Ergänzung zur Datenverarbeitung

Datum des Inkrafttretens: 5. März 2024

Diese Ergänzung zur Datenverarbeitung von Squarespace (Data Processing Addendum, „DPA“) ist Teil der Nutzungsbedingungen von Squarespace und unterliegt deren Bestimmungen. Großgeschriebene Begriffe, auf die im Rahmen dieser DPA nicht näher eingegangen wird, werden in den Nutzungsbedingungen ausführlich erläutert.

1.     Zusätzliche Definition

Die folgenden Definitionen gelten ausschließlich für diese DPA:

a. Die Begriffe „Datenverantwortlicher“, „betroffene Personen“, „personenbezogene Daten“, „verarbeiten“, „Verarbeitung“ und „Datenverarbeiter“ werden in der Bedeutung verwendet, die in der Datenschutz-Grundverordnung festgelegt wurde, und umfassen außerdem abweichende Begriffe mit ähnlicher Bedeutung, die im Zuge anderer Datenschutzgesetze verwendet werden.

b. “Verletzung” bezeichnet eine Verletzung der Sicherheitsmaßnahmen, die zum Zugriff auf die Ausrüstung oder Einrichtungen von Squarespace führt, die Ihre kontrollierte Daten speichern, und zur/zum versehentlichen oder unrechtmäßigen Vernichtung, Verlust, Veränderung, unbefugten Offenlegung Ihrer kontrollierten Daten oder Zugang zu Ihren kontrollierten Daten führt, die von Squarespace in Ihrem Namen und auf Ihre Anweisungen hin übermittelt, gespeichert oder verarbeitet werden.

c. „CCPA“ steht für „California Consumer Privacy Act“ (Cal. Civ. Code §§ 1798.100 – 1798.199), der von Zeit zu Zeit geändert werden kann, auch durch den California Privacy Rights Act.

d. „Betroffene Daten“ bezieht sich auf Ihre Benutzerinhalte, einschließlich, aber nicht beschränkt auf Text, Fotos, Bilder, Audio, Video, Code und andere Materialien, die uns von Ihnen oder einem Endbenutzer zur Verfügung gestellt werden.

e. „Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze oder -verordnungen, die für die Verarbeitung personenbezogener Daten gelten, sowie alle Gesetze oder Vorschriften zur Ratifizierung, Implementierung, Verabschiedung oder Ergänzung dieser Gesetze, da die vorstehenden Gesetze von Zeit zu Zeit aktualisiert, geändert oder ersetzt werden können. Zu den Datenschutzgesetzen gehören unter anderem: (i) EU-Datenschutzgesetze, (ii) US-Datenschutzgesetze, (iii) der kanadische Federal Personal Information Protection and Electronic Documents Act und (iv) das brasilianische Lei Geral de Proteção de Dados. Die Datenschutzgesetze oder diese DPA enthalten in keinem Fall branchenspezifische Vorschriften und decken diese auch nicht ab.

f. „EU-Datenschutzgesetz“ bezeichnet alle Datenschutzgesetze oder -verordnungen der Schweiz, Großbritannien/Nordirlands („UK“) oder von anderen Ländern aus dem Europäischem Wirtschaftsraum („EWR“), die auf Ihre kontrollierten Daten anwendbar sind, insbesondere (i) die DSGVO; und (ii) die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG.

g. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung der EU 2016/679. Verweise auf die DSGVO und ihre Bestimmungen umfassen die DSGVO in ihrer geänderten und/oder in britisches Recht übernommenen Fassung.

h. „Sicherheitsmaßnahmen“ bezeichnen die hier erläuterten technischen und unternehmensweiten Sicherheitsmaßnahmen.

i. „Unterauftragsverarbeiter“ bezeichnet eine von Squarespace zur Verarbeitung Ihrer kontrollierten Daten beauftragte Stelle.

j. „US-Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze oder -verordnungen in den USA, die für Ihre kontrollierten Daten gelten, insbesondere: (i) CCPA; (ii) den Virginia Consumer Data Privacy Act (Va. Code §§ 59.1-575 bis 59.1-584); (iii) Colorado Privacy Act (Colo. Rev. Stat. §§ 6-1-1301 bis 6-1-1313) und damit verbundene Vorschriften; (iv) Connecticut Act Concerning Personal Data Privacy and Online Monitoring (Conn. Gen. Stat. §§ 42–515 bis 42–525); und (v) Utah Consumer Privacy Act (Utah Code §§ 13–61–101 bis 13–61–404).

k. Unter „Ihre kontrollierten Daten“ sind alle personenbezogenen Daten zu verstehen, die in den betroffenen Daten enthalten sind. Ihre kontrollierten Daten sind Daten, für die Sie die Zwecke und Mittel der Verarbeitung bestimmen und für die Squarespace in Ihrem Namen als Auftragsverarbeiter, Dienstleister oder Ähnliches gemäß den geltenden Datenschutzgesetzen fungiert.

