Version: 1 Datum: [12. März 2026] Dieser Zusatz zur Datenverarbeitung, einschließlich der dazugehörigen Anlagen ("DPA"), ist Bestandteil des Rahmenvertrags für Dienstleistungen und der Einzelaufträge (zusammen der "Vertrag"), die zwischen Ihnen ("Kunde" oder "Verantwortlicher") und der Doodle AG mit der Geschäftsadresse Werdstrasse 21, 8004 Zürich, Schweiz (zusammen mit allen Tochtergesellschaften und verbundenen Unternehmen, zusammen "Doodle" oder "Auftragsverarbeiter") und legt zusätzliche Bedingungen fest, die in dem Maße gelten, in dem Informationen, die Sie Doodle gemäß der Vereinbarung zur Verfügung stellen, persönliche Daten (wie unten definiert) enthalten.

A. "CCPA" bedeutet das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act of 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]) und die zugehörigen Durchführungsbestimmungen, jeweils in der von Zeit zu Zeit geänderten Fassung, einschließlich und ohne Einschränkung durch den California Privacy Rights Act von 2020.

B. " Datenschutzrahmenwerk(e) " bezeichnet je nach Anwendbarkeit das EU-US-Datenschutzrahmenwerk, die britische Erweiterung des EU-US-Datenschutzrahmenwerks und das Swiss-US-Datenschutzrahmenwerk, die vom US-Handelsministerium und der Europäischen Kommission, der britischen Regierung und der schweizerischen Bundesverwaltung entwickelt wurden und es in den USA ansässigen Organisationen, die an diesen Datenschutzrahmenwerken teilnehmen, erlauben, personenbezogene Daten aus der Europäischen Union / dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und Gibraltar sowie der Schweiz unter Einhaltung der in diesen Regionen geltenden Datenschutzgesetze zu erhalten.

C. " Datenschutzgesetze " bezeichnet alle anwendbaren Bundes-, Landes- und ausländischen Gesetze zum Datenschutz, zum Schutz der Privatsphäre und zur Datensicherheit sowie alle anwendbaren Verordnungen und formellen Richtlinien, die ihrer Natur nach Gesetzeskraft haben, alle in ihrer jeweils gültigen Fassung und, wenn sie sich auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter beziehen, in dem Maße, in dem sie direkt auf diese Verarbeitung anwendbar sind, einschließlich, aber nicht beschränkt auf die Datenschutzgesetze der EU, die Datenschutzgesetze des Vereinigten Königreichs, die schweizerischen Datenschutzgesetze, den Privacy Act 1988, den Personal Information Protection and Electronic Documents Act und den CCPA.

D. "Datensubjekt" bezeichnet die Person oder den Verbraucher, auf den sich die persönlichen Daten beziehen.

E. "Antrag der betroffenen Person" bezeichnet den Antrag einer betroffenen Person auf Ausübung der durch die Datenschutzgesetze gewährten Rechte in Bezug auf die personenbezogenen Daten der betroffenen Person.

F. " EU-Datenschutzgesetze" bezeichnet die DSGVO zusammen mit allen anwendbaren Durchführungsgesetzen oder -verordnungen sowie den Gesetzen der Europäischen Union oder der Mitgliedstaaten in ihrer jeweils gültigen Fassung.

G. "GDPR" bezeichnet die Allgemeine Datenschutzverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).

H. "Partei" bedeutet entweder Kunde oder Doodle.

I. "Parteien" bedeutet gemeinsam Kunde und Doodle.

J. "Persönliche Daten"sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die von Doodle im Namen des Kunden im Zusammenhang mit der Erbringung der Dienstleistungen für den Kunden verarbeitet werden, wenn diese Informationen als "persönliche Daten" oder "persönliche Informationen" oder als ein ähnlicher Begriff unter dem/den Datenschutzgesetz(en) geschützt sind.

K. "Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Sperren, Löschen oder Vernichten.

L."Sicherheitsverletzung" bedeutet eine bestätigte Verletzung der Informationssicherheitsmaßnahmen von Doodle, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf die unter diese DSGVO fallenden personenbezogenen Daten führt.

M. "Dienstleistungen" bezeichnet die von Doodle für den Kunden im Rahmen der Vereinbarung erbrachten Dienstleistungen.

N. "Standardvertragsklauseln" oder "SCCs" bezeichnet die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, deren genehmigte Fassung im Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 enthalten ist und unter: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.

O. "Schweizer Datenschutzgesetze " bezeichnet alle Gesetze in Bezug auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation, die von Zeit zu Zeit in der Schweiz in Kraft sind, einschließlich des Schweizer Bundesgesetzes über den Datenschutz vom 25. September 2020 und seiner Verordnungen.

P. "UK Data Protection Laws " bezeichnet alle Gesetze in Bezug auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation, die jeweils im Vereinigten Königreich ("UK") in Kraft sind, einschließlich der britischen GDPR und des Data Protection Act 2018.

Q. "UK GDPR" bezeichnet die Allgemeine Datenschutzverordnung des Vereinigten Königreichs, wie sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des Rechts des Vereinigten Königreichs ist.

R. Die Begriffe "Auftragsverarbeiter" und "für die Verarbeitung Verantwortlicher" haben die Bedeutung, die ihnen nach dem geltenden Datenschutzgesetz zukommt. Alle hierin in Großbuchstaben geschriebenen Begriffe, die in dieser DPA nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung zugeordnet ist und werden hiermit durch Verweis in diesen Nachtrag übernommen.

A. Pflichten des Kunden:Der Kunde ist im Verhältnis zwischen dem Kunden und Doodle der für die Verarbeitung personenbezogener Daten Verantwortliche und muss (a) den Zweck und die wesentlichen Mittel der Verarbeitung personenbezogener Daten in Übereinstimmung mit der Vereinbarung bestimmen; (b) für die Richtigkeit der personenbezogenen Daten verantwortlich sein; und (c) seinen Verpflichtungen gemäß den Datenschutzgesetzen nachkommen, einschließlich, falls zutreffend, sicherstellen, dass der Kunde über eine rechtmäßige Grundlage für die Erhebung personenbezogener Daten verfügt, den betroffenen Personen alle erforderlichen Mitteilungen zukommen lassen und/oder die Zustimmung der betroffenen Personen zur Verarbeitung der personenbezogenen Daten einholen.

