Datenverarbeitungsprotokoll
Dieses Datenverarbeitungsprotokoll ("Protokoll") gilt für JIA, Inc. ("Verarbeiter") und den Kunden ("Verantwortlicher"), jeweils eine "Partei" und zusammen die "Parteien". Dieses Protokoll gilt ab dem Datum (das "Datum des Inkrafttretens") des von beiden Parteien unterzeichneten Rahmenvertrags (der "Vertrag"), sofern das Protokoll nicht von JIA geändert wird.
Dieses Protokoll gilt für die personenbezogenen Daten (wie unten definiert), die (wie unten definiert) in Verbindung mit der Software und/oder den Diensten, die im Rahmen des Vertrags bereitgestellt werden (zusammen die "Dienste"), verarbeitet werden. Die Dienste beinhalten die Nutzung eines externen Cloud-Anbieters (derzeit Microsoft Corporation, die Azure bereitstellt) und können in eine der drei im Vertrag festgelegten Kategorien fallen:
[SZENARIO EINS] Der Auftragsverarbeiter beschafft und verwaltet die Beziehung zum Cloud-Drittanbieter. In diesem Szenario ermächtigt der für die Verarbeitung Verantwortliche den Auftragsverarbeiter hiermit, im Namen und/oder zum Nutzen des für die Verarbeitung Verantwortlichen direkt mit dem Cloud-Drittanbieter einen Vertrag abzuschließen, und der Cloud-Drittanbieter ist ein Unterauftragnehmer des Auftragsverarbeiters, der in diesem Protokoll als solcher offengelegt wird.
[SZENARIO ZWEI] Die verantwortliche Stelle vermittelt die Beziehung zum Cloud-Drittanbieter, und der Auftragsverarbeiter verwaltet die Nutzung des Cloud-Drittanbieters durch die verantwortliche Stelle. In diesem Szenario ist die für die Verarbeitung Verantwortliche für den direkten Vertragsabschluss mit dem Cloud-Drittanbieter verantwortlich (einschließlich und ohne Einschränkung aller nach geltendem Recht erforderlichen Datenverarbeitungsverträge) und ist allein für alle Verpflichtungen im Zusammenhang mit diesem Dritten verantwortlich. Der Drittanbieter der Cloud ist ein Auftragsverarbeiter der verantwortlichen Stelle. Der Auftragsverarbeiter ist in diesem Szenario nur für die verantwortliche Stelle ein Auftragsverarbeiter.
[SCENARIO THREE] Der für die Verarbeitung Verantwortliche beschafft und verwaltet die Beziehung zum dritten Cloud-Anbieter. Wie SCENARIO ZWEI oben, mit der Ausnahme, dass es möglich ist, dass der Auftragsverarbeiter - angesichts der Beschaffung und Verwaltung durch den Verantwortlichen - keine personenbezogenen Daten im Namen des Verantwortlichen verarbeitet. Dieses Protokoll kann jedoch immer noch erforderlich sein, wenn der für die Verarbeitung Verantwortliche den Auftragsverarbeiter um Unterstützung bittet - was eine gelegentliche Verarbeitung personenbezogener Daten beinhalten kann.
Ab dem Tag des Inkrafttretens ist dieses Protokoll Teil des Abkommens und in dieses aufgenommen, so dass Bezugnahmen auf das "Abkommen" im Abkommen dieses Protokoll einschließen. Abgesehen von den durch dieses Protokoll vorgenommenen Änderungen bleibt das Abkommen unverändert und in vollem Umfang in Kraft und wirksam. Im Falle eines Widerspruchs zwischen diesem Protokoll und der Vereinbarung hat dieses Protokoll Vorrang.
HINTERGRUND
(A) Der Auftragsverarbeiter erbringt gemäß der Vereinbarung Dienstleistungen für oder im Namen des für die Verarbeitung Verantwortlichen oder wird diese erbringen.
(B) Die Parteien erkennen an und sind sich darüber einig, dass die Dienste die Verarbeitung personenbezogener Daten in den Vereinigten Staaten beinhalten können, einschließlich, aber nicht beschränkt auf die Übermittlung personenbezogener Daten in die und aus den Vereinigten Staaten und die Speicherung personenbezogener Daten in den Vereinigten Staaten.
(C) Zweck dieses Protokolls ist es, die Datenschutzbedingungen festzulegen, die für die Verarbeitung personenbezogener Daten gelten, um zu gewährleisten, dass die Datenschutzrechte und -freiheiten natürlicher Personen im Einklang mit dem geltenden Datenschutzrecht (wie unten definiert) geschützt bleiben.
ES IST VEREINBART:
1. Begriffsbestimmungen
In diesem Protokoll:
1.1 "Unternehmen", "Verbraucher", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "Verarbeitung" (und "verarbeiten"), "Diensteanbieter" und "besondere Datenkategorien" haben die im geltenden Datenschutzrecht festgelegte Bedeutung. Der Begriff "personenbezogene Daten" (wie er im geltenden Datenschutzrecht verwendet wird) ist in dem in diesem Protokoll verwendeten Begriff "personenbezogene Daten" enthalten, und der Begriff "Verbraucher" ist in dem in diesem Protokoll verwendeten Begriff "betroffene Person" enthalten.
1.2 "Anwendbares Datenschutzrecht" bedeutet alle Datenschutzgesetze, die von Zeit zu Zeit für die Parteien in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich und ohne Einschränkung der GDPR und CCPA (beide wie unten definiert).
1.3 "Bevollmächtigte Personen" bedeutet in Bezug auf jede Partei jede Person, die von dieser Partei zur Verarbeitung von Daten bevollmächtigt wurde (einschließlich der Mitarbeiter, Vertreter und Unterauftragnehmer dieser Partei).
1.4 "CCPA" bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, California Civil Code Section 1798.100, et seq.) und seine Durchführungsbestimmungen. Ab dem 1. Januar 2023 umfasst der Begriff "CCPA" auch den California Privacy Rights Act und seine Durchführungsbestimmungen.
1.5 "EWR" bezeichnet den Europäischen Wirtschaftsraum und schließt bei der Verwendung in diesem Protokoll die Schweiz ein.
