Nachtrag zur Datenverarbeitung (DPA) — MultiLipi

Datum des Inkrafttretens: 10 September 2025

Diese DPA ist Teil der Vereinbarung zwischen MultiLipi Technologies Private Limited ("MultiLipi ") and the entity identified in the Order/Subscription ("Kunde "). It governs MultiLipi's processing of Personal Data on behalf of Customer under applicable Data Protection Laws, including the GDPR and UK GDPR. See also our Datenschutzrichtlinie und aktuell Unterauftragsverarbeiter .

1) Definitions

Capitalized terms not defined here have the meaning in the Agreement. "Datenschutzgesetze "bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich der DSGVO (EU) 2016/679 und der DSGVO des Vereinigten Königreichs, sowie alle lokalen Umsetzungsgesetze. " Personenbezogene Daten ", " Controller ", " Prozessor ", " Betroffene Person ", " Verarbeitung " und " Supervisory Authority" haben die Bedeutungen in der DSGVO.

"Sensitive Data" means information requiring extra protection or subject to special rules (for example: special‑category data under GDPR Article 9 such as health/biometric/genetic data; personal data of children under 16; government‑issued identifiers; financial account or payment data; precise geolocation; or credentials/passwords/API keys/secrets). The Services are not designed to process Sensitive Data.

2) Umfang und Rollen

  1. Kunde ist ein Controller , und MultiLipi ist ein Prozessor in Bezug auf die personenbezogenen Daten, die in Anhang I .
  2. Wenn der Kunde als Auftragsverarbeiter für einen externen Verantwortlichen tätig wird, handelt MultiLipi als Unterauftragsverarbeiter . Customer warrants it has the Controller's authorization to appoint MultiLipi.
  3. MultiLipi verarbeitet personenbezogene Daten nur: (a) um die Dienste zu erbringen; (b) wie vom Kunden in der Vereinbarung und dieser DPA dokumentiert; und (c) wie gesetzlich vorgeschrieben.

3) Anweisungen des Kunden

  1. Der Kunde weist MultiLipi an, personenbezogene Daten zu verarbeiten, um die Dienste bereitzustellen und zu verbessern (unter Wahrung der Privatsphäre), einschließlich Übersetzung, Routing nach Sprache, Glossar/TM, Medienübersetzung, Analysen und SEO-Funktionen, die vom Kunden aktiviert werden.
  2. Customer will not submit or cause the Services to Process Sensitive Data. If Customer nevertheless submits Sensitive Data, Customer is solely responsible for obtaining all necessary consents and safeguards; MultiLipi has no obligation to monitor for Sensitive Data.
  3. MultiLipi will notify Customer if it cannot follow instructions due to a legal requirement, unless prohibited.
  4. MultiLipi will not sell Personal Data, nor use it to build or train generalized AI models without Customer's explicit opt‑in.

4) Confidentiality

MultiLipi ensures persons authorized to Process Personal Data are bound by confidentiality obligations and receive appropriate data protection training.

5) Security Measures

MultiLipi implementiert und pflegt geeignete technische und organisatorische Maßnahmen (" Toms ") zum Schutz personenbezogener Daten, wie in Anhang II unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

6) Unterauftragsverarbeiter

  1. Der Kunde erteilt MultiLipi eine allgemeine Ermächtigung, Unterauftragsverarbeiter mit der Erbringung der Dienstleistungen zu beauftragen. Die aktuellen Unterauftragsverarbeiter sind unter /rechtliche/Unterauftragsverarbeiter .
  2. MultiLipi wird den Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die dieser DPA entsprechen, und bleibt für deren Leistung verantwortlich.
  3. If Unsatisfied with the Subprocessors, Customer must contact MultiLipi and provide an opportunity to object on reasonable grounds related to data protection. If unresolved in good faith, Customer may suspend or terminate the affected Services (pro‑rata refund of prepaid fees).

7) Unterstützung, DSFA und vorherige Konsultationen

Taking into account the nature of Processing and information available to MultiLipi, we will assist Customer in ensuring compliance with obligations under Articles 32–36 GDPR (security, breach notifications, DPIAs and prior consultations), including by providing relevant documentation about our TOMs and subprocessors.

8) Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten

  1. MultiLipi wird den Kunden benachrichtigen without undue delaynachdem Sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt haben, die Kundendaten betrifft. Die Benachrichtigung enthält Informationen, die MultiLipi zu diesem Zeitpunkt vernünftigerweise zur Verfügung standen, einschließlich: Art des Verstoßes, Kategorien und ungefähre Anzahl der betroffenen Personen und Aufzeichnungen, wahrscheinliche Folgen und Maßnahmen, die ergriffen oder vorgeschlagen wurden, um den Verstoß zu beheben.
  2. MultiLipi will promptly take steps to mitigate adverse effects and cooperate with Customer's reasonable requests to meet any breach notification obligations.

9) Anfragen betroffener Personen

To the extent legally permitted, MultiLipi will promptly notify Customer if we receive a request from a Data Subject exercising rights under Data Protection Laws relating to Customer Data. MultiLipi will not respond except on Customer's documented instructions and will provide reasonable assistance for Customer to respond to such requests.

10) Rückgabe & Löschung von Daten

  1. On Customer's documented request, MultiLipi will delete or return all Personal Data (and delete existing copies) within a commercially reasonable period, unless retention is required by law.
  2. Backups are overwritten on scheduled cycles; deletion from backups will occur in the ordinary course.

11) Internationale Datenübermittlungen (SCCs/UK Addendum)

  1. Überweisungen an den EWR. Where Processing involves a transfer of Personal Data subject to GDPR to a third country without an adequacy decision, the parties agree that the Standardvertragsklauseln die von der Europäischen Kommission im Beschluss (EU) 2021/914 (im Folgenden " Einzelkopiecluster ") werden durch Verweis aufgenommen und sind Teil dieser DPA, wie im Folgenden dargelegt:
    • Modul 2 (Verantwortlicher an Auftragsverarbeiter) und/oder Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter), je nachdem, was zutrifft.
    • Klausel 7 (Docking-Klausel): Gilt .
    • Klausel 11 (Rechtsbehelf): Nicht anwenden.
    • Klausel 17 (Anwendbares Recht): Gesetze Irland .
    • Klausel 18 (Gerichtsstand und Gerichtsstand): Gerichte Irland .
    • Die Anhänge I–III der Standardvertragsklauseln werden durch die Informationen in Anhang I , Anhang II und Anhang III dieser DPA.
  2. Überweisungen nach Großbritannien. Für Übermittlungen, die der britischen DSGVO unterliegen, vereinbaren die Parteien das International Data Transfer Addendum (IDTA) Addendum B des ICO zu den EU-SCCs, das durch Verweis aufgenommen wird. Im Falle eines Konflikts hat der UK-Zusatz für UK-Übertragungen Vorrang.
  3. Schweizer Überweisungen. For transfers subject to the Swiss FADP, references to the GDPR in the SCCs shall be read as references to the FADP; references to EU Member States become Switzerland; and the competent authority is the FDPIC.

13) Liability & Indemnity

Liability under this DPA is subject to the limitations and exclusions of liability in the Agreement, except to the extent prohibited by applicable law. Each party shall be liable for its own acts and omissions under Data Protection Laws.

14) Sonstiges

  1. Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA im Umfang des Widerspruchs in Bezug auf den Datenschutz Vorrang.
  2. Sollte eine Bestimmung dieses DPA für ungültig befunden werden, bleibt der Rest in Kraft.
  3. MultiLipi behält sich das Recht vor, diese DPA zu aktualisieren, um Änderungen des Gesetzes oder unserer Dienste widerzuspiegeln.

Anhang I — Beschreibung der Verarbeitung

A. Parteien

Datenexporteur Kunde (Controller) — Details gemäß Bestellung/Abonnement.
Datenimporteur MultiLipi Technologies Private Limited (Processor). Contact: privacy@multilipi.com

