Sicherheit und Datenschutz stehen bei uns an erster Stelle

Das Datenschutzteam von Amplitude hat unsere Architektur, den Datenfluss, die Fähigkeiten der Anbieter und die Vereinbarungen überprüft, um sicherzustellen, dass unsere Plattform DSGVO-konform ist. Die Digital-Analytics-Plattform von Amplitude interagiert weder direkt mit den Endnutzer:innen unserer Kund:innen, noch erfasst die Plattform automatisch personenbezogene Daten in deinem Auftrag. Unsere Kund:innen können jedoch personenbezogene Daten erfassen und zur Verarbeitung an Amplitude senden (z. B. IP-Adressen). Daher hat Amplitude Verfahren und Upgrades für unsere Kund:innen implementiert, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Genauer gesagt, stellen wir unseren Kund:innen APIs zur Verfügung, um ihre Zugriffs- und Löschanfragen für Endnutzer:innen automatisch zu bearbeiten, wie nachstehend beschrieben.

1. Amplitude ist gemäß dem EU-US-Datenschutzrahmen (DPF) und der UK-Erweiterung des EU-US-DPF, wie vom US-Handelsministerium verwaltet, selbstzertifiziert. Diese Zertifizierung bietet einen rechtmäßigen Mechanismus für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich, der EU und dem EWR in unsere AWS-Umgebung im Westen der USA. Als zusätzlicher Fallback-Übertragungsmechanismus enthalten die Auftragsverarbeitungsvereinbarungen (DPAs, Data Processing Agreements) von Amplitude die EU-Standardvertragsklauseln (SCCs, Standard Contractual Clauses). Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH), dass die EU-SCCs weiterhin einen gültigen Mechanismus für die Übermittlung personenbezogener Daten aus der EU in die USA darstellen.
2. Amplitude hat mit unseren wichtigsten Anbietern Auftragsverarbeitungs­verträge unterzeichnet.
3. Die Software Development Kits (SDKs) von Amplitude geben Kund:innen die Flexibilität, zu kontrollieren, welche Daten sie erfassen und zur Verarbeitung und Speicherung an unsere Plattform senden. Unsere Kund:innen – nicht Amplitude – kontrollieren die Art der Daten, die auf der Plattform gesammelt, gespeichert und verarbeitet werden. Dies ist eine vollständige Zusammenfassung der Datenschlüssel, die Amplitude anerkennt. Sofern nicht anders angegeben, sind alle Felder optional und es sind keine personenbezogenen Daten erforderlich, um unsere Kernfunktionen zu nutzen.
4. Amplitude hat erweiterte Funktionen entwickelt, die es Kund:innen ermöglichen, die Informationen einer bestimmten Person von der Plattform zu entfernen oder festzulegen, dass die Plattform keine IP-Adressen der Endbenutzer:innen speichert.

Unsere Plattform ist darauf ausgelegt, Datenanalysen unter Berücksichtigung des Datenschutzes zu ermöglichen – inklusive Unterstützung bei der Einhaltung des CCPA und des wachsenden Regelwerks anderer Datenschutzgesetze der US-Bundesstaaten.

Als First-Party-Plattform für Datenanalysen hast du die vollständige Kontrolle über die Daten, die du sammelst und an Amplitude sendest, sowie die Aktionen, die du durchführen möchtest. Wir handeln nur als Dienstleister und speichern und verarbeiten deine Daten nur gemäß deinen Anweisungen. Amplitude verwendet keine Kundendaten für eigene Zwecke und wir verkaufen oder teilen deine Daten nicht mit Dritten.

Wir haben Funktionen und Tools entwickelt, mit denen du deine Daten einfach verwalten und Anfragen von betroffenen Personen ausführen kannst, seien es Zugriffs- oder Löschanfragen. In unserem Anhang zur Datenverarbeitung (DPA, Data Processing Addendum) wird unsere Rolle als Dienstleister festgelegt, um dir die Gewissheit zu geben, dass deine Nutzung unserer Plattform deinen Anforderungen an die Einhaltung des CCPA und anderer US-Datenschutzgesetze entspricht.

