Ergänzung zur Datenverarbeitung
Datum des Inkrafttretens: 31. Januar 2025
Diese Ergänzung zur Datenverarbeitung von Squarespace (Data Processing Addendum, „DPA“) ist Teil der Nutzungsbedingungen von Squarespace und unterliegt deren Bestimmungen. Begriffe, die in der englischen Originalfassung dieser DPA großgeschrieben und nicht weiter definiert werden, haben die in unseren Nutzungsbedingungen festgelegte Bedeutung.
1. Zusätzliche Begriffsbestimmungen.
Die folgenden Definitionen gelten ausschließlich für diese DPA:
a. Die Begriffe „Datenverantwortlicher“, „betroffene Personen“, „personenbezogene Daten“, „verarbeiten“, „Verarbeitung“ und „Datenverarbeiter“ werden in der Bedeutung verwendet, die in der Datenschutz-Grundverordnung festgelegt wurde, und umfassen außerdem abweichende Begriffe mit ähnlicher Bedeutung, die im Zuge anderer Datenschutzgesetze verwendet werden.
b. “Verletzung” bezeichnet eine Verletzung der Sicherheitsmaßnahmen, die zum Zugriff auf die Ausrüstung oder Einrichtungen von Squarespace führt, die Ihre kontrollierte Daten speichern, und zur/zum versehentlichen oder unrechtmäßigen Vernichtung, Verlust, Veränderung, unbefugten Offenlegung Ihrer kontrollierten Daten oder Zugang zu Ihren kontrollierten Daten führt, die von Squarespace in Ihrem Namen und auf Ihre Anweisungen hin übermittelt, gespeichert oder verarbeitet werden.
c. „CCPA“ steht für „California Consumer Privacy Act“ (Cal. Civ. Code §§ 1798.100 – 1798.199), der von Zeit zu Zeit geändert werden kann, auch durch den California Privacy Rights Act.
d. „Erfasste Daten“ bezieht sich auf Ihre Endnutzerdaten, Kontaktangaben zur Registrierung eines Domainnamens und sonstige Benutzerinhalte, einschließlich, aber nicht beschränkt auf Texte, Fotos, Bilder, Audio, Video, Code und andere Materialien, die uns von Ihnen oder in Ihrem Auftrag oder von einem Endnutzer in Verbindung mit Ihrer Website oder den Services zur Verfügung gestellt werden.
e. „Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze oder -verordnungen, die für die Verarbeitung personenbezogener Daten gelten, sowie alle Gesetze oder Vorschriften zur Ratifizierung, Implementierung, Verabschiedung oder Ergänzung dieser Gesetze, da die vorstehenden Gesetze von Zeit zu Zeit aktualisiert, geändert oder ersetzt werden können. Zu den Datenschutzgesetzen gehören unter anderem: (i) EU-Datenschutzgesetze, (ii) US-Datenschutzgesetze, (iii) der kanadische Federal Personal Information Protection and Electronic Documents Act und (iv) das brasilianische Lei Geral de Proteção de Dados. Die Datenschutzgesetze oder diese DPA enthalten in keinem Fall branchenspezifische Vorschriften und decken diese auch nicht ab.
f. „EU-Datenschutzgesetz“ bezeichnet alle Datenschutzgesetze oder -verordnungen der Schweiz, Großbritannien/Nordirlands („UK“) oder von anderen Ländern aus dem Europäischem Wirtschaftsraum („EWR“), die auf Ihre kontrollierten Daten anwendbar sind, insbesondere (i) die DSGVO; und (ii) die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG.
g. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung der EU 2016/679. Verweise auf die DSGVO und ihre Bestimmungen umfassen die DSGVO in ihrer geänderten und/oder in britisches Recht übernommenen Fassung.
h. „Sicherheitsmaßnahmen“ bezeichnen die hier erläuterten technischen und unternehmensweiten Sicherheitsmaßnahmen.
i. „Unterauftragsverarbeiter“ bezeichnet eine von Squarespace zur Verarbeitung Ihrer kontrollierten Daten beauftragte Stelle.
j. „US-Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze oder -vorschriften eines US-Bundesstaats, die auf Ihre kontrollierten Daten anwendbar sind, insbesondere: (i) CCPA; (ii) Virginia Consumer Data Protection Act; (iii) Colorado Privacy Act; (iv) Connecticut Act Concerning Personal Data Privacy and Online Monitoring; (v) Utah Consumer Privacy Act; (vi) Montana Consumer Data Privacy Act; (vii) Oregon Consumer Privacy Act; (viii) Texas Data Privacy and Security Act; (ix) Florida Digital Bill of Rights; sowie (x) ab dem Zeitpunkt ihres Inkrafttretens ähnliche umfassende Datenschutzgesetze oder -vorschriften anderer US-Bundesstaaten.
k. Unter „Ihre kontrollierten Daten“ sind alle personenbezogenen Daten zu verstehen, die in den betroffenen Daten enthalten sind. Ihre kontrollierten Daten sind Daten, für die Sie die Zwecke und Mittel der Verarbeitung bestimmen und für die Squarespace in Ihrem Namen als Auftragsverarbeiter, Dienstleister oder Ähnliches gemäß den geltenden Datenschutzgesetzen fungiert.
