Bedingungen erfüllt werden.
9. Data Subject requests and third-party rights 9.1 GetResponse shall reasonably support the Customer and take such technical and organizational measures as may be appropriate and promptly provide the Customer with such information as the Customer may reasonably require to enable the Customer to comply with the rights of Data Subjects under the Applicable Law subject always to the Customer agreeing to pay the reasonable costs incurred by GetResponse in providing such assistance. The Customer shall be responsible to satisfy the requests of the Data Subjects and to prepare replies to such requests in accordance with the requirements under Applicable Law. 9.2 GetResponse will notify the Customer if it receives any complaint, notice or communication that relates directly or indirectly to the Processing of the Personal Data or to either Party’s compliance with the Applicable Law.	9. Anfrage von Betroffenen und Rechte Dritter 9.1 GetResponse unterstützt den Kunden in angemessener Weise und ergreift, soweit angebracht, technische und organisatorische Maßnahmen und übermittelt dem Kunden unverzüglich Informationen, die der Kunde normalerweise benötigt, damit der Kunde in der Lage ist, den Rechten der Betroffenen gemäß geltendem Gesetz Genüge zu tun, stets unter der Voraussetzung, dass der Kunde bereit ist, die angemessenen Kosten, die GetResponse bei solchen Unterstützungsleistungen entstehen, zu erstatten. Der Kunde ist dabei dafür verantwortlich, die Forderungen der Betroffenen im Rahmen der Anforderungen des geltenden Gesetzes zu erfüllen und Antworten auf solche Forderungen auszuarbeiten. 9.2 GetResponse benachrichtigt den Kunden, wenn es irgendeine Beschwerde, Nachricht oder Mitteilung erhält, die sich direkt oder indirekt auf die Verarbeitung Persönlicher Daten oder auf die Einhaltung der Vorschriften der geltenden Gesetze durch jede der beiden Parteien bezieht.
10. Term This DPA will remain in full force and effect so long as the Order remains in effect, unless the following provisions impose additional obligations.	10. Laufzeit Der vorliegende DPA bleibt in vollem Umfang in Kraft, solange der Auftrag in Kraft ist, es sei denn, durch die nachfolgenden Bestimmungen werden zusätzliche Verpflichtungen auferlegt.
11. Data return and destruction 11.1 If the Order is terminated GetResponse shall, according to Customer’s written request, delete the Personal Data or return them to the Customer. If GetResponse does not receive any written request referred to in the preceding sentence, whether in writing or by e-mail, within 5 days of the Order termination, the Customer shall be deemed to require that the entrusted Personal Data be deleted, unless GetResponse has the right to further process the Personal Data under Applicable Law. 11.2 From the effective date of this DPA, the Customer may request a copy of the Personal Data processed by GetResponse but no such request will be entertained if made on a date that is later than 30 days after the termination of the Order. 11.3 After the expiry of the 30-day period in Clause 11.2 above and within 7 days after such expiry, the Personal Data will be encrypted and stored in backup copies only. The said 7-day period is required for GetResponse to delete the Personal Data completely due to specifics of the backup copies operations	11. Datenrückgabe und -vernichtung 11.1 Bei Beendigung des Auftrags vernichtet GetResponse gemäß der schriftlichen Anfrage des Kunden die Persönlichen Daten oder gibt sie an den Kunden zurück. Sollte GetResponse nicht binnen 5 Tagen nach Auftragsbeendigung entweder schriftlich oder durch E-Mail die im Vorsatz genannte Erklärung erhalten, so wird davon ausgegangen, dass der Kunde wünscht, dass die anvertrauten Persönlichen Daten vernichtet werden, soweit GetResponse gemäß geltender Gesetze kein Recht auf die weitere Verarbeitung der Persönlichen Daten hat. 11.2 Ab dem Inkrafttreten des vorliegenden DPA kann der Kunde eine Kopie der verarbeiteten Persönlichen Daten verlangen, wobei eine solche Anfrage nicht berücksichtigt wird, wenn sie später als 30 Tage nach Beendigung des Auftrags erfolgt. 11.3 Nach Ablauf der oben in 11.2 genannten 30-Tage-Frist werden die Persönlichen Daten während der nachfolgenden 7 Tage verschlüsselt und nur in Sicherheitskopien gespeichert. Die genannte 7-Tage-Frist ist notwendig für die komplette Löschung der Persönlichen Daten durch GetResponse aufgrund der Besonderheiten beim Umgang mit Sicherheitskopien.
