Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Diese Datenschutzerklärung hat auch für meine Social Media-Auftritte wie Facebook und Instagram Gültigkeit.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur Verantwortlichen Stelle“ in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere ITSysteme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.

2. Hosting

Wir hosten die Inhalte unserer Website bei folgendem Anbieter:

Squarespace

Anbieter ist die Squarespace Ireland Ltd., Le Pole House, Ship Street Great, Dublin 8, Irland (nachfolgend Squarespace). Squarespace ist ein Tool zum Erstellen und zum Hosten von Websites. Wenn Sie unsere Website besuchen, werden Ihre Daten auf den Servern von Squarespace verarbeitet. Hierbei können auch personenbezogene Daten an das Mutterunternehmen von Squarespace, die Squarespace Inc., 8 Clarkson St, New York, NY 10014, USA übermittelt werden. Squarespace speichert ferner Cookies, die für die Darstellung der Seite und zur Gewährleistung der Sicherheit erforderlich sind (notwendige Cookies).

Die Verwendung von Squarespace erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art.

6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TDDDG umfasst. Die Einwilligung ist jederzeit widerrufbar.

Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt.

Details finden Sie hier:

https://support.squarespace.com/hc/de/articles/360000851908-DSGVO-und-Squarespace.

Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link:

https://www.dataprivacyframework.gov/s/participant-search/participantdetail?contact=true&id=a2zt0000000GnjcAAC&status=Active.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Christina Königs-Lender

Engelsgrube 57

23552 Lübeck

Telefon: +49 (0) 151 202 13 582

E-Mail: christinakoenigs@web.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung auf dieser Website

Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO, sofern besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Im Falle einer ausdrücklichen Einwilligung in die Übertragung personenbezogener Daten in Drittstaaten erfolgt die Datenverarbeitung außerdem auf Grundlage von Art.

49 Abs. 1 lit. a DSGVO. Sofern Sie in die Speicherung von Cookies oder in den Zugriff auf Informationen in Ihr Endgerät (z. B. via Device-Fingerprinting) eingewilligt haben, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar. Sind Ihre Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, verarbeiten wir Ihre Daten auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO. Des Weiteren verarbeiten wir Ihre Daten, sofern diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Die Datenverarbeitung kann ferner auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f

DSGVO erfolgen. Über die jeweils im Einzelfall einschlägigen Rechtsgrundlagen wird in den folgenden Absätzen dieser Datenschutzerklärung informiert.

Empfänger von personenbezogenen Daten Im Rahmen unserer Geschäftstätigkeit arbeiten wir mit verschiedenen externen Stellen zusammen. Dabei ist teilweise auch eine Übermittlung von personenbezogenen Daten an diese externen Stellen erforderlich.

Wir geben personenbezogene Daten nur dann an externe Stellen weiter, wenn dies im Rahmen einer Vertragserfüllung erforderlich ist, wenn wir gesetzlich hierzu verpflichtet sind (z. B. Weitergabe von Daten an Steuerbehörden), wenn wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben oder wenn eine sonstige Rechtsgrundlage die Datenweitergabe erlaubt. Beim Einsatz von Auftragsverarbeitern geben wir personenbezogene Daten unserer Kunden nur auf Grundlage eines gültigen Vertrags über Auftragsverarbeitung weiter. Im Falle einer gemeinsamen Verarbeitung wird ein Vertrag über gemeinsame Verarbeitung geschlossen.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen

Direktwerbung (Art. 21 DSGVO)

WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO

ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN

SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN

WIDERSPRUCH EINZULEGEN; DIES GILT AUCH FÜR EIN AUF DIESE BESTIMMUNGEN GESTÜTZTES

PROFILING. DIE JEWEILIGE RECHTSGRUNDLAGE, AUF DENEN EINE VERARBEITUNG BERUHT,

ENTNEHMEN SIE DIESER DATENSCHUTZERKLÄRUNG. WENN SIE WIDERSPRUCH EINLEGEN,

WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES

SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG

NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE

VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON

RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO).

WERDEN IHRE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN,

SO HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE

BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG

EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO).

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Berichtigung und Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:

Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.

Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.

4. Datenerfassung auf dieser Website

Cookies

Unsere Internetseiten verwenden so genannte „Cookies“. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.

Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (sog. Third-Party- Cookies). Third-Party-Cookies ermöglichen die Einbindung bestimmter Dienstleistungen von Drittunternehmen innerhalb von Webseiten (z. B. Cookies zur Abwicklung von Zahlungsdienstleistungen).