2. Anwendbarkeit.
Diese DPA gilt nur für Sie, wenn und soweit Squarespace und die Services Ihre kontrollierten Daten in Ihrem Namen verarbeiten. Diese DPA gilt nicht für Sie, wenn: (a) Ihre betroffenen Daten keine personenbezogenen Daten enthalten; oder (b) die Datenschutzgesetze nicht für Ihre betroffenen Daten gelten.
Abschnitt 6 dieser DPA gilt nur für Sie, soweit die Daten in Ihrer Kontrolle personenbezogene Daten von betroffenen Personen im EWR, im Vereinigten Königreich oder in der Schweiz enthalten.
Teile des Services sind darauf ausgerichtet, Ihnen das öffentliche Teilen von Benutzerinhalten und anderen betroffenen Daten zu ermöglichen, einschließlich, aber nicht beschränkt auf Social Media und im Open Web. Darüber hinaus enthalten die Services Integrationen mit Services von Drittanbietern, die die Speicherung oder Verarbeitung von betroffenen Daten durch Drittanbieter ermöglichen bzw. erforderlich machen. Sie erklären sich einverstanden, dass Squarespace nicht für personenbezogene Daten verantwortlich ist, die auf Ihren Wunsch hin von Services von Drittanbietern oder anderweitig außerhalb der Services verarbeitet werden, einschließlich der Systeme von anderen Cloud-Services, Offline-Speicher oder Speicher vor Ort von Drittanbietern.
3. Details zur Datenverarbeitung
3.1. Gegenstand. Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind Ihre kontrollierten Daten.
3.2. Dauer. Die Dauer der Datenverarbeitung zwischen Ihnen und uns im Rahmen dieser DPA wird von Ihnen bestimmt.
3.3. Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung der von Ihnen von Zeit zu Zeit angeforderten Dienste. Im Zusammenhang mit der Bereitstellung der Dienste können wir Ihre kontrollierten Daten zu geschäftlichen Zwecken verarbeiten, wie z. B.: (a) zur Verwaltung und Wartung Ihres Kontos/Ihrer Konten; (b) zur Bereitstellung und Darstellung Ihrer Websites für Endnutzer; (c) zur Ermöglichung von Transaktionen und Kommunikation mit Ihren Endnutzern; (d) zur Bereitstellung von Analysen, Auditierung oder zur Überprüfung von Ereignissen im Zusammenhang mit den Besuchen Ihrer Endnutzer auf Ihren Websites; (e) zur Gewährleistung der Sicherheit und Integrität der Dienste; und (f) zur Fehlerbehebung und Verbesserung der Dienste.
3.4. Art der Verarbeitung. Die in dieser Vereinbarung beschriebenen und von Ihnen von Zeit zu Zeit angeforderten Dienste.
3.5. Art der personenbezogenen Daten. Ihre kontrollierten Daten, die sich auf Sie, Ihre Endnutzer oder andere betroffene Personen beziehen, deren personenbezogene Daten in den erfassten Daten enthalten sind, die im Rahmen der Dienste in Übereinstimmung mit den über die Dienste erteilten Anweisungen verarbeitet werden.
3.6 Kategorien von betroffenen Personen. Sie, Ihre Endnutzer und andere Personen, deren personenbezogene Daten in den erfassten Daten enthalten sind.
4. Verarbeitende Rollen und Aktivitäten.
4.1. Squarespace als Verarbeiter und Sie als Datenverantwortlicher. Sie sind der Datenverantwortliche und Squarespace ist der Verarbeiter Ihrer kontrollierten Daten.
