Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung ("DPA") gilt, wenn Sie ("Kunde", "Verantwortlicher") die Kapsule Cloud Services zur Verarbeitung von personenbezogenen Daten anderer Personen ("betroffene Personen") nutzen. Sie ist Bestandteil der Nutzungsbedingungen zwischen Ihnen und Kapsule Group Limited ("Kapsule Cloud", "wir", "uns", "Auftragsverarbeiter").

Diese DPA spiegelt die Anforderungen des New Zealand Privacy Act 2020 wider. Sofern Sie anderen anwendbaren Datenschutzgesetzen unterliegen (beispielsweise der EU-Datenschutz-Grundverordnung, UK GDPR oder dem Australian Privacy Act 1988), sind die relevanten Bestimmungen dieser DPA, zusammen mit unserer Datenschutzrichtlinie und unserer Liste der Unterauftragsverarbeiter, dazu bestimmt, einen mit diesen Gesetzen vergleichbaren Schutz zu bieten. Sofern zusätzliche vertragliche Maßnahmen erforderlich sind, um Ihre Compliance mit einem ausländischen Gesetz zu unterstützen, werden wir diese auf Anfrage prüfen.

Wenn Sie die Services ausschließlich zur Verarbeitung Ihrer eigenen personenbezogenen Daten nutzen (und nicht zur Verarbeitung personenbezogener Daten anderer Personen), gilt diese DPA nicht; die Datenschutzrichtlinie allein ist anwendbar.

In dieser DPA:

«Applicable Privacy Laws» bezeichnet den Privacy Act 2020 und alle anderen Datenschutz- oder Datenschutzgesetze, die auf die Verarbeitung personenbezogener Daten durch den Kunden unter Verwendung der Services anwendbar sind.

«Controller» bezeichnet die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

«Customer Personal Information» bezeichnet personenbezogene Daten, die wir in Ihrem Namen unter Verwendung der Services in Bezug auf Data Subjects verarbeiten.

«Data Subject» bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich die Customer Personal Information bezieht.

«Notifiable Privacy Breach» hat die in Abschnitt 112 des Privacy Act 2020 festgelegte Bedeutung (eine Datenschutzverletzung, die erheblichen Schaden verursacht hat oder voraussichtlich verursachen wird).

«Personal Information» hat die im Privacy Act 2020 festgelegte Bedeutung.

«Processor» bezeichnet eine Person, die personenbezogene Daten im Auftrag des Controllers verarbeitet.

«Processing» bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisiert sind oder nicht.

«Sub-processor» bezeichnet einen Dritten, den wir beauftragen, um Customer Personal Information in unserem Namen zu verarbeiten.

«Standard Contractual Clauses» bezeichnet die von einer anerkannten Datenschutzbehörde angenommenen Standard-Datenschutzklauseln (zum Beispiel die EU Standard Contractual Clauses der Europäischen Kommission) für die Übermittlung personenbezogener Daten aus einer Rechtsordnung mit restriktiven Regeln für grenzüberschreitende Datenübermittlung.

Andere groß geschriebene Begriffe haben die in den Terms of Service festgelegten Bedeutungen.

#2.1 Rollen. In Bezug auf Customer Personal Information sind Sie der Verantwortliche und wir sind der Auftragsverarbeiter. Sie sind verantwortlich für die Rechtmäßigkeit Ihrer Erfassung und Verarbeitung von Customer Personal Information, einschließlich der Bereitstellung aller erforderlichen Datenschutzmitteilungen, der Einholung aller erforderlichen Einwilligungen und der Einhaltung aller geltenden Datenschutzgesetze in Ihren Geschäftsbeziehungen mit betroffenen Personen.

#2.2 Dokumentierte Anweisungen. Wir verarbeiten Customer Personal Information nur: (a) in dem Umfang, der erforderlich ist, um die Services gemäß den Nutzungsbedingungen bereitzustellen; (b) gemäß Ihren angemessenen, dokumentierten Anweisungen (die Nutzungsbedingungen, die Konfigurationswahlmöglichkeiten, die Sie in KPanel vornehmen, und alle weiteren schriftlichen Anweisungen, die Sie uns geben, gelten als Ihre dokumentierten Anweisungen); und (c) soweit dies durch für uns geltende Gesetze erforderlich ist. In diesem Fall werden wir Sie vor der Verarbeitung über die gesetzliche Anforderung informieren, es sei denn, dies ist durch dieses Gesetz aus wichtigen Gründen des öffentlichen Interesses untersagt.