2.     Anwendbarkeit

Diese DPA gilt nur für Sie, wenn und soweit Squarespace und die Services Ihre kontrollierten Daten in Ihrem Namen verarbeiten. Diese DPA gilt nicht für Sie, wenn: (a) Ihre betroffenen Daten keine personenbezogenen Daten enthalten; oder (b) die Datenschutzgesetze nicht für Ihre betroffenen Daten gelten.

Abschnitt 6 dieser DPA gilt nur für Sie, soweit die Daten in Ihrer Kontrolle personenbezogene Daten von betroffenen Personen im EWR, im Vereinigten Königreich oder in der Schweiz enthalten.

Teile des Services sind darauf ausgerichtet, Ihnen das öffentliche Teilen von Benutzerinhalten und anderen betroffenen Daten zu ermöglichen, einschließlich, aber nicht beschränkt auf Social Media und im Open Web. Darüber hinaus enthalten die Services Integrationen mit Services von Drittanbietern, die die Speicherung oder Verarbeitung von betroffenen Daten durch Drittanbieter ermöglichen bzw. erforderlich machen. Sie erklären sich einverstanden, dass Squarespace nicht für personenbezogene Daten verantwortlich ist, die auf Ihren Wunsch hin von Services von Drittanbietern oder anderweitig außerhalb der Services verarbeitet werden, einschließlich der Systeme von anderen Cloud-Services, Offline-Speicher oder Speicher vor Ort von Drittanbietern.

3.     Details zur Datenverarbeitung

3.1  Gegenstand. Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind Ihre kontrollierten Daten.

3.2  Dauer. Die Dauer der Datenverarbeitung im Rahmen dieser DPA zwischen Ihnen und uns wird von Ihnen bestimmt.  

3.3  Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Erbringung der von Ihnen von Zeit zu Zeit veranlassten Services. Im Zusammenhang mit der Bereitstellung der Services verarbeiten wir möglicherweise Ihre kontrollierten Daten zu geschäftlichen Zwecken, wie z. B.: (a) zur Verwaltung und Wartung Ihres Kontos/Ihrer Konten; (b) zur Bereitstellung und Darstellung Ihrer Websites für Endbenutzer; (c) zur Ermöglichung von Transaktionen und Kommunikation mit Ihren Endbenutzern; (d) zur Bereitstellung von Analysen, Auditierung oder zur Überprüfung von Ereignissen im Zusammenhang mit den Besuchen Ihrer Endbenutzer auf Ihren Websites; (e) zur Gewährleistung der Sicherheit und Integrität der Services; und (f) zur Fehlerbehebung und Verbesserung von Services.

3.4  Art der Verarbeitung. Die in dieser Vereinbarung beschriebenen und von Ihnen von Zeit zu Zeit veranlassten Services.

3.5  Art der personenbezogenen Daten. Ihre kontrollierten Daten bezüglich Ihrer Person und Ihren Endbenutzern oder anderen betroffenen Personen, deren personenbezogene Daten in den betroffenen Daten enthalten sind, die im Rahmen der Services gemäß den über die Services erteilten Anweisungen verarbeitet werden.

3.6 Kategorien von betroffenen Personen.  Sie, Ihre Endbenutzer und andere Personen, deren personenbezogene Daten in den betroffenen Daten enthalten sind.

4.    Verarbeitende Rollen und Aktivitäten.

4.1  Squarespace als Verarbeiter und Sie als Datenverantwortlicher. Sie sind der Datenverantwortliche und Squarespace ist der Verarbeiter Ihrer kontrollierten Daten.