4.2. Squarespace als Datenverantwortlicher. Squarespace kann auch ein unabhängiger Verantwortlicher für einige personenbezogene Daten sein, die sich auf Sie oder Ihre Endnutzer beziehen. Einzelheiten zu diesen von uns kontrollierten personenbezogenen Daten können Sie unserer Datenschutzerklärung und unseren Nutzungsbedingungen entnehmen. Wir entscheiden eigenständig über die Nutzung und Verarbeitung dieser personenbezogenen Daten und verwenden sie für unsere eigenen Zwecke. Wenn wir personenbezogene Daten als Verantwortlicher verarbeiten, erkennen Sie an und bestätigen, dass die Vereinbarung kein gemeinsames Verantwortlichkeitsverhältnis zwischen Ihnen und uns begründet. Wenn wir Ihnen von uns kontrollierte personenbezogene Daten zur Verfügung stellen, wie z. B. beim Zugriff auf Daten über die Interaktionen Ihrer Endnutzer mit Ihrer Website, erhalten Sie diese als unabhängiger Datenverantwortlicher und sind für die Einhaltung der diesbezüglichen Datenschutzgesetze verantwortlich.
4.3. Beschreibung der Verarbeitungsaktivitäten. Wir verarbeiten Ihre kontrollierten Daten zum Zwecke der Bereitstellung der Dienste an Sie (wie im Abschnitt 3.3 näher erläutert), die im Rahmen der Dienste verwendet, konfiguriert oder geändert werden können (der „Zweck“). Je nachdem, wie Sie die Dienste nutzen, können wir z. B. Ihre kontrollierten Daten für folgende Zwecke verarbeiten: (a) Damit Sie Inhalte oder Funktionen von einer Social-Media-Plattform in Ihre Website integrieren können; oder (b) um Ihren Endnutzern in Ihrem Namen E-Mails zu senden.
4.4. Einhaltung der gesetzlichen Vorschriften. Sie stellen sicher, dass Ihre Anweisungen alle geltenden Gesetze, Vorschriften und Regeln im Hinblick auf Ihre kontrollierten Daten erfüllen (einschließlich der Datenschutzgesetze) und dass Ihre kontrollierten Daten rechtmäßig von Ihnen oder in Ihrem Namen erhoben und uns von Ihnen in Übereinstimmung mit diesen Gesetzen, Vorschriften und Regeln zur Verfügung gestellt werden. Sie stellen außerdem sicher, dass die Verarbeitung Ihrer kontrollierten Daten in Übereinstimmung mit Ihren Anweisungen nicht dazu führt, dass wir oder Sie Gesetze, Vorschriften oder Regeln (einschließlich Datenschutzgesetze) verletzen. Sie sind dafür verantwortlich, die von uns zur Verfügung gestellten Informationen zur Datensicherheit gemäß der Vereinbarung zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob die Dienste Ihren Anforderungen und gesetzlichen Verpflichtungen sowie Ihren Verpflichtungen gemäß dieser DPA entsprechen. Squarespace wird nicht auf Ihre kontrollierten Daten zugreifen oder diese verwenden, außer: (a) wie in der Vereinbarung vorgesehen; (b) soweit dies zur Aufrechterhaltung oder Bereitstellung der Dienste erforderlich ist; (c) soweit dies erforderlich ist, um unsere Rechte, unser Eigentum oder unsere Interessen oder die anderer zu schützen; (d) soweit dies erforderlich ist, um dem Gesetz oder einer verbindlichen Forderung (z. B. einem Gerichtsbeschluss oder einer Vorladung) einer Regierung, Strafverfolgungs-, Regulierungs- oder sonstigen Stelle nachzukommen; oder (e) soweit dies erforderlich ist, um die ICANN-Spezifikationen und -Richtlinien, die Registry-Richtlinien (gemäß der Definition dieser Begriffe in unserer Vereinbarung zur Domain-Registrierung) oder andere ccTLD- oder Registrar-Richtlinien einzuhalten.
5. Unsere Verantwortlichkeiten bezüglich der Verarbeitung.
5.1. Wie wir Daten verarbeiten. Wir verarbeiten Ihre kontrollierten Daten für den Zweck und gemäß der Vereinbarung oder den Anweisungen, die Sie uns über die Dienste geben. Wir werden Ihre kontrollierten Daten nicht „verkaufen“ und werden diese auch nicht „weitergeben“ (Definition der Begriffe gemäß den US-Datenschutzgesetzen). Sie erklären sich damit einverstanden, dass die Vereinbarung und Anweisungen, die uns über die Dienste gegeben werden, Ihre vollständigen und endgültigen Anweisungen an uns bezüglich Ihrer kontrollierten Daten darstellen. In Bezug auf die Kontaktangaben für die Domainregistrierung, die in Ihren kontrollierten Daten enthalten sind, beinhalten Ihre Anweisungen die Aufforderung, dass wir Ihre Kontaktangaben für die Domainregistrierung offenlegen, um die ICANN-Spezifikationen und -Richtlinien, die Registrierungsrichtlinien oder sonstige ccTLD- oder Registrar-Richtlinien einzuhalten. Zusätzliche Anweisungen, die über den Geltungsbereich dieser DPA hinausgehen, bedürfen einer vorherigen schriftlichen Vereinbarung zwischen Ihnen und uns, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren, die Sie für die Ausführung solcher Anweisungen an uns zu entrichten haben. Wir informieren Sie umgehend, wenn Ihre Anweisungen unserer Meinung nach gegen die Datenschutzgesetze verstoßen oder wir Ihren Anweisungen nicht nachkommen können. Wir benachrichtigen Sie, wenn geltende Gesetze uns daran hindern, Ihren Anweisungen Folge zu leisten, es sei denn, eine solche Offenlegung ist nach geltendem Recht aus wichtigen Gründen des öffentlichen Interesses untersagt, wie z. B. ein gesetzliches Verbot zur Wahrung der Vertraulichkeit einer Ermittlung oder eines Ersuchens der Strafverfolgungsbehörden.