1.6 "GDPR" bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 und schließt - wie in diesem Protokoll verwendet - die UK-GDPR (in Bezug auf das Vereinigte Königreich ("UK")) und das Bundesgesetz über den Datenschutz (in Bezug auf die Schweiz) ein.
1.7 Verweise auf "Anweisungen" und damit zusammenhängende Begriffe bezeichnen die schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen für die Verarbeitung von Daten (wie unten definiert), die aus den Bedingungen des Vertrags und dieses Protokolls bestehen.
1.8 "Musterklauseln" bedeutet, soweit anwendbar:
1.8.1 Für Datenübermittlungen, die dem EWR-Recht unterliegen, gelten die Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus dem EWR in Drittländer gemäß der Datenschutz-Grundverordnung, die von der Europäischen Kommission gemäß dem Beschluss (EU) 2021/914 genehmigt wurden und derzeit unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en (die "EWR-Musterklauseln") zu finden sind.
1.8.2 Für Datenübermittlungen, die dem Recht des Vereinigten Königreichs unterliegen, gelten die EWR-Musterklauseln sowie die obligatorischen Klauseln des genehmigten Zusatzes, der vom britischen Information Commissioner's Office ("ICO") herausgegeben wurde und derzeit unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf zu finden ist (der "UK Addendum Amendment").
1.8.3 Für Datenübermittlungen, die unter das Bundesgesetz über den Datenschutz (Schweiz) fallen, gelten die EWR-Musterklauseln, sofern sie für solche Übermittlungen dahingehend geändert werden, dass sie eine Überwachung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vorsehen, und der Begriff "Mitgliedstaat" nicht so ausgelegt wird, dass Schweizer Betroffene von der Möglichkeit ausgeschlossen werden, ihre Rechte in der Schweiz geltend zu machen.
1.9 "Zulässiger Zweck" hat die in Abschnitt 3 festgelegte Bedeutung; und
2. Verhältnis der Parteien zueinander
Der für die Verarbeitung Verantwortliche ist der für die Verarbeitung Verantwortliche (und in einigen Fällen ein Auftragsverarbeiter) und beauftragt hiermit den Auftragsverarbeiter mit der Verarbeitung der in der beigefügten Anlage 2 beschriebenen personenbezogenen Daten. Diese personenbezogenen Daten werden als die "Daten" bezeichnet.
3. Zweckbegrenzung
3.1 Der Auftragsverarbeiter verarbeitet die Daten (und führt Aufzeichnungen über diese Verarbeitungstätigkeiten) als Auftragsverarbeiter nur in dem Maße, wie es für die Erbringung der Dienstleistungen erforderlich ist, und nur in Übereinstimmung mit den dokumentierten Anweisungen des Verantwortlichen (der "zulässige Zweck"). Darüber hinaus erkennen die Parteien, soweit zutreffend, an, dass (x) die verantwortliche Stelle ein "Unternehmen" und der Auftragsverarbeiter ein "Dienstleister" im Sinne des CCPA ist; (y) die Verarbeitung der Daten durch den Auftragsverarbeiter für die Erbringung der Dienstleistungen erforderlich ist; und (z) die verantwortliche Stelle vom Auftragsverarbeiter keine monetäre oder sonstige entgeltliche Gegenleistung für den Zugang des Auftragsverarbeiters zu den Daten und deren Verarbeitung erhält. Steht geltendes Recht im Widerspruch zu den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung darüber informieren, es sei denn, eine solche Benachrichtigung ist gesetzlich verboten. In jedem Fall werden die Parteien die an den Auftragsverarbeiter gezahlten Gebühren in angemessener Weise anpassen, wenn die schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen dem Auftragsverarbeiter zusätzliche Anforderungen auferlegen. Ohne das Vorstehende einzuschränken, wird der Auftragsverarbeiter in keinem Fall:
(a) die Daten für eigene Zwecke oder die eines Dritten zu verarbeiten, einschließlich des Verkaufs, der Vermietung, der Freigabe, der Offenlegung, der Verbreitung oder der anderweitigen Zurverfügungstellung solcher Daten an Dritte;
(b) die Verantwortung für die Festlegung der Zwecke und der Art und Weise der Verarbeitung der Daten zu übernehmen;
(c) die Daten ohne die vorherige Zustimmung des für die Verarbeitung Verantwortlichen an Dritte (mit Ausnahme seiner autorisierten Unterauftragnehmer) weiterzugeben, es sei denn, die Weitergabe ist durch ein für den Verarbeiter geltendes Gesetz vorgeschrieben.
(d) die Daten in einer Weise zu verarbeiten, die dazu führen würde, dass der für die Verarbeitung Verantwortliche eine seiner Verpflichtungen nach dem geltenden Datenschutzrecht verletzt.
3.2 Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass er die Daten rechtmäßig verarbeitet und über alle anderen erforderlichen Rechte verfügt, um dem Auftragsverarbeiter die Verarbeitung der Daten zu ermöglichen. Die verantwortliche Stelle wird dem Auftragsverarbeiter keinen Zugang zu Daten gewähren, für die die verantwortliche Stelle diese Rechte nicht besitzt. Ohne das Vorstehende einzuschränken, ist der für die Verarbeitung Verantwortliche dafür verantwortlich, dass alle erforderlichen Mitteilungen gemacht und die Einwilligungen der betroffenen Personen eingeholt werden und dass eine Aufzeichnung über diese Einwilligungen geführt wird. Wenn eine betroffene Person ihre Einwilligung widerruft, ist der für die Verarbeitung Verantwortliche dafür verantwortlich, den Auftragsverarbeiter über diesen Widerruf zu informieren und ihn bei der weiteren Verarbeitung der Daten zu unterstützen.