B. Doodle-Verpflichtungen. Doodle ist der Verarbeiter personenbezogener Daten und ist verpflichtet, (a) personenbezogene Daten im Namen des Kunden gemäß den schriftlichen Anweisungen des Kunden zu verarbeiten (es sei denn, es wird in einer schriftlichen Anforderung darauf verzichtet), die während der Laufzeit dieser DPA erteilt werden; und (b) seine Verpflichtungen gemäß den Datenschutzgesetzen einzuhalten. Eine Beschreibung der Verarbeitung personenbezogener Daten, die im Rahmen dieser DPA durchgeführt werden soll, ist in Anhang 1 enthalten. Die Parteien sind sich einig, dass die Vereinbarung, einschließlich dieser DPA, zusammen mit der Nutzung der Dienste durch den Kunden in Übereinstimmung mit der Vereinbarung die vollständige und endgültige schriftliche Anweisung des Kunden an Doodle in Bezug auf die Verarbeitung personenbezogener Daten darstellt, und dass zusätzliche Anweisungen, die über den Umfang dieser Anweisungen hinausgehen, eine vorherige schriftliche und gegenseitig ausgeführte Vereinbarung zwischen dem Kunden und Doodle erfordern. Falls Doodle vernünftigerweise davon ausgeht, dass ein Konflikt mit einem Datenschutzgesetz und den Anweisungen des Kunden besteht, wird Doodle den Kunden unverzüglich informieren, und die Parteien werden nach Treu und Glauben zusammenarbeiten, um den Konflikt zu lösen und die Ziele der Anweisungen zu erreichen.

C. Verwendung von Daten. Doodle darf personenbezogene Daten nicht verwenden, mit Ausnahme der Verwendung personenbezogener Daten gemäß den Anweisungen des Kunden, soweit dies im Rahmen der Vereinbarung zulässig ist und soweit dies erforderlich ist, um Ansprüche geltend zu machen und zu verteidigen, den Anforderungen des Rechtsweges zu entsprechen, mit den Aufsichtsbehörden zusammenzuarbeiten und andere ähnliche zulässige Verwendungen auszuüben, die ausdrücklich in den Datenschutzgesetzen vorgesehen sind.

D. Ort der Verarbeitung:Die Parteien erkennen an und vereinbaren, dass die Verarbeitung der personenbezogenen Daten in der Europäischen Union (EU), in der Schweiz und möglicherweise in (anderen) Rechtsordnungen außerhalb des Wohnsitzes der betroffenen Personen erfolgen wird, und der Kunde wird alle Benachrichtigungs- und Zustimmungserfordernisse für eine solche Übermittlung und Verarbeitung in dem von den Datenschutzgesetzen vorgeschriebenen Umfang einhalten. E. Rückgabe oder Vernichtung von Daten:Doodle wird personenbezogene Daten auf Wunsch des Kunden oder bei Beendigung des Kundenkontos bzw. der Kundenkonten zurückgeben oder sicher vernichten, es sei denn, personenbezogene Daten müssen aufbewahrt werden, um geltendem Recht zu entsprechen.

Dieser Abschnitt gilt für die Verarbeitung personenbezogener Daten, wenn diese Verarbeitung den Schweizer Datenschutzgesetzen, den EU-Datenschutzgesetzen oder den britischen Datenschutzgesetzen unterliegt.

A. Übermittlung personenbezogener Daten: Der Kunde erkennt an und stimmt zu, dass Doodle in der Schweiz ansässig ist. Sofern keine Ausnahmeregelung gemäß den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den britischen Datenschutzgesetzen (je nach Anwendbarkeit) gilt, wird die Übermittlung personenbezogener Daten, die den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den britischen Datenschutzgesetzen (je nach Anwendbarkeit) unterliegen, an einen Empfänger in einer Rechtsordnung, die nicht Gegenstand eines Angemessenheitsbeschlusses gemäß den anwendbaren Datenschutzgesetzen ist, durch eine Datenübertragungsvereinbarung in der von den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den britischen Datenschutzgesetzen (je nach Anwendbarkeit) vorgeschriebenen Form geregelt (z. B.z.B. Standardvertragsklauseln oder Gleichwertiges), soweit die Formalisierung eines solchen Dokuments ein gültiges Mittel für die Übermittlung personenbezogener Daten darstellt, die den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den Datenschutzgesetzen des Vereinigten Königreichs (je nach Anwendbarkeit) unterliegen, oder gemäß einem anderen gültigen Übermittlungsmechanismus erfolgt, der von den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den Datenschutzgesetzen des Vereinigten Königreichs (je nach Anwendbarkeit) vorgeschrieben ist. Soweit zusätzliche vertragliche, technische oder organisatorische Maßnahmen nach den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den Datenschutzgesetzen des Vereinigten Königreichs (je nach Anwendbarkeit) erforderlich sind, um Übermittlungen personenbezogener Daten, die den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den Datenschutzgesetzen des Vereinigten Königreichs (je nach Anwendbarkeit) unterliegen, rechtmäßig durchzuführen, wird jede Partei nach Treu und Glauben zusammenarbeiten und solche Maßnahmen umsetzen und ihnen zustimmen, einschließlich, aber nicht beschränkt auf den Abschluss der Standardvertragsklauseln (falls erforderlich), die erforderlich sein können, um die Rechtmäßigkeit einer solchen Übermittlung zu ermöglichen und aufrechtzuerhalten.