12. Audit 12.1 GetResponse will permit the Customer and its third-party authorized representative to audit its compliance with its DPA obligations on conditions indicated in Clause 12.2 below and other specific conditions, as may be agreed by the Parties. 12.2 GetResponse will give the Customer all necessary assistance to conduct such audits. The audit shall be limited to and conditional on: (a)The appointment of an authorized independent auditor who is not in conflict with or a competitor of GetResponse; (b)The Personal Data entrusted to GetResponse for Processing under this DPA; (c)A reasonable period of time agreed upon between GetResponse and the Customer; (d)The Confidentiality of this DPA and the Personal Data processed; (e)The Customer paying the costs of and incidental to the audit.	12. Audit 12.1 GetResponse erlaubt dem Kunden und dessen autorisiertem Drittparteivertreter, die Einhaltung der Verpflichtungen aus dem DPA unter den in Klausel 12.2 unten und etwaigen weiteren Bedingungen, die die Parteien festlegen, zu überprüfen. 12.2 GetResponse lässt dem Kunden jegliche notwendige Unterstützung zur Durchführung solcher Audits zukommen. Das Audit ist begrenzt auf und abhängig von: (a) der Bestimmung eines autorisierten, unabhängigen Prüfers, der nicht mit GetResponse in einem Konflikt steht oder sein Konkurrent ist; (b) den Persönlichen Daten, die GetResponse gemäß diesem DPA zur Verarbeitung anvertraut wurden; (c) einem zwischen GetResponse und dem Kunden vereinbarten, angemessenen Zeitraum; (d) der Vertraulichkeit des vorliegenden DPA und der verarbeiteten Persönlichen Daten; e) der Zahlung der Kosten, die durch und als Folge des Audits entstehen, durch den Kunden.
13. Liability 13.1 The Customer and GetResponse are liable for a breach of Personal Data in accordance with the scope of Personal Data entrusted to them. With regard to the limitation of liability of GetResponse from contract and tort, the Parties confirm the validity of the relevant provisions (Limitation of Liability) in the Terms of Services of GetResponse. 13.2 GetResponse shall be liable for to the Customer for the acts and omissions of any sub processor listed at https://www.getresponse.com/de/legal/max-avv-annex-3 as if they were the acts and omissions of GetResponse. 13.3 GetResponse shall be liable for satisfying claims of Personal Data subjects in connection with any damage arising from improper processing of personal data hereunder, if the Customer demonstrates that the damage resulted from the sole through fault of GetResponse or GetResponse’s sub-processors 13.4 GetResponse shall be liable for its violation of the provisions of the Agreement or any applicable data protection legal regulations, as a result of which the Customer shall be obliged to pay compensation or any fine only if GetResponse not fulfill obligations which GDPR directly imposes at data processors or if GetResponse process the Personal Data not compliant with the Customer’s instructions.	13. Haftung 13.1 Der Kunde und GetResponse haften für die Verletzung des Schutzes der Persönlichen Daten gemäß dem Umfang der ihnen anvertrauten Persönlichen Daten. Bezüglich der Begrenzung der Vertrags- und Delikthaftung von GetResponse bestätigen die Parteien die Gültigkeit der diesbezüglichen Bestimmungen (Haftungsbegrenzung) in den Geschäftsbedingungen von GetResponse. 13.2 GetResponse haftet dem Kunden gegenüber für die Handlungen und Unterlassungen der untehttps://www.getresponse.com/de/legal/max-avv-annex-3 aufgeführten Sub-Datenverarbeiter so, als wenn es Handlungen und Unterlassungen von GetResponse wären. 13.3 GetResponse haftet für die Befriedigung von Forderungen Betroffener in Zusammenhang mit der Verarbeitung Persönlicher Daten in Bezug auf Schäden, die mit einer unsachgemäßen Verarbeitung Persönlicher Daten gemäß vorliegendem Vertrag zusammenhängen, wenn der Kunde nachweist, dass der Schaden verursacht wurde durch ausschließliches Alleinverschulden von GetResponse bzw. der Sub-Datenverarbeiter von GetResponse. 13.4 GetResponse haftet für eine Verletzung der Bestimmungen der vorliegenden Vereinbarung oder irgendwelcher geltender datenschutzrechtlicher Bestimmungen, infolge derer der Kunde zur Zahlung einer Entschädigung oder eine Strafe verpflichtet wurde, falls GetResponse den Verpflichtungen nicht nachgekommen ist, die die DSGVO allen Datenverarbeiter auferlegt oder falls GetResponse die Persönlichen Daten nicht gemäß den Anweisungen des Kunden verarbeitet.
