Datenschutz-Vereinbarung
Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist eine Verordnung zum Schutz der Privatsphäre und des Datenschutzes in der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist.
Die EU-DSGVO erlegt Organisationen, die personenbezogene Daten kontrollieren oder verarbeiten, neue Verpflichtungen auf und führt neue Rechte und Schutzmaßnahmen für EU-Bürger ein.
ORdigiNAL setzt sich dafür ein, dass Ihre Privatsphäre geschützt wird, und wir halten uns strikt an die Bestimmungen aller relevanten Datenschutzgesetze, einschließlich der EU GDPR-Richtlinie und der überarbeiteten britischen GDPR-Richtlinie, um sicherzustellen, dass alle personenbezogenen Daten im Einklang mit den in der Verordnung dargelegten Grundsätzen behandelt werden.
Die GDPR des Vereinigten Königreichs spiegelt die GDPR der EU wider, führt aber neue Verfahren für das Vereinigte Königreich ein, um seine eigenen Angemessenheitsentscheidungen zu treffen und andere UK-spezifische Übermittlungsgarantien zu genehmigen. Die britische GDPR-Richtlinie ist eng mit dem Data Protection Act 2018 abgestimmt; weitere Informationen finden Sie hier.
ORdigiNAL hat sich verpflichtet, die GDPR als Verarbeiter personenbezogener Daten einzuhalten und hat eine Arbeitsgruppe eingerichtet, die unser GDPR-Implementierungsprojekt leitet, um die Einhaltung kontinuierlich sicherzustellen.
1. Begriffsbestimmungen
1.1. Für die Zwecke dieser DPA gilt Folgendes
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; eine identifizierbare natürliche Person kann direkt oder indirekt identifiziert werden, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
„Datenschutzgesetz“ bezeichnet alle anwendbaren Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen in Bezug auf (a) Datenschutz, Datensicherheit, Verbraucherschutz, Marketing, Werbung und Textnachrichten, E-Mail und sonstige Kommunikation; und (b) die Verwendung, Sammlung, Aufbewahrung, Speicherung, Sicherheit, Offenlegung, Übertragung, Entsorgung und sonstige Verarbeitung personenbezogener Daten;
„Verbundenes Unternehmen“ bezeichnet jedes Unternehmen, das direkt oder indirekt das Unternehmen kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit ihm steht. „Kontrolle“ bedeutet für die Zwecke dieser Definition das direkte oder indirekte Eigentum oder die Kontrolle von mehr als 50 % der stimmberechtigten Anteile des betreffenden Unternehmens;
„Dienstleistungen“ bedeutet jede der folgenden Dienstleistungen, die von der Gesellschaft erbracht werden: (a) Produktangebote unter der Marke der Gesellschaft, die über die Website der Gesellschaft zur Verfügung gestellt werden, (b) Beratungs- oder Schulungsdienstleistungen, die von der Gesellschaft entweder per Fernzugriff über das Internet oder persönlich erbracht werden, und (c) jegliche Supportdienstleistungen, die von der Gesellschaft erbracht werden, einschließlich des Zugangs zum Helpdesk der Gesellschaft;
die Begriffe „für die Datenverarbeitung Verantwortlicher“, „Datenverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „geeignete technische und organisatorische Maßnahmen“ haben die Bedeutung, die ihnen nach dem geltenden Datenschutzrecht zukommt.
2. Gegenstand, Art und Zweck der Verarbeitung von personenbezogenen Daten durch das Unternehmen
2.1. Gegenstand, Art und Zweck der Verarbeitung personenbezogener Daten im Rahmen dieser DPA ist die Erbringung der Dienstleistungen durch das Unternehmen gemäß den schriftlichen Anweisungen des Kunden bei der Nutzung der Dienstleistungen, es sei denn, das Datenschutzgesetz schreibt etwas anderes vor; in diesem Fall informiert das Unternehmen den Kunden vor der Durchführung der Verarbeitung über diese gesetzliche Vorschrift, soweit das Datenschutzgesetz dies zulässt. Das Unternehmen erhebt oder verarbeitet personenbezogene Daten für die Dauer der Erbringung der Dienstleistungen nur in dem Umfang und auf die Art und Weise, wie es für die Erbringung der Dienstleistungen erforderlich ist, und in Übereinstimmung mit dem DSG und dem für das Unternehmen geltenden Datenschutzgesetz.