A-1. Standardvertragsklauseln.

a. Doodle (als "Datenexporteur") und der Kunde (als "Datenimporteur") schließen hiermit die Standardvertragsklauseln, Modul 4, in Bezug auf alle Übermittlungen personenbezogener Daten, die den EU-Datenschutzgesetzen, den Schweizer Datenschutzgesetzen oder den britischen Datenschutzgesetzen (je nach Anwendbarkeit) unterliegen, von Doodle an den Kunden ab. Die Parteien erklären sich damit einverstanden, dass sie Zugang zu den Standardvertragsklauseln haben und diese kennen und verzichten hiermit darauf, die Standardvertragsklauseln in dieser DPA wiederzugeben. Im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.

b. In Bezug auf die Standardvertragsklauseln vereinbaren die Parteien, dass Anhang 1.A. dieses DPA Anhang I.A. der Standardvertragsklauseln und Anhang 1.B.-I. Anhang I.B. darstellt. Die Parteien vereinbaren ferner, dass ( i) Klausel 7 Anwendung findet; (ii) Klausel 11(a) ohne Wahlmöglichkeit Anwendung findet; (iii) die Standardvertragsklauseln dem Recht der Schweiz unterliegen und die Gerichte in Zürich zuständig sind (Klauseln 17 und 18).

c. In Bezug auf die Standardvertragsklauseln gilt, dass in Fällen, in denen eine Übermittlung von Doodle an den Kunden den schweizerischen Datenschutzgesetzen unterliegt, ( i) Verweiseauf das Recht der Europäischen Union so ausgelegt werden, dass sie einen Verweis auf das schweizerische Bundesdatenschutzgesetz ("DSG") einschließen; (ii) die Schweiz als "Mitgliedstaat" gilt und Verweise auf einen "Mitgliedstaat" so ausgelegt werden, dass sie die Schweiz einschließen; (iii) in den Standardvertragsklauseln verwendete Begriffe, die im DSG definiert sind, so ausgelegt werden, wie sie im DSG definiert sind. d. Wenn eine Übermittlung von Doodle an den Kunden den Datenschutzgesetzen des Vereinigten Königreichs unterliegt, sind die Standardvertragsklauseln in Übereinstimmung mit den Bestimmungen von Teil 2 (Obligatorische Klauseln) des Zusatzes für internationale Datenübermittlung des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission ("UK IDTA") zu lesen und gelten als durch diese geändert, und die Parteien bestätigen, dass die für die Zwecke von Teil 1 (Tabellen) des UK IDTA erforderlichen Informationen hiermit wie folgt ausgefüllt werden:

1. Für Tabelle 1: Die Felder der Parteien gelten als vorausgefüllt mit den Parteien des Exporteurs und des Importeurs, die in Anhang 1.A dieser Vereinbarung aufgeführt sind;

2. Für Tabelle 2: die genannten Klauseln einschließlich der Informationen im Anhang und mit nur den Modulen, Klauseln oder fakultativen Bestimmungen der oben aufgeführten Klauseln für die EU und die Schweiz, die für die Zwecke des britischen IDTA in Kraft gesetzt werden;

3. Für Tabelle 3: Die Informationen im Anhang sind im Folgenden aufgeführt:

i. Anhang IA: Liste der Parteien: wie in Anhang 1.A aufgeführt; ii. Anhang IB: Beschreibung der Übertragung: wie in Anhang 1.B dargelegt; iii. Anhang II: Nicht zutreffend;

4. Für Tabelle 4: Jeder von ihnen kann das UK IDTA gemäß den Bestimmungen von Abschnitt 19 des UK IDTA beenden.

B. Verpflichtungen. Doodle wird: (i) den Kunden in angemessenem Umfang bei der Erfüllung seiner Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO, dem entsprechenden britischen Datenschutzgesetz oder dem entsprechenden schweizerischen Datenschutzgesetz zu unterstützen; (ii) ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die im Namen des Kunden gemäß Artikel 30(2) der DSGVO oder dem entsprechenden britischen Datenschutzgesetz oder dem entsprechenden schweizerischen Datenschutzgesetz durchgeführt werden; und (iii) auf Anfrage mit einer Aufsichtsbehörde der EU, des Vereinigten Königreichs oder der Schweiz in Bezug auf die Erbringung der Dienstleistungen zu kooperieren.

A. CCPA. Dieser Abschnitt gilt für die Verarbeitung personenbezogener Daten, die dem CCPA unterliegen, durch Doodle, und Doodle handelt als Dienstleister des Kunden (sofern in diesem Abschnitt nicht anders angegeben) in Bezug auf die Verarbeitung dieser Daten. Der Kunde legt die personenbezogenen Daten gegenüber Doodle offen, und Doodle verarbeitet diese personenbezogenen Daten nur für die in dieser Vereinbarung, einschließlich dieser DSGVO, festgelegten Zwecke. Soweit ein Konflikt zwischen den Bestimmungen dieses Abschnitts einerseits und der Vereinbarung andererseits besteht, haben die in diesem Abschnitt aufgeführten Bestimmungen Vorrang. Alle in diesem Abschnitt verwendeten Begriffe in Großbuchstaben, die nicht in der Vereinbarung definiert sind, haben die Bedeutung, die ihnen in der CCPA gegeben wird, sofern nicht anders angegeben.