#2.3 Widersprüchliche Anweisungen. Wir werden Sie informieren, wenn wir angemessen der Ansicht sind, dass eine Anweisung von Ihnen gegen ein geltenden Datenschutzgesetz verstößt. Wir können die Verarbeitung von Customer Personal Information ablehnen, wenn dies dazu führen würde, dass wir gegen ein geltenden Datenschutzgesetz verstoßen.

#3.1 Wir werden sicherstellen, dass jede Person, die bevollmächtigt ist, Kundenpersonendaten in unserem Namen zu verarbeiten, durch Vertrag oder Gesetz an Vertraulichkeitsverpflichtungen gebunden ist und über die vertrauliche Natur der Informationen informiert wird.

#3.2 Der Zugriff auf Kundenpersonendaten ist auf eine Notwendigkeitsbasis beschränkt und wird durch Zugriffskontrolle, obligatorische Zwei-Faktor-Authentifizierung und Audit-Protokollierung geschützt.

#4.1 Wir werden angemessene technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um Kundenpersonendaten gegen unbefugte oder rechtswidrige Verarbeitung, versehentlichen Verlust, Zerstörung oder Beschädigung zu schützen. Die aktuellen Maßnahmen sind in Anlage B dieser DPA und unter kapsulecloud.com/legal/security zusammengefasst.

#4.2 Wir werden unsere Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko für die Rechte und Freiheiten von betroffenen Personen zu berücksichtigen.

#4.3 Wir werden den Gesamtschutz nicht wesentlich reduzieren, ohne Sie vorher zu benachrichtigen.

#5.1 Genehmigung. Sie genehmigen uns, die auf kapsulecloud.com/legal/sub-processors aufgelisteten Unterauftragsverarbeiter mit der Verarbeitung von Kundenpersonendaten zu beauftragen.

#5.2 Bedingungen für Unterauftragsverarbeiter. Wir werden mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abschließen, der Datenschutzverpflichtungen auferlegt, die nicht weniger schützend sind als diejenigen in dieser Datenverarbeitungsvereinbarung, einschließlich Vertraulichkeits-, Sicherheits- und Verarbeitungsbeschränkungsverpflichtungen.

#5.3 Mitteilung über neue Unterauftragsverarbeiter. Wir werden Sie über jeden neuen Unterauftragsverarbeiter, der Kundenpersonendaten verarbeitet, mindestens dreißig (30) Tage vor Beginn der Verarbeitung durch diesen Unterauftragsverarbeiter benachrichtigen. Die Benachrichtigung erfolgt per E-Mail und durch Veröffentlichung auf der Seite der Unterauftragsverarbeiter.

#5.4 Einspruch. Sie können aus triftigen Gründen Einspruch erheben (beispielsweise eine dokumentierte Besorgnis über die Sicherheit, Compliance oder Gerichtsbarkeit des vorgeschlagenen Unterauftragsverarbeiters), indem Sie [email protected] innerhalb des 30-Tage-Fensters eine E-Mail senden. Sollten wir Ihren Einspruch nicht in angemessener Weise berücksichtigen können (beispielsweise durch Wechsel des Unterauftragsverarbeiters oder Änderung der Konfiguration), können Sie den betroffenen Service kündigen und erhalten eine anteilige Rückerstattung etwaiger im Voraus gezahlter Gebühren für den ungenutzten Teil des relevanten Abrechnungszeitraums.

#5.5 Haftung für Unterauftragsverarbeiter. Wir bleiben gegenüber Ihnen für die Handlungen und Unterlassungen unserer Unterauftragsverarbeiter in Bezug auf Kundenpersonendaten haftbar, als wären es unsere eigenen.

#6.1 Wir werden unter Berücksichtigung der Art der Verarbeitung angemessene Unterstützung leisten, um Ihnen bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß geltender Datenschutzgesetze zu helfen, einschließlich der Rechte auf Zugang, Berichtigung, Löschung, Einschränkung und Datenportabilität.