3.3 Der für die Verarbeitung Verantwortliche ist für die Richtigkeit und Qualität der Daten verantwortlich.
3.4 Der für die Verarbeitung Verantwortliche wird sich nach besten Kräften bemühen, festzustellen, ob die Dienste die Verarbeitung personenbezogener Daten mit Ursprung in Australien, Brasilien, dem EWR, dem Vereinigten Königreich oder Argentinien beinhalten, und, falls dies der Fall ist, wird er den Auftragsverarbeiter unverzüglich darüber informieren. Darüber hinaus muss der für die Verarbeitung Verantwortliche den Auftragsverarbeiter benachrichtigen, wenn die Daten einem anderen anwendbaren Datenschutzgesetz als dem CCPA oder der DSGVO unterliegen, damit die Parteien Schritte unternehmen können, um (gegebenenfalls) zusätzliche vertragliche Bestimmungen zu vereinbaren, die erforderlich sind, um ein solches Gesetz einzuhalten.
3.5 Enthalten die Daten personenbezogene Daten, die aus dem EWR oder dem Vereinigten Königreich stammen, unterzeichnen der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche mit dem Abschluss dieses Protokolls auch die anwendbaren Musterklauseln, auf die in Abschnitt 11 verwiesen wird, und nehmen sie in dieses Protokoll auf.
3.6 Wird ein von den Parteien genutztes Datenübermittlungsverfahren nachträglich geändert, widerrufen oder von einer zuständigen Regulierungsbehörde oder einer anderen staatlichen Stelle für ungültig erklärt, so arbeiten der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter nach Treu und Glauben zusammen, um die im Rahmen dieses Verfahrens durchgeführten Übermittlungen zu beenden oder ein geeignetes alternatives Verfahren anzuwenden.
4. Vertraulichkeit der Verarbeitung
Der Auftragsverarbeiter stellt sicher, dass alle befugten Personen einer (vertraglichen, gesetzlichen oder sonstigen) Vertraulichkeitspflicht unterliegen, und gestattet keiner Person, die nicht einer solchen Vertraulichkeitspflicht unterliegt, die Verarbeitung der Daten. Der Auftragsverarbeiter stellt sicher, dass alle befugten Personen die Daten nur so verarbeiten, wie es für den zulässigen Zweck erforderlich ist.
5. Sicherheit
5.1 Der Auftragsverarbeiter wird angemessene technische und organisatorische Sicherheitsmaßnahmen ergreifen und aufrechterhalten, um die Daten vor unbefugten oder rechtswidrigen Sicherheitsverletzungen zu schützen, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Daten unter der Kontrolle des Auftragsverarbeiters führen ("Sicherheitsvorfall"). Die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragsverarbeiters sind in Anhang 3 dargelegt und können von Zeit zu Zeit aktualisiert werden.
5.2 Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, die vom Auftragsverarbeiter zur Verfügung gestellten Informationen über die Datensicherheit zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob die Sicherheitsmaßnahmen des Auftragsverarbeiters den Anforderungen des für die Verarbeitung Verantwortlichen und seinen rechtlichen Verpflichtungen nach dem anwendbaren Datenschutzrecht entsprechen.
6. Vergabe von Unteraufträgen
Der Auftragsverarbeiter wird die Verarbeitung der Daten nur mit vorheriger schriftlicher Zustimmung des für die Verarbeitung Verantwortlichen, die nicht unbillig verweigert, an Bedingungen geknüpft oder verzögert werden darf, an einen Unterauftragnehmer vergeben. Der für die Verarbeitung Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter seine verbundenen Unternehmen und andere dritte Unterauftragnehmer mit der Verarbeitung der Daten beauftragt, vorausgesetzt, dass: (i) der Auftragsverarbeiter die Hinzufügung oder den Wegfall eines Unterauftragnehmers mindestens 10 Tage im Voraus ankündigt (einschließlich der Einzelheiten der Verarbeitung, die er durchführt oder durchführen wird), wobei diese Ankündigung per E-Mail an den für die Verarbeitung Verantwortlichen erfolgen kann; (ii) der Auftragsverarbeiter jedem von ihm beauftragten Unterauftragnehmer Datenschutzbedingungen auferlegt, die die Daten im Wesentlichen nach demselben Standard schützen, der in diesem Protokoll vorgesehen ist; und (iii) der Auftragsverarbeiter für jede Verletzung dieses Protokolls, die durch eine Handlung, einen Fehler oder eine Unterlassung seines Unterauftragnehmers verursacht wird, voll haftet. Die Unterauftragnehmer zum Zeitpunkt des Inkrafttretens sind in Anhang 4 aufgeführt.
7. Zusammenarbeit und Rechte der betroffenen Personen
Unter Berücksichtigung der Art der Verarbeitung wird der Auftragsverarbeiter - soweit möglich - den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen und in angemessener Weise (auf Kosten des für die Verarbeitung Verantwortlichen) unterstützen, damit der für die Verarbeitung Verantwortliche in die Lage versetzt wird, auf Folgendes zu reagieren (i) jede Anfrage einer betroffenen Person zur Ausübung ihrer Rechte nach dem geltenden Datenschutzrecht (einschließlich, aber nicht beschränkt auf ihre Rechte auf Auskunft, Berichtigung, Widerspruch, Löschung und Datenübertragbarkeit); und (ii) jede andere Korrespondenz, Anfrage oder Beschwerde, die von einer betroffenen Person, einer Aufsichtsbehörde oder einem anderen Dritten im Zusammenhang mit der Verarbeitung der Daten eingeht. Der Auftragsverarbeiter ist nicht für die direkte Beantwortung von Anträgen, Korrespondenz, Anfragen oder Beschwerden verantwortlich, sofern dies nicht gesetzlich vorgeschrieben ist.
8. Sicherheitsvorfälle
8.1 Sobald der Auftragsverarbeiter von einem Sicherheitsvorfall Kenntnis erlangt, informiert er den Verantwortlichen unverzüglich. Der Auftragsverarbeiter wird sich in angemessener Weise bemühen, die Ursache eines solchen Sicherheitsvorfalls zu ermitteln und die von ihm als notwendig und angemessen erachteten Maßnahmen zu ergreifen, um die Ursache eines solchen Sicherheitsvorfalls zu beheben, soweit die Behebung im Einflussbereich des Auftragsverarbeiters liegt; der Auftragsverarbeiter ist jedoch nicht verpflichtet, eine solche Verpflichtung einzugehen, wenn der Sicherheitsvorfall von dem für die Verarbeitung Verantwortlichen oder einem in Verbindung mit den Diensten beauftragten Dritten verursacht wurde.