Cookies haben verschiedene Funktionen. Zahlreiche Cookies sind technisch notwendig, da bestimmte Webseitenfunktionen ohne diese nicht funktionieren würden (z. B. die Warenkorbfunktion oder die Anzeige von Videos). Andere Cookies können zur Auswertung des Nutzerverhaltens oder zu Werbezwecken verwendet werden.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs, zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z. B. für die Warenkorbfunktion) oder zur Optimierung der Website (z. B. Cookies zur Messung des Webpublikums) erforderlich sind (notwendige Cookies), werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert, sofern keine andere Rechtsgrundlage angegeben wird.

Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von notwendigen Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Sofern eine Einwilligung zur Speicherung von Cookies und vergleichbaren Wiedererkennungstechnologien abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage dieser Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG); die Einwilligung ist jederzeit widerrufbar.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein. Welche Cookies und Dienste auf dieser Website eingesetzt werden, können Sie dieser Datenschutzerklärung entnehmen.

Quelle: https://www.e-recht24.de

Privacy Notice | Calendly

Data Processing Addendum (DPA) | Calendly

English

Talk to sales

• Product

• Solutions

• Enterprise

• Pricing

• Resources

• Log In

• Get started

Overview

Terms

DefinitionsCustomer Terms and ConditionsInvitee Terms and ConditionsIndustry-Specific Supplemental Terms and ConditionsCommunity Terms of UseBeta Terms of UseData Processing AddendumDEFINITIONSPROCESSING AND TRANSFER OF PERSONAL DATAEU, SWISS, AND UK DATA PROTECTION LAWSCCPASUB-PROCESSORSDATA PROTECTIONASSISTANCEAUDITSCalendly’s Role as a ControllerMiscellaneousExhibit AExhibit BExhibit CExhibit D

Policies

Contact us

Data Processing Addendum

Effective Date: March 8, 2024

This Data Processing Addendum, including the exhibits to it (“DPA”), is incorporated into the Customer Terms (the “Agreement”) that are between you (together, with any subsidiaries and affiliated entities, collectively, “Customer” or “Controller”) and Calendly LLC (together, with any subsidiaries and affiliated entities, collectively “Calendly” or “Processor”) and sets forth additional terms that apply to the extent any information you provide to Calendly pursuant to the Agreement includes Personal Data (as defined below).

1. DEFINITIONS

   1. “CCPA” means the California Consumer Privacy Act (California Consumer Privacy Act of 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]​​) as amended, including by the California Privacy Rights Act of 2020 and its implementing regulations. 

   2. “Data Privacy Framework(s)” means, as applicable, the EU-US Data Privacy Framework, the UK Extension to the EU-US Data Privacy Framework, and the Swiss-US Data Privacy Framework developed by the US Department of Commerce and the European Commission, UK Government, and Swiss Federal Administration permitting organizations participating in such Data Privacy Frameworks to receive Personal Data from the European Union / European Economic Area, the UK and Gibraltar, and Switzerland in compliance with applicable Data Protection Laws in those regions.

   3. “Data Protection Laws” means all applicable federal, state, and foreign data protection, privacy and data security laws, as well as applicable regulations and formal directives intended by their nature to have the force of law, all as amended from time to time, including, without limitation, the EU Data Protection Laws, UK Data Protection Laws, the Swiss Data Protection Laws, the Privacy Act 1988, the Personal Information Protection and Electronic Documents Act, and United States state privacy laws, including the CCPA,  and the privacy laws of Virginia, Colorado, Connecticut, Utah, Texas, Oregon, and Montana. 

   4. “Data Subject” means the individual or consumer to whom Personal Data relates.

   5. “Data Subject Request” means a request by a Data Subject to exercise rights afforded by Data Protection Laws with respect to the Data Subject’s Personal Data.

   6. “EU Data Protection Laws” means GDPR together with any applicable implementing legislation or regulations, as well as European Union or Member State laws, as amended from time to time. 

   7. “GDPR” means the General Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data.) 

   8. “Personal Data” means any Customer Data relating to an identified or identifiable natural person that is Processed by Calendly on behalf of Customer in connection with providing the Services to Customer, when such information is protected as “personal data” or “personal information” or a similar term under Data Protection Law(s). 

   9. “Process” or “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction. 