3. Dauer
3.1. Die Verarbeitung personenbezogener Daten durch das Unternehmen erfolgt, solange das Dienstleistungskonto des Kunden besteht oder solange dies für die Erfüllung der Pflichten und Rechte zwischen dem Unternehmen und dem Kunden erforderlich ist, es sei denn, es wurde schriftlich etwas anderes vereinbart.
4. Art der verarbeiteten personenbezogenen Daten
4.1. Der Kunde kann personenbezogene Daten des Kunden an die Dienste übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Kategorien personenbezogener Daten umfassen können, aber nicht darauf beschränkt sind:
– Kontoinformationen. Wenn der Kunde sich für ein Dienstkonto anmeldet, sind bestimmte Informationen wie Name und E-Mail erforderlich. Der Kunde kann seine Informationen und E-Mail-Präferenzen jederzeit aktualisieren oder korrigieren, indem er das Dienstleistungskonto besucht. Das Unternehmen kann dem Kunden zusätzliche Unterstützung bieten, um auf die Informationen zuzugreifen, sie zu korrigieren, zu löschen oder zu ändern, die der Kunde
die der Kunde dem Unternehmen zur Verfügung gestellt hat und die mit dem Dienstleistungskonto des Kunden verbunden sind. Zum Schutz der Sicherheit ergreift die Gesellschaft angemessene Maßnahmen (z. B. Einholung rechtlicher Auskünfte), um die Identität des Kunden zu überprüfen, bevor Korrekturen vorgenommen werden. Der Kunde ist dafür verantwortlich, das Passwort und die Informationen des Servicekontos des Kunden jederzeit geheim zu halten.
Zusätzliche Profilinformationen. Der Kunde kann sich dafür entscheiden, zusätzliche Informationen als Teil seines Profils anzugeben. Die Profilinformationen helfen dem Kunden, mehr von den Diensten zu profitieren. Es liegt im Ermessen des Kunden, ob er sensible Informationen in seinem Profil angeben möchte.
Andere Informationen. Der Kunde kann sich auch anderweitig dafür entscheiden, dem Unternehmen Informationen zur Verfügung zu stellen, wenn er ein Formular ausfüllt, eine Suche durchführt, Informationen zu seinem Dienstkonto aktualisiert oder hinzufügt, auf Umfragen antwortet, Beiträge in Community-Foren verfasst, an Werbeaktionen teilnimmt oder andere Funktionen der Dienstleistungsplattform nutzt.3. Verpflichtungen des Unternehmens
3.1. Das Unternehmen stimmt zu und/oder garantiert:
(a) die Persönlichen Daten nur im Auftrag des Kunden und in Übereinstimmung mit dessen Anweisungen und dem DSG zu verarbeiten; wenn es diese Übereinstimmung aus welchen Gründen auch immer nicht gewährleisten kann, erklärt es sich bereit, den Kunden unverzüglich darüber zu informieren, dass es nicht in der Lage ist, die Anforderungen zu erfüllen; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder die Dienste zu beenden;
(b) dass alle personenbezogenen Daten, die im Auftrag des Kunden verarbeitet werden, Eigentum des Kunden und/oder der betroffenen Personen bleiben;
(c) dass er keinen Grund zu der Annahme hat, dass die für ihn geltende Gesetzgebung ihn daran hindert, die vom Kunden erhaltenen Anweisungen und seine Verpflichtungen im Rahmen der DSGVO zu erfüllen, und dass er im Falle einer Änderung dieser Gesetzgebung, die wahrscheinlich eine wesentliche nachteilige Auswirkung auf die von der DSGVO vorgesehenen Garantien und Verpflichtungen haben wird, den Kunden unverzüglich über die Änderung informieren wird, sobald er davon Kenntnis hat; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder die Dienstleistungen zu beenden;
(d) dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
(e) dass er den Kunden unverzüglich darüber informieren wird:
jede rechtlich bindende Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;
jeder versehentliche oder unbefugte Zugriff; und
jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
(f) alle Anfragen des Kunden in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
(g) auf Ersuchen des Kunden seine Datenverarbeitungseinrichtungen für ein Audit der unter die DSGVO fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen;
(h) dass er im Falle einer Unterverarbeitung den Kunden zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;
(i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters gemäß Abschnitt 7 durchgeführt werden;
(j) einen Datenschutzbeauftragten zu benennen, der seine Aufgaben im Einklang mit dem Datenschutzgesetz wahrnimmt. Die Kontaktdaten des Datenschutzbeauftragten sind auf der Webseite des Unternehmens zu finden.