5.2. CCPA. Soweit Sie und Ihre kontrollierten Daten dem CCPA unterliegen (solche personenbezogenen Daten, „CCPA-Daten“), (a) fungiert Squarespace in Bezug auf diese CCPA-Daten als „Dienstleister“ und Sie als „Unternehmen“ (Definition der Begriffe gemäß CCPA); und (b) müssen Squarespace und Sie unsere und Ihre jeweiligen Verpflichtungen gemäß dem CCPA einhalten. Squarespace verwendet Ihre kontrollierten Daten nicht außerhalb seiner direkten Geschäftsbeziehung mit Ihnen oder für andere Zwecke als den Geschäftszweck, sofern sich aus dem CCPA nichts anderes ergibt. Ungeachtet dessen erklären Sie sich damit einverstanden, dass Squarespace in Übereinstimmung mit dem CCPA: (i) CCPA-Daten intern zum Aufbau und zur Qualitätsoptimierung der Dienste zu verwenden kann; oder (ii) personenbezogene Daten der Endnutzer von Ihnen oder anderen Unternehmen, für die Squarespace ein Dienstanbieter ist, zum Zweck der Aufdeckung von Datensicherheitsproblemen oder zum Schutz vor betrügerischen oder illegalen Aktivitäten kombinieren kann. Zu diesen kombinierten personenbezogenen Daten gehören IP-Adressen, Präferenzen, Webseiten, die besucht wurden, bevor Besucher auf Ihre oder die Website eines anderen Unternehmens gelangt sind, Informationen über Browser, Netzwerk oder Gerät (z. B. Browsertyp und -version, Betriebssystem, Internetanbieter, bevorzugte Einstellungen, eindeutige Geräte-IDs sowie Sprach- und andere regionale Einstellungen) und Informationen darüber, wie Endnutzer mit Ihrer oder der Website eines anderen Unternehmens interagieren (z. B. Zeitstempel, Klicks, Scrollen, Browsing- und Ladezeiten).
5.3. Mitteilung von Verstößen. Wir werden Sie unverzüglich benachrichtigen, sobald wir Kenntnis von einem Verstoß erlangen und diesen bestätigen, für den eine Benachrichtigung an Sie gemäß den Datenschutzgesetzen erforderlich ist. Um Sie bei der Einhaltung Ihrer Meldepflichten gemäß den Datenschutzgesetzen (einschließlich Artikel 33 und 34 der DSGVO) zu unterstützen, stellen wir Ihnen die Informationen über den Verstoß zur Verfügung, die wir Ihnen nach vernünftigem Ermessen offenlegen können, wobei wir die Art der Dienste, die uns zur Verfügung stehenden Informationen und etwaige Beschränkungen bei der Offenlegung der Informationen, beispielsweise aus Gründen der Vertraulichkeit, berücksichtigen. Unsere Pflicht zur Meldung oder Behebung eines Verstoßes gemäß Abschnitt 5.3 darf weder gegenwärtig noch zukünftig als Anerkennung eines Fehlers seitens Squarespace oder einer Haftbarkeit durch Squarespace bezüglich der Verletzung ausgelegt werden. Ungeachtet dessen gelten die Verpflichtungen von Squarespace gemäß Abschnitt 5.3 nicht für Vorfälle, die von Ihnen, durch Aktivitäten in Ihrem Konto bzw. Ihren Konten und/oder Dienste von Drittanbietern verursacht werden.