   10. “Security Breach” means a confirmed breach of Calendly’s information security measures leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Personal Data covered by this DPA. 

   11. “Services” means the services provided by Calendly to Customer under the Agreement. 

   12. “Standard Contractual Clauses” or “SCCs” means the model clauses for the transfer of Personal Data to processors established in third countries approved by the European Commission, the approved version of which is set out in the European Commission Implementing Decision 2021/914 of 4 June 2021 and at https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e. 

   13. “Swiss Data Protection Laws” means all laws relating to data protection, the Processing of Personal Data, privacy and/or electronic communications in force from time to time in Switzerland, including the Federal Act on Data Protection of June 19, 1992 and its ordinances, and, once it entered into force, in accordance with Article 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (collectively, “FADP”).

   14. “UK Addendum” means the International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (the “SCCs” defined above) issued by the Commissioner under S119A(1) Data Protection Act 2018, Version B1.0, in force 21 March 2022 and available at https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

   15. “UK Data Protection Laws” means all laws relating to data protection, the Processing of Personal Data, privacy and/or electronic communications in force from time to time in the United Kingdom (“UK”), including the United Kingdom GDPR and the Data Protection Act 2018.

   16. “UK GDPR” means the United Kingdom General Data Protection Regulation, as it forms part of the law of the United Kingdom by virtue of section 3 of the European Union (Withdrawal) Act 2018.

   17. The terms “Processor” and “Controller” shall have the meanings given to them under the applicable Data Protection Law. Any capitalized terms herein that are not defined in this DPA shall have the meanings associated with them in the Agreement and are hereby adopted by reference in this Addendum. 

2. PROCESSING AND TRANSFER OF PERSONAL DATA

   1. Customer Obligations. Customer is the Controller of Personal Data and shall (a) determine the purpose and essential means of the Processing of Personal Data in accordance with the Agreement; (b) be responsible for the accuracy of Personal Data; and (c) comply with its obligations under Data Protection Laws, including, when applicable, ensuring Customer has a lawful basis to collect Personal Data, providing Data Subjects with any required notices, and/or obtaining the Data Subject’s consent to process the Personal Data.

   2. Calendly Obligations. Calendly is the Processor of Personal Data and shall (a) Process Personal Data on Customer’s behalf in accordance with Customer’s written instructions (unless waived in a written requirement) provided during the term of this DPA; and (b) comply with its obligations under Data Protection Laws. A description of the processing of Personal Data intended to be carried out under this DPA is set out in Annex 1 of Exhibit A attached hereto. The parties agree that the Agreement, including this DPA, together with Customer’s use of the Services in compliance with the Agreement, constitute Customer’s complete and final written instruction to Calendly in relation to the Processing of Personal Data, and additional instructions outside the scope of these instructions shall require a prior written and mutually executed agreement between Customer and Calendly. In the event Calendly reasonably believes there is a conflict with any Data Protection Law and Customer’s instructions, Calendly will inform Customer promptly and the parties shall cooperate in good faith to resolve the conflict and achieve the goals of such instruction. 

   3. Data Use. Calendly shall not use Personal Data, except for usage of Personal Data pursuant to Customer’s instructions, as permitted under the Agreement and as necessary to bring and defend claims, to comply with requirements of the legal process, to cooperate with regulatory authorities, and to exercise other similar permissible uses as expressly provided under Data Protection Laws. 

   4. Location of Processing. The parties acknowledge and agree that processing of the Personal Data will occur in the United States and perhaps other jurisdictions outside the residence of the Data Subjects, and Customer shall comply with all notice and consent requirements for such transfer and processing to the extent required by Data Protection Laws. 

   5. Return or Destruction of Data. Calendly shall return or securely destroy Personal Data, in accordance with Customer’s instructions, upon Customer’s request or upon termination of Customer’s account(s) unless Personal Data must be retained to comply with applicable law.

3. EU, SWISS, AND UK DATA PROTECTION LAWS

   This Section 3 shall apply with respect to Processing of Personal Data when such Processing is subject to the EU Data Protection Laws, Swiss Data Protection Laws, or UK Data Protection Laws.      