B. Doodle darf nicht: a. die Persönlichen Daten verkaufen oder weitergeben; b. die Persönlichen Daten (i) für einen anderen Zweck, einschließlich eines kommerziellen Zwecks, als den in der Vereinbarung dargelegten oder vernünftigerweise mit den Dienstleistungen verbundenen Geschäftszweck, oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder offenlegen, es sei denn, dies ist ausdrücklich durch das CCPA gestattet; c. die Persönlichen Daten mit Persönlichen Daten zu kombinieren, die Doodle von oder im Namen einer oder mehrerer anderer Personen erhält oder die Doodle im Rahmen seiner eigenen Interaktion mit dem Verbraucher erhebt, vorausgesetzt, dass Doodle Persönliche Daten kombinieren darf, um einen Geschäftszweck zu erfüllen, wie es das CCPA erlaubt. C. Doodle hält sich an die Verpflichtungen, die für Doodle als Dienstleister gemäß dem CCPA gelten, und gewährleistet für die persönlichen Daten das gleiche Maß an Datenschutz, wie es das CCPA für Unternehmen vorschreibt. D. Der Kunde hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass Doodle die personenbezogenen Daten in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß CCPA vereinbar ist. Das Verfahren für solche Schritte ist in Abschnitt 8 unten beschrieben. E. Doodle benachrichtigt den Kunden, wenn es feststellt, dass es seinen Verpflichtungen als Dienstleister gemäß dem CCPA nicht mehr nachkommen kann. Wenn Doodle den Kunden auf diese Weise benachrichtigt, hat der Kunde das Recht, angemessene und geeignete Schritte zu unternehmen, um die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben. F. Doodle kann einen Unterauftragsverarbeiter damit beauftragen, die Verarbeitung personenbezogener Daten für einen Geschäftszweck im Namen des Kunden gemäß einem schriftlichen Vertrag (Textform ist ausreichend) zu unterstützen, der für den Unterauftragsverarbeiter bindend ist und dem CCPA entspricht. G. Soweit der Kunde Doodle personenbezogene Daten offenlegt, weitergibt oder anderweitig zur Verfügung stellt, tut er dies für den/die begrenzten und spezifizierten Geschäftszweck(e), wie in Anhang 1 beschrieben. H. Soweit der Kunde Doodle de-identifizierte Daten offenlegt oder anderweitig zur Verfügung stellt oder Doodle personenbezogene Daten de-identifiziert, verpflichtet sich Doodle, (i)angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass die de-identifizierten Daten nicht mit einer Person oder einem Haushalt in Verbindung gebracht werden können; (ii) sich öffentlich zu verpflichten, die personenbezogenen Daten in de-identifizierter Form aufzubewahren und zu verwenden und nicht zu versuchen, die personenbezogenen Daten erneut zu identifizieren, und (iii) jeden weiteren Empfänger vertraglich zu verpflichten, alle Bestimmungen dieses Absatzes H einzuhalten. I. Doodle unterstützt den Kunden in angemessener Weise bei der Einhaltung der Verpflichtungen des Kunden zur Durchführung von Risikobewertungen und Cybersicherheitsaudits sowie bei der Erfüllung der Anforderungen des Kunden in Bezug auf Technologien zur automatisierten Entscheidungsfindung, wobei die Art der Verarbeitung und die Doodle zur Verfügung stehenden Informationen berücksichtigt werden. J. Die Parteien sind sich einig, dass kein Verkauf oder keine Weitergabe von personenbezogenen Daten als Teil dieser Vereinbarung beabsichtigt ist, und die Parteien sind sich einig, dass die Bereitstellung von personenbezogenen Daten durch eine Partei an die andere im Rahmen dieser Vereinbarung notwendig ist, um einen Geschäftszweck, wie in Abschnitt 9 unten oder Anhang 1 beschrieben, zu erfüllen, und nicht Teil des Austauschs von Gegenleistungen oder anderen Wertgegenständen zwischen den Parteien ist und ausdrücklich davon ausgeschlossen ist.

A. Liste der Unterauftragsverarbeiter. Der Kunde erklärt sich damit einverstanden, dass Doodle Unterauftragsverarbeiter einsetzt, die personenbezogene Daten im Namen des Kunden verarbeiten dürfen, um Doodle bei der Bereitstellung der Dienste zu unterstützen. Die Liste der aktuellen Unterauftragsverarbeiter von Doodle ist hier verfügbar. Doodle kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit aktualisieren und wird alle Aktualisierungen dieser Liste online zur Verfügung stellen und den Kunden davon in Kenntnis setzen. Der Kunde kann innerhalb von zwei (2) Wochen nach der Benachrichtigung aus wichtigem Grund schriftlich widersprechen. Wenn der Kunde widerspricht, verhandeln die Parteien in gutem Glauben, um eine Lösung zu finden. Können sich die Parteien nicht innerhalb von zwei (2) Monaten nach der Mitteilung des Widerspruchs auf eine Lösung einigen, kann jede Partei den betroffenen Einzelauftrag innerhalb von zwei (2) Wochen nach Ablauf der Verhandlungsfrist schriftlich kündigen. B. Unterauftragsverarbeiter-Vereinbarungen. Doodle schließt mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung (Textform ist ausreichend) ab, die Datenschutzverpflichtungen enthält, die mindestens so restriktiv sind wie die Verpflichtungen in dieser DPA.

A. Datensicherheit. Doodle wird wirtschaftlich angemessene technische und organisatorische Maßnahmen ergreifen, die der Art der personenbezogenen Daten angemessen sind, um die Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten aufrechtzuerhalten und die personenbezogenen Daten vor unbefugtem oder unrechtmäßigem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen. Doodle wird zumindest die in Anhang 2 aufgeführten technischen und organisatorischen Maßnahmen umsetzen und aufrechterhalten. B. Autorisiertes Personal. Doodle stellt sicher, dass die Mitarbeiter, Auftragnehmer, Vertreter und Prüfer von Doodle, die Kenntnis von oder anderweitigen Zugriff auf personenbezogene Daten benötigen, um Doodle in die Lage zu versetzen, seine Verpflichtungen aus dem Vertrag zu erfüllen, zur Vertraulichkeit in Bezug auf die personenbezogenen Daten verpflichtet sind. C. Sicherheitsverletzungen. Sobald Doodle von einem Sicherheitsverstoß Kenntnis erlangt, wird Doodle unverzüglich: (i) den Kunden über den Sicherheitsverstoß informieren; (ii) den Sicherheitsverstoß untersuchen; (iii) dem Kunden die nach geltendem Recht erforderlichen Informationen über den Sicherheitsverstoß zur Verfügung stellen; und (iv) angemessene Maßnahmen ergreifen, um eine Wiederholung des Sicherheitsverstoßes zu verhindern. Doodle stellt relevante Aufzeichnungen und andere Materialien im Zusammenhang mit den Auswirkungen der Sicherheitsverletzung auf den Kunden zur Verfügung, soweit dies zur Einhaltung der Datenschutzgesetze erforderlich ist, vorbehaltlich jeglicher Vertraulichkeitsverpflichtungen, die für Doodle gemäß geltender Gesetze oder Verträge bindend sind.

