Nachtrag zur Datenverarbeitung (DPA) — MultiLipi
Letzte Aktualisierung: 10. September 2025
Diese DPA ist Teil der Vereinbarung zwischen MultiLipi Technologies Private Limited ("MultiLipi") und die in der Anordnung/Abonnement identifizierte Einheit ( "Kunde" ). Sie regelt die Verarbeitung personenbezogener Daten durch MultiLipi im Namen des Kunden gemäß den geltenden Datenschutzgesetzen, einschließlich der DSGVO und der britischen DSGVO. Siehe auch unsere Datenschutzrichtlinie und aktuelle Unterprozessoren.
Auf dieser Seite
Definitionen
Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung im Abkommen. "Datenschutzgesetze" bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten gemäß dem Abkommen gelten, einschließlich der DSGVO (EU) 2016/679 und der britischen DSGVO sowie aller lokalen Durchsetzungsgesetze. "Personenbezogene Daten", "Verantwortlicher", "Bearbeiter", "Datenträger", "Verarbeitung", und "Aufsichtsbehörde" die Bedeutungen in der DSGVO haben.
"Sensible Daten" bedeutet Informationen, die zusätzlichen Schutz erfordern oder besonderen Regeln unterliegen (zum Beispiel: Daten in Sonderkategorien gemäß DSGVO Artikel 9, wie Gesundheits-/biometrische/genetische Daten; personenbezogene Daten von Kindern unter 16 Jahren; von der Regierung ausgegebene Kennungen; Finanzkonto- oder Zahlungsdaten; genaue Geolokalisierung; oder Zugangsdaten/Passwörter/API-Schlüssel/Geheimnisse). Die Dienste sind nicht dafür ausgelegt, sensible Daten zu verarbeiten.
Aufgabenbereiche und Rollen
Kunde ist ein Controller , und MultiLipi ist ein Prozessor im Zusammenhang mit den in Anhang I beschriebenen personenbezogenen Daten. Während der Kunde als Prozessor für einen Drittanbieter-Controller fungiert, agiert MultiLipi als Kundenbearbeiter Unterauftragsverarbeiter . Der Kunde garantiert, dass er die Genehmigung des Controllers hat, MultiLipi zu ernennen. MultiLipi verarbeitet ausschließlich personenbezogene Daten: (a) um die Dienstleistungen zu erbringen; (b) wie vom Kunden in der Vereinbarung und diesem DPA dokumentiert; und (c) wie gesetzlich vorgeschrieben.
Anweisungen für den Kunden
Der Kunde weist MultiLipi an, personenbezogene Daten zu verarbeiten, um die Dienste bereitzustellen und zu verbessern (unter Wahrung der Privatsphäre), einschließlich Übersetzung, Routing nach Sprache, Glossar/TM, Medienübersetzung, Analysen und SEO-Funktionen, die vom Kunden aktiviert werden.
Der Kunde wird keine sensiblen Daten einreichen oder dazu bringen, dass die Dienste verarbeitet werden. Sollte der Kunde dennoch sensible Daten einreichen, ist der Kunde allein dafür verantwortlich, alle notwendigen Einwilligungen und Schutzmaßnahmen einzuholen; MultiLipi ist nicht verpflichtet, sensible Daten zu überwachen.
MultiLipi benachrichtigt den Kunden, wenn es aufgrund einer gesetzlichen Anforderung keine Anweisungen befolgen kann, sofern es nicht verboten ist. MultiLipi wird keine persönlichen Daten verkaufen und es auch nicht nutzen, um generalisierte KI-Modelle ohne ausdrückliche Zustimmung des Kunden zu erstellen oder zu trainieren.
Vertraulichkeit
MultiLipi stellt sicher, dass Personen, die personenbezogene Daten verarbeiten dürfen, an Vertraulichkeitspflichten gebunden sind und angemessene Schulungen zum Datenschutz erhalten.