   1. Transfers of Personal Data. Customer acknowledges and agrees that Calendly is located in the United States and that Customer’s provision of Personal Data from the European Economic Area (“EU”), Switzerland or the United Kingdom to Calendly for Processing is a transfer of Personal Data to the United States.  All transfers of Customer Personal Data out of the EU (“EU Personal Data”), Switzerland (“Swiss Personal Data”) or the United Kingdom (“UK Personal Data”) to the United States shall be governed by the Data Privacy Framework applicable to such transfer. Calendly is self-certified under the Data Privacy Frameworks and will adhere to its obligations under the Data Privacy Frameworks. If any such Data Framework is invalidated or otherwise ceases to exist as a legally transfer mechanism for Personal Data, then such transfers shall be governed by the Standard Contractual Clauses, and the UK Addendum as applicable, as follows:

      1. For such transfers of EU Personal Data, or transfers containing Swiss Personal Data that are subject to both EU Data Protection Laws and Swiss Data Protection Laws (in this latter case, the parties shall adopt the GDPR standard for all data transfers), Module 2 of the SCCs for Controller to Processor transfers, together with the options and amendments set out in Exhibit B to this DPA, shall apply and are incorporated into this DPA.

      2. For such transfers of only Swiss Personal Data, Module 2 of the SCCs for Controller to Processor transfers, together with the options and amendments, including those applicable to Switzerland, set out in Exhibit B to this DPA, shall apply and are incorporated into this DPA, and the parties agree that any references to the GDPR are to be understood as references to the FADP.

      3. For transfers of Swiss Personal Data subject to Sections 3.a.i. and 3.a.ii of this DPA, the term 'member state' shall not be interpreted in such a way as to exclude Data Subjects in Switzerland from the possibility of suing for their rights in Switzerland in accordance with Clause 18c. 

      4. For such transfers of UK Personal Data, Module 2 of the SCCs shall apply as set forth in subsection 3.a.i above, and the options and amendments to the UK Addendum as set out in Exhibit C to this DPA shall apply and are incorporated into this DPA. 

   2. GDPR and UK GDPR Obligations. Calendly shall: (i) assist Customer, to a reasonable extent,  in complying with its obligations with respect to EU Personal Data pursuant to Articles 32 to 36 of GDPR (or their equivalent under UK Data Protection Laws for UK Personal Data); (ii) maintain a record of all categories of Processing activities carried out on behalf of Customer in accordance with Article 30(2) of the GDPR (or their equivalent under UK Data Protection Laws for UK Personal Data); and (iii) cooperate, on request, with an EU or UK supervisory authority regarding the performance of the Services.

4. CCPA

   1. CCPA. This section 4 applies to Calendly’s, and Calendly acts as Customer’s service provider with respect to, Processing of Personal Data subject to the CCPA. Customer discloses the Personal Data to Calendly, and Calendly shall Process such Personal Data only for the purposes as set out in this Agreement, including this DPA. 

   2. Calendly shall not:

      1. sell or share the Personal Data;

      2. retain, use, or disclose the Personal Data  for any purpose, including a commercial purpose, other than the business purposes as set out in the Agreement, or  outside of the direct business relationship between the parties; 

      3. combine the Personal Data  with personal data that Calendly receives from, or on behalf of, another person or persons, or collects from its own interaction with the consumer, provided that Calendly may combine Personal Data to perform any business purpose as permitted by the CCPA.

   3. Calendly shall comply with obligations applicable to it as a service provider under the CCPA, and shall provide Personal Data with the same level of privacy protection as is required by the CCPA.     

   4. Customer shall have the right to take reasonable and appropriate steps to help ensure that Calendly uses the Personal Data in a manner consistent with Customer’s obligations under the CCPA. The process for such steps shall be as set out in Section 8 below.

   5. Calendly shall notify Customer if it makes a determination that it can no longer meet its obligations as a service provider under the CCPA. If Calendly so notifies Customer, Customer shall have the right to take reasonable and appropriate steps to stop and remediate unauthorized use of Personal Data.     

   6. For any sub-processors used by Calendly to process Personal Data subject to the CCPA, in addition to its obligations in Section 5 below, Calendly’s agreement with any such sub-processor shall obligate such sub-processor to observe it’s requirements under the CCPA .

   7. For purposes of this Section 4, the terms “consumer”, “service provider”, “sell” and “share” shall have the meanings given to them under the CCPA.

5. SUB-PROCESSORS

   1. Sub-processor List. Customer consents to Calendly’s use of the sub-processors set out in Annex III of Exhibit A attached hereto who may Process Personal Data on behalf of Customer to help Calendly provide the Services. Calendly may update its list of sub-processors from time to time, and shall make available any updates to such list here.