#6.2 Falls wir eine Anfrage einer betroffenen Person erhalten, die sich auf Ihre Nutzung der Services bezieht, werden wir: (a) die betroffene Person an Sie (den Verantwortlichen) verweisen; und (b) Sie, sofern nicht gesetzlich verboten, ohne unangemessene Verzögerung über die Anfrage benachrichtigen.

#6.3 Unterstützung wird durch die Zugriffs-, Export- und Löschfunktionen von KPanel bereitgestellt, sofern diese ausreichend sind, sowie durch manuelle Unterstützung, wenn die technischen Funktionen die Anfrage nicht erfüllen können.

#6.4 Wir können eine angemessene Gebühr für manuelle Unterstützung erheben, die materielle Routine-Support übersteigt, sofern die Anfrage offensichtlich unbegründet oder exzessiv ist.

#7.1 Benachrichtigung. Wir werden Sie über jede bestätigte meldepflichtige Datenschutzverletzung, die persönliche Informationen des Kunden betrifft, ohne unangemessene Verzögerung und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden nach Bekanntwerden benachrichtigen.

#7.2 Inhalt der Benachrichtigung. Die Benachrichtigung wird im Umfang des zum Zeitpunkt der Benachrichtigung Bekannten und angemessen Verfügbaren Folgendes enthalten: (a) die Art der Verletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Betroffenen und Datensätze; (b) die wahrscheinlichen Folgen der Verletzung; (c) die Maßnahmen, die wir ergriffen haben oder zu ergreifen beabsichtigen, um die Verletzung zu beheben und ihre möglichen nachteiligen Auswirkungen zu mindern; und (d) die Kontaktstelle für weitere Informationen.

#7.3 Nachfolgende Aktualisierungen. Sollten zum Zeitpunkt der Erstbenachrichtigung einige Informationen nicht verfügbar sein, werden wir diese in weiteren Aktualisierungen so bald wie praktisch durchführbar bereitstellen.

#7.4 Zusammenarbeit. Wir werden angemessen mit Ihnen bei jeder erforderlichen Untersuchung, Benachrichtigung der Behörden, Benachrichtigung der betroffenen Betroffenen und Behebung zusammenarbeiten.

#7.5 Verantwortung des Kunden. Sie bleiben verantwortlich für die Bewertung, ob eine Verletzung gemäß Ihrem anwendbaren Recht eine meldepflichtige Datenschutzverletzung darstellt, und für die erforderlichen Benachrichtigungen an das Office of the Privacy Commissioner, betroffene Betroffene oder andere Regulierungsbehörden. Wir werden Ihnen die Informationen zur Verfügung stellen, die Sie angemessen benötigen.

#8.1 Informationen. Wir stellen Ihnen die erforderlichen Informationen zur Verfügung, um die Einhaltung dieser DPA nachzuweisen, einschließlich der Sicherheitserklärung unter kapsulecloud.com/legal/security, der Liste der Unterauftragsverarbeiter und aller Audit-Berichte oder Zertifizierungen von Dritten, die wir besitzen (falls vorhanden).

#8.2 Vor-Ort-Audit. Sollten die Informationen in Abschnitt 8.1 nicht ausreichend sein, um die Einhaltung dieser DPA in Bezug auf ein bestimmtes, von Ihnen schriftlich aufgeworfenes Problem nachzuweisen, können Sie ein Audit unserer Einhaltung dieser DPA unter den folgenden Bedingungen durchführen: (a) Audits werden auf Ihre Kosten durchgeführt (einschließlich unserer angemessenen Kosten für die Unterstützung); (b) Sie teilen uns mindestens dreißig (30) Tage vorher schriftlich mit; (c) Audits finden während unserer normalen Geschäftszeiten statt; (d) Audits werden nicht häufiger als einmal in einem beliebigen Zeitraum von zwölf (12) Monaten durchgeführt, außer nach einem bestätigten Notifiable Privacy Breach, das Sie betrifft, in welchem Fall ein zusätzliches Audit auf angemessene Mitteilung hin durchgeführt werden kann; (e) das Audit behindert unsere Geschäftstätigkeit nicht unangemessen oder gefährdet die Vertraulichkeit der Informationen anderer Kunden; (f) der Auditor muss qualifiziert sein, unabhängig von unseren Wettbewerbern und an Vertraulichkeitsverpflichtungen zu Bedingungen gebunden sein, die für uns akzeptabel sind; (g) wir können nach unserer Wahl unsere Audit-Verpflichtungen durch Bereitstellung von Kopien von Audit-Berichten oder Zertifizierungen von Dritten (falls verfügbar) oder durch Beantwortung eines Sicherheitsfragebogens erfüllen.

