Fur Kunden von Superhuman Labs LLC, die der Datenschutzvereinbarung vor dem 29. Oktober 2025 zugestimmt haben, gilt die Datenschutzvereinbarung in der hier verfugbaren Fassung, sofern diese nicht anderweitig ersetzt wurde.

Zusatz zur Datenschutzvereinbarung von Superhuman

Datum des Inkrafttretens: 29. Oktober 2025

Diese Übersetzung wurde mit KI erstellt und kann Fehler enthalten. Sie wird ausschließlich zu Ihrer Information bereitgestellt. Die englische Version ist die offizielle, maßgebliche Version im Falle von Unstimmigkeiten.

Diese Zusatz zur Datenschutzvereinbarung ("Zusatz") ist Bestandteil der jeweils geltenden Fassung samtlicher Vereinbarungen ("Vereinbarung") zwischen Ihnen ("Kunde") und Superhuman Platform Inc. ("Superhuman") und unterliegt deren Bedingungen (jeweils eine "Partei" und gemeinsam die "Parteien"), welche die Nutzung der Dienste durch den Kunden regeln.

Alle in diesem Addendum nicht definierten großgeschriebenen Begriffe haben die in der Vereinbarung festgelegte Bedeutung. Dieser Zusatz spiegelt die Vereinbarung der Parteien uber die Bedingungen wider, die die Verarbeitung der in den Kundendaten enthaltenen personenbezogenen ("personenbezogene Kundendaten") durch Superhuman regeln sind und die dem Schutz der anwendbaren Datenschutzgesetze unterliegen.

Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bedingungen der Hauptvereinbarung und diesem Zusatz gehen die Bedingungen dieses Zusatzes der Vereinbarung sowie allen sonstigen zwischen den Parteien bestehenden vertraglichen Dokumenten insoweit vor, als ein solcher Widerspruch besteht. Die Vertragsparteien kommen überein:


1. Begriffsbestimmungen.

Für die Zwecke dieses Zusatzes gilt Folgendes:

a. "Geltende Datenschutzgesetze" bezeichnet nationale, bundesstaatliche, einzelstaatliche, provinzielle oder sonstige Gesetze oder Vorschriften zum Datenschutz, zur Datensicherheit, die auf die Verarbeitung personenbezogener Daten von Kunden Anwendung finden, insbesondere und soweit anwendbar: (i) Datenschutzgesetze der Vereinigten Staaten und (ii) europäische Datenschutzgesetze, jeweils in der von Zeit zu Zeit geänderten oder ersetzten Fassung.

b. "Datenschutzrahmen" bezeichnet den EU-US-Datenschutzrahmen. Datenschutzrahmen, den Schweizer-US-Datenschutzrahmen sowie die britische Erweiterung der Selbstzertifizierungsprogramme zum EU-US-Datenschutzrahmen (soweit anwendbar), betrieben durch das US-Handelsministerium; in der jeweils geänderten, ersetzten oder nachfolgenden Fassung. "Grundsätze des Datenschutzrahmens" bezeichnet die Grundsätze und ergänzenden Grundsätze, die im jeweiligen Datenschutzrahmen enthalten sind.

c. "Europäische Datenschutzgesetze" bedeutet, soweit auf die Verarbeitung personenbezogener Kundendaten anwendbar: (i) Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO"); (ii) die DSGVO in der Fassung, wie sie gemäß Abschnitt 3 des britischen European (Withdrawal) Act 2018 in britisches Recht umgesetzt wurde ("UK-Datenschutzgesetze"); und (iii) in Bezug auf die Schweiz das Bundesgesetz über den Datenschutz vom 19. Juni 1992 einschliesslich der hierzu erlassenen Verordnungen (das "Schweizer DSG").

d. "Europa" bezeichnet im Sinne dieses Zusatzes die Europäische Union, Island, Liechtenstein, Norwegen, die Schweiz und das Vereinigte Königreich.

e. "EU-SCCs" bezeichnet Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der DSGVO zwischen (i) Verantwortlichen und Auftragsverarbeitern oder (je nach den Umständen erforderlich) (ii) Auftragsverarbeitern und Auftragsverarbeitern, jeweils gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, die keine als optional gekennzeichneten Klauseln enthalten.

f. "Datensicherheitsvorfall" bezeichnet eine Verletzung der Sicherheit von Superhuman, die zu einer versehentlichen oder rechtswidrigen Erfassung, Zerstörung, Verlust, Veränderung oder unbefugter Offenlegung oder Zugriff auf personenbezogene Daten des Kunden führt, die von Superhuman im Zusammenhang mit der Bereitstellung des Dienstes übertragen, gespeichert oder anderweitig verarbeitet werden. Ein "Datensicherheitsvorfall" umfasst nicht erfolglose Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten des Kunden nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

g. "Standardvertragsklauseln" bezeichnet, soweit anwendbar, die Standardvertragsklauseln der EU oder die Standardvertragsklauseln des Vereinigten Königreichs.

h. "Unterauftragsverarbeiter" bezeichnet einen Verarbeiter, der von Superhuman oder seinen verbundenen Unternehmen beauftragt wird, die Bereitstellung der Dienstleistung(en) gemäß der Vereinbarung oder diesem Nachtrag zu unterstützen. Unterauftragsverarbeiter können Dritte oder verbundene Unternehmen von Superhuman umfassen, schließen jedoch Mitarbeiter, Auftragnehmer oder Berater von Superhuman aus.