4.2  Squarespace als Datenverantwortlicher. Squarespace kann auch ein unabhängiger Datenverantwortlicher für einige Sie oder Ihre Endbenutzer betreffende personenbezogene Daten sein. Einzelheiten zu diesen von uns kontrollierten personenbezogenen Daten können Sie unserer Datenschutzerklärung und unseren Nutzungsbedingungen entnehmen. Wir entscheiden, wie wir diese personenbezogenen Daten verwenden und verarbeiten und diese für unsere eigenen Zwecke verwenden. Wenn wir personenbezogene Daten als Datenverantwortlicher verarbeiten, erkennen Sie an und bestätigen, dass die Vereinbarung eine gemeinsame Beziehung als Datenverantwortlicher zwischen Ihnen und uns darstellt. Wenn wir Ihnen personenbezogene Daten in unserer Verantwortung bereitstellen, wie einen Zugang zu Daten bezüglich der Interaktionen Ihrer Endbenutzer mit Ihrer Website, erhalten Sie diese Daten als unabhängiger Datenverantwortlicher und sind diesbezüglich für die Einhaltung der Datenschutzgesetze verantwortlich.

4.3  Beschreibung der Verarbeitungsaktivitäten. Wir verarbeiten Ihre kontrollierten Daten zum Zweck der Bereitstellung der Services an Sie (wie im Abschnitt 3.3 näher beschrieben), die im Rahmen der Services verwendet, konfiguriert oder geändert werden können (der „Zweck“). Abhängig von der Art und Weise, wie Sie die Services nutzen, können wir z. B. Ihre kontrollierten Daten für Folgende Zwecke verarbeiten: (a) Damit Sie Inhalte oder Features von einer Social-Media-Plattform in Ihre Website integrieren können; oder (b) um Ihren Endbenutzern in Ihrem Namen E-Mails zu senden.

4.4  Einhaltung der Gesetze. Sie stellen sicher, dass Ihre Anweisungen alle geltenden Gesetze, Vorschriften und Regelungen im Hinblick auf Ihre kontrollierten Daten erfüllen (einschließlich der Datenschutzgesetze) und dass Ihre kontrollierten Daten von Ihnen oder in Ihrem Namen gesammelt und uns von Ihnen in Einklang mit diesen Gesetzen, Vorschriften und Regelungen bereitgestellt werden. Sie stellen außerdem sicher, dass die Verarbeitung Ihrer kontrollierten Daten gemäß Ihren Anweisungen nicht dazu führen wird, dass wir oder Sie gegen Gesetze, Vorschriften oder Regelungen (einschließlich Datenschutzgesetzen) verstoßen. Sie sind dafür verantwortlich, dass Sie die von uns verfügbaren Informationen bezüglich Datensicherheit in Übereinstimmung mit der Vereinbarung überprüfen und unabhängig ermitteln, ob die Services Ihre Anforderungen und gesetzlichen Pflichten sowie Ihre Pflichten gemäß dieser DPA erfüllen. Squarespace wird nicht auf Ihre kontrollierten Daten zugreifen oder diese verwenden. Davon ausgenommen sind gemäß diesen Bestimmungen der Zweck der Aufrechterhaltung oder Bereitstellung der Services sowie der Gewährleistung der Einhaltung geltender Gesetze bzw. die Verpflichtung, einer verbindlichen Anweisung einer Regierungs-, polizeilichen oder Aufsichtsbehörde nachzukommen.

5.     Unsere Verantwortlichkeiten bezüglich der Verarbeitung.

5.1  So verarbeiten wir Daten. Wir verarbeiten Ihre kontrollierten Daten für den Zweck und gemäß der Vereinbarung oder den Anweisungen, die Sie uns über die Services angeben. Wir „verkaufen“ Ihre kontrollierten Daten nicht und „geben“ diese auch nicht „weiter“ (Definition der Begriffe gemäß den US-Datenschutzgesetzen). Sie erklären sich einverstanden, dass die Vereinbarung und Anweisungen, die uns über die Services angegeben werden, Ihre vollständigen und endgültigen Anweisungen an uns bezüglich Ihrer kontrollierten Daten darstellen. Zusätzliche Anweisungen außerhalb des Rahmens dieser DPA müssen im Voraus schriftlich zwischen Ihnen und uns vereinbart werden, einschließlich der Vereinbarung über zusätzlich zu entrichtende Gebühren Ihrerseits an uns für die Ausführung solcher Anweisungen. Wir informieren Sie umgehend, wenn Ihre Anweisungen unserer Meinung nach gegen die Datenschutzgesetze verstoßen oder wir nicht imstande sind, Ihren Anweisungen zu folgen. Wir benachrichtigen Sie, wenn wir aufgrund von anwendbaren Gesetzen Ihren Anweisungen nicht Folge leisten können, sofern diese Offenlegung nicht durch das anwendbare Recht im Hinblick auf ein wichtiges öffentliches Interesse verboten ist, wie ein rechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen oder Anforderungen.