   2. Notice. Calendly will provide Customer with a mechanism to receive notice of updates to its sub-processor list. Calendly will notify Customer via such mechanism if Customer has signed up to receive notification of any such updates at least thirty (30) days prior to any such update taking effect. If Customer does not subscribe to such notifications, Customer waives any right it may have to receive prior notice of changes to Calendly’s sub-processors. When legally permitted to object, Customer may make an objection to a new sub-processor within thirty (30) days of receiving a notification from Calendly by emailing privacy@calendly.com if Customer has reasonable concerns related to such sub-processor’s data protection. Customer will be deemed to have consented to Calendly’s use of such sub-processor if Customer does not object within thirty (30) days of receipt of such notification. Upon Customer’s objection, the parties shall work together in good faith to address Customers concerns. If the parties are unable to reach a resolution, Customer may terminate that portion of the Services that involve the use of such sub-processor without penalty.

   3. Sub-processor Agreements. Calendly shall enter into a written agreement with any such sub-processor containing data protection obligations that are at least as restrictive as its obligations in this DPA.

6. DATA PROTECTION

   1. Data Security. Calendly will utilize commercially reasonable technical and organizational measures to maintain the security, confidentiality, and integrity of the Personal Data, the details of which are set forth at the following link: https://calendly.com/security.

   2. Authorized Personnel. Calendly shall ensure that Calendly’s employees, contractors, agents, and auditors who need to know or otherwise access Personal Data for the purposes of enabling Calendly to perform its obligations under the Agreement are under a duty of confidentiality with respect to the Personal Data.

   3. Security Breaches. Upon becoming aware of a Security Breach, Calendly will promptly: (i) notify Customer of the Security Breach; (ii) investigate the Security Breach; (iii) provide Customer with necessary details about the Security Breach as required by applicable law; and (iv) take reasonable actions to prevent a recurrence of the Security Breach. Calendly will make available relevant records and other materials related to the Security Breach’s effects on Customer as required to comply with Data Protection Laws.

7. ASSISTANCE

   1. Processor Assistance. Upon Customer's written request, Calendly shall provide reasonable assistance to Customer as necessary in order to assist Customer with meeting its obligations under Data Protection Laws, including by providing information to Customer about Calendly’s technical and organizational security measures, and as needed to complete data protection assessments (the process for which is set out in Section 8 below).

   2. Data Subject Requests. If an Invitee, a Customer employee, or other applicable Data Subject makes a Data Subject Request to Calendly, Calendly will advise the Data Subject to submit their request directly to the Calendly customer who is the applicable Controller of that Personal Data, and will inform Customer of such request if the Data Subject identifies Customer as the applicable Controller to Calendly. Customer is responsible for Data Subject Requests. Calendly provides functionality through the Services which allow Customer to carry out Data Subject Requests. Calendly shall reasonably assist Customer with the fulfillment of Customer’s obligations in connection with a  Data Subject Request  in the event that Customer cannot act on such request itself using the Services .  

   3. Costs. If Calendly determines in good faith that a request for assistance under this Section 7 is unreasonable, overly burdensome, and outside of industry expectation for assistance with each respective matter, the parties will agree in good faith on costs to be paid by Customer to Calendly for such assistance.

8. AUDITS

   Within thirty (30) days of Customer’s written request, and no more than once annually, Calendly shall make available to Customer (or a mutually agreed upon third-party auditor) information reasonably necessary to demonstrate Calendly’s compliance with the obligations set forth in this DPA in the form of its most recent third party audit or certification report(s) (such as SOC 2 or ISO 27001).  If, after receiving the report(s), Customer in its reasonable judgment determines that further information is needed to confirm that Calendly is meeting its obligations in this DPA or for Customer to complete a data protection assessment, Customer may request in writing such additional information. The parties will then work together in good faith to agree upon the additional information which Calendly shall provide, and Calendly will provide the agreed upon information. All information provided by Calendly under this Section 8 is considered Calendly’s Confidential Information and is subject to the confidentiality obligations set forth in the Agreement.