5.4. Benachrichtigungen über Anfragen oder Beschwerden. Falls das anwendbare Recht dies zulässt, werden wir Ihnen mitteilen, wenn wir (a) eine Anfrage oder Beschwerde eines Endnutzers, dessen personenbezogene Daten in Ihren kontrollierten Daten enthalten sind, oder (b) eine verbindliche Forderung (wie eine gerichtliche Entscheidung oder Vorladung) von einer Regierungs-, polizeilichen, Aufsichts- oder sonstigen Behörde in Zusammenhang mit Ihren kontrollierten Daten erhalten.
5.5. Angemessene Unterstützung bei der Compliance. Wir werden Sie, soweit dies nicht durch die Dienste oder auf andere Weise möglich ist, in angemessener Weise bei der Erfüllung Ihrer Pflichten als Datenverantwortlicher unterstützen, auf Anfragen von betroffenen Personen gemäß den Datenschutzgesetzen (einschließlich Kapitel 3 der DSGVO) zu reagieren, wobei wir die Art der Dienste und die uns zur Verfügung stehenden Informationen berücksichtigen.Sie können uns im Rahmen der Datenschutzgesetze ersuchen, dass wir bestätigen, keine Ihrer kontrollierten Daten mehr aufzubewahren oder zu verwenden, die sich auf eine betroffene Person beziehen, die zu Recht die Löschung ihrer personenbezogenen Daten beantragt hat. Sie sind für unsere angemessenen Kosten verantwortlich, die sich aus der Bereitstellung einer Unterstützung unsererseits ergeben.
5.6. Sicherheitsvorkehrungen und Schutzmaßnahmen. Wir halten die hier dargelegten Sicherheitsvorkehrungen und Schutzmaßnahmen aufrecht. Wir können diese Sicherheitsvorkehrungen oder Schutzmaßnahmen ändern oder aktualisieren. Dies erfolgt jedoch nicht in einer Art und Weise, die sich nachteilig auf die Sicherheit Ihrer kontrollierten Daten auswirken könnte. Wir treffen Maßnahmen, um sicherzustellen, dass alle unter unser Aufsicht handelnden natürlichen Personen, die Zugang zu Ihren kontrollierten Daten haben, diese ausschließlich auf unsere Anweisungen hin verarbeiten, sofern diese Person nicht gemäß geltendem Recht hierzu verpflichtet ist. Wir stellen außerdem sicher, dass von uns zur Verarbeitung Ihrer kontrollierten Daten autorisiertes Personal der Einhaltung der entsprechenden Geheimhaltungspflichten oder einer gesetzlich begründeten Pflicht zur Verschwiegenheit unterliegt.
5.7. Unterauftragsverarbeiter. Sie erklären sich damit einverstanden, dass wir Ihre kontrollierten Daten an Unterauftragsverarbeiter weiterleiten können, um Ihnen die Dienste bereitzustellen. Wir legen unseren Unterauftragsverarbeitern vertragliche Verpflichtungen auf und verpflichten sie auch vertraglich dazu, allen weiteren von ihnen zur Verarbeitung Ihrer kontrollierten Daten beauftragten Unterauftragsverarbeitern vertragliche Verpflichtungen aufzuerlegen, die in wesentlichen Aspekten das gleiche Datenschutzniveau für Ihre kontrollierten Daten wie die vertraglichen Pflichten in dieser DPA bieten, soweit dies auf die Art der von einem solchen Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar ist. Eine Liste unserer aktuellen Unterauftragsverarbeiter kann per E-Mail an privacy@squarespace.com angefordert werden. Sie können einen Unterauftragsverarbeiter per E-Mail an privacy@squarespace.com ablehnen, sofern Ihre Ablehnung verhältnismäßig ist und mit Datenschutzbelangen in Zusammenhang steht. Falls Sie gegen einen Unterauftragsverarbeiter Einwände haben und Ihre Ablehnung verhältnismäßig ist und mit Datenschutzbelangen in Zusammenhang steht, werden wir wirtschaftlich angemessene Anstrengungen unternehmen, um Ihnen die Möglichkeit zu bieten, die Verarbeitung Ihrer kontrollierten Daten durch den abgelehnten Unterauftragsverarbeiter zu vermeiden. Wenn wir innerhalb eines angemessenen Zeitrahmens nicht imstande sind, diese vorgeschlagenen Änderungen zur Verfügung zu stellen, werden wir Ihnen dies mitteilen. Falls Sie dennoch den Einsatz unseres Unterauftragsverarbeiters ablehnen, können Sie die Dienste oder, falls möglich, die Teile des Dienstes, die den Einsatz dieses Unterauftragsverarbeiters umfassen, beenden oder kündigen. Mit Ausnahme der in Abschnitt 5.7 dargelegten Bestimmungen dürfen Sie die Dienste nicht nutzen oder darauf zugreifen, wenn Sie einen Unterauftragsverarbeiter ablehnen. Sie stimmen unserer Nutzung von Unterauftragsverarbeitern gemäß der Beschreibung in diesem Abschnitt 5.7 zu. Mit Ausnahme der in Abschnitt 5.7 dargelegten Bestimmungen, oder falls Sie dies anderweitig zulassen, werden wir keinem Unterauftragsverarbeiter den Zugang zu Ihren kontrollierten Daten erlauben. Bitte beachten Sie, dass,: (a) wenn Sie ein Nutzer außerhalb der USA sind, Squarespace, Inc. einer unserer Unterauftragsverarbeiter ist; und (b) wenn Sie ein Nutzer in den USA sind, Squarespace Ireland einer unserer Unterauftragsverarbeiter ist. Squarespace bleibt für die Einhaltung der Verpflichtungen aus dieser DPA und für alle Handlungen oder Unterlassungen von Unterauftragsverarbeitern oder deren weiteren Unterauftragnehmern verantwortlich, die Ihre kontrollierten Daten verarbeiten und Squarespace dazu veranlassen, gegen die Verpflichtungen von Squarespace aus dieser DPA zu verstoßen, und zwar nur in dem Umfang, in dem Squarespace gemäß der Vereinbarung haften würde, wenn die Handlung oder Unterlassung von Squarespace selbst begangen worden wäre.