5.2  CCPA. Soweit Sie und Ihre kontrollierten Daten dem CCPA unterliegen (solche personenbezogenen Daten, „CCPA-Daten“), (a) fungiert Squarespace in Bezug auf diese CCPA-Daten als „Dienstleister“ und Sie als „Unternehmen“ (Definition der Begriffe gemäß CCPA); und (b) müssen Squarespace und Sie unsere und Ihre jeweiligen Verpflichtungen gemäß dem CCPA einhalten. Squarespace verwendet Ihre kontrollierten Daten nicht außerhalb seiner direkten Geschäftsbeziehung mit Ihnen oder für andere Zwecke als den Geschäftszweck, sofern sich aus dem CCPA nichts anderes ergibt. Unbeschadet dessen erklären Sie sich in Übereinstimmung mit dem CCPA damit einverstanden, dass Squarespace (i) CCPA-Daten intern zum Ausbau und der Qualitätsoptimierung der Services nutzen oder (ii) personenbezogene Daten der Endbenutzer von Ihnen oder anderen Unternehmen, für die Squarespace als Dienstleister agiert, zum Zwecke der Erkennung von Vorfällen im Zusammenhang mit der Datensicherheit oder zum Schutz vor betrügerischen oder illegalen Aktivitäten kombinieren kann. Diese kombinierten personenbezogenen Daten beinhalten IP-Adressen, Präferenzen, vor dem Besuch Ihrer Website oder der Website anderer Unternehmen besuchte Websites, Informationen über Browser, Netzwerk oder Gerät (wie Typ und Version des Browsers, Betriebssystem, Internetanbieter, Einstellungen, eindeutige Geräte-IDs und Sprach- sowie weitere regionale Einstellungen) sowie Informationen darüber, wie Endbenutzer mit Ihrer Website oder der Website anderer Unternehmen interagieren (wie Zeitstempel, Klicks, Scrolling, Besuchsdauer und Ladezeiten). 

5.3 Mitteilung von Verletzungen.  Nachdem wir das Auftreten einer Verletzung festgestellt und diese bestätigt haben, teilen wir Ihnen dies unverzüglich mit, wenn solch eine Mitteilung gemäß Datenschutzgesetzen erforderlich ist. Um Sie bei Ihren Meldepflichten gemäß Datenschutzgesetzen (einschließlich Artikel 33 und 34 der DSGVO) zu unterstützen, stellen wir Ihnen diese Informationen zur Verletzung bereit, sobald wir angemessen in der Lage sind, sie Ihnen mitzuteilen. Wir berücksichtigen dabei die Art der Services, die uns zur Verfügung stehenden Informationen und jegliche Einschränkungen bezüglich der Offenlegung der Informationen, wie z. B. aus Vertraulichkeitsgründen. Unsere Pflicht zur Meldung oder Behebung einer Verletzung gemäß Abschnitt 5.3 darf weder gegenwärtig noch zukünftig als Anerkennung seitens Squarespace eines Fehlers oder einer Haftbarkeit durch Squarespace bezüglich der Verletzung ausgelegt werden. Ungeachtet dessen gelten die Pflichten von Squarespace gemäß Abschnitt 5.3 nicht für Zwischenfälle, die von Ihnen, durch Aktivitäten in Ihrem Konto bzw. Ihren Konten und/oder Services von Drittanbietern verursacht werden.

5.4  Mitteilung zu einer Anfrage oder Beschwerde. Falls das anwendbare Recht dies zulässt, werden wir Ihnen mitteilen, wenn wir (a) eine Anfrage oder Beschwerde eines Endbenutzers, dessen personenbezogene Daten in Ihren kontrollierten Daten enthalten sind, oder (b) eine verbindliche Forderung (wie eine gerichtliche Entscheidung oder Zwangsmaßnahme) von einer Regierungs-, polizeilichen, Aufsichts- oder sonstigen Behörde in Zusammenhang mit Ihren kontrollierten Daten erhalten.