#8.3 Sie stellen uns eine Kopie aller Audit-Berichte und Ergebnisse zur Verfügung, und wir werden angemessene Anstrengungen unternehmen, um wesentliche Ergebnisse innerhalb eines vereinbarten Zeitraums zu beheben.

#9.1 Sie bestätigen, dass sich einige unserer Sub-prozessoren außerhalb von Neuseeland befinden. Die aktuellen Standorte sind unter kapsulecloud.com/legal/sub-processors aufgeführt.

#9.2 Wenn Kundenpersonendaten außerhalb von Neuseeland übermittelt werden, stellen wir sicher, dass vergleichbare Schutzmaßnahmen gelten, einschließlich: (a) Sicherstellung, dass der Sub-prozessor einer Datenschutzbestimmung unterliegt, die nach unserer Auffassung vergleichbare Schutzmaßnahmen wie das Privacy Act 2020 bietet; oder (b) Abschluss von vertraglichen Schutzmaßnahmen mit dem Sub-prozessor, die vergleichbare Schutzmaßnahmen erfordern (beispielsweise durch Bezugnahme auf Standard-Vertragsklausaln, soweit angemessen); oder (c) Einholung Ihrer ausdrücklichen Genehmigung für die Übermittlung.

#9.3 Mit dem Abschluss dieser DPA autorisieren Sie die in Abschnitt 7 der Datenschutzerklärung und Abschnitt 5 dieser DPA beschriebenen Übermittlungen auf der Grundlage der Schutzmaßnahmen in Abschnitt 9.2.

#10.1 Während der Laufzeit der Dienstleistungen können Sie Kundenpersonendaten über KPanel mit unseren standardmäßigen Exporttools (CSV, JSON, Archivdownload oder Datenbankdump, je nach Datentyp) exportieren.

#10.2 Bei Beendigung der Dienstleistungen werden wir nach Ihrer Wahl: (a) Kundenpersonendaten für einen Zeitraum von dreißig (30) Tagen nach Beendigung zum Export verfügbar machen (die «Kulanzfrist»); und (b) danach Kundenpersonendaten dauerhaft aus aktiven Systemen löschen.

#10.3 Verschlüsselte Sicherungskopien werden beim nächsten geplanten Rotationszyklus gelöscht, spätestens dreißig (30) Tage nach dem Löschen aus aktiven Systemen.

#10.4 Wir dürfen Kundenpersonendaten nach Beendigung speichern, wenn dies gesetzlich erforderlich ist (beispielsweise Abrechnungs- und Steuerdaten gemäß Tax Administration Act 1994 oder zur Verteidigung einer Rechtsanspruch). Jede solche Speicherung ist auf das erforderliche Minimum begrenzt, und die Informationen unterliegen weiterhin den Vertraulichkeits- und Sicherheitsverpflichtungen in dieser DPA.

#11.1 Die Haftungsbestimmungen in den Terms of Service (einschließlich der Haftungsbeschränkung in Klausel 16) gelten für diese DPA.

#11.2 Unbeschadet von Klausel 11.1 schränkt nichts in dieser DPA die Haftung einer Partei für Betrug, betrügerische Fehldarstellung, vorsätzliches Fehlverhalten oder eine Haftung ein, die nach den geltenden Datenschutzgesetzen nicht rechtmäßig beschränkt werden kann.

#11.3 Sollten wir eine behördliche Geldbuße infolge oder im Zusammenhang mit Ihrer Nichterfüllung Ihrer Verpflichtungen gemäß dieser DPA oder der geltenden Datenschutzgesetze erhalten, wird der Betrag dieser Geldbuße als ein von Ihnen ersatzfähiger Schaden behandelt, vorbehaltlich der Grenzen in den Terms of Service.