i. "US-amerikanische Datenschutzgesetze" bezeichnet den "California Consumer Privacy Act", den "Colorado Privacy Act", den "Connecticut Act Concerning Personal Data Privacy and Online Monitoring", den "Utah Consumer Privacy Act", den "Virginia Consumer Data Protection Act" sowie samtliche weiteren von US-Bundesstaaten erlassenen Datenschutzgesetze, jeweils in der jeweils geanderten Fassung und der anwendbaren Durchführungsbestimmungen, die Verbrauchern einen allgemeinen Datenschutz gewahren und zwischen Verantwortlichen und Auftragsverarbeitern unterscheiden.

j. "UK SCCs" bezeichnet die EU SCCs zusammen mit dem Addendum zur internationalen Datenübertragung (Version B1.0), das vom britischen Informationsbeauftragten genehmigt wurde.

k. Die Begriffe "Verantwortlicher", "betroffene Person", "personenbezogene Daten", "Verarbeitung" und "Auftragsverarbeiter" sind im Sinne geltender Datenschutzgesetze auszulegen, und schließen die Begriffe "Unternehmen", "Verbraucher", "personenbezogene Informationen" und "Dienstanbieter" ein. Die Begriffe "geschäftlicher Zweck", "kommerzieller Zweck", "verkaufen" und "teilen" haben die Bedeutung, die ihnen in den Datenschutzgesetzen der Vereinigten Staaten zugewiesen ist.

2. Umfang und Zweck der Verarbeitung.

a. Dieser Nachtrag gilt in dem Maße, in dem Superhuman als Auftragsverarbeiter oder Dienstleister (je nach Anwendbarkeit) personenbezogene Daten des Kunden verarbeitet, die durch geltende Datenschutzgesetze geschützt sind. Superhuman verarbeitet personenbezogene Daten des Kunden nur gemäß den Bestimmungen dieses Nachtrags und in Übereinstimmung mit den geltenden Datenschutzgesetzen.

b. Die Parteien erkennen an und stimmen zu, dass der Kunde ein Verantwortlicher oder Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten des Kunden ist und Superhuman personenbezogene Daten des Kunden nur als Auftragsverarbeiter im Auftrag des Kunden verarbeitet, wie in Anlage A (Beschreibung der Datenverarbeitung) dieses Nachtrags näher beschrieben. Wenn der Kunde als Auftragsverarbeiter fungiert, wird der Kunde (i) die Verpflichtungen von Superhuman gegenüber den Verantwortlichen des Kunden gemäß diesem Zusatz erfüllen, einschließlich gegebenenfalls der Standardvertragsklauseln, und (ii) sicherstellen, dass jede Datenverarbeitung, die gemäß diesem Zusatz durchgeführt wird, den dokumentierten Anweisungen entspricht, die vom letztendlichen Verantwortlichen für diese Daten herausgegeben wurden.

c. Der Kunde weist Superhuman an, personenbezogene Daten des Kunden gemäß der Vereinbarung (einschließlich dieses Nachtrags) und nur für folgende Zwecke zu verarbeiten:

(i) Bereitstellung, Sicherung und Überwachung der Dienstleistung(en) gemäß der Vereinbarung;
(ii) zur Durchführung von Verarbeitungsaktivitäten, die vom Kunden im Rahmen seiner Nutzung des Dienstes initiiert wurden (einschließlich beispielsweise über eine Verwaltungskonsole); und
(iii) andere angemessene Anweisungen des Kunden einzuhalten, die mit den Bedingungen des Vertrags und dieses Nachtrags vereinbar sind.
Dementsprechend erfolgt die Verarbeitung durch Superhuman daher zu Geschäftszwecken, einschließlich der Erbringung von Dienstleistungen im Auftrag des Kunden, zur Unterstutzung bei der Gewährleistung von Sicherheit und Integrität sowie zu Debugging- und Fehlerbehebungszwecken.

d. Unbeschadet des Abschnitts 3 (Pflichten des Kunden) hat Superhuman den Kunden unverzüglich schriftlich zu benachrichtigen, soweit dies nach geltendem Recht zulassig ist, wenn Superhuman Kenntnis davon erlangt oder der Auffassung ist, dass Verarbeitungsanweisungen des Kunden gegen europäische sowie britische Datenschutzgesetze verstoßen.

3. Verantwortlichkeiten des Kunden

a. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden und für die Mittel, mit denen der Kunde die personenbezogenen Daten des Kunden erworben hat.

b. Der Kunde erklärt und garantiert, dass er seine Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten des Kunden gemäß den geltenden Datenschutzgesetzen erfüllt, einschließlich: (i) alle Mitteilungen erteilt hat und weiterhin erteilen wird und alle Zustimmungen, Genehmigungen und Rechte eingeholt hat und weiterhin einholen wird, die nach geltendem Recht, einschließlich geltender Datenschutzgesetze, erforderlich sind, Superhuman darf personenbezogene Kundendaten für die in der Vereinbarung (einschließlich dieses Nachtrags) vorgesehenen Zwecke rechtmäßig verarbeiten; (ii) es hat alle anwendbaren Gesetze, einschließlich der anwendbaren Datenschutzgesetze, bei der Erfassung und Bereitstellung solcher personenbezogenen Kundendaten an Superhuman eingehalten; und (iii) sicherstellt, dass seine Verarbeitungsanweisungen den geltenden Gesetzen entsprechen (einschließlich geltender Datenschutzgesetze) und dass die Verarbeitung personenbezogener Daten des Kunden durch Superhuman gemäß den Anweisungen des Kunden nicht dazu führt, dass Superhuman gegen geltende Datenschutzgesetze verstößt.

c. Sofern der Kunde vernünftigerweise annimmt, dass Superhuman personenbezogene Daten des Kunden unbefugt verarbeitet, hat der Kunde Superhuman darüber unverzüglich zu informieren, und die Parteien werden in gutem Glauben zusammenarbeiten, um die mutmaßlich rechtsverletzenden Verarbeitungstätigkeiten erforderlichenfalls zu beheben.

