Nachtrag zur Datenverarbeitung (DPA) — MultiLipi

Datum des Inkrafttretens: 10 September 2025

Diese DPA ist Teil der Vereinbarung zwischen MultiLipi Technologies GmbH GmbH ("MultiLipi ") und das in der Bestellung/Abonnement genannte Unternehmen ("" Kunde "). Sie regelt die Verarbeitung personenbezogener Daten durch MultiLippi im Auftrag des Kunden gemäß den geltenden Datenschutzgesetzen, einschließlich der DSGVO und der britischen DSGVO. Siehe auch unsere Datenschutzrichtlinie und aktuell Unterauftragsverarbeiter .

1) Definitionen

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung in der Vereinbarung. " Datenschutzgesetze "bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich der DSGVO (EU) 2016/679 und der DSGVO des Vereinigten Königreichs, sowie alle lokalen Umsetzungsgesetze. " Personenbezogene Daten ", " Controller ", " Prozessor ", " Betroffene Person ", " Verarbeitung " und " Aufsichtsbehörde " haben die Bedeutungen in der DSGVO.

"Sensible Daten" bezeichnet Informationen, die einen besonderen Schutz erfordern oder besonderen Regeln unterliegen (z. B. Daten besonderer Kategorien gemäß Artikel 9 der DSGVO, wie z. B. Gesundheits-/biometrische/genetische Daten, personenbezogene Daten von Kindern unter 16 Jahren, von der Regierung ausgestellte Identifikatoren, Finanzkonto- oder Zahlungsdaten, genaue Geolokalisierung oder Anmeldeinformationen/Passwörter/API-Schlüssel/Geheimnisse). Die Dienste sind nicht für die Verarbeitung sensibler Daten ausgelegt.

2) Umfang und Rollen

  1. Kunde ist ein Controller , und MultiLipi ist ein Prozessor in Bezug auf die personenbezogenen Daten, die in Anhang I .
  2. Wenn der Kunde als Auftragsverarbeiter für einen externen Verantwortlichen tätig wird, handelt MultiLipi als Unterauftragsverarbeiter . Der Kunde garantiert, dass er über die Berechtigung des Verantwortlichen verfügt, MultiLipi zu ernennen.
  3. MultiLipi verarbeitet personenbezogene Daten nur: (a) um die Dienste zu erbringen; (b) wie vom Kunden in der Vereinbarung und dieser DPA dokumentiert; und (c) wie gesetzlich vorgeschrieben.

3) Anweisungen des Kunden

  1. Der Kunde weist MultiLipi an, personenbezogene Daten zu verarbeiten, um die Dienste bereitzustellen und zu verbessern (unter Wahrung der Privatsphäre), einschließlich Übersetzung, Routing nach Sprache, Glossar/TM, Medienübersetzung, Analysen und SEO-Funktionen, die vom Kunden aktiviert werden.
  2. Der Kunde wird die Dienste nicht einreichen oder verarbeiten lassen Sensible Daten . Wenn der Kunde dennoch sensible Daten übermittelt, ist der Kunde allein dafür verantwortlich, alle erforderlichen Zustimmungen und Sicherheitsvorkehrungen einzuholen; MultiLipi ist nicht verpflichtet, sensible Daten zu überwachen.
  3. MultiLipi wird den Kunden benachrichtigen, wenn es aufgrund einer gesetzlichen Anforderung nicht befolgt werden kann, es sei denn, dies ist verboten.
  4. MultiLipi wird keine personenbezogenen Daten verkaufen oder sie verwenden, um verallgemeinerte KI-Modelle ohne die ausdrückliche Zustimmung des Kunden zu erstellen oder zu trainieren.

4) Vertraulichkeit

MultiLipi stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, an Vertraulichkeitsverpflichtungen gebunden sind und eine angemessene Datenschutzschulung erhalten.