#11.4 Die Service Credits gemäß der SLA sind keine Credits im Rahmen dieser DPA.

#12.1 Diese DPA wird wirksam, wenn Sie die Services erstmals nutzen (oder am 15. Mai 2026, je nachdem, welcher Zeitpunkt später liegt), und läuft bis zur Beendigung der Services und bis unsere Löschungsverpflichtungen gemäß Klausel 10 erfüllt sind.

#12.2 Wir können diese DPA von Zeit zu Zeit aktualisieren, um Änderungen des Gesetzes oder unserer Geschäftstätigkeit widerzuspiegeln. Wesentliche Änderungen werden mindestens dreißig (30) Tage im Voraus mitgeteilt.

#13.1 Im Falle eines Konflikts zwischen dieser DPA und den Nutzungsbedingungen oder der Datenschutzrichtlinie in Bezug auf die Verarbeitung von Kundenpersonendaten hat diese DPA Vorrang.

#13.2 Im Falle eines Konflikts zwischen dieser DPA und einer anwendbaren zwingenden Bestimmung eines Applicable Privacy Law hat die zwingende Bestimmung insoweit Vorrang, als ein Konflikt besteht.

Datenschutzbeauftragte/r

Kapsule Group Limited, Christchurch, New Zealand.

Email: [email protected]

A.1 Gegenstand. Bereitstellung von Cloud-Hosting, Domainregistrierung, E-Mail-Hosting und verwandten Dienstleistungen wie in den Nutzungsbedingungen beschrieben.

A.2 Dauer. Für die Laufzeit der Dienstleistungen zuzüglich der Kulanzfrist und jeglicher gesetzlich erforderlicher Aufbewahrung wie in Ziffer 10 dargelegt.

A.3 Art und Zweck. Speicherung, Übertragung, Sicherung, Schutz, Replikation, Indexierung, Formatkonvertierung (für technische Kompatibilität), Missbrauchsprävention, Abrechnung und weitere Verarbeitung, die für den Betrieb der Dienstleistungen erforderlich ist.

A.4 Kategorien von Kundenpersonendaten. Wie von Ihnen bestimmt und hochgeladen. Kann folgendes umfassen: Namen, Kontaktangaben (E-Mail, Telefon, Adresse), Anmeldedaten, Informationen zur Identitätsprüfung, Zahlungsinformationen, Transaktionsdaten, IP-Adressen, Gerätekennung, Fotos und andere Bilder, Inhalt von Websites und Anwendungen, Inhalt von E-Mails, Metadaten von Nachrichten, Kundenbeziehungsverwaltungsdaten, Support-Kommunikation und alle weiteren Personendaten, die Sie über die Dienstleistungen verarbeiten.

A.5 Kategorien von betroffenen Personen. Wie von Ihnen bestimmt. Kann folgendes umfassen: Ihre Mitarbeiter, Auftragnehmer, Vertreter, Kunden, potenzielle Kunden, Lieferanten, Mitglieder, Endnutzer, Spender und andere Personen, deren Personendaten Sie über die Dienstleistungen verarbeiten.

A.6 Besondere Kategorien. Sie dürfen über die Dienstleistungen keine besonderen oder sensiblen Personendaten hochladen (wie Gesundheitsinformationen, biometrische Informationen, Strafregister, religiöse Überzeugungen, sexuelle Orientierung oder Gewerkschaftszugehörigkeit), ohne unsere vorherige schriftliche Zustimmung zu angemessenen zusätzlichen Schutzmaßnahmen. Wenn Sie solche Informationen ohne unsere Zustimmung hochladen, sind Sie für die Rechtmäßigkeit verantwortlich und stellen uns von damit verbundenen Ansprüchen frei.

A.7 Häufigkeit und Dauer der Verarbeitung. Kontinuierlich während der Laufzeit der Dienstleistungen.