(k) nur solche Mitarbeiter mit der in dieser DPA beschriebenen Datenverarbeitung zu betrauen, die zur Vertraulichkeit verpflichtet sind und zuvor mit den für ihre Arbeit relevanten Datenschutzbestimmungen vertraut gemacht wurden. Das Unternehmen und alle unter seiner Aufsicht handelnden Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur auf Anweisung des Kunden verarbeiten, es sei denn, sie sind aufgrund des Datenschutzgesetzes dazu verpflichtet;
(l) die internen Prozesse regelmäßig zu überwachen, um sicherzustellen, dass die Verarbeitung im Verantwortungsbereich des Unternehmens mit den Anforderungen des Datenschutzgesetzes und dem Schutz der Rechte der betroffenen Person übereinstimmt.
5. Verpflichtungen des Kunden
5.1. Der Kunde stimmt zu und/oder gewährleistet:
(a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, in Übereinstimmung mit den einschlägigen Bestimmungen des Datenschutzgesetzes erfolgt ist und auch in Zukunft erfolgen wird und nicht gegen die einschlägigen Bestimmungen verstößt;
(b) dass er das Unternehmen angewiesen hat und während der gesamten Dauer der personenbezogenen Datenverarbeitungsdienste anweisen wird, die übertragenen personenbezogenen Daten nur im Namen des Kunden und in Übereinstimmung mit dem Datenschutzgesetz und dem DSG zu verarbeiten;
(c) dass das Unternehmen ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 1 zu dieser DSGVO bietet;
(d) dass die Sicherheitsmaßnahmen nach Prüfung der Anforderungen des Datenschutzgesetzes geeignet sind, personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Änderung, unberechtigte Weitergabe oder unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und gegen alle anderen unrechtmäßigen Formen der Verarbeitung zu schützen, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten angemessen ist, wobei der Stand der Technik und die Kosten ihrer Umsetzung berücksichtigt werden;
(e) dass er die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;
(f) auf die Dienste nur zu legalen, genehmigten und akzeptablen Zwecken zuzugreifen und sie zu nutzen. Der Kunde wird die Dienste nicht in einer Weise nutzen (oder andere bei der Nutzung unterstützen), die: (a) die Rechte des Unternehmens, seiner Nutzer oder anderer verletzen, missbrauchen oder verletzen, einschließlich der Privatsphäre, der Öffentlichkeit, des geistigen Eigentums oder anderer Eigentumsrechte; (b) illegal, obszön, verleumderisch, bedrohlich, einschüchternd, belästigend, hasserfüllt, rassistisch oder ethnisch beleidigend sind oder zu einem Verhalten anstiften oder ermutigen, das illegal oder anderweitig unangemessen wäre; (c) die Veröffentlichung von Unwahrheiten, falschen Darstellungen oder irreführenden Aussagen beinhalten; (d) sich als eine andere Person ausgeben; (e) das Versenden von illegalen oder unzulässigen Mitteilungen wie Massennachrichten, Auto-Messaging, Auto-Dialing und dergleichen beinhalten; oder (f) eine andere Nutzung der Dienste beinhalten, die in dieser DPA vorgeschrieben ist, sofern nicht anderweitig durch das Unternehmen genehmigt;
(g) nicht auf die Diensteplattform zuzugreifen (oder andere dabei zu unterstützen), sie zu nutzen, zu kopieren, anzupassen, zu modifizieren, davon abgeleitete Werke zu erstellen, zu vertreiben, zu lizenzieren, zu unterlizenzieren, zu übertragen, darzustellen, auszuführen oder anderweitig in unzulässiger oder unbefugter Weise zu nutzen oder in einer Weise, die das Unternehmen, die Diensteplattform, die Systeme, andere Nutzer oder andere Personen belastet, beeinträchtigt oder schädigt, einschließlich, dass der Kunde weder direkt noch durch automatisierte Mittel (a) die Diensteplattform zurückzuentwickeln, zu verändern, zu modifizieren, davon abgeleitete Werke zu erstellen, zu dekompilieren oder Code aus ihr zu extrahieren; (b) Viren oder anderen schädlichen Computercode über die Diensteplattform zu senden, zu speichern oder zu übertragen; (c) sich unbefugten Zugang zur Diensteplattform oder zu den Systemen zu verschaffen oder zu versuchen, sich diesen zu verschaffen; (d) die Integrität oder Leistung der Diensteplattform zu beeinträchtigen oder zu stören; (e) Konten für die Diensteplattform durch unbefugte oder automatisierte Mittel zu erstellen; (f) Informationen von oder über andere Nutzer in unzulässiger oder unbefugter Weise zu sammeln; (g) die Diensteplattform zu verkaufen, weiterzuverkaufen, zu vermieten oder in Rechnung zu stellen; oder (h) die Diensteplattform über ein Netzwerk zu verteilen oder verfügbar zu machen, in dem sie von mehreren Geräten gleichzeitig genutzt werden könnte;