5.8. Prüfungen durch Squarespace. Squarespace kann (sofern dies gemäß den Datenschutzgesetzen erforderlich ist) externe oder interne Prüfer einsetzen, um die Eignung unserer Sicherheitsmaßnahmen zu überprüfen, oder wenn dies anderweitig gemäß den Datenschutzgesetzen erforderlich ist.
5.9. Prüfungen durch Kunden und Auskunftsersuchen. Sie erklären sich bereit, Ihnen ggf. zustehende Rechte auszuüben, um eine Prüfung oder Inspektion durchzuführen, indem Sie Squarespace anweisen, die in Abschnitt 5.8 beschriebene Prüfung durchzuführen. Sie erklären sich damit einverstanden, dass Sie möglicherweise einer Geheimhaltungsvereinbarung mit Squarespace zustimmen müssen, bevor wir einen solchen Bericht oder Ergebnis aus solch einer Prüfung an Sie weitergeben, und dass wir diese Berichte nach unserem Ermessen redigieren können. Falls Squarespace eine solche Anweisung nicht befolgt oder wenn Sie gesetzlich verpflichtet sind, die Einhaltung der Datenschutzgesetze auf andere Weise als durch einen Bericht über eine solche Prüfung nachzuweisen, können Sie eine Änderung nur auf folgende Weise beantragen:
a. Senden Sie zunächst eine schriftliche Anfrage nach zusätzlichen Informationen an Squarespace und geben Sie alle Informationen an, die Squarespace zur effektiven Bearbeitung der Anfrage braucht, unter anderem die angeforderten Informationen, die erforderte Form der Informationen und die zugrunde liegenden rechtlichen Anforderungen für die Anfrage (die „Anfrage“). Sie erklären sich damit einverstanden, dass sich die Anfrage ausschließlich auf Informationen zu unseren Sicherheitsmaßnahmen bezieht bzw. auf Fälle, in denen dies anderweitig gemäß den Datenschutzgesetzen erforderlich ist.
b. Wir werden Sie innerhalb einer angemessenen Frist, nachdem wir die Anfrage erhalten und geprüft haben, kontaktieren und gemeinsam mit Ihnen und nach dem Grundsatz von Treu und Glauben die Einzelheiten zur Bearbeitung der Anfrage festlegen. Sie und wir erklären uns damit einverstanden, die Mittel zur Bearbeitung der Anfrage heranzuziehen, die den geringsten Eingriff für Squarespace bedeuten, und dabei die geltenden gesetzlichen Anforderungen, Ihnen zur Verfügung stehende Informationen oder Informationen, die Ihnen zur Verfügung gestellt werden können, die Dringlichkeit der Angelegenheit und die Notwendigkeit für Squarespace zu berücksichtigen, unterbrechungsfreie Geschäftsabläufe und die Sicherheit seiner Einrichtungen zu unterhalten sowie sich und seine Kunden vor Risiken zu schützen und die Offenlegung von Informationen zu verhindern, die die Vertraulichkeit von Squarespace oder die Informationen unserer Benutzer gefährden könnten.
Die entstandenen Kosten im Zusammenhang mit der Beurteilung und Bearbeitung von Anfragen werden von Ihnen übernommen. Die Bereitstellung von Informationen und Dokumenten durch Squarespace oder seine Prüfer gemäß diesem Abschnitt 5.9 erfolgt auf Ihre Kosten. Falls wir uns weigern, von Ihnen erteilte Anweisungen bezüglich Prüfungen oder Inspektionen zu befolgen, können Sie davon betroffene zahlungspflichtige Services kündigen.