4. Pflichten von Superhuman

a. Wobei Superhuman:

i. Keine personenbezogenen Daten des Kunden verkaufen oder weitergeben darf.

ii. Personenbezogener Daten des Kunden zu keinem anderen Zweck als den hier angegebenen spezifischen Zwecken verarbeiten darf. Zur Klarstellung: Superhuman wird personenbezogene Daten des Kunden nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Superhuman verarbeiten.

iii. Personenbezogene Daten des Kunden dürfen nicht mit Informationen kombiniert werden, die von oder im Namen einer anderen Quelle erhalten wurden oder die aus den eigenen Interaktionen des Auftragsverarbeiters mit einer betroffenen Person stammen, außer in dem Umfang, in dem eine solche Kombination nach den geltenden Datenschutzgesetzen zulässig ist.

iii. Hinsichtlich der Verarbeitung personenbezogener Daten des Kunden hält Superhuman die geltenden Datenschutzgesetze ein und bietet – sofern von Auftragsverarbeitern gemäß den geltenden Datenschutzgesetzen verlangt – dasselbe Datenschutzniveau, das vom Kunden gemäß den geltenden Datenschutzgesetzen verlangt wird.

v. Den Kunden beachrichtigen wird, wenn Superhuman der Ansicht ist, dass es seine Verpflichtungen gemäß den anwendbaren Datenschutzbestimmungen nicht erfüllen kann.

5. Rechte der betroffenen Person und Kooperation.

a. Superhuman wird den Kunden unverzüglich über Folgendes informieren: (i) Dritte oder Einzelpersonen (z. B. im Namen des Kunden); oder (ii) Anfragen von Behörden oder betroffenen Personen auf Zugang zu oder Informationen über die Verarbeitung personenbezogener Daten des Kunden durch Superhuman im Namen des Kunden (jeweils eine "Kommunikation"), sofern dies nicht durch geltende Datenschutzgesetze verboten ist. Erhält Superhuman eine solche Mitteilung direkt, wird Superhuman hierauf ohne vorherige Zustimmung des Kunden nicht reagieren, es sei denn, dies ist angemessen (z. B. um die betroffene Person an den Kunden zu verweisen) oder gesetzlich erforderlich. Der Kunde ist dafür verantwortlich, auf solche Anfragen zu reagieren, gegebenenfalls auch durch Nutzung der Funktionen der Services.

b. Superhuman leistet angemessene und gesetzlich vorgeschriebene Unterstützung und Zusammenarbeit, damit der Kunde seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen erfüllen kann. Auf schriftliche Anfrage des Kunden umfasst dies, sofern der Kunde nicht in der Lage ist, auf die Kommunikation mithilfe der Funktionalität der Services zu antworten, eine angemessene Zusammenarbeit, um den Kunden unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung der Kommunikation zu unterstützen.

c. Soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist und unter Berücksichtigung der Art der Verarbeitung und der Superhuman vorliegenden Informationen wird Superhuman dem Kunden angemessene Unterstützung bei der Durchführung einer Datenschutzfolgenabschätzung oder vorheriger Konsultation mit Aufsichtsbehörden gewähren, wie dies nach den geltenden Datenschutzgesetzen erforderlich ist. Superhuman erfüllt die vorstehenden Bestimmungen durch: (i) Einhaltung von Abschnitt 10 (Audits); (ii) Bereitstellung der in der Vereinbarung enthaltenen Informationen, einschließlich dieser Ergänzung; und (iii) falls die vorstehenden Unterabschnitte (i) und (ii) für die Erfüllung dieser Verpflichtungen nicht ausreichen, bietet Superhuman auf Anfrage zusätzliche angemessene Unterstützung (auf Kosten des Kunden).

6. Datensicherheit.

a. Superhuman wird: (i) wie in Anlage B dargelegt, angemessene und vernünftige administrative, technische, physische, und organisatorische Maßnahmen zum Schutz der personenbezogenen Kundendaten vor Sicherheitsvorfällen und zur Wahrung der Sicherheit und Vertraulichkeit der personenbezogenen Kundendaten ("Sicherheitsmaßnahmen") implementieren; und (ii) sicherstellen, dass die zur Verarbeitung der Kundendaten berechtigten Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter einer angemessenen (gesetzlichen oder vertraglichen) Vertraulichkeitsverpflichtung unterliegen.

b. Der Kunde ist dafür verantwortlich, die von Superhuman zur Verfügung gestellten Informationen zur Datensicherheit zu überprüfen und unabhängig zu entscheiden, ob die für den Dienst geltenden Sicherheitsmaßnahmen den Anforderungen des Kunden und seinen rechtlichen Verpflichtungen gemäß den geltenden Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen technischen Entwicklungen unterliegen und dass Superhuman berechtigt ist, diese Sicherheitsmaßnahmen gelegentlich zu aktualisieren oder zu ändern, vorausgesetzt, dass hierdurch das Gesamtsicherheitsniveau des dem Kunden bereitgestellten Dienstes nicht beeinträchtigt wird.

c. Ungeachtet des Vorstehenden stimmt der Kunde zu, dass er, soweit in diesem Zusatz nicht ausdrücklich etwas anderes vorgesehen ist, die Verantwortung für die sichere Nutzung des Dienstes tragt, einschließlich der Absicherung seiner Konto-Authentifizierungsdaten, des Schutzes der Sicherheit der Kundendaten während der Übertragung zum und vom Dienst sowie der Vornahme geeigneter Massnahmen zur sicheren Verschlüsselung oder Datensicherung der in den Dienst hochgeladenen Kundendaten.