5.5  Angemessene Unterstützung bei der Compliance.  Sofern Sie dies nicht über die Services oder anderweitig erfüllen können, werden wir Sie angemessen unterstützen, damit Sie Ihren Pflichten als Datenverantwortlicher nachkommen können, um auf Anfragen durch betroffene Personen gemäß Datenschutzgesetzen (einschließlich Kapitel 3 der DSGVO) antworten zu können. Dabei berücksichtigen wird die Art der Services und die uns zur Verfügung stehenden Informationen.Sie können im Rahmen der Datenschutzgesetze verlangen, dass wir bestätigen, keine Ihrer kontrollierten Daten mehr aufzubewahren oder verwenden, die sich auf eine betroffene Person beziehen, die zu Recht die Löschung ihrer personenbezogenen Daten beantragt hat. Sie sind für die gegebenenfalls entstehenden Kosten durch die Bereitstellung jeglicher Unterstützung unsererseits verantwortlich.

5.6  Sicherheitsvorkehrungen und Schutzmaßnahmen. Wir halten die hier dargelegten Sicherheitsvorkehrungen und Schutzmaßnahmen aufrecht. Wir können diese Sicherheitsvorkehrungen oder Schutzmaßnahmen ändern oder aktualisieren. Dies erfolgt jedoch nicht in einer Art und Weise, die sich nachteilig auf die Sicherheit Ihrer kontrollierten Daten auswirken könnte. Wir treffen Maßnahmen, um sicherzustellen, dass alle unter unser Aufsicht handelnden natürlichen Personen, die Zugang zu Ihren kontrollierten Daten haben, diese ausschließlich auf unsere Anweisungen hin verarbeiten, sofern diese Person nicht gemäß geltendem Recht hierzu verpflichtet ist. Wir stellen außerdem sicher, dass von uns zur Verarbeitung Ihrer kontrollierten Daten autorisiertes Personal sich zur Einhaltung der entsprechenden Geheimhaltungspflichten verpflichtet hat oder einer gesetzlich begründeten Pflicht zur Verschwiegenheit unterliegt.

5.7  Unterauftragsverarbeiter. Sie erklären sich einverstanden, dass wir Ihre kontrollierten Daten an Unterauftragsverarbeiter weiterleiten können, um Ihnen die Services bereitzustellen. Wir werden unseren Unterauftragsverarbeitern vertragliche Verpflichtungen auferlegen und sie auch vertraglich dazu verpflichten, weiteren von ihnen zur Verarbeitung Ihrer kontrollierten Daten beauftragten Unterauftragsverarbeitern vertragliche Verpflichtungen aufzuerlegen, die in wesentlichen Belangen den gleichen Datenschutz für Ihre kontrollierten Daten wie die vertraglichen Pflichten in dieser DPA bieten, im auf die von diesem Unterauftragsverarbeiter bereitgestellten Services anwendbaren Ausmaß. Eine Liste unserer aktuellen Unterauftragsverarbeiter kann per E-Mail an privacy@squarespace.com angefordert werden. Sie können einen Unterauftragsverarbeiter per E-Mail an privacy@squarespace.com ablehnen, sofern Ihre Ablehnung verhältnismäßig ist und mit Datenschutzbelangen in Zusammenhang steht. Falls Sie einen Unterauftragsverarbeiter ablehnen und Ihre Ablehnung verhältnismäßig ist und mit Datenschutzbelangen in Zusammenhang steht, werden wir wirtschaftlich angemessene Anstrengungen unternehmen, um Ihnen die Möglichkeit zu bieten, die Verarbeitung Ihrer kontrollierten Daten durch den abgelehnten Unterauftragsverarbeiter zu vermeiden. Wenn wir innerhalb eines angemessenen Zeitrahmens nicht imstande sind, diese vorgeschlagenen Änderungen zur Verfügung zu stellen, werden wir Ihnen dies mitteilen. Falls Sie dennoch den Einsatz unseres Unterauftragsverarbeiters ablehnen, können Sie die Services oder, falls möglich, die Teile der Services, die den Einsatz dieses Unterauftragsverarbeiters umfassen, beenden oder kündigen. Mit Ausnahme der in Abschnitt 5.7 festgelegten Bestimmungen dürfen Sie die Services nicht verwenden oder darauf zugreifen, wenn Sie einen Unterauftragsverarbeiter ablehnen. Ihre Zustimmung unserer Nutzung von Unterauftragsverarbeitern gemäß Beschreibung in diesem Abschnitt 5.7. Mit Ausnahme der in Abschnitt 5.7 festgelegten Bestimmungen, oder falls Sie dies anderweitig zulassen, werden wir keinem Unterauftragsverarbeiter den Zugang zu Ihren kontrollierten Daten erlauben. Bitte beachten Sie, dass,: (a) wenn Sie ein Benutzer außerhalb der USA sind, Squarespace, Inc. einer unserer Unterauftragsverarbeiter ist; und (b) wenn Sie ein Benutzer in den USA sind, Squarespace Ireland einer unserer Unterauftragsverarbeiter ist. Squarespace ist weiterhin für die Einhaltung der Verpflichtungen in dieser DPA und für Handlungen oder Unterlassungen von Unterauftragsverarbeitern oder ihren weiteren Unterauftragsverarbeitern, die ihre kontrollierten Daten verarbeiten, verantwortlich, wenn diese Handlungen oder Unterlassungen dazu führen, dass Squarespace gegen die Verpflichtungen von Squarespace gemäß dieser DPA verstößt, und zwar nur in dem Ausmaß, dass Squarespace gemäß dieser Vereinbarung haftbar ist, falls die Handlung oder Unterlassung durch Squarespace selbst erfolgt. 