Sicherheitsmaßnahmen
MultiLipi implementiert und unterhält geeignete technische und organisatorische Maßnahmen ("TOMs") zum Schutz personenbezogener Daten gemäß Anhang II unter Berücksichtigung des Stand der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Unterauftragsverarbeiter
Der Kunde erteilt MultiLipi eine allgemeine Genehmigung, Subprozessoren mit der Erbringung der Dienstleistungen zu beauftragen. Aktuelle Subprozessoren sind unter /legal/subprocessors aufgeführt. MultiLipi wird Subprozessoren, die diesem DPA entsprechen, Datenschutzpflichten auferlegen und bleibt für deren Leistung verantwortlich.
Bei Unzufriedenheit mit den Unterprozessoren muss der Kunde MultiLipi kontaktieren und die Möglichkeit bieten, aus berechtigten Gründen im Zusammenhang mit dem Datenschutz Einspruch zu erheben. Wenn dies in gutem Glauben nicht gelöst wird, kann der Kunde die betroffenen Dienstleistungen aussetzen oder beenden (anteilige Rückerstattung vorausbezahlter Gebühren).
Unterstützung, DSFA und vorherige Konsultationen
Unter Berücksichtigung der Art der Verarbeitung und der für MultiLipi verfügbaren Informationen unterstützen wir den Kunden dabei, die Einhaltung der Verpflichtungen gemäß den Artikeln 32–36 DSGVO (Sicherheit, Sicherheitsmeldungen, DPIAs und vorherige Konsultationen) sicherzustellen, unter anderem durch die Bereitstellung relevanter Dokumente zu unseren TOMs und Subprozessoren.
Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten
MultiLipi wird den Kunden ohne unnötige Verzögerung benachrichtigen, sobald er von einer persönlichen Datenpanne erfährt, die Kundendaten betrifft. Die Benachrichtigung enthält Informationen, die MultiLipi zum Zeitpunkt angemessen zugänglich sind, darunter: Art der Verletzung, Kategorien und ungefähre Anzahl der Datenpersonen und Datensätze, voraussichtliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen zur Bekämpfung des Datenlecks.
MultiLipi wird umgehend Maßnahmen ergreifen, um negative Auswirkungen abzumildern und mit den angemessenen Forderungen der Kunden zusammenzuarbeiten, um etwaige Sicherheitsmeldepflichten zu erfüllen.
Anfragen betroffener Personen
Soweit rechtlich zulässig, wird MultiLipi den Kunden umgehend benachrichtigen, wenn wir eine Anfrage von einer Datenperson erhalten, die Rechte nach Datenschutzgesetzen im Zusammenhang mit Kundendaten ausübt. MultiLipi antwortet nur auf dokumentierte Anweisungen des Kunden und bietet dem Kunden angemessene Unterstützung bei der Beantwortung solcher Anfragen.
Rückgabe & Löschung von Daten
Auf eine dokumentierte Anfrage des Kunden löscht oder gibt MultiLipi alle personenbezogenen Daten (und bestehende Kopien) innerhalb eines kommerziell angemessenen Zeitraums zurück, sofern keine Aufbewahrung gesetzlich vorgeschrieben ist. Backups werden in geplanten Zyklen überschrieben; Die Löschung aus Backups erfolgt im normalen Verlauf.
Internationale Datenübermittlungen (SCCs/UK Addendum)
EWR-Überweisungen. Wenn die Verarbeitung eine Übertragung personenbezogener Daten im Rahmen der DSGVO an einen Drittstaat ohne Angemessenheitsentscheidung umfasst, sind sich die Parteien einig, dass die von der Europäischen Kommission in der Entscheidung (EU) 2021/914 genehmigten Standardvertragsklauseln (die "SCCs") durch Verweis aufgenommen und als Teil dieses DPA wie unten dargelegt sind:
Modul 2 (Verantwortlicher an Auftragsverarbeiter) und/oder Modul 3 (Auftragsverarbeiter an Unterauftragsverarbeiter), je nachdem, was zutrifft.
Klausel 7 (Andockklausel): gilt.
Klausel 11 (Abhilfe): gilt nicht.