9. Calendly’s Role as a Controller

   The parties acknowledge and agree that Calendly processes certain personal data as a Controller which is described in, and processes it in accordance with, our Privacy Notice for the following purposes when EU, UK or Swiss Data Protection Laws apply to such personal data: (i) to manage the relationship with Customer, including creating customer accounts, handling billing, and performing sales and marketing activities; (ii) for purposes related to Calendly’s internal business operations, such as accounting, audits, tax preparation and filing and compliance purposes; (iii) to monitor, investigate, prevent and detect fraud, security incidents and other misuse of the Services; (iv) for identity verification purposes; (v) to comply with legal or regulatory obligations applicable to the processing and retention of personal data to which Calendly is subject; (vi) to develop, improve, and understand usage of its products and services, and (vii) as otherwise permitted under Data Protection Laws and as set out in Calendly’s Privacy Notice. If Customer uses the Embedded Services as such term is defined in Calendly’s Customer Terms, then the Controller to Controller terms in Exhibit D below apply.

10. Miscellaneous

    1. Conflict. In the event of any conflict or inconsistency between this DPA and Data Protection Laws, Data Protection Laws shall prevail. In the event of any conflict or inconsistency between the terms of this DPA and the terms of the Agreement, the terms of this DPA shall prevail solely to the extent that the subject matter concerns the processing of Personal Data. 

    2. Amendments. This DPA shall not be modified except by a written instrument signed by the parties. To the extent that it is determined by any data protection authority that the Agreement or this DPA is insufficient to comply with Data Protection Laws or changes to Data Protection Laws, Customer and Calendly agree to cooperate in good faith to amend the Agreement or this DPA or enter into further mutually agreeable data processing agreements in an effort to comply with all Data Protection Laws. 

    3. Liability.  Each Party’s liability arising out of or related to this DPA, whether in contract, tort or under any other theory of liability, is subject to the limitations of liability contained in the Agreement. For the avoidance of doubt, each reference herein to the “DPA” means this DPA including its exhibits and annexes. 

    4. Entire Agreement.  This DPA is without prejudice to the rights and obligations of the parties under the Agreement which shall continue to have full force and effect. This DPA together with the Agreement is the final, complete and exclusive agreement of the Parties with respect to the subject matter hereof and supersedes and merges all prior discussions and agreements between the parties with respect to such subject matter.

Exhibit A

Standard Contractual Clauses

This Annex forms part of the Standard Contractual Clauses.

Annex I

1. List of Parties.

   1. Data exporter.

      1. Data exporter is Customer. 

      2. Address: the Customer’s address set out in the Agreement.
         Contact person’s (DPO and/or EU representative) name, position, and contact details: the Customer’s contact details as set out in the Agreement/order form. 

      3. Activities relevant to the data transferred under these Clauses: activities necessary to provide the Services described in the Agreement. 

      4. Signature and date: Customer is deemed to have signed this Annex I by accepting Calendly’s Customer Terms.

   2. Data importer.

      1. The data importer is Calendly. 

      2. Address: 115 E Main St, Ste A1B, Buford, GA 30518 

      3. Contact person’s (DPO and/or EU representative) name, position, and contact details: Lauren Page, Assistant General Counsel, Privacy and Product, email.

      4. Activities relevant to the data transferred under these Clauses: Activities necessary to provide the Services described in the Agreement.

      5. Signature and date: Calendly is deemed to have signed this Annex I by accepting Calendly’s Customer Terms.

2. Description of Transfer.

   1. Categories of data subjects whose personal data is transferred. Data exporter may submit Personal Data to Calendly, the extent of which is determined and controlled by the data exporter in its sole discretion, and which may include, but is not limited to Personal Data relating to the following categories of data subjects: (i) the data exporter’s end-users as permitted in the Agreement, including employees, contractors, representatives, and agents , and (ii) persons with whom data exporter is scheduling appointments and meeting with through use of data importer’s Services which may include its representatives, business partners, collaborators, job candidates, customers, and potential customers. 

   2. Categories of personal data transferred. Data exporter may submit Personal Data to Calendly, the extent of which is determined and controlled by the data exporter in its sole discretion, and which may include, but is not limited to the following categories of Personal Data: First and last name; Title; Position; Employer; Contact information (company, email, phone, physical business address); Personal data contained in connected calendar event details; Approximate location and/or time zone; audio and visual meeting recording data and personal data contained in any materials presented on screen during a meeting; and other data in an electronic form used by Customer in the context of the Services.

   3. Sensitive data transferred (if applicable). Sensitive data may be transferred in recruiting use cases of the Services such as racial or ethnic origin or trade union membership.