5.8  Prüfungen durch Squarespace. Squarespace kann (sofern dies gemäß den Datenschutzgesetzen erforderlich ist) externe oder interne Prüfer einsetzen, um die Eignung unserer Sicherheitsmaßnahmen zu überprüfen, oder wenn dies anderweitig gemäß den Datenschutzgesetzen erforderlich ist.

5.9  Prüfungen durch Kunden und Informationsersuchen. Sie erklären sich einverstanden, Ihnen ggf. zustehende Rechte auszuüben, um eine Prüfung oder Inspektion durchzuführen, indem Sie Squarespace anweisen, die in Abschnitt 5.8 beschriebene Prüfung durchzuführen. Sie erklären sich einverstanden, dass Sie möglicherweise eine Geheimhaltungsvereinbarung mit Squarespace abschließen müssen, bevor wir solch einen Bericht oder solch ein Ergebnis aus dieser Prüfung an Sie weitergeben, und dass wir diese Berichte nach unserem Ermessen erstellen. Falls Squarespace diesen Anweisungen nicht nachkommt, oder falls Sie gesetzlich dazu verpflichtet sind, die Einhaltung der Datenschutzgesetze durch andere Mittel als durch Überprüfung eines Berichts aus dieser Prüfung zu belegen, können Sie eine Änderung nur wie folgt beantragen:

a. Senden Sie zunächst eine schriftliche Anfrage nach zusätzlichen Informationen an Squarespace und geben Sie alle Informationen an, die Squarespace zur effektiven Bearbeitung der Anfrage braucht, unter anderem die angeforderten Informationen, die erforderte Form der Informationen und die zugrunde liegenden rechtlichen Anforderungen für die Anfrage (die „Anfrage“). Sie erklären sich damit einverstanden, dass sich die Anfrage ausschließlich auf Informationen zu unseren Sicherheitsmaßnahmen bezieht bzw. auf Fälle, in denen dies anderweitig gemäß den Datenschutzgesetzen erforderlich ist.

b. Wir werden Sie innerhalb einer angemessenen Frist, nachdem wir die Anfrage erhalten und geprüft haben, kontaktieren und gemeinsam mit Ihnen und nach dem Grundsatz von Treu und Glauben die Einzelheiten zur Bearbeitung der Anfrage festlegen. Sie und wir erklären uns damit einverstanden, die Mittel zur Bearbeitung der Anfrage heranzuziehen, die den geringsten Eingriff für Squarespace bedeuten, und dabei die geltenden gesetzlichen Anforderungen, Ihnen zur Verfügung stehende Informationen oder Informationen, die Ihnen zur Verfügung gestellt werden können, die Dringlichkeit der Angelegenheit und die Notwendigkeit für Squarespace zu berücksichtigen, unterbrechungsfreie Geschäftsabläufe und die Sicherheit seiner Einrichtungen zu unterhalten sowie sich und seine Kunden vor Risiken zu schützen und die Offenlegung von Informationen zu verhindern, die die Vertraulichkeit von Squarespace oder die Informationen unserer Benutzer gefährden könnten.

Die entstandenen Kosten im Zusammenhang mit der Beurteilung und Bearbeitung von Anfragen werden von Ihnen übernommen. Die Bereitstellung von Informationen und Dokumenten durch Squarespace oder seine Prüfer gemäß diesem Abschnitt 5.9 erfolgt auf Ihre Kosten. Falls wir uns weigern, von Ihnen erteilte Anweisungen bezüglich Prüfungen oder Inspektionen zu befolgen, können Sie davon betroffene zahlungspflichtige Services kündigen.