Klausel 17 (Geltendes Recht): Gesetze Irlands.
Klausel 18 (Forum und Zuständigkeit): Gerichte Irlands.
Die Anhang I–III zu den SCCs werden durch die Informationen in Anhang I, Anhang II und Anhang III dieses DPA ergänzt. UK-Transfers. Für Übertragungen, die der britischen DSGVO unterliegen, stimmen die Parteien dem International Data Transfer Addendum (IDTA) Addendum B der ICO zu den EU-SCCs zu, der durch Referenz aufgenommen wurde. Im Falle eines Konflikts gilt der UK-Zusatz für UK-Übertragungen. Schweizer Transfers. Für Übertragungen, die dem Schweizer FADP unterliegen, sind Verweise auf die DSGVO in den SCCs als Verweise auf die FADP zu lesen; Verweise auf EU-Mitgliedstaaten werden zur Schweiz; und die zuständige Behörde ist das FDPIC.
Haftung & Entschädigung
Die Haftung nach diesem DPA unterliegt den Beschränkungen und Ausschlüssen der Haftung im Vertrag, außer soweit dies durch geltendes Recht verboten ist. Jede Partei haftet für ihre eigenen Handlungen und Unterlassungen gemäß Datenschutzgesetzen.
Verschiedenes
Im Falle eines Konflikts zwischen diesem DPA und dem Abkommen regelt dieses DPA den Umfang des Datenschutzkonflikts. Sollte eine Bestimmung dieses DPA für ungültig erklärt werden, bleibt der Rest in Kraft. MultiLipi kann diese DPA aktualisieren, um Änderungen im Gesetz oder in unseren Dienstleistungen widerzuspiegeln.
Anhang I — Beschreibung der Verarbeitung
A: Parteien
| Datenexporteur | Kunde (Controller) — Details gemäß Bestellung/Abonnement. |
| Datenimporteur | MultiLipi Technologies Private Limited (Prozessor). Kontakt: privacy@multilipi.com |
B: Details der Verarbeitung
| Stoff | Bereitstellung der mehrsprachigen SEO- und Übersetzungsdienste von MultiLipi. |
| Dauer | Während der Laufzeit des Vertrages und soweit anderweitig für die Löschung/Rückgabe und Backups erforderlich. |
| Natur und Zweck | Verarbeitung zur Bereitstellung von vom Kunden ausgewählten Funktionen (Übersetzung, Sprachrouting, Glossar/TM, Medienübersetzung, Analyse, SEO), Support, Abrechnung und Sicherheit. Übersetzungsworkflow: Um Übersetzungen bereitzustellen, werden die Textinhalte der Kundenwebseiten an die Server von MultiLipi und an unseren Drittanbieter-Übersetzungsanbieter (z. B. Azure Translation Services) als Unterprozessor übertragen. Zur Leistungsoptimierung und Caching kann MultiLipi den Originaltext und die entsprechende Übersetzung speichern. |
| Kategorien betroffener Personen | Kundenpersonal (Administratoren, Nutzer), Endnutzer/Besucher des Kunden sowie alle Personen, deren Daten in vom Kunden bereitgestellten Inhalten erscheinen. |
| Kategorien personenbezogener Daten | Kontaktdaten (Name, E-Mail), Kontokennungen, Nutzungsprotokolle (IP, User-Agent, Zeitstempel), für die Übersetzung/Lokalisierung bereitgestellte Inhalte (können zufällig personenbezogene Daten enthalten), Präferenzen (z. B. Sprache), Rechnungskennungen (die über den Zahlungsabwickler abgewickelt werden). |
| Sensible Daten (falls vorhanden) | Für die Dienste nicht erforderlich. Der Kunde darf keine sensiblen Daten einreichen; die Dienste sind nicht dafür ausgelegt, sie zu verarbeiten. |
| Frequenz | Kontinuierlich, wie durch die Nutzung der Dienste durch den Kunden initiiert. |
| Speicherung | Wie in der Datenschutzrichtlinie und -vereinbarung angegeben; nicht länger als für die Zwecke erforderlich aufbewahrt und dann gelöscht oder anonymisiert. |
| Überträgt | Wie in Abschnitt 12 dieses DPA beschrieben |
C: Zuständige Aufsichtsbehörde
Für die SCCs wird die zuständige Behörde gemäß Klausel 13 der SCCs bestimmt (z. B. die Autorität des wichtigsten EU-Standorts oder der Datensubjekte des Mitgliedstaats des Kunden).