8.2 Der für die Verarbeitung Verantwortliche trägt die Verluste und Kosten (einschließlich angemessener Anwaltskosten), die mit einem Sicherheitsvorfall verbunden sind, der auf fahrlässige Handlungen oder Unterlassungen des für die Verarbeitung Verantwortlichen (oder eines Dritten) oder auf eine Verletzung dieses Protokolls zurückzuführen ist, einschließlich, aber nicht beschränkt auf die Kosten: (a) für die Benachrichtigung der betroffenen Personen und der Aufsichtsbehörden über einen Sicherheitsvorfall und (b) für die Behebung und anderweitige Minderung des tatsächlichen oder potenziellen Schadens oder Schadens des Sicherheitsvorfalls, einschließlich, aber nicht beschränkt auf die Einrichtung von Call-Centern und die Bereitstellung von Kreditüberwachungs- oder Kreditwiederherstellungsdienstleistungen.
9. Übertragung, Löschung oder Rückgabe von Daten
Der für die Verarbeitung Verantwortliche hat das Recht, auf Anfrage und auf Kosten des für die Verarbeitung Verantwortlichen eine Kopie aller Daten zu erhalten, die sich im Besitz des Verarbeiters befinden. Der Auftragsverarbeiter wird auf Kosten des für die Verarbeitung Verantwortlichen jede weitere Unterstützung leisten, die der für die Verarbeitung Verantwortliche im Zusammenhang mit der sicheren Übergabe von Daten an Dritte angemessenerweise verlangt. Der Auftragsverarbeiter verpflichtet sich ferner, auf Verlangen der verantwortlichen Stelle und auf Kosten der verantwortlichen Stelle alle im Besitz des Auftragsverarbeiters befindlichen Daten zu löschen oder anderweitig sicher zu vernichten (dies gilt auch für Daten, die sich im Besitz von Unterauftragnehmern befinden). Diese Anforderungen gelten nicht, wenn der Auftragsverarbeiter nach einem für ihn geltenden Gesetz verpflichtet ist, einige oder alle Daten aufzubewahren; in diesem Fall wird der Auftragsverarbeiter die Daten isolieren und vor jeglicher weiteren Verarbeitung schützen, es sei denn, dies ist durch ein solches Gesetz vorgeschrieben, und sie dann so bald wie möglich zurückgeben oder sicher vernichten.
10. Prüfung
Der Auftragsverarbeiter wird dem für die Verarbeitung Verantwortlichen auf Verlangen in angemessenen Abständen und soweit dies nach dem anwendbaren Datenschutzrecht erforderlich ist, alle Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung der Verpflichtungen nach diesem Recht erforderlich sind; die Parteien werden sich nach besten Kräften bemühen, allen Prüfpflichten durch schriftliche Fragebögen und Kopien von Berichten oder Bescheinigungen nachzukommen. Kann das Prüfungsergebnis nicht in schriftlicher Form mitgeteilt werden, ist auch eine Einsichtnahme zulässig. Der für die Verarbeitung Verantwortliche kann (sofern das geltende Datenschutzrecht nichts anderes vorsieht) nur einmal pro Kalenderjahr Audits nach diesem Abschnitt verlangen. Alle Audits und die sonstige Vorlage von Dokumenten und Informationen erfolgen auf Kosten des für die Verarbeitung Verantwortlichen und unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung. Der Auftragsverarbeiter kann die Einhaltung dieses Abschnitts davon abhängig machen, dass sich alle Dritten, die Informationen erhalten, schriftlich verpflichten, alle Informationen vertraulich zu behandeln.
11. Übertragungsmechanismus für Datenübertragungen
11.1 Wenn bei der Erbringung der Dienstleistungen Daten, die der DSGVO oder anderen im EWR oder im Vereinigten Königreich geltenden Gesetzen zum Schutz der Privatsphäre von Personen unterliegen, aus dem EWR oder dem Vereinigten Königreich in Länder wie die Vereinigten Staaten übertragen werden, die kein angemessenes Datenschutzniveau im Sinne des geltenden Datenschutzrechts gewährleisten, gelten die unten aufgeführten Übermittlungsmechanismen für solche Übermittlungen und können von den Parteien direkt durchgesetzt werden (soweit dies nach dem geltenden Datenschutzrecht zulässig ist):
11.1.1 Für EWR-Übermittlungen, bei denen der für die Verarbeitung Verantwortliche in seiner Eigenschaft als für die Verarbeitung Verantwortlicher und der Auftragsverarbeiter in seiner Eigenschaft als Auftragsverarbeiter handelt, gelten die EWR-Musterklauseln Modul zwei (zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern) - vorbehaltlich der Bestimmungen in Anhang 1 dieses Protokolls;
11.1.2 Für EWR-Übermittlungen, bei denen der für die Verarbeitung Verantwortliche in seiner Eigenschaft als Auftragsverarbeiter und der Auftragsverarbeiter in seiner Eigenschaft als Unterauftragsverarbeiter des für die Verarbeitung Verantwortlichen handelt, gelten die EWR-Musterklauseln Modul 3 (Auftragsverarbeiter) - vorbehaltlich der Bestimmungen in Anhang 1 dieses Protokolls;
11.1.3 Bei Übermittlungen in das Vereinigte Königreich entweder Modul Zwei oder Modul Drei der EWR-Musterklauseln (je nach Fall) sowie die Zusatzklausel für das Vereinigte Königreich - vorbehaltlich der Bedingungen in Anhang 1 dieses Protokolls.
11.1.4 Für Schweizer Datenübermittlungen entweder Modul zwei oder Modul drei der EWR-Musterklauseln (je nach Fall) - vorbehaltlich der Bestimmungen in Anhang 1 dieses Protokolls.
12. Begrenzung der Haftung
Die Gesamthaftung des Auftragsverarbeiters und seiner verbundenen Unternehmen, die sich aus diesem Protokoll ergibt oder damit in Zusammenhang steht, unterliegt den Haftungsbeschränkungen, Gewährleistungsbeschränkungen, Haftungsausschlüssen und anderen Gewährleistungs- und Haftungsausschlüssen, die in der Vereinbarung festgelegt sind. Das Vorstehende gilt unabhängig von der Art des Anspruchs - ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie.