14. Force Majeure Neither Party shall be liable for failure to perform or delay in performing any obligation under this DPA if the failure or delay is caused by any circumstances beyond its reasonable control, including but not limited to acts of god, war, terrorism, civil commotion or industrial dispute (not extending to disputes by its own employees or sub-contractors).	14. Höhere Gewalt Keine der Parteien haftet für eine Nichterfüllung oder verspätete Erfüllung ihrer Pflichten aus dem vorliegenden DPA, wenn die Nichterfüllung oder Verspätung Folge irgendwelcher Umstände ist, die außerhalb ihres Einflussbereichs liegen, einschließlich, aber nicht begrenzt auf, Fälle höherer Gewalt, Krieg, Terror, Aufruhr und Arbeitskämpfe (ausgenommen Auseinandersetzungen ihrer eigenen Mitarbeiter oder Subunternehmer).
15. General 15.1 The failure on the part of either Party to this DPA to exercise or enforce any rights conferred by this DPA shall not be deemed to be a waiver of any such right nor operate so as to bar the exercise or enforcement at any time. 15.2 No variation of this DPA shall be binding unless agreed to in advance by the Parties. 15.3 If any provision of this DPA is declared by any competent court or body to be illegal, invalid or unenforceable under the law of any jurisdiction, or if any enactment is passed that renders any provision of this DPA illegal, invalid or unenforceable under the law of any jurisdiction this shall not affect or impair the legality, validity or enforceability of the remaining provisions of this DPA or the Order. 15.4 In case of any disputes that cannot be amicably resolved, either Party may submit this DPA to a court, which shall be the one chosen and provided for in the Agreement, excluding any other, however privileged it may be, especially in relation to any dispute or lawsuit that may arise from the application of the rules of this DPA, including, but not limited to, issues regarding their existence, validity, termination or any consequences of any nullities. 15.5 This DPA shall be governed by the laws provided in the Agreement.	15. Allgemeines 15.1 Wenn jede Partei ein kraft dieses DPA gewährtes Recht nicht ausübt oder durchsetzt, so kann dies nicht als Verzicht auf dieses Recht angesehen werden noch soll es bewirken, dass die Ausübung oder Durchsetzung eines solchen Rechtes zu irgendeinem Zeitpunkt untersagt wird. 15.2 Keine Änderung dieses DPA ist bindend, es sei denn, die Parteien haben diese zuvor vereinbart. 15.3 Falls irgendeine Bestimmung dieses DPA durch ein zuständiges Gericht oder eine zuständige Stelle als rechtswidrig, ungültig oder nach dem Recht einer Rechtsordnung undurchsetzbar erklärt wird oder falls irgendein Gesetz verabschiedet wird, infolge dessen eine Bestimmung dieses DPA rechtswidrig, ungültig oder nach dem Recht einer Rechtsordnung undurchsetzbar wird, so soll dies keine Auswirkung haben auf die Rechtmäßigkeit, Gültigkeit oder Durchsetzbarkeit der übrigen Bestimmungen dieses DPA bzw. des Auftrags. 15.4 Im Falle von Streitigkeiten, die nicht auf gütliche Weise beigelegt werden können, kann jede Partei diesen DPA dem Gericht vorlegen, welches in der Vereinbarung gewählt und vorgesehen ist, unter Ausschluss jedes anderen, unabhängig von dessen Vorrang, insbesondere in Bezug auf alle Streitfälle oder Klagen, die sich aus der Anwendung der Regeln dieses DPA ergeben können, einschließlich, aber nicht beschränkt auf Fragen bezüglich ihres Bestehens, ihrer Gültigkeit, ihrer Beendigung oder etwaiger Folgen von Nichtigkeiten. 15.5 Dieser DPA unterliegt den in der Vereinbarung genannten Gesetzen.