5.10. Fragen. Wenn Sie in angemessener Weise Informationen bezüglich der Einhaltung der in dieser DPA festgelegten Verpflichtungen von uns angefragt haben, müssen wir Ihnen schriftlich darauf antworten, falls diese Informationen nicht anderweitig für Sie verfügbar sind. Voraussetzung ist, dass Sie sich bereit erklären, dieses Recht nicht mehr als ein (1) Mal pro Kalenderjahr auszuüben (es sei denn, dies ist zur Einhaltung von Datenschutzgesetzen erforderlich). Die von Squarespace gemäß diesem Abschnitt 5.10 zur Verfügung zu stellenden Informationen sind unter Berücksichtigung der Art der Dienste und der Squarespace zur Verfügung stehenden Informationen ausschließlich auf die notwendigen Informationen beschränkt, um Sie bei der Einhaltung Ihrer Verpflichtungen aus den geltenden Datenschutzgesetzen bezüglich der Folgenabschätzungen für den Datenschutz und vorheriger Absprache zu unterstützen. Sie erklären sich damit einverstanden, dass Sie möglicherweise einer Vertraulichkeitsvereinbarung mit Squarespace zustimmen müssen, bevor wir Ihnen diese Informationen zur Verfügung stellen.
5.11. Anfragen. Sie können eine Kopie einiger Ihrer kontrollierten Daten über die Dienste löschen oder darauf zugreifen. Vorbehaltlich der in dieser Vereinbarung genannten Beschränkungen und sofern nicht durch anwendbares Recht oder auf Anweisung einer Regierungs-, polizeilichen oder Aufsichtsbehörde verboten, werden wir bei Ihren kontrollierten Daten, die nicht über die Dienste gelöscht werden können oder auf die nicht zugegriffen werden kann, auf Ihre schriftliche Anfrage hin bezüglich Ihrer kontrollierten Daten, die sich in unserem Besitz oder im Besitz unserer Unterauftragsverarbeiter befinden und die wir einer betroffenen Person zuordnen können, Folgendes tun: (a) diese Daten und Kopien dieser Daten an Sie zurückgeben, sofern Sie diese Anfrage innerhalb von maximal neunzig (90) Tagen nach der Kündigung der entsprechenden zahlungspflichtigen Dienste tätigen; oder (b) diese Daten löschen und unsere Unterauftragsverarbeiter anweisen, diese zu löschen (ausgenommen im Fall von (a) oder (b), wenn wir derartige Daten zur Einhaltung des geltenden Rechts oder wie anderweitig in der Vereinbarung festgelegt aufbewahren). Andernfalls werden wir Ihre kontrollierten Daten in Einklang mit unserer Datenspeicherungsrichtlinie löschen.
6. Datenübertragungen.
6.1. Unter Berücksichtigung insbesondere der in dieser DPA vorgesehenen Sicherheitsvorkehrungen und Schutzmaßnahmen sowie der besonderen Umstände autorisieren Sie Squarespace, Ihre kontrollierten Daten aus dem Land, in dem diese Daten ursprünglich gesammelt wurden, in andere Länder weltweit, in denen Squarespace oder etwaige Unterauftragsverarbeiter tätig sind, insbesondere in die USA, zu übermitteln.
6.2. Squarespace, Inc. erfüllt die Anforderungen des EU-U.S. Data Privacy Framework, des Swiss-U.S. Data Privacy Framework und der UK-Erweiterung zu den EU-U.S. Data Privacy Frameworks (jeweils einzeln und zusammen die „Datenschutzrahmen“). Squarespace, Inc. hat dem Handelsministerium der Vereinigten Staaten gegenüber bestätigt, dass es die Datenschutzrahmen in Bezug auf die Verarbeitung von personenbezogenen Daten aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich einhält. Sie können die Zertifizierung von Squarespace, Inc. hier einsehen. Squarespace, Inc. verpflichtet sich, personenbezogene Daten, die gemäß dem jeweils anwendbaren Datenschutzrahmen aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich empfangen werden, gemäß den geltenden Datenschutzrahmen („Grundsätze des Datenschutzrahmens“) verarbeiten. Unter https://www.dataprivacyframework.gov/ erfahren Sie mehr über die Datenschutzrahmen und die damit verbundenen Grundsätze.