(h) dass der Kunde dafür verantwortlich ist, das Dienstleistungskonto des Kunden sicher zu halten, und dass der Kunde das Unternehmen unverzüglich über jede unbefugte Nutzung oder Sicherheitsverletzung des Kundenkontos oder der Dienstleistungsplattform informieren wird;
(i) dass das Unternehmen dem Kunden eine begrenzte, widerrufliche, nicht ausschließliche, nicht unterlizenzierbare und nicht übertragbare Lizenz zur Nutzung der Dienstleistungsplattform gewährt. Diese Lizenz dient ausschließlich dem Zweck, den Kunden in die Lage zu versetzen, die Dienstleistungsplattform in der durch diese DPA erlaubten Weise zu nutzen. Dem Kunden werden keine Lizenzen oder Rechte
Lizenzen oder Rechte werden dem Kunden weder stillschweigend noch anderweitig gewährt, mit Ausnahme der Lizenzen und Rechte, die dem Kunden ausdrücklich gewährt werden.
6. Technische und organisatorische Maßnahmen
6.1. Das Unternehmen ergreift die geeigneten technischen und organisatorischen Maßnahmen, um personenbezogene Daten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten zu schützen, wie in Anhang 1 beschrieben. Diese Maßnahmen umfassen unter anderem physische und IT-Maßnahmen sowie organisatorische Maßnahmen, um:
(a) Verhinderung des Zugangs von Unbefugten zu den Verarbeitungssystemen für personenbezogene Daten (physische Zugangskontrolle),
(b) die Verhinderung der unbefugten Nutzung von Systemen zur Verarbeitung personenbezogener Daten (logische Zugangskontrolle),
(c) Sicherstellung, dass Personen, die berechtigt sind, ein System zur Verarbeitung personenbezogener Daten zu nutzen, nur auf die personenbezogenen Daten zugreifen können, auf die sie gemäß ihren Zugriffsrechten Zugriff haben, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugangskontrolle),
(d) Sicherstellung, dass personenbezogene Daten bei der elektronischen Übermittlung, beim Transport oder bei der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass die Zielstellen für jede Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen festgestellt und überprüft werden können (Datenübermittlungskontrolle),
(e) Sicherstellung der Einrichtung eines Prüfpfads, um zu dokumentieren, ob und von wem personenbezogene Daten in Verarbeitungssysteme für personenbezogene Daten eingegeben, dort geändert oder aus ihnen entfernt wurden (Eingabekontrolle),
(f) Sicherstellung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
6.2. Die technischen und organisatorischen Maßnahmen sind dem technischen Fortschritt und der Weiterentwicklung unterworfen. In diesem Zusammenhang kann das Unternehmen alternative angemessene Maßnahmen ergreifen, jedoch darf das Sicherheitsniveau der festgelegten Maßnahmen niemals gesenkt werden. Wesentliche Änderungen sind zu dokumentieren.
7. Unterauftragsverarbeiter
7.1. Der Kunde stimmt zu, dass das Unternehmen verbundene Unternehmen oder Dritte mit der Verarbeitung personenbezogener Daten beauftragen kann, um das Unternehmen bei der Erbringung der Dienstleistungen im Namen des Kunden zu unterstützen („Unterauftragsverarbeiter“). Das Unternehmen hat oder wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in dieser DPA, soweit sie auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar sind. Wenn der Unterauftragsverarbeiter die Dienstleistungen außerhalb der EU/des EWR erbringt, stellt das Unternehmen sicher, dass die Übermittlung gemäß den von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten erfolgt, zu deren Abschluss der Kunde das Unternehmen in seinem Namen ermächtigt, oder dass andere geeignete gesetzliche Datenübermittlungsmechanismen verwendet werden.