16. Entire agreement This DPA (as amended from time to time) together with any document expressly referred to in its terms, contains the entire agreement between the Parties relating to the subject matter covered, unless otherwise stipulated in the Order. No oral explanation or oral information given by any Party shall alter the interpretation of this DPA. Amendments to DPA and its annexes may be introduced according to the procedure for amending Terms of Service, subject to Clause 8.2 – 8.4 above.	16. Vollständigkeit der Vereinbarung Dieser DPA (in seiner jeweils geltenden Fassung) zusammen mit allen in seinen Bestimmungen ausdrücklich genannten Dokumenten enthält die vollständige Vereinbarung zwischen den Parteien in Bezug auf den Regelungsgegenstand, sofern aus dem Auftrag nichts anderes hervorgeht. Keine mündliche Erklärung oder mündliche Information, die von irgendeiner Seite gegeben wurde, kann die Auslegung dieses DPA ändern. Änderungen am DPA und seinen Anhängen können nach dem Verfahren zur Änderung der Nutzungsbedingungen unter Beachtung der Klauseln 8.2 – 8.4 vorgenommen werden.
17. Rights of Third Parties Nothing in this DPA shall be construed as conferring any rights (including the right to rely on any exclusion or limitation clause contained within it) or obligations on any person or class of persons whether in existence now or at any time in the future that is not a party to this DPA.	17. Rechte Dritter Dieser DPA ist nicht so auszulegen, dass irgendwelche Rechte (einschließlich des darin enthaltenen Rechts, sich auf Haftungsausschluss oder -beschränkung zu berufen) oder Pflichten gegenüber irgendeiner Person oder Personengruppe, die nicht zu den Parteien dieses DPA gehört, übertragen werden, mögen diese jetzt oder zu irgendeinem Zeitpunkt in der Zukunft bestehen.
18. Data Protection Officer GetResponse S. A. has appointed a GetResponse Data Protection Officer who can be contacted on all matters relating to the Processing of Personal Data and the exercise of rights related thereto. Contact with the Data Protection Officer can be made through: – contact form available here – in writing: the Data Protection Officer, GetResponse S.A., 413 Grunwaldzka Avenue, 80-309 Gdańsk	18. Datenschutzbeauftragter GetResponse S. A. hat einen eigenen Datenschutzbeauftragten ernannt, der in allen Fragen zur Verarbeitung personenbezogener Daten und zur Ausübung der damit verbundenen Rechte kontaktiert werden kann. Die Kontaktaufnahme mit dem Datenschutzbeauftragten ist folgendermaßen möglich: – über das hier verfügbare Kontaktformular – schriftlich an: den Datenschutzbeauftragten, GetResponse S.A., 413 Grunwaldzka Avenue, 80-309 Gdańsk, Polen.
19. Final provisions The DPA has been drafted in English and German. In case of divergence between the language versions, the English version shall prevail. Annexes: Annex no. 1 – Description of Personal Data Processing; Annex no. 2 – Description of the implemented organizational and technical measures for Personal Data protection; Annex no. 3 – List of GetResponse’s sub-processors.	19. Schlussbestimmungen Dieser DPA wurde in englischer und deutscher Sprache ausgefertigt. Bei Abweichungen zwischen den Sprachversionen hat die englische Version Vorrang. Anhänge: 1. Anhang 1: Beschreibung der Verarbeitung Personenbezogener Daten; 2. Anhang 2: Beschreibung der umgesetzten betrieblichen und technologischen Maßnahmen zum Schutz Personenbezogener Daten; 3. Anhang 3: Liste der Sub-Datenverarbeiter von GetResponse.