13. Entschädigung
Die verantwortliche Stelle verteidigt, entschädigt und hält den Auftragsverarbeiter, seine verbundenen Unternehmen, Unterauftragnehmer und jeden ihrer jeweiligen Eigentümer, Direktoren, leitenden Angestellten, Manager, Mitglieder, Angestellten, Auftragnehmer und Vertreter von jeglicher Haftung, Verlust, Schaden oder Kosten (einschließlich Anwaltskosten) schadlos, soweit diese durch (a) Fahrlässigkeit, vorsätzliches Fehlverhalten oder Betrug der verantwortlichen Stelle oder ihrer Vertreter (einschließlich, aber nicht beschränkt auf Dritte, die in Verbindung mit den Diensten beauftragt wurden), (b) von der verantwortlichen Stelle erteilte Anweisungen oder (c) eine Verletzung der Verpflichtungen der verantwortlichen Stelle im Rahmen dieses Protokolls verursacht wurden oder entstehen.
14. Sonstiges
14.1 Die Überschriften der Abschnitte und andere Überschriften in diesem Protokoll dienen nur der Übersichtlichkeit und stellen keinen Teil dieses Protokolls dar und haben keinen Einfluss auf die Bedeutung oder Auslegung dieses Protokolls.
14.2 Die Bestimmungen dieses Protokolls sind trennbar. Sollte eine Bestimmung ganz oder teilweise ungültig oder nicht durchsetzbar sein, so wirkt sich diese Ungültigkeit oder Nichtdurchsetzbarkeit nur auf diese Bestimmung aus; die übrigen Bestimmungen dieses Protokolls bleiben in vollem Umfang in Kraft und wirksam.
14.3 Jede in diesem Protokoll vorgesehene Mitteilung, jedes Schreiben oder jede andere Mitteilung muss gemäß den Bestimmungen des Abkommens erfolgen.
14.4 Die Bestimmungen dieses Protokolls gelten zugunsten der Vertragsparteien und ihrer jeweiligen Rechtsnachfolger und Zessionare und sind für diese verbindlich.
14.5 Dieses Protokoll unterliegt in jeder Hinsicht dem geltenden Recht und den Bestimmungen über die Gerichtsbarkeit, die in der Vereinbarung festgelegt sind, und ist entsprechend auszulegen, sofern das geltende Datenschutzrecht nichts anderes vorschreibt.
Zeitplan 1
Übermittlungsmechanismen für EWR-, UK- und Schweizer Datenübermittlungen
Für die Zwecke der Modellklauseln Modul 2 (Auftragsverarbeiter) und Modul 3 (Auftragsverarbeiter) ist der für die Verarbeitung Verantwortliche der Datenexporteur und der Auftragsverarbeiter der Datenimporteur, und die Parteien vereinbaren Folgendes. Wenn in diesem Anhang 1 nicht ausdrücklich erwähnt wird, welches Modul gilt, gilt es für beide.
1. Verweise auf die Modellklauseln und den Zusatz des Vereinigten Königreichs (UK Addendum Amendment). Die einschlägigen Bestimmungen in Modul zwei und Modul drei der Modellklauseln werden durch Verweis einbezogen und sind Bestandteil dieses Protokolls. Der UK Addendum Amendment ist ebenfalls durch Verweis einbezogen und Bestandteil dieses Protokolls. Die für den Anhang zu den Modellklauseln und den UK Addendum Amendment erforderlichen Angaben sind in Anlage 2 aufgeführt.
2. Andockklausel. Die Parteien beschließen, die optionale Andockklausel in den Musterklauseln (Klausel 7) zu streichen.
3. Anweisungen. Dieses Protokoll und die Vereinbarung sind die vollständigen und endgültigen dokumentierten Weisungen des für die Verarbeitung Verantwortlichen zum Zeitpunkt der Unterzeichnung der Vereinbarung an den Auftragsverarbeiter für die Verarbeitung personenbezogener Daten. Alle zusätzlichen oder abweichenden Anweisungen müssen mit den Bestimmungen dieses Protokolls und der Vereinbarung übereinstimmen. Für die Zwecke von Klausel 8.1(a) der Modellklauseln schließen die Anweisungen der verantwortlichen Stelle zur Verarbeitung personenbezogener Daten die Weitergabe an Dritte außerhalb des EWR und des Vereinigten Königreichs zum Zweck der Erbringung der Dienstleistungen ein.
Wenn die verantwortliche Stelle als Auftragsverarbeiter fungiert, sichert der Kunde zu und gewährleistet, dass seine Verarbeitungsanweisungen gemäß dem Vertrag und diesem Protokoll, einschließlich seiner Ermächtigungen an den Auftragsverarbeiter zur Beauftragung von Unterauftragsverarbeitern gemäß diesem Protokoll, von der zuständigen verantwortlichen Stelle genehmigt wurden. Der für die Verarbeitung Verantwortliche ist allein für die Weiterleitung der vom Auftragsverarbeiter erhaltenen Meldungen an den jeweiligen für die Verarbeitung Verantwortlichen verantwortlich, sofern dies angemessen ist.
4. Sicherheit der Verarbeitung. Für die Zwecke von Klausel 8.6(a) der Modellklauseln ist der für die Verarbeitung Verantwortliche allein dafür verantwortlich, eine unabhängige Entscheidung darüber zu treffen, ob die in Anhang 3 aufgeführten technischen und organisatorischen Maßnahmen den Anforderungen des für die Verarbeitung Verantwortlichen entsprechen, und erklärt sich damit einverstanden, dass (unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung seiner personenbezogenen Daten sowie der Risiken für die Personen) die vom Auftragsverarbeiter eingeführten und aufrechterhaltenen Sicherheitsmaßnahmen ein dem Risiko in Bezug auf diese personenbezogenen Daten angemessenes Maß an Sicherheit bieten. Für die Zwecke von Abschnitt 8.6(c) der Modellklauseln werden Verletzungen des Schutzes personenbezogener Daten gemäß Abschnitt 8 des Protokolls behandelt.