Wir sind uns bewusst, dass der Schutz privater Gesundheitsinformationen für unsere Kund:innen, die unter den Health Insurance Portability and Accountability Act (HIPAA) fallen, von größter Bedeutung ist. Amplitude kann eine Geschäftspartnervereinbarung abschließen, um dich bei der Einhaltung des HIPAA zu unterstützen.

Amplitude unterhält von AWS gehostete Rechenzentren in den USA und in der EU. So kann unser vielfältiger Kundenstamm unsere Digital-Analytics-Plattform nutzen, während seine Präferenzen und Anforderungen in Bezug auf die Datenspeicherung und -verarbeitung erfüllt werden. Wir haben den Standort Frankfurt, Deutschland, für unser EU-Rechenzentrum gewählt, da es einige der strengsten Datenschutz- und Technologiestandards der Welt hat.

Die Rechenzentren von AWS sind datenneutral und agnostisch, entsprechen den Datenschutzbestimmungen, einschließlich der Datenschutz-Grundverordnung (DSGVO), und sind nach ISO 27001 und SOC 2 Typ II zertifiziert.

Um es unseren Kund:innen zu ermöglichen, angemessen auf Anfragen betroffener Personen zu reagieren und diese zu erfüllen, wie es die globalen Datenschutzgesetze wie die DSGVO und der CCPA vorschreiben, haben wir benutzerfreundliche APIs entwickelt. Mit ihnen kannst du programmatisch Anfragen betroffener Personen für bekannte Amplitude-IDs und/oder Nutzer:innen-IDs übermitteln. Weitere Informationen zu unserer API für den Datenschutz von Nutzer:innen für Löschanfragen von betroffenen Personen findest du hier. Weitere Informationen zu unserer API für Zugriffsanfragen betroffener Personen im Rahmen der DSGVO und zum Recht auf Information im Rahmen des CCPA findest du hier.

Die Datenschutzerklärung von Amplitude beschreibt unsere Praktiken für die Verarbeitung von Informationen in Bezug auf Besucher:innen unserer Website amplitude.com, des Community-Forums und der Amplitude Academy, die Marketingaktivitäten von Amplitude und Kund:innen, die auf unsere Produkte und Dienstleistungen zugreifen und diese nutzen.

Ein Anhang zur Datenverarbeitung (DPA, Data Processing Addendum) ist eine rechtliche Vereinbarung, die den rechtlichen Rahmen festlegt, in dem Amplitude personenbezogene Daten verarbeitet, die von Kund:innen an unsere Plattform übermittelt werden, und gilt für alle unsere Dienstleistungen. Unser DPA ist durch Verweis in unsere Nutzungsbedingungen und die Hauptdienstleistungsvereinbarung integriert, sodass keine weiteren Maßnahmen durch unsere Kund:innen erforderlich sind, unabhängig davon, welche Amplitude-Dienste genutzt werden.

Um unsere Dienstleistungen zu erbringen, arbeitet Amplitude mit externen Unterauftragsverarbeitern in den USA und der EU zusammen – je nach Wahl des Rechenzentrums unserer Kund:innen. Wir verpflichten unsere Unterauftragsverarbeiter vertraglich dazu, geeignete Sicherheitsvorkehrungen zu treffen, um sicherzustellen, dass die Unterauftragsverarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen erfolgt. Eine Liste unserer Unterauftragsverarbeiter ist in Anhang B deines geltenden DPAaufgeführt. Unsere Kund:innen können sich per E-Mail an subprocessor.notifications@amplitude.com über Änderungen bei den Unterauftragsverarbeitern benachrichtigen lassen.

Am 10. Juli 2023 hat die Europäische Kommission offiziell ihren neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU‑USA angenommen. Die Verabschiedung dieses Angemessenheitsbeschlusses folgt auf jahrelange intensive Verhandlungen zwischen der EU und den USA nach der Ungültigerklärung des EU-US-Datenschutzschilds. Der Angemessenheitsbeschluss bietet unseren Kund:innen zusätzliche Sicherheit, dass alle personenbezogenen Daten aus der EU, die an die Amplitude-Plattform übermittelt werden, rechtmäßig in die Vereinigten Staaten übertragen werden können.

Neben der Zertifizierung nach dem Datenschutzrahmen wird unser DPA auch weiterhin andere Datenübertragungsmechanismen wie die SCCs und den Anhang für das Vereinigte Königreich berücksichtigen.