7. Datensicherheitsvorfall.

a. Sobald Superhuman von einem Datensicherheitsvorfall Kenntnis erhält, wird Superhuman: (i) den Kunden unverzüglich und ohne schuldhaftes Verzögern benachrichtigen; (ii) fortlaufend zeitnahe Informationen zum Datensicherheitsvorfall bereitstellen, sobald diese verfugbar sind oder vom Kunden angemessenerweise angefordert werden; und (iii) umgehend angemessene Schritte zur Eindämmung und Untersuchung des Datensicherheitsvorfalls einleiten.

b. Die Benachrichtigung von Superhuman über einen Datensicherheitsvorfall oder die Reaktion darauf gemäß diesem Abschnitt 7 gilt nicht als Anerkennung eines Fehlers oder einer Haftung von Superhuman in Bezug auf den Datensicherheitsvorfall. Superhuman ist nicht verpflichtet, Kundendaten zu bewerten, um Informationen zu ermitteln, die möglicherweise bestimmten gesetzlichen Anforderungen unterliegen.

c. Der Kunde erkennt an, dass (i) Datensicherheitsvorfälle und die in diesem Zusatz übernommenen Verpflichtungen von Superhuman keine Integrationen oder Dienste von Drittanbietern erfassen, die der Kunde oder dessen Endbenutzer über den Superhuman-Marktplatz beziehen, und (ii) der Kunde die alleinige Verantwortung für die Prüfung der von diesen Drittanbietern bereitgestellten Sicherheits- und Datenschutzunterlagen sowie der entsprechenden Vertrage tragt.

8. Unterauftragsverarbeiter.

a. Der Kunde erkennt an und stimmt zu, dass Superhuman Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Kunden gemäß den Bestimmungen dieses Zusatzes sowie den geltenden Datenschutzgesetzen beauftragen kann. Eine aktuelle Ubersicht uber die von Superhuman eingesetzetn Unterauftragsverarbeiter ist unter https://superhuman.com/legal/subprocessors ("Unterauftragsverarbeiter-Seite") abrufbar, wobei der Kunde Superhuman ausdrücklich die Genehmigung zur Beauftragung solcher Unterauftragsverarbeiter erteilt. Darüber hinaus ermächtigt der Kunde Superhuman generell, gemäß Abschnitt 8(c) unten weitere Dritte als Unterauftragsverarbeiter einzusetzen.

b. Superhuman wird: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung schließen, die Datenschutzverpflichtungen enthält, die mindestens das gleiche Schutzniveau für personenbezogene Daten des Kunden bieten wie die in diesem Anhang enthaltenen, soweit dies für die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistung anwendbar ist; und (ii) bleiben verantwortlich für die Einhaltung der Verpflichtungen dieses Unterauftragsverarbeiters durch diesen Unterauftragsverarbeiter und für alle Handlungen oder Unterlassungen dieses Unterauftragsverarbeiters, die Superhuman dazu veranlassen, gegen eine seiner Verpflichtungen aus diesem Anhang zu verstoßen.

c. Superhuman benachrichtigt den Kunden mindestens 30 Tage vor solchen Änderungen, wenn er Unterauftragsverarbeiter hinzufügt, sofern der Kunde sich dafür entscheidet, solche Benachrichtigungen über das spezielle Formular zu erhalten, das auf der Seite der Unterauftragsverarbeiter angegeben ist. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Superhuman vor dessen Ernennung schriftlich widersprechen (z. B. wenn die Bereitstellung personenbezogener Daten des Kunden an den Unterauftragsverarbeiter gegen geltende Datenschutzgesetze verstößt oder den Schutz solcher personenbezogenen Daten des Kunden schwächt). In einem solchen Fall werden die Parteien diese Bedenken in gutem Glauben besprechen, um eine wirtschaftlich angemessene Lösung zu erreichen. Wird keine solche Lösung erreicht, wird Superhuman nach eigenem Ermessen entweder keinen Unterauftragsverarbeiter bestellen oder dem Kunden gestatten, den betroffenen Dienst gemäß den Kündigungsbestimmungen in der Vereinbarung zu kündigen oder auszusetzen, ohne dass eine der Parteien haftbar gemacht wird (jedoch unbeschadet der Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind).