5.10  Fragen. Nachdem Sie angemessen Informationen bezüglich der Einhaltung der in dieser DPA festgelegten Verpflichtungen von uns angefragt haben, müssen wir Ihnen schriftlich darauf antworten, falls diese Informationen nicht anderweitig für Sie verfügbar sind. Voraussetzung ist, dass Sie sich bereit erklären, dieses Recht nicht mehr als ein (1) Mal pro Kalenderjahr ausüben (sofern Sie dies nicht zur Einhaltung der Datenschutzgesetze tun müssen). Die durch Squarespace gemäß diesem Abschnitt 5.10 zur Verfügung zu stellenden Informationen sind unter Berücksichtigung der Art der Services und der Squarespace zur Verfügung stehenden Informationen ausschließlich auf die notwendigen Informationen beschränkt, um Sie bei der Einhaltung Ihrer Verpflichtungen aus den geltenden Datenschutzgesetzen bezüglich der Folgenabschätzungen für den Datenschutz und vorheriger Absprache zu unterstützen. Sie erklären sich einverstanden, dass Sie möglicherweise eine Geheimhaltungsvereinbarung mit Squarespace abschließen müssen, bevor wir Ihnen diese Informationen zur Verfügung stellen.  

5.11  Anfragen. Sie können eine Kopie einiger Ihrer kontrollierten Daten über die Services löschen oder darauf zugreifen. Vorbehaltlich der in dieser Vereinbarung genannten Beschränkungen und sofern nicht durch anwendbares Recht oder auf Anweisung einer Regierungs-, polizeilichen oder Aufsichtsbehörde verboten, werden wir bei Ihren kontrollierten Daten, die nicht über die Services gelöscht werden können oder auf die nicht zugegriffen werden kann, auf Ihre schriftliche Anfrage hin bezüglich Ihrer kontrollierten Daten, die sich in unserem Besitz oder im Besitz unserer Unterauftragsverarbeiter befinden und die wir auf eine betroffene Person zurückführen können, Folgendes tun: (a) diese Daten und Kopien dieser Daten an Sie zurückgeben, sofern Sie diese Anfrage innerhalb von höchstens neunzig (90) Tagen nach der Kündigung der entsprechenden zahlungspflichtigen Services tätigen; oder (b) diese Daten löschen und unsere Unterauftragsverarbeiter anweisen, diese zu löschen (ausgenommen im Fall von (a) oder (b), wenn wir derartige Daten zur Einhaltung des geltenden Rechts oder wie anderweitig in der Vereinbarung festgelegt aufbewahren). Ansonsten werden wir Ihre kontrollierten Daten in Einklang mit unserer Datenaufbewahrungsrichtlinie löschen.

6.     Datenübertragungen.

6.1 Unter Berücksichtigung insbesondere der in dieser DPA vorgesehenen Sicherheitsvorkehrungen und Schutzmaßnahmen sowie der besonderen Umstände autorisieren Sie Squarespace, Ihre kontrollierten Daten aus dem Land, in dem diese Daten ursprünglich gesammelt wurden, in andere Länder weltweit, in denen Squarespace oder etwaige Unterauftragsverarbeiter tätig sind, insbesondere in die USA, zu übermitteln.

6.2. Squarespace, Inc. erfüllt die Anforderungen des EU-U.S. Data Privacy Framework, des Swiss-U.S. Data Privacy Framework und der UK-Erweiterung zu den EU-U.S. Data Privacy Frameworks (jeweils einzeln und zusammen die „Datenschutzrahmen“). Squarespace hat seine Einhaltung der Datenschutzrahmen in Bezug auf die Verarbeitung von personenbezogenen Daten aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich dem Handelsministerium der Vereinigten Staaten gegenüber nachgewiesen. Sie können die Zertifizierung von Squarespace, Inc. hier einsehen. Squarespace, Inc. verpflichtet sich, im Umgang mit personenbezogenen Daten, die gemäß dem jeweils anwendbaren Datenschutzrahmen aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich empfangen werden, die Grundsätze des betreffenden Datenschutzrahmens („Grundsätze des Datenschutzrahmens“) einzuhalten. Unter https://www.dataprivacyframework.gov/ erfahren Sie mehr über die Datenschutzrahmen und die damit verbundenen Grundsätze.