6.3. Squarespace übermittelt personenbezogene Daten rechtmäßig aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich gemäß dem geltenden Data Privacy Framework und stellt sicher, dass das Schutzniveau für diese personenbezogenen Daten mindestens den DPF-Grundsätzen entspricht. Squarespace wird Sie darüber in Kenntnis setzen, sollte die Einhaltung dieser Anforderungen nicht möglich sein.
6.4. Sofern europäische Datenschutzgesetze die Einrichtung angemessener Schutzmaßnahmen erfordern (zum Beispiel im Fall, dass die Datenschutzrahmen den Transfer zu Squarespace, Inc. in die USA nicht abdecken und/oder dass der anwendbare Datenrahmen ungültig ist), werden die Standardvertragsklauseln, die am 4. Juni 2021 mit dem Durchführungsbeschluss 2021/914 der Europäischen Kommission angenommen wurden (sowie in Bezug auf das Vereinigte Königreich die Ergänzung zu den Standardvertragsklauseln der Europäischen Kommission, die mit der Bestätigung durch das Information Comissioner’s Office am 21. März 2022 in Kraft traten), durch Verweis in diese Vereinbarung aufgenommen und werden somit Teil dieser Vereinbarung.
6.5. Sofern eine solche Übermittlung nach dem europäischen Datenschutzrecht nicht anderweitig zulässig ist, erfolgt die Übermittlung an einen Unterauftragsverarbeiter in einem Land, das nach dem EU-Datenschutzrecht nicht als Land mit einem angemessenen Schutzniveau für Ihre kontrollierten Daten anerkannt ist, gemäß (a) den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Modul 3) gemäß der DSGVO, die durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden (und in Bezug auf Großbritannien/Nordirland gemäß dem Zusatz für den internationalen Datentransfer zu den Standardvertragsklauseln der Europäischen Kommission, der vom Büro des Informationskommissars mit Wirkung vom 21. März 2022genehmigt wurde); oder (b) anderen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, die nach dem geltenden EU-Datenschutzrecht im EWR, Vereinigten Königreich oder in der Schweiz anerkannt sind. Um einen effizienten und koordinierten Service zu ermöglichen, wird die gesamte Kommunikation mit Squarespace und allen Unterauftragsverarbeitern (einschließlich Squarespace, Inc.) im Zusammenhang mit solchen Standardvertragsklauseln, soweit möglich, über Squarespace Ireland Limited koordiniert.
7. Haftung.
Die Haftung aller Parteien gemäß dieser DPA unterliegt den in dieser Vereinbarung festgelegten Haftungsausschlüssen und -beschränkungen. Sie erklären sich einverstanden, dass behördliche Strafen oder Ansprüche von betroffenen Personen oder anderen Personen, die Squarespace Ireland oder Squarespace, Inc. in Zusammenhang mit Ihren kontrollierten Daten entstanden und darauf zurückzuführen sind, dass Sie Ihren Pflichten gemäß dieser DPA oder den Datenschutzgesetzen nicht nachgekommen sind, soweit anwendbar die maximale Gesamthaftung von Squarespace Ireland und/oder Squarespace, Inc. Ihnen gegenüber um den gleichen Betrag wie die uns entstandenen behördlichen Strafen, Ansprüche und/oder Haftung reduziert wird.
8. Widerspruch.
Im Falle von Widersprüchen zwischen dieser DPA und der restlichen Vereinbarung hat diese DPA Vorrang.
9. Diverses.
Sie sind für alle Kosten und Auslagen verantwortlich, die aus der Einhaltung Ihrer Anweisungen oder Anfragen seitens Squarespace Ireland und Squarespace, Inc. gemäß dieser Vereinbarung (einschließlich dieser DPA) entstehen und nicht Gegenstand der standardmäßigen Funktionen sind, die allgemein über die Services bereitgestellt werden.
10. Änderungen an dieser DPA.
Wir behalten uns das Recht vor, diese DPA von Zeit zu Zeit zu überarbeiten, wobei wir die aktuelle Fassung stets auf unserer Website publizieren. Sollte eine Überarbeitung mit erheblichen Auswirkungen auf Ihre Rechte einhergehen, werden wir Sie gemäß den hierfür festgelegten Verfahren entsprechend informieren. Näheres dazu erfahren Sie in den Nutzungsbedingungen. Durch die fortgesetzte Nutzung der bzw. den fortgesetzten Zugriff auf Dienste nach dem erfolgten Inkrafttreten etwaiger Änderungen erkennen Sie die geänderte DPA als verbindlich an. Wenn Sie mit den Änderungen nicht einverstanden sind, müssen Sie die Nutzung der betroffenen Dienste einstellen und alle betreffenden kostenpflichtigen Dienste kündigen.