9. Datenübertragungen.

a. Der Kunde erkennt an, dass Superhuman personenbezogene Daten des Kunden in den Vereinigten Staaten und an jedem anderen Ort verarbeiten kann, an dem Superhuman und seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, um den Dienst auszuführen. Superhuman wird personenbezogene Daten von Kunden mit Ursprung in Europa nicht (direkt oder durch Weiterübermittlung) in ein Land außerhalb Europas übermitteln, es sei denn, Superhuman trifft zunächst Maßnahmen, um sicherzustellen, dass die Übermittlung in Übereinstimmung mit den geltenden europäischen Datenschutzgesetzen erfolgt.

b. Superhuman nimmt an dem Data Privacy Framework teil und zertifiziert die Einhaltung dessen, wie in der Data Privacy Framework-Zertifizierung von Superhuman, Inc. beschrieben. Soweit und in dem Umfang, in dem der Datenschutzrahmen Anwendung findet, dient er der rechtmäßigen Ubermittlung personenbezogeneer Daten von Kunden in den Vereinigten Staaten, und Superhuman gewährleistet, dass diese Daten mindestens das nach den Grundsätzen des Datenschutzrahmens erforderliche Schutzniveau erhalten. Superhuman benachrichtigt den Kunden, wenn es zu dem Schluss kommt, dass es seinen Verpflichtungen gemäß dem Datenschutzrahmen nicht mehr nachkommen kann.

c. Wenn europäische Datenschutzgesetze erfordern, dass angemessene Sicherheitsvorkehrungen getroffen werden (z. B. wenn der Datenschutzrahmen die Übermittlung nicht abdeckt oder ungültig ist), werden die geltenden Standardvertragsklauseln vollständig durch Bezugnahme aufgenommen und bilden einen integralen Bestandteil dieses Nachtrags wie folgt (wobei die Anhänge und/oder Nachträge zu den geltenden Standardvertragsklauseln in Anlage A zu diesem Nachtrag aufgeführt sind):

i. Soweit Superhuman personenbezogene Kundendaten verarbeitet, die durch die europäischen Datenschutzgesetze geschützt sind, verpflichtet sich Superhuman, an die EU-Standardvertragsklauseln gebunden zu sein und diese personenbezogenen Daten gemäss den EU-Standardvertragsklauseln zu verarbeiten. Für die Zwecke der Beschreibungen in den EU-SCCs stimmt Superhuman zu, dass es ein "Datenimporteur" und der Kunde der "Datenexporteur" ist (ungeachtet dessen, dass der Kunde selbst eine juristische Person mit Sitz in einem Drittland sein kann). Im Sinne von Klausel 9 der EU-Standardvertragsklauseln wird eine allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 8.c dieses Zusatzes erteilt. Im Sinne von Klausel 17 der EU-Standardvertragsklauseln unterliegt die Vereinbarung dem irischen Recht, wobei für Klausel 18 die irischen Gerichte zuständig sind.

ii. Soweit Superhuman personenbezogene Kundendaten verarbeitet, die durch das britische Datenschutzgesetz geschützt sind, gelten die Standardvertragsklauseln des Vereinigten Königreichs.

iii. Soweit Superhuman personenbezogene Kundendaten verarbeitet, die durch das Schweizer Datenschutzgesetz geschützt sind, finden die EU-Standardvertragsklauseln mit den folgenden Anpassungen Anwendung:

A. Verweise in den EU-Standardvertragsklauseln auf die "Richtlinie 95/46/EG" oder die "Verordnung (EU) 2016/679" gelten als Verweise auf das Schweizer Datenschutzgesetz;
B. Verweise auf die Begriffe "EU", "Union", "Mitgliedstaat" und "Recht der Mitgliedstaaten" gelten jeweils als Verweise auf die Schweiz bzw. das Schweizer Recht; und
C. Verweise auf die "zuständige Aufsichtsbehörde" und die "zuständigen Gerichte" sind als Verweise auf den Eidgenossischen Datenschutz- und Offentlichkeitsbeautragten sowie auf die zuständigen Gerichte in der Schweiz auszulegen.

iv. Im Falle eines Widerspruchs zwischen den EU-Standardvertragsklauseln oder den Standardvertragsklauseln des Vereinigten Königreichs und diesem Zusatz haben die EU-Standardvertragsklauseln bzw. die des Vereinigten Königreichs (jeweils soweit anwendbar) Vorrang.

10. Prüfungen.

a. Auf Anfrage des Kunden stellt Superhuman dem Kunden Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieses Nachtrags nachzuweisen. Der Kunde erkennt an und stimmt zu, dass er seine Prüfungsrechte gemäß diesem Zusatz (einschließlich dieses Abschnitts 10(a) und gegebenenfalls der Standardvertragsklauseln) sowie alle Prüfungsrechte, die ihm gemäß den geltenden Datenschutzgesetzen gewährt werden, ausüben wird, indem er Superhuman anweist, die in Abschnitt 10(b) unten beschriebenen Prüfungsmaßnahmen einzuhalten.

b. Auf schriftliche Anfrage stellt Superhuman dem Kunden (auf vertraulicher Basis) eine zusammenfassende Kopie seiner jeweils aktuellen Prüfberichte ("Prüfbericht") zur Verfügung, die von von Superhuman ausgewahlten auf dessen Kosten beauftragten externen Sicherheitsexperten erstellt wurden.

11. Rückgabe oder Vernichtung personenbezogener Daten des Kunden.

a. Nach Beendigung oder Ablauf der Vereinbarung wird Superhuman auf schriftliche Anfrage des Kunden alle personenbezogenen Daten des Kunden zur Rückgabe an den Kunden bereitstellen und/oder sicher vernichten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, gemäß der Vereinbarung. Diese Anforderung gilt jedoch nicht in dem Umfang, in dem Superhuman nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten des Kunden aufzubewahren, oder in Bezug auf personenbezogene Daten des Kunden, die Superhuman auf Backup-Systemen archiviert hat. Diese Daten werden von Superhuman sicher isoliert, vor jeglicher weiteren Verarbeitung geschützt und gemäß seinen Löschpraktiken gelöscht.