7.2. Die aktuellen Unterauftragsverarbeiter für die Dienstleistungen sind auf der Website des Unternehmens aufgeführt („Liste der Unterauftragsverarbeiter“), und der Kunde erklärt sich damit einverstanden, dass das Unternehmen diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten gemäß der Liste beauftragt hat, und genehmigt dies. Das Unternehmen muss neue Unterauftragsverarbeiter benachrichtigen, bevor es neue Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der jeweiligen Dienstleistung beauftragt.
7.3. Das Unternehmen benachrichtigt den Kunden dreißig (30) Tage im Voraus über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters; innerhalb dieses Zeitraums kann der Kunde Einwände gegen die Bestellung des Unterauftragsverarbeiters erheben. Alle Einwände müssen unverzüglich (und in jedem Fall spätestens vierzehn (14) Tage nach der Mitteilung des Unternehmens über die beabsichtigten Änderungen) erhoben werden. Sollte sich das Unternehmen dafür entscheiden, den beanstandeten Unterauftragsverarbeiter beizubehalten, wird das Unternehmen den Kunden mindestens vierzehn (14) Tage vor der Ermächtigung des Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten benachrichtigen, woraufhin der Kunde die Nutzung des betreffenden Teils der Dienste unverzüglich einstellen und den betreffenden Teil der Dienste kündigen kann.
7.4. Zur Vermeidung von Zweifeln: Wenn ein Unterauftragsverarbeiter seinen Verpflichtungen aus einer Unterverarbeitungsvereinbarung oder nach geltendem Recht nicht nachkommt, bleibt das Unternehmen dem Kunden gegenüber in vollem Umfang für die Erfüllung seiner Verpflichtungen aus dieser DPA haftbar.
8. Prüfung
8.1. Um die Einhaltung dieser DPA zu bestätigen, steht es dem Kunden frei, ein Audit durchzuführen, indem er einen unabhängigen Dritten beauftragt, der in dieser Hinsicht zur Vertraulichkeit verpflichtet ist. Ein solches Audit muss während der normalen Geschäftszeiten des Unternehmens stattfinden und ist nur in dem Umfang zulässig, der für den Kunden erforderlich ist, um die Einhaltung dieser DPA durch das Unternehmen zu beurteilen. Im Zusammenhang mit einer solchen Prüfung wird der Kunde sicherstellen, dass der Prüfer (a) alle Informationen in den Geschäftsräumen des Unternehmens überprüft; (b) den angemessenen Zugang vor Ort und andere vom Unternehmen auferlegte Beschränkungen beachtet; (c) die Richtlinien und Verfahren des Unternehmens einhält und (d) die Geschäftsaktivitäten des Unternehmens nicht unangemessen beeinträchtigt. Das Unternehmen behält sich das Recht vor, im Falle eines Verstoßes gegen die in diesem Abschnitt 8 genannten Bedingungen jede Prüfung einzuschränken oder auszusetzen.
8.2. Für den Fall, dass der Kunde, eine Aufsichtsbehörde oder eine Datenschutzbehörde zusätzliche Informationen oder eine Prüfung im Zusammenhang mit den Diensten verlangt, erklärt sich das Unternehmen bereit, seine Datenverarbeitungsanlagen, Dateien und Unterlagen, die für die Verarbeitung personenbezogener Daten erforderlich sind, einer Prüfung durch den Kunden (oder einen vom Kunden ausgewählten Dritten, wie z. B. Inspektionsbeauftragte oder Prüfer) zu unterziehen, um die Einhaltung dieser DSGVO festzustellen, sofern es darüber informiert wird und der Prüfer direkt mit dem Unternehmen eine Geheimhaltungsvereinbarung abschließt. Das Unternehmen erklärt sich bereit, dem Kunden im Rahmen dieser Maßnahmen eine angemessene Zusammenarbeit zu gewähren, einschließlich der Bereitstellung aller relevanten Informationen und des Zugangs zu allen Geräten, Software, Daten, Dateien, Informationssystemen usw., die für die Erbringung der Dienstleistungen, einschließlich der Verarbeitung personenbezogener Daten, verwendet werden. Solche Audits werden auf Kosten des Kunden durchgeführt.