5) Sicherheitsmaßnahmen

MultiLipi implementiert und pflegt geeignete technische und organisatorische Maßnahmen (" Toms ") zum Schutz personenbezogener Daten, wie in Anhang II unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

6) Unterauftragsverarbeiter

  1. Der Kunde erteilt MultiLipi eine allgemeine Ermächtigung, Unterauftragsverarbeiter mit der Erbringung der Dienstleistungen zu beauftragen. Die aktuellen Unterauftragsverarbeiter sind unter /rechtliche/Unterauftragsverarbeiter .
  2. MultiLipi wird den Unterauftragsverarbeitern Datenschutzverpflichtungen auferlegen, die dieser DPA entsprechen, und bleibt für deren Leistung verantwortlich.
  3. Wenn der Kunde mit den Unterauftragsverarbeitern nicht zufrieden ist, muss er sich mit MultiLipi in Verbindung setzen und ihm die Möglichkeit geben, aus vernünftigen Gründen im Zusammenhang mit dem Datenschutz Einspruch zu erheben. Wenn die Lösung in gutem Glauben nicht gelöst wurde, kann der Kunde die betroffenen Dienste aussetzen oder beenden (anteilige Rückerstattung der im Voraus bezahlten Gebühren).

7) Unterstützung, DSFA und vorherige Konsultationen

Unter Berücksichtigung der Art der Verarbeitung und der MultiLipi zur Verfügung stehenden Informationen unterstützen wir den Kunden bei der Einhaltung der Verpflichtungen aus den Artikeln 32 bis 36 DSGVO (Sicherheit, Benachrichtigungen über Datenschutzverletzungen, DSFA und vorherige Konsultationen), einschließlich der Bereitstellung relevanter Unterlagen über unsere TOMs und Unterauftragsverarbeiter.

8) Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten

  1. MultiLipi wird den Kunden benachrichtigen unverzüglich nachdem Sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt haben, die Kundendaten betrifft. Die Benachrichtigung enthält Informationen, die MultiLipi zu diesem Zeitpunkt vernünftigerweise zur Verfügung standen, einschließlich: Art des Verstoßes, Kategorien und ungefähre Anzahl der betroffenen Personen und Aufzeichnungen, wahrscheinliche Folgen und Maßnahmen, die ergriffen oder vorgeschlagen wurden, um den Verstoß zu beheben.
  2. MultiLipi wird unverzüglich Maßnahmen ergreifen, um nachteilige Auswirkungen zu mildern, und den angemessenen Anfragen des Kunden nachkommen, um den Meldepflichten bei Verstößen nachzukommen.

9) Anfragen betroffener Personen

Soweit gesetzlich zulässig, wird MultiLipi den Kunden unverzüglich benachrichtigen, wenn wir eine Anfrage von einer betroffenen Person erhalten, die Rechte nach den Datenschutzgesetzen in Bezug auf Kundendaten ausübt. MultiLipi wird nur auf die dokumentierten Anweisungen des Kunden antworten und dem Kunden angemessene Unterstützung bei der Beantwortung solcher Anfragen bieten.

10) Rückgabe & Löschung von Daten

  1. Auf dokumentierte Anfrage des Kunden wird MultiLipi alle personenbezogenen Daten (und vorhandene Kopien) innerhalb eines wirtschaftlich angemessenen Zeitraums löschen oder zurückgeben, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.
  2. Backups werden in geplanten Zyklen überschrieben. Das Löschen aus Backups erfolgt im normalen Verlauf.

11) Internationale Datenübermittlungen (SCCs/UK Addendum)

  1. Überweisungen an den EWR. Beinhaltet die Verarbeitung eine Übermittlung personenbezogener Daten, die der DSGVO unterliegen, in ein Drittland ohne Angemessenheitsbeschluss, vereinbaren die Parteien, dass die Standardvertragsklauseln die von der Europäischen Kommission im Beschluss (EU) 2021/914 (im Folgenden " Einzelkopiecluster ") werden durch Verweis aufgenommen und sind Teil dieser DPA, wie im Folgenden dargelegt:
    • Modul 2 (Verantwortlicher an Auftragsverarbeiter) und/oder Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter), je nachdem, was zutrifft.
    • Klausel 7 (Docking-Klausel): Gilt .
    • Klausel 11 (Rechtsbehelf): Nicht anwenden.
    • Klausel 17 (Anwendbares Recht): Gesetze Irland .
    • Klausel 18 (Gerichtsstand und Gerichtsstand): Gerichte Irland .
    • Die Anhänge I–III der Standardvertragsklauseln werden durch die Informationen in Anhang I , Anhang II und Anhang III dieser DPA.
  2. Überweisungen nach Großbritannien. Für Übermittlungen, die der britischen DSGVO unterliegen, vereinbaren die Parteien das International Data Transfer Addendum (IDTA) Addendum B des ICO zu den EU-SCCs, das durch Verweis aufgenommen wird. Im Falle eines Konflikts hat der UK-Zusatz für UK-Übertragungen Vorrang.
  3. Schweizer Überweisungen. Bei Übermittlungen, die dem Schweizer DSG unterliegen, sind Verweise auf die DSGVO in den SCCs als Verweise auf das DSG zu verstehen; Verweise auf EU-Mitgliedstaaten werden zu Schweiz; und die zuständige Behörde ist der EDÖB.