12. Anonymisierte Daten von Einwohnern der Vereinigten Staaten.

a. Die Parteien erkennen an, dass Daten, die gemäß den Datenschutzgesetzen der Vereinigten Staaten "de-identifiziert" oder "deidentifiziert" wurden ("de-identifizierten Daten"), keine personenbezogenen darstellen.

b. Sofern nicht anderweitig durch die anwendbaren Datenschutzgesetze gestattet, darf Superhuman personenbezogenen Kundendaten de-identifizieren und deidentifizierte Daten nurin den folgenden Fallen verarbeiten:

i. wenn es angemessene Maßnahmen ergreift, um sicherzustellen, dass die deidentifizierten Daten nicht mit einer identifizierbaren Person in Verbindung gebracht werden können;
ii. wenn es öffentlich zusichert, die deidentifizierten Daten nur in deidentifizierter Form zu speichern und zu verwenden und keine Re-Identifizierung deidentifizierter Daten vorzunehmen; und
iii. jeden Empfänger der deidentifizierten Daten vertraglich dazu verpflichtet, Anforderungen einzuhalten, die im Wesentlichen denen in Abschnitt 12 (deidentifizierte Daten) dieses Zusatzes vorgesehenen entsprechen.

13. Haftungsbeschränkung.

a. Die Haftung von Superhuman aus oder im Zusammenhang mit diesem Anhang unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüssen.


14. Laufzeit.

a. Dieses Addendum tritt am Tag der letzten Unterzeichnung durch eine Vertragspartei oder, falls kein solches Datum vorhanden ist, am Tag des Inkrafttretens des Abkommens.


15. Fortbestand.

a. Die Bestimmungen dieses Nachtrags gelten auch nach Beendigung oder Ablauf des Vertrags so lange, wie Superhuman oder seine Unterauftragsverarbeiter personenbezogene Daten des Kunden verarbeiten.


Anlage A: Beschreibung der Datenverarbeitung

1. Liste der Vertragsparteien:

Datenexporteur(e):
Name: Die im Zusatz als "Kunde" bezeichnete Entitat.
Adresse: Die Adresse des Kunden, die im Anhang oder Vertrag angegeben ist.
Kontaktdaten: Die Kontaktdaten, die mit dem Kundenkonto verknüpft sind oder die anderweitig im Anhang oder der Vereinbarung angegeben sind.
Aktivitäten relevant für die übermittelten Daten: Siehe Abschnitt 2 unten.
Rolle: Wenn der Kunde als Verantwortlicher fungiert, Verantwortlicher. Wenn der Kunde als Auftragsverarbeiter fungiert, Auftragsverarbeiter.

Datenimporteur(e):
Name: "Superhuman", wie im Zusatz angegeben.
Adresse: Die Adresse von Superhuman, wie in der Vereinbarung angegeben.
Kontaktdaten: Die Kontaktdaten von Superhuman, wie im Anhang oder der Vereinbarung angegeben.
Aktivitäten relevant für die übermittelten Daten: Siehe Abschnitt 2 unten.
Rolle: Datenauftragsverarbeiter

2. Beschreibung der Verarbeitung

a. Gegenstand, Art und Zweck der Verarbeitung: Superhuman verarbeitet personenbezogene Daten des Kunden ausschließlich für die in Abschnitt 2(c) dieses Nachtrags genannten Zwecke.

b. Voraussichtliche Dauer der Verarbeitung: Für die Laufzeit des Vertrags zuzüglich des Zeitraums ab Ablauf oder Kündigung des Vertrags bis zur Löschung aller personenbezogenen Daten des Kunden durch Superhuman gemäß dem Vertrag.

c. Typische Kategorien betroffener Personen: Betroffene Personen umfassen die Personen, zu denen Superhuman über den Dienst (oder auf deren Weisung) Daten des Kunden oder seiner Benutzer bereitgestellt werden.

d. Kategorien personenbezogener Kundendaten, die ublicherweise im Rahmen der Vereinbarung verarbeitet werden: Die Kategorien personenbezogener Kundendaten werden vom Kunden nach alleinigem Ermessen bestimmt  und umfassen personenbezogene Daten von Personen, die Superhuman über den Dienst vom Kunden oder dessen Benutzern (oder auf deren Weisung) bereitgestellt werden.

e. Besondere Kategorien personenbezogener Daten: Superhuman erhebt oder verarbeitet nicht absichtlich besondere Kategorien personenbezogener Daten.


Anlage B: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Die gemäß diesem Zusatz bereitgestellten Dienste umfassen mehrere verschiedene Produktangebote, einschließlich, aber nicht beschränkt auf Grammarly, Superhuman Mail und Coda (zusammen die "Dienste"). Jeder Dienst unterhält und implementiert technische und organisatorische Sicherheitsmaßnahmen, die seinem Design und seiner Funktionalität entsprechen, um personenbezogene Daten des Kunden zu schützen und Datensicherheitsvorfälle zu verhindern, zu erkennen und zu mindern. Angesichts der unterschiedlichen Architekturen und betrieblichen Anforderungen der jeweiligen Services werden die für jeden Service geltenden Sicherheitsmaßnahmen nachfolgend separat beschrieben. Zur Klarstellung sei darauf hingewiesen, dass die hier beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen spezifisch für den jeweiligen Dienst sind und nicht so ausgelegt werden, dass sie auf andere Dienste Anwendung finden. Solche Sicherheitsmaßnahmen gelten nur insoweit, als der Kunde den entsprechenden Service erworben hat, wie im entsprechenden Bestelldokument oder auf der Checkout-Seite für Online-Käufe angegeben, der der Kunde zugestimmt hat.