A. Unterstützung des Verarbeiters. Auf schriftliches Ersuchen des Kunden leistet Doodle dem Kunden angemessene Unterstützung, um ihn bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen zu unterstützen, einschließlich der Bereitstellung von Informationen an den Kunden über die technischen und organisatorischen Sicherheitsmaßnahmen von Doodle und bei Bedarf zur Durchführung von Datenschutzbewertungen (das Verfahren hierfür ist in Abschnitt 8 unten dargelegt). B. Anfragen von Betroffenen. Wenn ein Gast, ein Angestellter des Kunden oder eine andere betroffene Person eine Anfrage an Doodle stellt, wird Doodle der betroffenen Person raten, ihre Anfrage direkt an den Doodle-Kunden zu richten, der für diese personenbezogenen Daten verantwortlich ist, und wird den Kunden über diese Anfrage informieren, wenn die betroffene Person den Kunden gegenüber Doodle als verantwortliche Stelle angibt. Der Kunde ist für die Anfragen der betroffenen Person verantwortlich. Doodle wird mit dem für die Verarbeitung Verantwortlichen uneingeschränkt zusammenarbeiten und ihn unterstützen, wenn betroffene Personen Zugang zu den über sie gespeicherten personenbezogenen Daten beantragen oder wenn eine zuständige Behörde oder eine betroffene Person einen Antrag, eine Behauptung oder eine Beschwerde vorbringt; dazu gehört auch, dass Doodle den für die Verarbeitung Verantwortlichen unverzüglich schriftlich über den Erhalt einer solchen Mitteilung oder eines solchen Antrags informiert. Kontaktinformationen für Anfragen von Betroffenen finden Sie auf unserer Website. C. Kosten. Wenn Doodle nach Treu und Glauben feststellt, dass ein Ersuchen um Unterstützung im Rahmen dieses Abschnitts unangemessen und übermäßig aufwändig ist und außerhalb der branchenüblichen Erwartungen an die Unterstützung in der jeweiligen Angelegenheit liegt, werden sich die Parteien nach Treu und Glauben über die Kosten einigen, die der Kunde Doodle für diese Unterstützung zu zahlen hat.

Innerhalb von dreißig (30) Tagen nach schriftlicher Aufforderung durch den Kunden und höchstens einmal jährlich stellt Doodle dem Kunden (oder einem einvernehmlich bestimmten Drittprüfer) Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen durch Doodle nachzuweisen, und zwar in Form des/der letzten Audit- oder Zertifizierungsberichts/e durch einen Dritten (wie SOC 2 oder Cloud Verify). Wenn der Kunde nach Erhalt des Berichts/der Berichte nach vernünftigem Ermessen feststellt, dass weitere Informationen erforderlich sind, um zu bestätigen, dass Doodle seinen Verpflichtungen in dieser DPA nachkommt, oder damit der Kunde eine Datenschutzbewertung durchführen kann, kann der Kunde diese zusätzlichen Informationen schriftlich anfordern. Die Parteien werden dann in gutem Glauben zusammenarbeiten, um die zusätzlichen Informationen zu vereinbaren, die Doodle zur Verfügung stellen soll, und Doodle wird die vereinbarten Informationen zur Verfügung stellen. Wenn das geltende Datenschutzrecht das Recht auf Inspektionen vor Ort vorschreibt, gestattet Doodle dem Kunden die Durchführung solcher Inspektionen. Alle von Doodle im Rahmen dieses Abschnitts zur Verfügung gestellten Informationen gelten als vertrauliche Informationen von Doodle und unterliegen den in der Vereinbarung festgelegten Geheimhaltungspflichten.

Die Parteien erkennen an und stimmen zu, dass Doodle als Verantwortlicher bestimmte personenbezogene Daten, die in unserer Datenschutzerklärung beschrieben sind, für die folgenden Zwecke verarbeitet, wenn die Datenschutzgesetze der EU, des Vereinigten Königreichs oder der Schweiz auf diese personenbezogenen Daten anwendbar sind, und diese Daten in Übereinstimmung mit dieser Datenschutzerklärung verarbeitet: (i) zur Verwaltung der Beziehung mit dem Kunden, einschließlich der Erstellung von Kundenkonten, der Bearbeitung von Rechnungen und der Durchführung von Verkaufs- und Marketingaktivitäten; (ii) für Zwecke im Zusammenhang mit den internen Geschäftsabläufen von Doodle, wie z.B. Buchhaltung, Audits, Steuererstellung und -ablage sowie zu Compliance-Zwecken; (iii) zur Überwachung, Untersuchung, Verhinderung und Aufdeckung von Betrug, Sicherheitsvorfällen und sonstigem Missbrauch der Dienstleistungen; (iv) zu Zwecken der Identitätsüberprüfung; (v) zur Erfüllung gesetzlicher oder behördlicher Verpflichtungen, die für die Verarbeitung und Aufbewahrung personenbezogener Daten gelten und denen Doodle unterliegt; (vi) zur Entwicklung, Verbesserung und zum Verständnis der Nutzung seiner Produkte und Dienstleistungen und (vii) wie anderweitig nach den Datenschutzgesetzen zulässig und in der Datenschutzerklärung von Doodle dargelegt.

A. Widersprüche. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen dieser DPA und den Datenschutzgesetzen haben die Datenschutzgesetze Vorrang. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bestimmungen dieser DPA und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DPA nur insoweit Vorrang, als der Gegenstand die Verarbeitung von personenbezogenen Daten betrifft. B. Änderungen. Diese DPA kann nur durch eine schriftliche, von den Parteien unterzeichnete Urkunde geändert werden. Soweit eine Datenschutzbehörde feststellt, dass die Vereinbarung oder diese DPA nicht ausreicht, um die Datenschutzgesetze oder Änderungen der Datenschutzgesetze zu erfüllen, verpflichten sich der Kunde und Doodle, nach Treu und Glauben zusammenzuarbeiten, um die Vereinbarung oder diese DPA zu ändern oder weitere einvernehmliche Datenverarbeitungsverträge abzuschließen, um alle Datenschutzgesetze zu erfüllen. C. Haftung. Die Haftung jeder Partei aus oder im Zusammenhang mit dieser DPA, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt den im Vertrag enthaltenen Haftungsbeschränkungen. Um Zweifel auszuschließen, bezieht sich jede Bezugnahme in diesem Dokument auf die "DPA" auf diese DPA einschließlich ihrer Anlagen und Anhänge. D. Geltendes Recht und Schiedsgerichtsbarkeit. Um Zweifel auszuschließen, gilt Abschnitt 16.1 des Rahmenvertrags für Dienstleistungen ("Geltendes Recht und Schiedsgerichtsbarkeit") für diese DPA. E. Gesamte Vereinbarung. Diese DPA lässt die Rechte und Pflichten der Parteien aus dem Vertrag unberührt, der weiterhin in vollem Umfang in Kraft bleibt. Diese DPA stellt zusammen mit der Vereinbarung die endgültige, vollständige und ausschließliche Vereinbarung der Parteien in Bezug auf den Gegenstand dieser Vereinbarung dar und ersetzt alle früheren Diskussionen und Vereinbarungen zwischen den Parteien in Bezug auf diesen Gegenstand.