   4. The Frequency of the Transfer. Continuous.

   5. Nature of the processing. The processes may include collection, storage, retrieval, consultation, use, erasure, or destruction, disclosure by transmission, dissemination, or otherwise making available data exporter’s data as necessary to provide the Services in accordance with the data exporter’s instructions, including related internal purposes where permitted by applicable laws (such as quality control, troubleshooting, information security, prevention and detection of spam, fraud, and abuse and product development and improvement). 

   6. Purpose(s) of the data transfer and further processing. The objective of the processing of Personal Data by the data importer is the performance of the contractual Services under the Agreement with the data exporter. 

   7. The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period. Personal data is retained for so long as is reasonably necessary to fulfill the purposes for which the data was collected, to perform our contractual and legal obligations, and for any applicable statute of limitations periods for the purposes of bringing and defending claims. 

   8. For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing. The subject matter and nature of the processing by sub-processors is as set out in Annex III to this DPA. The duration of the processing by sub-processors shall be for so long as data importer provides the Services under the Agreement to data exporter.

3. Competent Supervisory Authority

   Identify the competent supervisory authority/ies in accordance with Clause 13: Irish Data Protection Commission

Annex II

Technical And Organisational Measures Including Technical And Organisational Measures To Ensure The Security Of The Data

Processor will maintain reasonable administrative, physical, and technical safeguards for protection of the security, confidentiality, and integrity of personal data transferred to Processor as described in this DPA and at the following link: https://calendly.com/security.

Annex III

Processor’s Sub-Processors 

By entering into this DPA, the Customer has authorised the use of the listed Sub-processors found here: Calendly Sub-processors.

Exhibit B

Amendments / Selected options under the SCCs

SCC Term

Clause 7 (Docking clause)

Clause 9 (Use of Sub-Processors)

Clause 11 (Redress)

Clause 13 (Supervision)

Clause 17 (Governing Law)

Clause 18 (Choice of forum and jurisdiction)

Appendix Annex 1.A (List of parties)

Appendix Annex 1.B (Description of the Transfer)

Annex II

Annex III

Exhibit C

Amendments / Selected options under the SCCs for the UK Addendum

SCC Term

Part 1, Tables 1-3

Part 1, Table 4

Part 2

Exhibit D

Controller to Controller Terms Applicable to the Embedded Services

These Controller to Controller terms apply to the extent that Customer uses the Embedded Services (as defined in the Customer Terms) and EU, UK or Swiss Data Protection Laws apply to any Personal Data collected via Calendly’s cookies and similar technologies.

1. These Controller to Controller Terms only apply to personal data collected from Customer’s website visitors via cookies and other tracking technologies used by Calendly in its Services (“Cookie Data”) when such Services are embedded on Customer’s website, and when such Cookie Data is subject to EU, UK, or Swiss Data Protection Laws. 

2. When this Exhibit D applies, Customer and Calendly are independent controllers of the Cookie Data. Each party agrees to comply with data protection laws applicable to it when it processes the Cookie Data. These terms do not affect any other data protection terms in this DPA.

3. Customer’s transfer of any Cookie Data to Calendly will be performed in accordance with Section 3 of this DPA except that all references to “Module 2 of the SCCs” shall be replaced with “Module 1 of the SCCs”.

Easy ahead™

We take the work out of connecting with others so you can accomplish more.

FEATURED

2024 Report: The State of Meetings

See the latest data on meeting culture and productivity

Features

• Scheduling automation

• Customizable availability

• Mobile apps

• Browser extensions

• Meeting routing

• Event Types

• Email & website embeds

• Reminders & follow-ups

• Meeting polls

• Analytics

• Admin management

Integrations

• Google ecosystem

• Microsoft ecosystem

• Calendars

• Video conferencing

• Payments

• Sales & CRM

• Recruiting & ATS

• Email messaging

• Embed Calendly

• Analytics

• API & connectors

• Security & compliance

Calendly

• Pricing

• Product overview

• Solutions

• For individuals

• For small businesses

• For enterprise

• Compare

• Security

• Sign up for free

• Talk to sales

• Get a demo

Resources

• Help center

• Resource center

• Blog

• Customer stories

• Calendly community

• Developer tools

Company

• About us

• Leadership

• Careers

  We’re hiring!

• Newsroom

• Become a partner

• Contact us

Downloads

App StoreGoogle PlayChrome extensionEdge extensionFirefox extensionOutlook add-in

English

Privacy PolicyLegalStatusCookie SettingsYour Privacy Choices

Copyright Calendly 2025