8.3. Das Audit darf nur durchgeführt werden, wenn konkrete Gründe für den Verdacht des Missbrauchs personenbezogener Daten vorliegen, frühestens jedoch zwei Wochen nach schriftlicher Mitteilung des Kunden an das Unternehmen.
8.4. Die Ergebnisse der durchgeführten Prüfung werden von den Parteien erörtert und bewertet und gegebenenfalls von einer der Parteien oder gemeinsam von beiden Parteien entsprechend umgesetzt. Die Kosten des Audits gehen zu Lasten des Kunden.
9. Benachrichtigung über eine Datenpanne
9.1. Erhält das Unternehmen Kenntnis von einer Sicherheitsverletzung, die zu einer versehentlichen, unbefugten oder unrechtmäßigen Zerstörung oder unbefugten Offenlegung von oder einem unbefugten Zugriff auf personenbezogene Daten führt, wird das Unternehmen den Kunden nach bestem Wissen und Gewissen unverzüglich davon in Kenntnis setzen, woraufhin der Kunde entscheidet, ob er die betroffenen Personen und/oder die zuständige(n) Aufsichtsbehörde(n) informiert oder nicht. Diese Meldepflicht gilt unabhängig von den Auswirkungen des Lecks. Das Unternehmen wird sich bemühen, dass die übermittelten Informationen vollständig, korrekt und genau sind.
9.2. Falls gesetzlich und/oder regulatorisch erforderlich, kooperiert das Unternehmen bei der Benachrichtigung der zuständigen Behörden und/oder der betroffenen Personen. Der Kunde bleibt die verantwortliche Partei für alle diesbezüglichen gesetzlichen Verpflichtungen.
9.3. Die Meldepflicht umfasst in jedem Fall die Pflicht, die Tatsache zu melden, dass ein Leck aufgetreten ist, einschließlich der Angaben über:
die (vermutete) Ursache des Lecks;
die (derzeit bekannten und/oder zu erwartenden) Folgen des Lecks; die (vorgeschlagene) Lösung;
die bereits getroffenen Maßnahmen.
10. Löschung und Rückgabe von personenbezogenen Daten
10.1. Die Parteien vereinbaren, dass das Unternehmen und seine Unterauftragnehmer bei Beendigung der Erbringung von Datenverarbeitungsdienstleistungen nach Wahl des Kunden alle übermittelten personenbezogenen Daten und die Kopien davon an den Kunden zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Kunden gegenüber bescheinigen, es sei denn, das Unternehmen ist aufgrund gesetzlicher Vorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert das Unternehmen, dass es die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeitet.
mehr. Das Unternehmen und seine Unterauftragnehmer garantieren, dass sie auf Verlangen des Kunden und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für ein Audit der in Abschnitt 8 genannten Maßnahmen zur Verfügung stellen.
11. Geltendes Recht/Forum
11.1. Diese DPA unterliegt den Bestimmungen des geltenden Rechts und der Gerichtsbarkeit im Vertrag und ist entsprechend auszulegen, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.
11.2. Die Parteien verpflichten sich, alle Einzelheiten des Schiedsverfahrens und des Schiedsspruchs streng vertraulich zu behandeln und alle angemessenen Anstrengungen zu unternehmen, um die unbefugte Offenlegung des Verfahrens, aller in diesem Zusammenhang offengelegten Informationen und des erteilten Schiedsspruchs zu verhindern.
Anhang Nr. 1
Beschreibung der von der Gesellschaft getroffenen technischen und organisatorischen Maßnahmen:
Die Gesellschaft setzt die in diesem Anhang beschriebenen Maßnahmen um, sofern diese Maßnahmen direkt oder indirekt zum Schutz der personenbezogenen Daten während der Dauer der Erbringung der Dienstleistungen der Gesellschaft für den Kunden beitragen oder beitragen können. Ist das Unternehmen der Ansicht, dass eine Maßnahme für die jeweilige Dienstleistung oder einen Teil davon nicht erforderlich ist, wird das Unternehmen dies begründen und eine Vereinbarung mit dem Kunden treffen.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Entwicklung. Insoweit ist es der Gesellschaft gestattet, alternative angemessene Maßnahmen zu ergreifen. Das Sicherheitsniveau muss sich an den branchenüblichen Sicherheitsstandards orientieren und darf die hier genannten Maßnahmen nicht unterschreiten. Alle wesentlichen Änderungen sind mit dem Kunden abzustimmen und zu dokumentieren.