A. Liste der Parteien a. Controller.i. Der für die Verarbeitung Verantwortliche ist der Kunde. ii. Adresse: die im Vertrag angegebene Adresse des Kunden. iii. Name, Position und Kontaktdaten der Kontaktperson: Marko Midzor Head of IT, [email protected]iv. Relevante Aktivitäten: Aktivitäten, die notwendig sind, um die im Vertrag beschriebenen Dienstleistungen zu erbringen. v. Unterschrift und Datum: Es wird davon ausgegangen, dass der Kunde diesen Anhang I mit dem Abschluss des Rahmenvertrags für Dienstleistungen unterzeichnet hat.b. Auftragsverarbeiter.i.Der Auftragsverarbeiter ist die Doodle AG. ii. Adresse: Werdstrasse 21, 8004 Zürich, Schweiz iii. Name, Position und Kontaktdaten der Kontaktpersonen: Doodle's IT-Leiter: Marko Midzor E-Mail: [email protected]. Der Datenschutzbeauftragte der Doodle AG: Elena Frahm, TÜV Informationstechnik GmbH Am TÜV 1, 45307 Essen Deutschland, Email: [email protected] iv.Relevante Aktivitäten: Aktivitäten, die notwendig sind, um die in der Vereinbarung beschriebenen Dienstleistungen zu erbringen. v. Unterschrift und Datum: Es wird davon ausgegangen, dass Doodle diesen Anhang I durch den Abschluss des Rahmenvertrags für Dienstleistungen unterzeichnet hat. B. Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden. Der Kunde kann Doodle personenbezogene Daten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen enthalten können, aber nicht darauf beschränkt sind: (i) Endnutzer des Kunden (und der verbundenen Unternehmen des Kunden), wie in der Vereinbarung erlaubt, einschließlich Mitarbeiter, Auftragnehmer, Vertreter und Agenten, und (ii) Personen, mit denen der Kunde (und die verbundenen Unternehmen des Kunden) durch die Nutzung der Dienste von Doodle Termine und Treffen vereinbart, zu denen seine Vertreter, Geschäftspartner, Mitarbeiter, Bewerber, Kunden und potenzielle Kunden gehören können. C. Kategorien der verarbeiteten persönlichen Daten. Der Kunde kann Doodle personenbezogene Daten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Kategorien personenbezogener Daten umfassen können, aber nicht darauf beschränkt sind Vor- und Nachname; Titel; Position; Arbeitgeber; Kontaktinformationen (Firma, E-Mail, Telefon, physische Geschäftsadresse); Persönliche Daten, die in verbundenen Kalenderereignisdetails enthalten sind; Ungefährer Standort und/oder Zeitzone; und andere Daten in elektronischer Form, die vom Kunden im Zusammenhang mit den Services verwendet werden. D. Übermittlung sensibler Daten (falls zutreffend). Sensible Daten können in bestimmten Fällen der Nutzung der Dienste übertragen werden, wie z.B. die rassische oder ethnische Herkunft, die Mitgliedschaft in einer Gewerkschaft oder Daten über die Gesundheit. E. Die Häufigkeit der Übertragung. Fortlaufend. F. Gegenstand/Art der Verarbeitung. Die Prozesse können das Sammeln, Speichern, Abrufen, Abfragen, Verwenden, Löschen oder Vernichten, die Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung der Persönlichen Daten des Kunden umfassen, soweit dies für die Erbringung der Dienstleistungen gemäß den Anweisungen des Kunden erforderlich ist, einschließlich damit verbundener interner Zwecke, soweit dies nach geltendem Recht zulässig ist (wie Qualitätskontrolle, Fehlerbehebung, Informationssicherheit, Verhinderung und Aufdeckung von Spam, Betrug und Missbrauch sowie Produktentwicklung und -verbesserung). G. Zweck(e) der Datenübermittlung und Weiterverarbeitung. Der Zweck der Verarbeitung personenbezogener Daten durch Doodle ist die Erbringung der vertraglichen Leistungen im Rahmen der Vereinbarung mit dem Kunden. H. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird. Personenbezogene Daten werden so lange aufbewahrt, wie es vernünftigerweise notwendig ist, um die Zwecke zu erfüllen, für die die Daten erhoben wurden, um unsere vertraglichen und gesetzlichen Verpflichtungen zu erfüllen und für alle anwendbaren Verjährungsfristen zum Zwecke der Erhebung und Verteidigung von Ansprüchen. I. Geben Sie bei Übermittlungen an (Unter-)Verarbeiter auch Gegenstand, Art und Dauer der Verarbeitung an. Der Gegenstand und die Art der Verarbeitung durch Unterauftragsverarbeiter sind hier in der Liste der Unterauftragsverarbeiter aufgeführt. Die Dauer der Verarbeitung durch Unterauftragsverarbeiter ist so lange, wie Doodle die Dienstleistungen im Rahmen der Vereinbarung für den Kunden erbringt.

J. Geschäftszwecke. (1) Unterstützung bei der Gewährleistung der Sicherheit und Integrität der Dienste (soweit die Verwendung der betreffenden personenbezogenen Daten für diese Zwecke vernünftigerweise erforderlich und verhältnismäßig ist). (2) Fehlersuche zur Identifizierung und Behebung von Fehlern, die die bestehende beabsichtigte Funktionalität der Dienste beeinträchtigen. (3) Erbringung der Dienste im Auftrag des Kunden, einschließlich der Bereitstellung von Supportleistungen für autorisierte Benutzer, der Überprüfung von Informationen über autorisierte Benutzer des Kunden und der Bereitstellung von Datenspeicherung. (4) Durchführung interner Forschung zur technologischen Entwicklung und Demonstration der Dienste.

Doodle ergreift und unterhält mindestens die technischen und organisatorischen Maßnahmen, die in diesem Anhang aufgeführt sind. Die Unterauftragsverarbeiter von Doodle ergreifen und unterhalten technische und organisatorische Maßnahmen, die mindestens das gleiche Schutzniveau bieten wie die Maßnahmen von Doodle, auch wenn diese Maßnahmen nicht identisch sind.