Wir setzen die folgenden technischen und organisatorischen Maßnahmen um, die wir von Zeit zu Zeit aktualisieren können, um den Gesamtschutz zu wahren oder zu verbessern:

B.1 Informationssicherheitsrichtlinien und Governance. Dokumentierte Informationssicherheits- und Datenschutzrichtlinien, die mindestens jährlich überprüft werden. Benannter Datenschutzbeauftragter, der für die Einhaltung verantwortlich ist. Schulung des Personals zu Datenschutz und Sicherheit bei der Einstellung und danach jährlich. Überprüfung des Hintergrunds von Personen mit Zugriff auf Produktionssysteme, soweit rechtmäßig.

B.2 Zugangskontrollen. Strikte rollenbasierte Zugangskontrollen auf der Grundlage von Prinzipien mit minimalen Berechtigungen. Obligatorische Zwei-Faktor-Authentifizierung für alle Personen mit Zugriff auf Produktionssysteme. Regelmäßige Überprüfung des Zugangs und prompte Widerruf bei Rollenwechsel oder Ausscheiden. Trennung von Produktions- und Nicht-Produktionsumgebungen. Protokollierung von privilegiertem Zugriff.

B.3 Verschlüsselung und Datenschutz. TLS-Verschlüsselung (mindestens TLS 1.2) für alle Daten in Transit. Verschlüsselung im Ruhezustand für Offsite-Sicherungen (restic) und für sensible Datenspeicher. Mit Restic verschlüsselte Offsite-Sicherungen im Cloudflare R2 (Region Ozeanien) gespeichert. Sichere Schlüsselverwaltung mit Offline-Kopien von Master-Wiederherstellungsschlüsseln.

B.4 Netzwerk- und Systemsicherheit. Netzwerksegmentierung zwischen Kundenumgebungen. Web-Anwendungs-Firewall und DDoS-Schutz via Cloudflare. Regelmäßiges Sicherheit-Patching von Betriebssystemen, Runtimes und Anwendungen. Schwachstellenscanning von Internet-erreichbarer Infrastruktur. Regelmäßige Penetrationstests.

B.5 Protokollierung, Überwachung und Reaktion auf Vorfälle. Zentralisierte Protokollierung von Zugriff, Änderungen und Sicherheitsereignissen. 24x7-Überwachung der Plattformgesundheit und Sicherheitssignale. Dokumentierter Vorfallreaktionsplan mit definierten Schweregradenund Eskalationswegen. Verfahren zur Benachrichtigung bei meldepflichtigen Datenschutzverletzungen, die mit dem Privacy Act 2020 und Klausel 7 dieser DPA abgestimmt sind.

B.6 Sicherung, Geschäftskontinuität und Notfallwiederherstellung. Tägliche verschlüsselte Offsite-Sicherungen von Kundenseiten- und E-Mail-Daten. Aufbewahrung von Offsite-Sicherungen von mindestens dreißig (30) Tagen, mit längerer Aufbewahrung in höheren Plänen. Dokumentierte Notfallwiederherstellungsverfahren und Runbooks. Regelmäßige Wiederherstellungstests.

B.7 Personal und Sub-processor. Vertraulichkeitsverpflichtungen für alle Personen. Schriftliche Verträge mit allen Sub-processoren, die Schutzmaßnahmen auferlegen, die nicht weniger schützend als diese DPA sind. Jährliche Überprüfung von Sub-processoren auf fortlaufende Eignung.

B.8 Physische Sicherheit. Produktionsserver, die in Tier-III-oder gleichwertigen Rechenzentren mit kontrolliertem physischem Zugriff, 24x7-Sicherheit, Umweltkontrollen und Brandbekämpfung betrieben werden.

B.9 Anwendungssicherheit. Sichere Softwareentwicklungs-Lebenszyklen, einschließlich Code-Review, Dependency-Scanning und Pre-Release-Tests. Verwendung von Secrets-Management (keine Secrets im Quellcode). Obligatorisches Code-Review für Produktionsänderungen.

B.10 Datensegmentierung und Löschung. Logische Segmentierung von Kundendaten. Dokumentierte Datenlöschungsverfahren, die mit Klausel 10 dieser DPA abgestimmt sind. Dokumentierte Verfahren zur Bearbeitung von Anfragen zum Zugriff, zur Korrektur und zum Löschen von Betroffenen.

Eine detailliertere Version dieser Maßnahmen wird unter kapsulecloud.com/legal/security veröffentlicht und wird von Zeit zu Zeit aktualisiert.