5. Audits gemäß den Modellklauseln. Die Parteien vereinbaren, dass die in Abschnitt 8.9 der Modellklauseln beschriebenen Audits gemäß Abschnitt 10 des Protokolls durchgeführt werden.
6. Allgemeine Ermächtigung zum Einsatz von Unterauftragsverarbeitern. Die Parteien wählen die Option 2 gemäß Klausel 9 der Modellklauseln. Für die Zwecke von Klausel 9(a) verfügt der Auftragsverarbeiter über die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen, Unterauftragsverarbeiter gemäß Abschnitt 6 des Protokolls einzusetzen. Der Auftragsverarbeiter stellt dem Auftraggeber die aktuelle Liste der Unterauftragsverarbeiter gemäß Abschnitt 6 dieses Protokolls zur Verfügung (wobei die Unterauftragsverarbeiter als "Unterauftragnehmer" bezeichnet werden). Für den Fall, dass der Auftragsverarbeiter mit einem Unterauftragsverarbeiter im Zusammenhang mit der Erbringung der Dienste das Modul 3 der Modellklauseln (Auftragsverarbeiter-zu-Auftragsverarbeiter) abschließt, erteilt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter und seinen verbundenen Unternehmen hiermit die Befugnis, im Namen des für die Verarbeitung Verantwortlichen eine allgemeine Ermächtigung für die Beauftragung von Unterauftragsverarbeitern durch Unterauftragsverarbeiter, die an der Erbringung der Dienste beteiligt sind, zu erteilen, sowie die Entscheidungs- und Genehmigungsbefugnis für die Hinzufügung oder den Austausch solcher Unterauftragsverarbeiter.
7. Beschwerden - Rechtsmittel. Die Parteien beschließen, die fakultative Formulierung in Klausel 11 der Modellklauseln zu streichen. Für die Zwecke des verbleibenden Textes in Klausel 11 und vorbehaltlich Abschnitt 7 des Protokolls wird der Auftragsverarbeiter die betroffenen Personen auf seiner Website über eine Kontaktstelle für Beschwerden informieren. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen, wenn er von einer betroffenen Person eine Beschwerde in Bezug auf personenbezogene Daten erhält, die im Rahmen der Vereinbarung verarbeitet werden, und der Auftragsverarbeiter leitet die Beschwerde unverzüglich an den für die Verarbeitung Verantwortlichen weiter. Der Auftragsverarbeiter ist ansonsten nicht verpflichtet, die Beschwerde zu bearbeiten (es sei denn, dies ist gesetzlich vorgeschrieben oder mit dem für die Verarbeitung Verantwortlichen vereinbart).
8. Haftung. Zusätzlich zu den anderen in der Vereinbarung und im Protokoll festgelegten Beschränkungen ist die Haftung des Auftragsverarbeiters gemäß Klausel 12 der Musterklauseln auf die Schäden beschränkt, die durch seine Verarbeitung verursacht werden, wenn er seinen Verpflichtungen nach dem anwendbaren, speziell an Auftragsverarbeiter gerichteten Datenschutzgesetz nicht nachgekommen ist oder wenn er außerhalb der rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen oder entgegen diesen Anweisungen gehandelt hat - wie in Artikel 82 DSGVO festgelegt.
9. Beaufsichtigung. Klausel 13 der Musterklauseln findet wie folgt Anwendung:
a. Wenn der für die Verarbeitung Verantwortliche seinen Sitz in einem EU-Mitgliedstaat hat, fungiert die Aufsichtsbehörde, die für die Einhaltung der DSGVO durch den für die Verarbeitung Verantwortlichen in Bezug auf die Datenübermittlung verantwortlich ist, als zuständige Aufsichtsbehörde.
b. Wenn der für die Verarbeitung Verantwortliche nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der DSGVO in deren räumlichen Geltungsbereich fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der DSGVO bestellt hat, wird die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der DSGVO niedergelassen ist, als zuständige Aufsichtsbehörde tätig.
c. Ist der für die Verarbeitung Verantwortliche nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber in den territorialen Anwendungsbereich der DSGVO gemäß deren Artikel 3 Absatz 2, ohne dass er jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der DSGVO benennen muss, wird die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten übermittelt werden oder deren Verhalten überwacht wird, als zuständige Aufsichtsbehörde tätig.
d. Wenn der für die Verarbeitung Verantwortliche seinen Sitz im Vereinigten Königreich hat oder in den territorialen Anwendungsbereich der UK-GDPR fällt, wird die ICO als zuständige Aufsichtsbehörde tätig.
e. Hat der für die Verarbeitung Verantwortliche seinen Sitz in der Schweiz oder fällt er in den räumlichen Geltungsbereich des Bundesgesetzes über den Datenschutz (Schweiz), so fungiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte als zuständige Aufsichtsbehörde, sofern die betreffende Datenübermittlung unter das Bundesgesetz über den Datenschutz fällt.
10. Benachrichtigung über behördliche Auskunftsersuchen. Für die Zwecke von Abschnitt 15.1(a) der Modellklauseln benachrichtigt der Auftragsverarbeiter (nur) den für die Verarbeitung Verantwortlichen und nicht die betroffene(n) Person(en) im Falle von behördlichen Auskunftsersuchen. Der für die Verarbeitung Verantwortliche ist allein dafür verantwortlich, die betroffene(n) Person(en) erforderlichenfalls unverzüglich zu benachrichtigen.
11. Geltendes Recht. Soweit gesetzlich zulässig, gilt für die Zwecke von Klausel 17 der Modellklauseln das Recht, das im Abschnitt "Geltendes Recht" der Vereinbarung angegeben ist. Ansonsten unterliegen die EWR-Musterklauseln (a) in Bezug auf den EWR (mit Ausnahme der Schweiz) den Gesetzen Belgiens, (b) in Bezug auf das Vereinigte Königreich den Gesetzen von England und Wales und (c) in Bezug auf die Schweiz den Gesetzen der Schweiz.