A. Vertraulichkeit (Artikel 32(1)(a-b) der Datenschutz-Grundverordnung (DSGVO) oder entsprechende Bestimmungen in den geltenden Datenschutzgesetzen)

a. Physische Zugangskontrolle. Maßnahmen, die verhindern, dass Unbefugte auf Datenverarbeitungsgeräte zugreifen können, mit denen Daten verarbeitet oder genutzt werden:

• Doodle setzt in seinen Büros Videomanagement- und physische Zugangskontrollsysteme ein, um zu verhindern, dass nicht autorisierte Personen (d.h. ohne entsprechende Zugangsberechtigung) auf Datenverarbeitungsgeräte zugreifen können.

b. Elektronische Zugangskontrolle. Maßnahmen, um die Nutzung von Datenverarbeitungssystemen durch Unbefugte zu verhindern:

• Der Zugang wird nach dem Prinzip der geringsten Berechtigung und der Notwendigkeit des Wissens eingeschränkt.

• Doodle verwendet eine Identitäts- und Zugriffsmanagement-Plattform, Benutzername/Passwort, SSO und MFA, um den Zugriff zu beschränken.

• Doodle verfügt über eine schriftliche Passwortrichtlinie, die mit der Passwortrichtlinie der Identitätsmanagement-Anwendung abgeglichen und durchgesetzt wird.

• Alle Doodle-Laptops sind mit der File Storage Application verschlüsselt.

• Die Kundendaten werden in der Cloud mit der nativen AES-256-Blockchiffre-Verschlüsselung der Cloud Environment Application verschlüsselt und die Schlüssel werden über den Key Management Service (KMS) der Cloud Environment Application verwaltet.

• Doodle verwendet TLS 1.2 oder höher, um Kundendaten während der Übertragung zu verschlüsseln.

c. Interne Zugangskontrolle. Maßnahmen, die verhindern, dass die zur Nutzung eines Datenverarbeitungssystems Berechtigten nur auf die Daten zugreifen können, die ihrer Zugriffsberechtigung unterliegen, und dass Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

• Die Kundendaten werden in der Cloud mit der Cloud Environment Application nativen AES-256 Blockchiffre-Verschlüsselung verschlüsselt und die Schlüssel werden über den Cloud Environment Application Key Management Service (KMS) verwaltet.

• Doodle verwendet TLS 1.2 oder höher, um Kundendaten während der Übertragung zu verschlüsseln.

• Die Aufgabentrennung wird ausdrücklich in der Zugriffskontrollpolitik angesprochen, die eine ausführliche Erläuterung der Zugriffstrennungsmethodik des Unternehmens enthält.

• Die logischen Zugriffsrechte werden durch Gruppenberechtigungen in der Identitätsmanagement-Anwendung getrennt.

• Doodle führt regelmäßige Überprüfungen der Zugriffsrechte durch, um die Trennung der Aufgaben durchzusetzen.

• Doodle verwendet die Endpunktschutz-Plattform zur Überwachung der internen Endpunkte.

d. Isolationskontrolle. Maßnahmen, die verhindern, dass Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können:

• Der Zugriff auf Kundensysteme und Konfigurationsdaten ist auf autorisiertes Doodle-Personal beschränkt.

• Der Produktionszugang ist auf autorisiertes Personal beschränkt, wobei alle Code-Implementierungen und Notfallkorrekturen durch obligatorische Peer-Reviews, automatisierte CI/CD-Genehmigungs-Workflows und Ticket-gestützte Change-Management-Prozesse geregelt werden.

• Doodle unterhält ein separates Gastnetzwerk und verwendet eine MDM-Lösung, um die versteckten Passwörter für das interne drahtlose Netzwerk alle sechs Monate zu ändern und zu aktualisieren und so eine strikte Zugangsabgrenzung zu gewährleisten.

e. Pseudonymisierung und Verschlüsselung. Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt und geeignete technische und organisatorische Maßnahmen getroffen werden:

• Alle Doodle-Laptops werden mit der File Storage Application verschlüsselt.

• Doodle verwendet TLS 1.2 oder höher, um Kundendaten während der Übertragung zu verschlüsseln.

• Die Kundendaten werden in der Cloud mit der Cloud Environment Application mit der nativen AES-256-Blockchiffrierung verschlüsselt und die Schlüssel werden über den Cloud Environment Application Key Management Service (KMS) verwaltet.

• Der Zugriff auf die Verschlüsselungsschlüssel unterliegt dem Prinzip des geringsten Privilegs und ist auf eine begrenzte Anzahl von autorisierten Personen innerhalb von Doodle beschränkt.

B. Integrität

(Artikel 32(1)(b) der Datenschutz-Grundverordnung (GDPR) oder entsprechende Bestimmungen in den geltenden Datenschutzgesetzen)

a. Kontrolle der Übertragung. Maßnahmen, die verhindern, dass Daten während der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern von Unbefugten gelesen, kopiert, verändert oder entfernt werden können:

• Alle Doodle Laptops werden mit der File Storage Application verschlüsselt.

• Kundendaten werden in der Cloud mit der nativen AES-256-Blockchiffre-Verschlüsselung der Cloud Environment Application verschlüsselt und die Schlüssel werden über den Key Management Service (KMS) der Cloud Environment Application verwaltet.

• Doodle verwendet TLS 1.2 oder höher, um Kundendaten während der Übertragung zu verschlüsseln.

b. Eingabe- und Offenlegungskontrolle. Maßnahmen, die es ermöglichen, im Nachhinein zu überprüfen, ob und von wem Daten in die Datenverarbeitungssysteme eingegeben, geändert, weitergegeben (ggf. an wen) und aus diesen entfernt wurden:

• Doodle unterhält umfassende Protokolle für alle Produktionsumgebungen. Diese Protokolle werden in einem zentralen Repository gespeichert, das logisch von den Produktionssystemen getrennt ist, um Manipulationen zu verhindern und die forensische Integrität sicherzustellen.

• Alle Zugriffs- und Aktivitätsprotokolle werden mindestens ein Jahr lang aufbewahrt, um die Einhaltung von Vorschriften zu überprüfen und die Sicherheit zu überwachen.

c. Kontrolle der Speicherung: Maßnahmen, die verhindern, dass Unbefugte gespeicherte Daten lesen, kopieren, verändern, verschieben, löschen oder zerstören können:

• Die Verwaltung, Verarbeitung und Speicherung von Kundendaten erfolgt gemäß den einschlägigen Datenschutz- und anderen Vorschriften, die in unseren Richtlinien formell festgelegt sind.

• Doodle verfolgt eine rollenbasierte Zugriffskontrolle (RBAC), wie in den internen Richtlinien von Doodle festgelegt.