Anhang II — Technische und organisatorische Maßnahmen
Informationssicherheitsprogramm. Schriftliche Richtlinien zu Zugriffskontrolle, Datenverarbeitung, Incident Response, Change Management, Lieferantenrisiken und sicherer Entwicklung.
Zugangskontrolle. Rollenbasierter Zugriff, minimale Privilegien, starke Authentifizierung, MFA für Administratoren, Sitzungsmanagement, regelmäßige Zugriffsüberprüfungen, sofortiger Widerruf bei Rollenwechsel oder -beendigung.
Verschlüsselung. TLS für Daten im Transit; Verschlüsselung gespeicherter Geheimnisse und Schlüssel; Schlüsselrotation und eingeschränkter Zugang zu wichtigem Material.
Netzwerk- und Anwendungssicherheit. Segmentierte Netzwerke; Firewall/WAF; DDoS-Schutzmaßnahmen (über CDN/Edge, wo anwendbar); Verhärtung der Basislinien; sicheres SDLC einschließlich Code-Review und Abhängigkeitsscans.
Logging & Monitoring. Zentralisierte Protokollierung sicherheitsrelevanter Ereignisse; Warnung bei Anomalien; Zeitsynchronisation; manipulationssichere Holzlagerung.
Schwachstellen- und Patch-Management. Regelmäßige Schwachstellen-Scans; rechtzeitige Sanierung; Drittanbieter-Tests, sofern es angemessen ist.
Geschäftskontinuität und Katastrophenwiederherstellung. redundante Infrastruktur für kritische Bauteile; Backups zu testen; dokumentierte RTO/RPO-Ziele.
Datentrennung. Logische Trennung von Kundenumgebungen und Daten.
Personalsicherheit und Ausbildung. Hintergrundüberprüfungen, wie gesetzlich erlaubt; Onboarding/jährliche Sicherheits- und Datenschutzschulungen; Vertraulichkeitsvereinbarungen.
Vorfallreaktion. Dokumentierter Plan mit definierten Rollen, Triage, Eindämmung, Ausrottung, Wiederherstellung, gewonnenen Erkenntnissen und Kundenbenachrichtigungsabläufen.
Lieferanten- und Subprozessorverwaltung. Risikobasierte Bewertung, vertragliche Sicherheits- und Datenschutzpflichten, kontinuierliche Überwachung.
Physische Sicherheit. Rechenzentren, die von geprüften Anbietern mit branchenüblichen Kontrollen (Badges, CCTV, Besucherprotokolle) betrieben werden.
Datenminimierung. Sammle nur das, was nötig ist; Aufbehaltsgrenzen; Anonymisierung/Pseudonymisierung, wo es angemessen ist.
Kundenkontrollen. Admin-Tools für Zugriffsverwaltung; Audit-Trails im Dashboard (sofern verfügbar); API-Schlüsselverwaltung; MFA-Unterstützung.
Anhang III — Unterauftragsverarbeiter
Die aktuelle Liste der genehmigten Unterprozessoren wird bei https://multilipi.com/legal/subprocessors geführt. Für jeden Subprozessor gibt MultiLipi Name, Zweck, Ort der Verarbeitung und Übertragungsmechanismus (z. B. SCCs) preis.
Signaturen
| Kunde | MultiLipi Technologies Private Limited |
|---|---|
| Name:___________________________ Titel: ___________________________ Datum:___________________________ Unterschrift:______________________ | Name: Kunal Singh Shekhawat Titel: Mitbegründer @MultiLipi Datum: 10.09.2025 Unterschrift:  |