12. Wahl des Gerichtsstandes und der Gerichtsbarkeit. Soweit gesetzlich zulässig, sind die Gerichte mit ausschließlicher Zuständigkeit gemäß Klausel 18 der Modellklauseln diejenigen, die im Abschnitt "Gerichtsstand" der Vereinbarung angegeben sind. Andernfalls sind für die Beilegung von Streitigkeiten oder Klagen, die sich aus oder im Zusammenhang mit den Modellklauseln ergeben, ausschließlich folgende Gerichte zuständig: (a) in Bezug auf Datenübermittlungen, an denen betroffene Personen aus dem EWR (mit Ausnahme von betroffenen Personen aus der Schweiz) beteiligt sind, die Gerichte von Belgien, (b) in Bezug auf Datenübermittlungen, an denen betroffene Personen aus dem Vereinigten Königreich beteiligt sind, die Gerichte von England und Wales und (c) in Bezug auf Datenübermittlungen, an denen betroffene Personen aus der Schweiz beteiligt sind, die Gerichte der Schweiz.
13. Anhang. Der Anhang zu den EWR-Musterklauseln wird wie folgt ergänzt:
a. Der Inhalt von Abschnitt 1 des Schemas 2 wird Anhang I.A zu den EWR-Musterklauseln bilden.
b. Der Inhalt von Abschnitt 2 des Schemas 2 wird Anhang I.B zu den EWR-Musterklauseln bilden.
c. Der Inhalt von Abschnitt 3 des Schemas 2 wird Anhang I.C zu den EWR-Musterklauseln bilden.
d. Der Inhalt von Abschnitt 4 des Schemas 2 wird Anhang II zu den EWR-Musterklauseln bilden.
14. UK Datenexporte. Die für die Tabellen 1 bis 3 des Ersten Teils des UK Addendum Amendment erforderlichen Informationen sind in Anhang 2 aufgeführt. Für die Zwecke von Tabelle 4 des Ersten Teils des UK Addendum Amendment kann keine Partei das UK Addendum Amendment beenden, wenn es sich ändert.
15. Datenexporte aus der Schweiz. Bei Datenübermittlungen aus der Schweiz gelten die EWR-Musterklauseln auch für die Übermittlung von Informationen, die sich auf eine bestimmte oder bestimmbare juristische Person beziehen, wenn diese Informationen nach schweizerischem Recht in ähnlicher Weise wie personenbezogene Daten geschützt sind - bis diese Gesetze so geändert werden, dass sie nicht mehr auf eine juristische Person anwendbar sind. Darüber hinaus wird der Begriff "Mitgliedstaat" nicht so ausgelegt, dass er Schweizer Betroffene von der Möglichkeit ausschließt, ihre Rechte in der Schweiz geltend zu machen.
16. Kollision. Die Modellklauseln sind Gegenstand des Protokolls. Wenn die Modellklauseln auf eine bestimmte Situation anwendbar sind und es einen Konflikt zwischen den Modellklauseln und dem Protokoll gibt, haben die Modellklauseln Vorrang und sind maßgeblich.
Zeitplan 2
Beschreibung der Dienstleistung
1. PARTEIEN
Datenexporteur(e): Identität und Kontaktdaten des/der Datenexporteure(s) und ggf. seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union (und/oder im Vereinigten Königreich oder in der Schweiz)
Name: Kunde (wie im einleitenden Absatz des Rahmendienstvertrags definiert) ("Controller")
Anschrift: Wie im einleitenden Absatz des Hauptdienstleistungsvertrags dargelegt
Name, Position und Kontaktdaten der Kontaktperson: Wie in Abschnitt 6 des Hauptdienstleistungsvertrags dargelegt
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Erbringung der vertragsgemäßen Dienstleistungen.
Rolle: Für die Zwecke der Modellklauseln in Modul zwei (Controller-to-Processor) ist der Controller ein Controller. Für die Zwecke der Modellklauseln in Modul 3 (Prozessor-zu-Prozessor) ist die Steuerung ein Prozessor.
Datenimporteur(e): Identität und Kontaktdaten des/der Datenimporteure(s), einschließlich einer Kontaktperson, die für den Datenschutz zuständig ist
Name: JIA, Inc. ("Verarbeiter")
Anschrift: 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 Vereinigte Staaten
Name, Position und Kontaktdaten der Kontaktperson: Glenn Batson (glenn.batson@jenkon.com)
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Erbringung der vertragsgemäßen Dienstleistungen.
Rolle: Verarbeiter
2. BESCHREIBUNG DER ÜBERTRAGUNG
a. KATEGORIEN VON BETROFFENEN PERSONEN, DEREN PERSONENBEZOGENE DATEN ÜBERMITTELT WERDEN
Der für die Verarbeitung Verantwortliche kann den Diensten personenbezogene Daten übermitteln, deren Umfang von dem für die Verarbeitung Verantwortlichen nach eigenem Ermessen bestimmt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen enthalten können, jedoch nicht darauf beschränkt sind:
- Unabhängige Vertriebsmitarbeiter (z. B. Vertreter, Berater, verbundene Unternehmen), Interessenten, Kunden, Geschäftspartner, Lieferanten und Mitarbeiter des für die Verarbeitung Verantwortlichen (die natürliche Personen sind)
- Von der verantwortlichen Stelle zur Nutzung der Dienste autorisierte Benutzer
b. KATEGORIEN DER ÜBERMITTELTEN PERSONENBEZOGENEN DATEN
Die verantwortliche Stelle kann den Diensten personenbezogene Daten übermitteln, deren Umfang von der verantwortlichen Stelle nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem die folgenden Kategorien personenbezogener Daten umfassen können:
- Grundlegende Identifikatoren (d. h. Name, Reisepass, TIN usw.)
- Kontaktinformationen
- Demografische Informationen
- Finanzielle Informationen
- Online-Kennungen (d. h. IP-Adressen, Cookies usw.)