1. Risikomanagement
1.1. Sicherheitsrisikomanagement
Das Unternehmen identifiziert und bewertet Sicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und setzt auf der Grundlage dieser Bewertung geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
Das Unternehmen verfügt über dokumentierte Prozesse und Routinen für den Umgang mit Risiken im Rahmen seiner Geschäftstätigkeit.
Das Unternehmen bewertet regelmäßig die Risiken im Zusammenhang mit Informationssystemen und der Verarbeitung, Speicherung und Übermittlung von Informationen.
1.2. Sicherheitsrisikomanagement für personenbezogene Daten
1.2.1. Das Unternehmen identifiziert und bewertet Sicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und setzt auf der Grundlage einer solchen Bewertung geeignete technische und organisatorische Maßnahmen um, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der spezifischen Arten und Zwecke der Verarbeitung personenbezogener Daten durch das Unternehmen angemessen ist, einschließlich u.a:
Die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten
die Fähigkeit, die Verfügbarkeit und den Zugang zu den Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
1.2.2. Die
Personenbezogene Daten im Auftrag des Kunden.
Das Unternehmen muss über dokumentierte Prozesse und Routinen für den Umgang mit Risiken bei der Verarbeitung
1.2.3. Das Unternehmen bewertet regelmäßig die Risiken im Zusammenhang mit Informationssystemen und der Verarbeitung, Speicherung und Übermittlung personenbezogener Daten.
1.3. Grundsätze der Informationssicherheit
1.3.1. Das Unternehmen verfügt über ein definiertes und dokumentiertes Managementsystem für die Informationssicherheit, einschließlich einer Politik und Verfahren für die Informationssicherheit, die von der Unternehmensleitung genehmigt werden. Sie werden innerhalb der Organisation des Unternehmens veröffentlicht und an die zuständigen Mitarbeiter des Unternehmens weitergegeben.
1.3.2. Das Unternehmen überprüft regelmäßig seine Sicherheitsrichtlinien und -verfahren und aktualisiert sie erforderlichenfalls, um ihre Übereinstimmung mit diesem Anhang zu gewährleisten.
2. Organisation der Informationssicherheit
– Das Unternehmen muss über festgelegte und dokumentierte Sicherheitsrollen und Verantwortlichkeiten innerhalb seiner Organisation verfügen.
– Das Unternehmen ernennt mindestens einen Datenschutzbeauftragten, der über eine angemessene Sicherheitskompetenz verfügt und die Gesamtverantwortung für die Durchführung der Sicherheitsmaßnahmen gemäß diesem Anhang trägt und der Ansprechpartner für das Sicherheitspersonal des Kunden ist.
3. Sicherheit der Humanressourcen
– Das Unternehmen stellt sicher, dass das Unternehmenspersonal Informationen in Übereinstimmung mit dem in der DSGVO geforderten Grad an Vertraulichkeit behandelt.
– Das Unternehmen stellt sicher, dass das betreffende Unternehmenspersonal über die genehmigte Nutzung (ggf. einschließlich der Nutzungsbeschränkungen) von Informationen, Einrichtungen und Systemen im Rahmen des DSG informiert ist.
– Das Unternehmen stellt sicher, dass alle Mitarbeiter des Unternehmens, die im Rahmen der Vereinbarung Aufgaben wahrnehmen, vertrauenswürdig sind, die festgelegten Sicherheitskriterien erfüllen und einer angemessenen Überprüfung und Hintergrundüberprüfung unterzogen wurden und während der Dauer der Aufgabe weiterhin unterzogen werden.
– Das Unternehmen stellt sicher, dass das mit Sicherheitsaufgaben betraute Personal des Unternehmens angemessen geschult ist, um sicherheitsrelevante Aufgaben wahrzunehmen.