13) Haftung & Entschädigung

Die Haftung im Rahmen dieses DPA unterliegt den Haftungsbeschränkungen und -ausschlüssen in der Vereinbarung, es sei denn, dies ist nach geltendem Recht verboten. Jede Partei haftet für ihre eigenen Handlungen und Unterlassungen nach den Datenschutzgesetzen.

14) Sonstiges

  1. Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA im Umfang des Widerspruchs in Bezug auf den Datenschutz Vorrang.
  2. Sollte eine Bestimmung dieses DPA für ungültig befunden werden, bleibt der Rest in Kraft.
  3. MultiLipi behält sich das Recht vor, diese DPA zu aktualisieren, um Änderungen des Gesetzes oder unserer Dienste widerzuspiegeln.

Anhang I — Beschreibung der Verarbeitung

A. Parteien

Datenexporteur Kunde (Controller) — Details gemäß Bestellung/Abonnement.
Datenimporteur MultiLipi Technologies Private Limited (Auftragsverarbeiter). Kontakt: privacy@multilipi.com

B. Einzelheiten der Verarbeitung

Stoff Bereitstellung der mehrsprachigen SEO- und Übersetzungsdienste von MultiLipi.
Dauer Während der Laufzeit des Vertrages und soweit anderweitig für die Löschung/Rückgabe und Backups erforderlich.
Natur und Zweck Verarbeitung zur Bereitstellung von Funktionen, die vom Kunden ausgewählt werden (Übersetzung, Sprachrouting, Glossar/TM, Medienübersetzung, Analysen, SEO), Support, Abrechnung und Sicherheit. Workflow für die Übersetzung: Um Übersetzungen bereitzustellen, wird der Textinhalt der Webseiten des Kunden an die Server von MultiLippi und an unseren externen Übersetzungsdienstleister (z. B. Azure Translation Services) übertragen, der als unser Unterauftragsverarbeiter fungiert. Zur Leistungsoptimierung und zum Caching kann MultiLipi den Originaltext und die entsprechende Übersetzung speichern.
Kategorien betroffener Personen Kundenpersonal (Administratoren, Benutzer), Endbenutzer/Besucher des Kunden und alle Personen, deren Daten in den vom Kunden bereitgestellten Inhalten erscheinen.
Kategorien personenbezogener Daten Kontaktdaten (Name, E-Mail), Kontokennungen, Nutzungsprotokolle (IP, User-Agent, Zeitstempel), für die Übersetzung/Lokalisierung bereitgestellte Inhalte (können zufällig personenbezogene Daten enthalten), Präferenzen (z. B. Sprache), Rechnungskennungen (die über den Zahlungsabwickler abgewickelt werden).
Sensible Daten (falls vorhanden) Für die Dienste nicht erforderlich. Der Kunde darf nicht Sensible Daten ; Die Dienste sind nicht dafür ausgelegt, sie zu verarbeiten.
Frequenz Kontinuierlich, wie durch die Nutzung der Dienste durch den Kunden ausgelöst.
Speicherung Wie in der Datenschutzrichtlinie und -vereinbarung angegeben; nicht länger als für die Zwecke erforderlich aufbewahrt und dann gelöscht oder anonymisiert.
Überträgt Wie in Abschnitt 12 dieses DPA beschrieben.

C. Zuständige Aufsichtsbehörde

Für die SCCs wird die zuständige Behörde gemäß Klausel 13 der SCCs bestimmt (z. B. die Behörde des Mitgliedstaats, in dem der Kunde seine Hauptniederlassung in der EU hat oder die betroffenen Personen sind).