- Benutzergenerierte Inhalte (d. h. Inhalte sozialer Medien, persönliche Website usw.)
c. ÜBERMITTELTE SENSIBLE DATEN (FALLS ZUTREFFEND)
Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
Keine.
d. HÄUFIGKEIT DER ÜBERWEISUNG
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Kontinuierlich, wie vom für die Verarbeitung Verantwortlichen im Zusammenhang mit den Diensten verlangt.
e. ART DER VERARBEITUNG
Die Art der Verarbeitung besteht in der Erbringung der vertragsgemäßen Dienstleistungen.
f. ZWECK DER VERARBEITUNG, DIE DATENÜBERMITTLUNG UND DIE WEITERVERARBEITUNG
Der Auftragsverarbeiter verarbeitet personenbezogene Daten in dem Maße, wie es für die Erbringung der vertragsgemäßen Dienstleistungen erforderlich ist und wie es der für die Verarbeitung Verantwortliche bei der Nutzung der Dienstleistungen anweist.
g. DAUER DER VERARBEITUNG
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums.
Vorbehaltlich Abschnitt 9 des Protokolls verarbeitet der Auftragsverarbeiter die personenbezogenen Daten für die Dauer des Vertrags, sofern nicht schriftlich etwas anderes vereinbart wurde.
h. ÜBERTRAGUNGEN AN UNTERVERARBEITER
Bei Übertragungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:
In Übereinstimmung mit der Verarbeitung durch den Auftragsverarbeiter gemäß Unterabschnitt 2(f) verarbeiten die Unterauftragsverarbeiter personenbezogene Daten, soweit dies für die Erbringung der Dienstleistungen gemäß dem Vertrag erforderlich ist. Vorbehaltlich Abschnitt 6 des Protokolls verarbeitet der Unterauftragsverarbeiter personenbezogene Daten für die Dauer der Vereinbarung, sofern nicht schriftlich etwas anderes vereinbart wurde.
Die Identität der Unterauftragsverarbeiter, die derzeit für die Erbringung der Dienste eingesetzt werden, und das Land, in dem sie ansässig sind, sind in Anlage 4 aufgeführt. Die Unterauftragsverarbeiter können wie in Abschnitt 6 des Protokolls angegeben aktualisiert werden.
3. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Abschnitt 13.
Siehe Abschnitt 9 des Anhangs 1 zu diesem Protokoll.
4. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Der Auftragsverarbeiter unterhält administrative, technische und physische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der im Zusammenhang mit den Diensten verarbeiteten personenbezogenen Daten, wie sie in Anhang 3 beschrieben sind oder vom Auftragsverarbeiter auf andere Weise angemessen zur Verfügung gestellt werden.
Zeitplan 3
Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Beschreibung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Der Auftragsverarbeiter setzt angemessene administrative, technische und physische Sicherheitsmaßnahmen ein, insbesondere Verschlüsselung, sichere Passwörter und Zugangskontrollen, um den Zugriff auf personenbezogene Daten auf die Personen zu beschränken, die diese Daten zur Erfüllung der Verpflichtungen des Auftragsverarbeiters aus der Vereinbarung kennen müssen. Der Auftragsverarbeiter führt außerdem Aufzeichnungen darüber, wer auf personenbezogene Daten zugegriffen hat. Die Mitarbeiter des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten haben, werden in Bezug auf Schutzmaßnahmen und den angemessenen Zugang zu personenbezogenen Daten geschult. Wenn der Auftragsverarbeiter personenbezogene Daten aus der Produktionsumgebung des Datenexporteurs übertragen muss, werden die Daten zunächst mit Hilfe eines vom Auftragsverarbeiter bereitgestellten und gepflegten "Scrub-Skripts" entfernt oder verschlüsselt. Nachdem das Skript ausgeführt wurde, können die Daten über ein sicheres Dateiübertragungsprotokoll übertragen werden.
Wenn der Datenexporteur verlangt, dass der Auftragsverarbeiter auf die Produktionsumgebung des Datenexporteurs zugreift, greift der Auftragsverarbeiter nur auf das zu, was der Datenexporteur verlangt - und dieser Zugriff wird jederzeit vom Datenexporteur verwaltet und unterliegt allen Richtlinien oder Verfahren, die der Datenexporteur zu diesem Zeitpunkt bereitstellen kann.
Wie oben dargelegt, erbringt Microsoft Cloud-Speicherdienste für den Auftragsverarbeiter im Rahmen eines Vertrags zwischen Microsoft und dem Auftragsverarbeiter. Einzelheiten zu den technischen und organisatorischen Maßnahmen von Microsoft sind hier zu finden: https://docs.microsoft.com/en-us/azure/compliance/. Microsofts aktuelle Form des Datenschutz-Zusatzes ist hier zu finden: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
Weitere Maßnahmen sind:
- Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
- Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten
- Regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
- Benutzeridentifizierung und -berechtigung
- Schutz der Daten während der Übertragung
- Schutz der Daten während der Speicherung
- Ereignisprotokollierung
- Begrenzte Datenspeicherung
Zeitplan 4
LISTE DER UNTERAUFTRAGSVERARBEITER
Die folgenden Unterauftragnehmer werden vom Datenimporteur zur Verarbeitung personenbezogener Daten im Rahmen des Abkommens eingesetzt:
Name der Entität | Aktivitäten in der Unterveredelung | Entität Land |
Microsoft Corporation (Azure) | Drittanbieter von Cloud-Diensten | Vereinigte Staaten und andere Länder, in denen der Azure-Mieter, wie in der Vereinbarung festgelegt, gehostet werden kann. |
Atlassian | HelpDesk-Anwendungsanbieter | Vereinigte Staaten |
Verbundene Datenimporteure:
Name der Entität | Entität Land |
Jenkon Mexiko S DE RL DE CV | Mexiko |
Wir bei Jenkon sind uns bewusst, dass Sie ein erfolgreiches Direktvertriebsunternehmen aufbauen. Dazu brauchen Sie einen Software-Partner, der die Kernwerte unterstützt, die zur nahtlosen Verfolgung Ihrer Wachstumsstrategie notwendig sind. Integrität. Zusammenarbeit. Leidenschaft. Verlässlichkeit. Vertrauen.
Wir bei Jenkon sind uns bewusst, dass Sie ein erfolgreiches Direktvertriebsunternehmen aufbauen. Dazu brauchen Sie einen Software-Partner, der die Kernwerte unterstützt, die zur nahtlosen Verfolgung Ihrer Wachstumsstrategie notwendig sind. Integrität. Zusammenarbeit. Leidenschaft. Verlässlichkeit. Vertrauen.
STANDORTINFORMATIONEN