Sicherheitsmaßnahmen, die für Grammarly-Angebote gelten:

Grammarly implementiert strenge administrative, vertragliche und technische Verfahren zum Schutz von Informationen, die im Rahmen der Leistungserbringung auf seine Server übertragen, von dort verarbeitet oder dort gespeichert werden.

Die gesamte serverseitige Infrastruktur von Grammarly wird auf Amazon Web Services (AWS) in den USA gehostet. Die Server und das Netzwerk von Grammarly minimieren die Angriffsfläche, indem alle Systeme in unserem privaten Netzwerk innerhalb unserer sicheren Cloud-Plattform platziert werden. Externe Dienste werden nur über Load Balancer und eine Webanwendungs-Firewall zugänglich gemacht. Grammarly ist für den AWS Enterprise Support registriert, die höchstmögliche Stufe des AWS-Supports.

Grammarly verschlüsselt alle Datenübertragungen zwischen Grammarly und den Datenexporteuren mit aktuellen Verschlüsselungsprotokollen, einschließlich mindestens TLS 1.2. Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt. Grammarly verwendet AWS Key Management Services für die Datenbankverschlüsselung und Schlüsselverwaltung. Der Zugriff auf die kryptografischen Schlüssel ist auf autorisiertes Personal beschränkt. Die internen Dienste von Grammarly sind über das virtuelle private Netzwerk verfügbar, mit Ausnahme der Dienste, die für die Bereitstellung der Produkte von Grammarly an Kunden Zugriff auf das öffentliche Internet benötigen.

Der Zugriff auf den Speicher personenbezogener Daten erfolgt nach dem Prinzip der geringsten Berechtigung; eine Multifaktor-Authentifizierung ist erforderlich. Die Sicherheitsabteilung überwacht kontinuierlich den Zugriff auf alle Informationen und stellt klare Sicherheitsgrenzen zwischen Produktion, Bereitstellung, Entwicklung usw. bereit.

Die Compliance-Teams von Grammarly definieren und kontrollieren die Erfassung, Verarbeitung und Speicherung der personenbezogenen Daten der Kunden. Hierzu verwendet Grammarly Datenflusskarten, Serviceinventar, Checklisten für neue Serviceinführungen und andere Prozesse, um alle internen und externen Datenübertragungen zu verfolgen. Grammarly überprüft sämtlicge Codeänderungen durch Reviews und automatisierte Prüfungen und führt jährlich Sicherheits-Penetrationstests mit einem externen Unternehmen durch. Alle Notebooks, Server und Container sind so konfiguriert, dass sie auf die neuesten Versionen aktualisiert werden, sobald diese verfügbar sind.

Detaillierte Informationen zu den technischen und organisatorischen Maßnahmen von Grammarly zur Gewährleistung der Sicherheit der Daten finden Sie auf den Seiten zur Zertifizierung und Einhaltung gesetzlicher Vorschriften für Unternehmen unter https://www.grammarly.com/security und https://www.grammarly.com/trust.

Sicherheitsmaßnahmen für Superhuman Mail-Angebote:

Das Informationssicherheitsprogramm von Superhuman Mail umfasst administrative, technische und physische Sicherheitsvorkehrungen, die darauf ausgelegt sind, die von uns verarbeiteten personenbezogenen Daten vor vorhersehbaren Bedrohungen oder Gefahren für deren Sicherheit, Vertraulichkeit oder Integrität zu schützen (wie unbefugten Zugriff, Sammlung, Verwendung, Kopieren, Änderung, Entsorgung oder Offenlegung, unbefugter, rechtswidriger oder versehentlicher Verlust, Zerstörung, Erwerb, Beschädigung oder jede andere unbefugte Form der Verarbeitung).

Das Sicherheitsprogramm von Superhuman basiert auf den folgenden zentralen Sicherheitsprinzipien:
  • Prinzip der geringsten Berechtigung: Diensten und Benutzern wird die Mindestanzahl an Berechtigungen gewährt, die für ihre Arbeit erforderlich sind.
  • Verschlüsselung im Ruhezustand und bei der Übertragung: Alle Daten werden im Ruhezustand und bei der Übertragung verschlüsselt, wobei besonders sensible Daten zusätzlich auf Anwendungsebene verschlüsselt werden.
  • Minimierte Angriffsfläche: Es werden keine internen Server dem Internet ausgesetzt, stattdessen kommen distroless Container zum Einsatz, und der Betriebs läuft vollständig auf einer von Google verwalteten Infrastruktur.
  • Automatische Updates: Laptops, Server und Container werden so konfiguriert, dass sie automatisch auf die neuesten Versionen aktualisiert werden, sobald diese verfügbar sind.
  • Eindeutige Sicherheitsgrenzen: Produktions-, Staging-, und Entwicklungsumgebungen usw. sind vollständig voneinander getrennt, und das Überschreiten einer Sicherheitsgrenze erfordert eine Authentifizierung über das Identity and Access Management (IAM) von Google. Jede Authentifizierung erfordert zwei Faktoren.
  • Validierung von Annahmen: Jeder neu zu Superhuman hinzugefügte Code wird unter Sicherheitsgesichtspunkten geprüft. Zudem lassen wir jährlich Sicherheits-Audits durch ein externes Unternehmen durchführen, um potentielle Schwachstellen zu erkennen.