6.3. Squarespace übermittelt personenbezogene Daten rechtmäßig aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich gemäß dem geltenden Data Privacy Framework und stellt sicher, dass das Schutzniveau für diese personenbezogenen Daten mindestens den DPF-Grundsätzen entspricht. Squarespace wird Sie darüber in Kenntnis setzen, sollte die Einhaltung dieser Anforderungen nicht möglich sein. 

6.4. Sofern europäische Datenschutzgesetze die Einrichtung angemessener Schutzmaßnahmen erfordern (zum Beispiel im Fall, dass die Datenschutzrahmen den Transfer zu Squarespace, Inc. in die USA nicht abdecken und/oder dass der anwendbare Datenrahmen ungültig ist), werden die Standardvertragsklauseln, die am 4. Juni 2021 mit dem Durchführungsbeschluss 2021/914 der Europäischen Kommission angenommen wurden (sowie in Bezug auf das Vereinigte Königreich die Ergänzung zu den Standardvertragsklauseln der Europäischen Kommission, die mit der Bestätigung durch das Information Comissioner’s Office am 21. März 2022 in Kraft traten), durch Verweis in diese Vereinbarung aufgenommen und werden somit Teil dieser Vereinbarung.

6.5 Sofern eine solche Übermittlung nach dem europäischen Datenschutzrecht nicht anderweitig zulässig ist, erfolgt die Übermittlung an einen Unterauftragsverarbeiter in einem Land, das nach dem EU-Datenschutzrecht nicht als Land mit einem angemessenen Schutzniveau für Ihre kontrollierten Daten anerkannt ist, gemäß (a) den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Modul 3) gemäß der DSGVO, die durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden (und in Bezug auf Großbritannien/Nordirland gemäß dem Zusatz für den internationalen Datentransfer zu den Standardvertragsklauseln der Europäischen Kommission, der vom Büro des Informationskommissars mit Wirkung vom 21. März 2022genehmigt wurde); oder (b) anderen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, die nach dem geltenden EU-Datenschutzrecht im EWR, Vereinigten Königreich oder in der Schweiz anerkannt sind. Um einen effizienten und koordinierten Service zu ermöglichen, wird die gesamte Kommunikation mit Squarespace und allen Unterauftragsverarbeitern (einschließlich Squarespace, Inc.) im Zusammenhang mit solchen Standardvertragsklauseln, soweit möglich, über Squarespace Ireland Limited koordiniert.

7.     Haftung.

Die Haftung aller Parteien gemäß dieser DPA unterliegt den in dieser Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen. Sie erklären sich einverstanden, dass behördliche Strafen oder Ansprüche von betroffenen Personen oder anderen Personen, die Squarespace Ireland oder Squarespace, Inc. in Zusammenhang mit Ihren kontrollierten Daten entstanden und darauf zurückzuführen sind, dass Sie Ihren Pflichten gemäß dieser DPA oder den Datenschutzgesetzen nicht nachgekommen sind, soweit anwendbar die maximale Gesamthaftung von Squarespace Ireland und/oder Squarespace, Inc. Ihnen gegenüber um den gleichen Betrag wie die uns entstandenen behördlichen Strafen, Ansprüche und/oder Haftung reduziert wird.

8.    Widerspruch.

Im Falle von Widersprüchen zwischen dieser DPA und der restlichen Vereinbarung hat diese DPA Vorrang. 

9.     Diverses.

Sie sind für alle Kosten und Auslagen verantwortlich, die aus der Einhaltung Ihrer Anweisungen oder Anfragen seitens Squarespace Ireland und Squarespace, Inc. gemäß dieser Vereinbarung (einschließlich dieser DPA) entstehen und nicht Gegenstand der standardmäßigen Funktionen sind, die allgemein über die Services bereitgestellt werden.

10.  Änderungen an dieser DPA.

Unter Umständen werden wir die vorliegende DPA von Zeit zu Zeit überarbeiten, wobei wir die aktuelle Version stets auf unserer Website publizieren. Sollte eine Modifizierung mit erheblichen Auswirkungen auf Ihre Rechte einhergehen, werden wir Sie gemäß den hierfür festgelegten Verfahren entsprechend informieren. Näheres erfahren Sie in den Nutzungsbedingungen. Durch die fortgesetzte Nutzung der bzw. den fortgesetzten Zugriff auf Services nach dem erfolgten Inkrafttreten etwaiger Änderungen erkennen Sie die geänderte DPA als verbindlich an. Wenn Sie mit den Änderungen nicht einverstanden sind, müssen Sie die Nutzung der betroffenen Services einstellen und alle betroffenen kostenpflichtigen Services kündigen.