B. Einzelheiten der Verarbeitung

Stoff Bereitstellung der mehrsprachigen SEO- und Übersetzungsdienste von MultiLipi.
Dauer Während der Laufzeit des Vertrages und soweit anderweitig für die Löschung/Rückgabe und Backups erforderlich.
Natur und Zweck Processing to deliver features selected by Customer (translation, language routing, glossary/TM, media translation, analytics, SEO), support, billing, and security. Workflow für die Übersetzung: to provide translations, the textual content of Customer’s webpages is transmitted to MultiLipi’s servers and to our third‑party translation provider (e.g., Azure Translation Services) acting as our Subprocessor. For performance optimization and caching, MultiLipi may store the original text and its corresponding translation.
Kategorien betroffener Personen Customer personnel (admins, users), Customer's end users/visitors, and any individuals whose data appears in content provided by Customer.
Kategorien personenbezogener Daten Kontaktdaten (Name, E-Mail), Kontokennungen, Nutzungsprotokolle (IP, User-Agent, Zeitstempel), für die Übersetzung/Lokalisierung bereitgestellte Inhalte (können zufällig personenbezogene Daten enthalten), Präferenzen (z. B. Sprache), Rechnungskennungen (die über den Zahlungsabwickler abgewickelt werden).
Sensitive data (if any)Not required for the Services. Customer must not submit Sensitive Data; the Services are not designed to process it.
Frequenz Continuous, as initiated by Customer's use of the Services.
Speicherung Wie in der Datenschutzrichtlinie und -vereinbarung angegeben; nicht länger als für die Zwecke erforderlich aufbewahrt und dann gelöscht oder anonymisiert.
Überträgt Wie in Abschnitt 12 dieses DPA beschrieben.

C. Competent Supervisory Authority

For the SCCs, the competent authority is determined in accordance with Clause 13 of the SCCs (e.g., the authority of the Member State of Customer's main EU establishment or Data Subjects).

Anhang II — Technische und organisatorische Maßnahmen

  1. Information Security Program. Written policies covering access control, data handling, incident response, change management, vendor risk, and secure development.
  2. Zugriffskontrolle. Rollenbasierter Zugriff, geringste Rechte, starke Authentifizierung, MFA für Administratoren, Sitzungsverwaltung, regelmäßige Zugriffsüberprüfungen, sofortiger Widerruf bei Rollenwechsel/-beendigung.
  3. Verschlüsselung. TLS for data in transit; encryption of stored secrets and keys; key rotation and limited access to key material.
  4. Network & Application Security.Segmentierte Netzwerke; Firewall/WAF; DDoS-Schutz (ggf. über CDN/Edge); Verhärtung von Basislinien; Sicherer SDLC einschließlich Code-Review und Abhängigkeits-Scanning.
  5. Logging & Monitoring. Centralized logging of security-relevant events; alerting on anomalies; time synchronization; tamper-resistant log storage.
  6. Vulnerability & Patch Management. Regular vulnerability scanning; timely remediation; third‑party testing as appropriate.
  7. Business Continuity & Disaster Recovery. Redundant infrastructure for critical components; tested backups; documented RTO/RPO targets.
  8. Datentrennung. Logische Trennung von Kundenumgebungen und Daten.
  9. Personnel Security & Training. Background checks as permitted by law; onboarding/annual security and privacy training; confidentiality undertakings.
  10. Reaktion auf Vorfälle. Documented plan with defined roles, triage, containment, eradication, recovery, lessons learned, and customer notification workflows.
  11. Lieferanten- und Unterauftragsverarbeiter-Management. Risk-based assessment, contractual security/privacy obligations, continuous monitoring.
  12. Physical Security. Data centers operated by vetted providers with industry-standard controls (badging, CCTV, visitor logs).
  13. Datenminimierung. Collect only what is necessary; retention limits; anonymization/pseudonymization where suitable.
  14. Kontrolle durch den Kunden. Admin tools for access management; audit trails in the dashboard (where available); API key management; MFA support.

Anhang III — Unterauftragsverarbeiter

Die aktuelle Liste der zugelassenen Unterauftragsverarbeiter wird unter https://multilipi.com/legal/subprocessors. Für jeden Unterauftragsverarbeiter legt MultiLipi Folgendes offen: Name, Zweck, Ort(e) der Verarbeitung und Übertragungsmechanismus (z. B. SCCs).

Signaturen

Kunde MultiLipi Technologies Private Limited
Name:___________________________
Title: ___________________________
Datum:___________________________
Unterschrift:______________________ 		Name: Kunal Singh Shekhawat
Title: Co-Founder @MultiLipi
Datum: 10.09.2025
Unterschrift: Unterschrift von Kunal Singh Shekhawat

Mit der Unterzeichnung vereinbaren die Parteien, dass die EU-Standardvertragsklauseln (Beschluss (EU) 2021/914) und gegebenenfalls der Nachtrag zum internationalen Datentransfer des Vereinigten Königreichs durch Verweis aufgenommen und gemäß dieser DPA ausgefüllt werden.