• Die Administrationsrechte sind auf Konten beschränkt, auf die nur das technische Serviceteam von Doodle Zugriff hat und für die die Administrationsrolle durch Änderungskontrollverfahren genehmigt und gewährt wurde.

C. Verfügbarkeit und Ausfallsicherheit

(Artikel 32(1)(c) der Datenschutz-Grundverordnung (GDPR) oder entsprechende Bestimmungen in den geltenden Datenschutzgesetzen)

a. Kontrolle der Verfügbarkeit: Maßnahmen zum Schutz der Daten vor versehentlicher Zerstörung oder Verlust:

• Als Cloud-first-Unternehmen werden alle Daten auf einer hochverfügbaren Cloud-Infrastruktur mit eingebauter Redundanz über mehrere Verfügbarkeitszonen gehostet.

b. Schnelle Wiederherstellbarkeit: Maßnahmen zur schnellen Wiederherstellung von Daten im Falle eines physischen oder technischen Vorfalls.

• Doodle führt täglich vollständige Backups seiner Cloud-Infrastruktur durch.

• Interne Backups werden während der Übertragung und im Ruhezustand verschlüsselt. Für die Übertragung verwendet Doodle mindestens TLS 1.2 und für die Verschlüsselung im Ruhezustand verwendet Doodle den Industriestandard AES-256 Verschlüsselungsalgorithmus.

c. System-Sicherheit: Maßnahmen zur Anpassung von Betriebssystemen und Anwendungssoftware an neue Sicherheitsstandards und zur Behebung kritischer Schwachstellen:

• Die Patch-Management-Richtlinie von Doodle regelt ein zentralisiertes Ökosystem, in dem Endgeräte über die Automatisierungsanwendung für die Verwaltung mobiler Geräte und die Cloud-Management-Anwendung gepatcht werden, die Infrastruktur über den Cloud Environment Application Patch Manager verwaltet wird und Versionsversionen über das App-Dev-Tool bereitgestellt werden, wobei idealerweise Vorproduktionstests zur Bewertung der Patches vor der vollständigen Bereitstellung vorgesehen sind.

• Doodle scannt seine interne und öffentliche Infrastruktur regelmäßig auf allgemeine Schwachstellen und Risiken.

D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Artikel 32(1)(d) der Datenschutz-Grundverordnung (DSGVO) oder entsprechende Bestimmungen in den geltenden Datenschutzgesetzen)

a. Datenschutz-Management:

• Doodle verfügt über Richtlinien, Verfahren und Standards, die darauf abzielen, dass die persönlichen Daten der Kunden verantwortungsvoll und in Übereinstimmung mit den für Doodle geltenden Datenschutzprinzipien, Gesetzen und Vorschriften behandelt werden.

• Doodle hat eine Richtlinie zur Klassifizierung von Informationen veröffentlicht und umgesetzt, die sich mit der Klassifizierung und Verschlüsselung von Informationen befasst. Persönliche Daten von Mitarbeitern und Kunden werden auf der Grundlage dieser Richtlinie verschlüsselt.

• Alle Laptops der Mitarbeiter sind mit der File Storage Application verschlüsselt.

• Doodle führt laufend Schulungen zum Thema Datenschutz für seine Mitarbeiter durch und zeichnet, soweit zulässig, die Teilnahme auf.

• Doodle überprüft und protokolliert, wo und wie seine Produkte und Dienstleistungen personenbezogene Daten sammeln, verwenden, aufbewahren und entsorgen. Risiken werden identifiziert, aufgezeichnet und gemildert.

• Doodle ist transparent darüber, wie es personenbezogene Daten erhebt, verarbeitet, aufbewahrt und löscht. Die persönlichen Daten, die Doodle erhebt, verwendet, verarbeitet und weitergibt, hängen von den jeweiligen Dienstleistungen ab, die angefordert wurden und/oder von den Aktivitäten, die durchgeführt werden. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

• Doodle verwendet die gesammelten persönlichen Daten in Übereinstimmung mit den für Doodle geltenden Datenschutzbestimmungen und -vorschriften. Doodle ist sich darüber im Klaren, aus welchen Gründen es personenbezogene Daten sammelt und verwendet, und zwar in einer Weise, die mit diesen Zwecken vereinbar ist.

• Die Kundendaten werden außerdem durch einen SDLC-Prozess gesichert, der bewährte Sicherheitsverfahren und -kontrollen für seine Anwendungen implementiert, wie z.B. AES 256-Bit-Verschlüsselung für Daten im Ruhezustand, Überwachung und Protokollierung, Schwachstellenmanagement und Systemhärtung.

• Doodle nutzt eine integrierte Plattform für Sicherheitsschulungen in Kombination mit simulierten Phishing-Angriffen, die regelmäßig für alle Mitarbeiter durchgeführt werden.

• Doodle unterzieht sich jährlich einem unabhängigen externen Audit, das auf den Anforderungen der Trust Services Principles von AICPA's SOC 2 Type II basiert. Doodle hat außerdem den MSP Alliance Cyber Verify Level 3 erreicht, was bedeutet, dass kritische Bereiche unseres Cloud-Service-Betriebs, einschließlich Datenschutz, Netzwerksicherheit, Verfügbarkeit und Betriebszeit, Disaster-Recovery-Pläne, Skalierbarkeit und Compliance, geprüft wurden und den Branchenvorschriften entsprechen.

• Um die Anforderungen der GDPR zu erfüllen, hat Doodle offiziell einen externen Datenschutzbeauftragten (DSB) ernannt, der für eine unabhängige Aufsicht und kontinuierliche Integrität der Aktivitäten zur Verarbeitung personenbezogener Daten sorgt.

• Doodle unterhält einen formalisierten Prozess für die Bearbeitung von Anfragen der betroffenen Personen, um die Einhaltung der geltenden gesetzlichen Rechte auf Auskunft, Berichtigung und Löschung innerhalb der vorgeschriebenen Fristen zu ermöglichen.

b. Management der Reaktion auf Vorfälle:

• Doodle verfügt über einen Business Continuity Plan, einen Plan zur Reaktion auf Sicherheitsvorfälle und Verfahren zur Reaktion auf Sicherheitsvorfälle sowie Richtlinien und Verfahren zum Umgang mit Datenverletzungen, die jährlich getestet werden.