Anhang II — Technische und organisatorische Maßnahmen

  1. Informationssicherheitsprogramm. Schriftliche Richtlinien für Zugriffskontrolle, Datenverarbeitung, Incident Response, Änderungsmanagement, Lieferantenrisiko und sichere Entwicklung.
  2. Zugriffskontrolle. Rollenbasierter Zugriff, geringste Rechte, starke Authentifizierung, MFA für Administratoren, Sitzungsverwaltung, regelmäßige Zugriffsüberprüfungen, sofortiger Widerruf bei Rollenwechsel/-beendigung.
  3. Verschlüsselung. TLS für Daten während der Übertragung; Verschlüsselung von gespeicherten Geheimnissen und Schlüsseln; Schlüsselrotation und eingeschränkter Zugriff auf Schlüsselmaterial.
  4. Netzwerk- und Anwendungssicherheit. Segmentierte Netzwerke; Firewall/WAF; DDoS-Schutz (ggf. über CDN/Edge); Verhärtung von Basislinien; Sicherer SDLC einschließlich Code-Review und Abhängigkeits-Scanning.
  5. Protokollierung & Überwachung. Zentralisierte Protokollierung sicherheitsrelevanter Ereignisse; Warnung bei Anomalien; Zeitsynchronisation; Manipulationssichere Protokollspeicherung.
  6. Schwachstellen- und Patch-Management. Regelmäßige Schwachstellen-Scans; rechtzeitige Sanierung; gegebenenfalls Tests durch Dritte.
  7. Business Continuity und Disaster Recovery. Redundante Infrastruktur für kritische Komponenten; getestete Backups; dokumentierte RTO/RPO-Ziele.
  8. Datentrennung. Logische Trennung von Kundenumgebungen und Daten.
  9. Personalsicherheit und -schulung. Hintergrundüberprüfungen, soweit gesetzlich zulässig; Onboarding/jährliche Sicherheits- und Datenschutzschulungen; Vertraulichkeitsverpflichtungen.
  10. Reaktion auf Vorfälle. Dokumentierter Plan mit definierten Rollen, Triage, Eindämmung, Beseitigung, Wiederherstellung, gewonnenen Erkenntnissen und Workflows für Kundenbenachrichtigungen.
  11. Lieferanten- und Unterauftragsverarbeiter-Management. Risikobasierte Bewertung, vertragliche Sicherheits-/Datenschutzverpflichtungen, kontinuierliche Überwachung.
  12. Physische Sicherheit. Rechenzentren, die von geprüften Anbietern mit branchenüblichen Kontrollen (Badges, CCTV, Besucherprotokolle) betrieben werden.
  13. Datenminimierung. Sammeln Sie nur das Notwendige; Aufbewahrungsgrenzen; Anonymisierung/Pseudonymisierung, sofern geeignet.
  14. Kontrolle durch den Kunden. Admin-Tools für die Zugriffsverwaltung; Prüfpfade im Dashboard (sofern verfügbar); API-Schlüsselverwaltung; MFA-Unterstützung.

Anhang III — Unterauftragsverarbeiter

Die aktuelle Liste der zugelassenen Unterauftragsverarbeiter wird unter https://multilipi.com/legal/subprocessors. Für jeden Unterauftragsverarbeiter legt MultiLipi Folgendes offen: Name, Zweck, Ort(e) der Verarbeitung und Übertragungsmechanismus (z. B. SCCs).

Signaturen

Kunde MultiLipi Technologies GmbH GmbH
Name:___________________________
Titel:___________________________
Datum:___________________________
Unterschrift:______________________ 		Name: Kunal Singh Shekhawat
Titel: Mitbegründer @MultiLipi
Datum: 10.09.2025
Unterschrift: Unterschrift von Kunal Singh Shekhawat

Mit der Unterzeichnung vereinbaren die Parteien, dass die EU-Standardvertragsklauseln (Beschluss (EU) 2021/914) und gegebenenfalls der Nachtrag zum internationalen Datentransfer des Vereinigten Königreichs durch Verweis aufgenommen und gemäß dieser DPA ausgefüllt werden.