Nachfolgend sind einige beispielhafte Sicherheitsmaßnahmen aufgeführt, die implementiert wurden:

1. Maßnahmen zur Verschlüsselung personenbezogener Daten
  • Superhuman wird vollständig in der Google Cloud gehostet. Wir nutzen die vorhandene Infrastruktursicherheit zur Verschlüsselung ruhender Daten und setzen gegebenenfalls eine zusätzliche Verschlüsselungsebene auf Anwendungsebene ein, um das Risiko einer Gefährdung von Daten zu verringern.
  • Superhuman verschlüsselt den gesamten Netzwerkverkehr im öffentlichen Internet mit mindestens TLS 1.2 und verwendet Google Cloud ATLS, um den Datenverkehr in unserer Umgebung zu schützen.

2. Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Stabilität von Verarbeitungssystemen und -diensten
  • Superhuman stellt sicher, dass alle Systeme und Dienste auf dem neuesten Stand sind, entweder durch den Einsatz automatisierter Mechanismen oder durch die Reaktion auf proaktive Alarmierungen. Wir setzen in hohem Masse auf unveränderliche Infrastruktur, die regelmäßig in einen bekannten, sicheren Zustand neu aufgebaut wird.
  • Die Vergabe von Berechtigungen erfolgt nach dem Prinzip der geringsten Privilegien, sodass Mitarbeiter ausschliesslich Zugriff auf die für ihre jeweilige Rolle erforderlichen Teile der Infrastruktur erhalten.
  • Superhuman prognostiziert proaktiv Änderungen in den Nutzungsmustern und investiert umfassend in die Gewährleistung der Belastbarkeit unserer Systeme gegenüber der erwarteten Last. Alle Änderungen an Systemen werden von einem unabhängigen Ingenieur genehmigt und vor der Umsetzung in der Produktionsumgebung getestet.

3. Maßnahmen zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls
  • Superhuman überwacht kontinuierlich die Verfügbarkeit seiner Systeme und verfügt über eine 24/7-Bereitschaft, um auf Vorfälle zu reagieren, die die Verfügbarkeit des Dienstes betreffen.
  • Die zentralen Dienste von Superhuman werden uber mehrere Zonen hinweg vertrieben, um das Risiko zu reduzieren, dass ein schwerwiegendes Ereignis die Verfügbarkeit beeintrchtigt.
  • Superhuman erstellt Backups aller Daten, und diese Backups sind über mehrere Regionen verteilt. Falls unsere Live-Produktionsumgebung komplett ausfällt, können wir trotzdem den Zugriff auf die Daten wiederherstellen.

4. Verfahren zur regelmäßigen Uberprufung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Sicherstellung der Verarbeitungssicherheit.
  • Superhuman führt jährliche Sicherheitsprüfungen mit Hilfe eines Drittanbieters durch, um Bereiche mit Cyberrisiken zu identifizieren.
  • Superhuman unterzieht sich jährlich einem SOC 2-Audit, um die Effektivität der implementierten Kontrollen zu evaluieren.
  • Superhuman führt vierteljährliche Simulationen von Ausfällen durch, einschließlich der Wiederherstellung von Produktions-Backups.

5. Maßnahmen zur Benutzeridentifikation und -autorisierung
  • Die gesamte Benutzeridentifikation erfolgt vollstandig uber Ihren E-Mail-Anbieter (Google oder Microsoft), und die Autorisierung basiert massgeblich auf Oauth2.
  • Fur Mitarbeiter von Superhuman ist die Nutzung einer Multifaktor-Authentifizierung verpflichtend.
  • Samtliche Anmeldevorgange werden in einem unabhängigen Protokollierungssystem erfasst
6. Maßnahmen zur physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden
  • Superhuman verarbeitet personenbezogene Daten in Google Cloud, die physische Sicherheit bietet, wie in der Google-Dokumentation beschrieben: https://cloud.google.com/security

7. Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich Standardkonfiguration
  • Superhuman verwendet Google Cloud Kubernetes Engine, um eine konsistente Konfiguration auf allen Produktionsmaschinen durchzusetzen.
  • Superhuman verwendet Google Cloud Security Scanner, um unsichere Konfigurationsänderungen an unseren Google Cloud-Ressourcen zu erkennen.
  • Superhuman setzt MDM zur Sicherstellung einer sicheren Systemkonfiguration für alle Laptops des Unternehmens ein.

8. Maßnahmen zur internen IT- und IT-Sicherheitsgovernance und -Management
  • Da die Infrastruktur von Superhuman vollständig auf der Google Cloud betrieben wird, ist sie von der ISO 27001-Zertifizierung sowie den SOC 2-Prufberichten von Google umfasst.
  • Superhuman verfügt über eine schriftliche Informationssicherheitsrichtlinie einschließlich unterstützender Dokumentation.
  • Weitere schriftliche Sicherheitsrichtlinien, die Superhuman eingerichtet hat, umfassen:
    • Datenzugriffsebenen
    • Notfallwiederherstellung und Geschäftskontinuität
    • Richtlinie zur Infrastrukturverwaltung
    • Aufzeichnungen über Verarbeitungstätigkeiten
    • Richtlinie zum Risikomanagement
    • Richtlinie zur Datenspeicherung

9. Maßnahmen zur Sicherstellung der Rechenschaftspflicht
  • Superhuman verlangt von allen Mitarbeitern, dass sie potenzielle Richtlinienverstöße melden und diese entweder an einen Manager oder an unser anonymes Beschwerdeformular weiterleiten.

Sicherheitsmaßnahmen für Coda-Angebote:

Bitte lesen Sie die Informationen auf dieser Website (die von Zeit zu Zeit aktualisiert werden): https://coda.io/trust/securityannex