– Das Unternehmen sorgt für eine regelmäßige Schulung des relevanten Personals des Unternehmens in Bezug auf die Sicherheit oder stellt diese sicher. Diese Schulungen des Unternehmens umfassen unter anderem
(a) Wie man mit der Sicherheit von Kundeninformationen umgeht (d.h. Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen);
(b) Warum ist Informationssicherheit zum Schutz von Kundeninformationen und -systemen erforderlich?
(c) Die häufigsten Arten von Sicherheitsbedrohungen (wie Identitätsdiebstahl, Malware, Hacking, Informationslecks und Insider-Bedrohungen);
(d) Die Bedeutung der Einhaltung von Informationssicherheitsrichtlinien und der Anwendung der damit verbundenen Standards/Verfahren;
(e) Persönliche Verantwortung für die Informationssicherheit (z. B. Schutz der datenschutzrelevanten Informationen der Kunden und Meldung tatsächlicher und vermuteter Datenschutzverletzungen).
4. Zugangskontrolle
Das Unternehmen verfügt über eine definierte und dokumentierte Zugangskontrollpolitik für Einrichtungen, Standorte, Netzwerke, Systeme, Anwendungen und den Zugang zu Informationen/Daten (einschließlich physischer, logischer und Fernzugriffskontrollen), ein Genehmigungsverfahren für den Benutzerzugang und die Benutzerrechte, Verfahren für den Entzug von Zugangsrechten und die akzeptable Nutzung von Zugangsrechten für Mitarbeiter des Unternehmens.
Das Unternehmen verfügt über ein formelles und dokumentiertes Verfahren zur Registrierung und De-Registrierung von Benutzern, um die Zuweisung von Zugriffsrechten zu ermöglichen.
Das Unternehmen vergibt alle Zugriffsrechte auf der Grundlage des Prinzips „Kenntnisnahme erforderlich“ und des Prinzips der geringsten Privilegien.
Das Unternehmen verwendet eine starke Authentifizierung (Multifaktor) für Fernzugriffsbenutzer und Benutzer, die sich von einem nicht vertrauenswürdigen Netzwerk aus anmelden.
Das Unternehmen stellt sicher, dass die Mitarbeiter des Unternehmens über eine persönliche und eindeutige Kennung (Benutzer-ID) verfügen, und verwendet eine geeignete Authentifizierungstechnik, die die Identität der Benutzer bestätigt und sicherstellt.
5. Physische und umgebungsbezogene Sicherheit
Das Unternehmen schützt die Informationsverarbeitungseinrichtungen vor externen und umweltbedingten Bedrohungen und Gefahren, einschließlich Strom-/Verkabelungsausfällen und anderen Störungen, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden. Dies schließt den Schutz der physischen Umgebung und des Zugangs ein.
6. Sicherheit des Betriebs
Das Unternehmen verfügt über ein etabliertes Änderungsmanagementsystem für Änderungen an Geschäftsprozessen, Informationsverarbeitungseinrichtungen und Systemen. Das Änderungsmanagementsystem umfasst Tests und Überprüfungen vor der Durchführung von Änderungen, wie z. B. Verfahren zur Behandlung dringender Änderungen, Rollback-Verfahren zur Wiederherstellung nach fehlgeschlagenen Änderungen, Protokolle, aus denen hervorgeht, was, wann und von wem geändert wurde.
Das Unternehmen implementiert einen Malware-Schutz, um sicherzustellen, dass jede Software, die für die Erbringung der Dienstleistungen des Unternehmens an den Kunden verwendet wird, vor Malware geschützt ist.
Das Unternehmen erstellt Sicherungskopien kritischer Informationen und testet die Sicherungskopien, um sicherzustellen, dass die Informationen wie mit dem Kunden vereinbart wiederhergestellt werden können.
Das Unternehmen protokolliert und überwacht Aktivitäten wie das Erstellen, Lesen, Kopieren, Ändern und Löschen von verarbeiteten Daten sowie Ausnahmen, Störungen und Informationssicherheitsereignisse und überprüft diese regelmäßig. Darüber hinaus schützt und speichert das Unternehmen die Protokolldaten (für mindestens 6 Monate bzw. den/die vom Datenschutzgesetz festgelegten Zeitraum/e) und stellt dem Kunden auf Anfrage die Überwachungsdaten zur Verfügung. Anomalien/Vorfälle/Anzeichen für eine Kompromittierung sind gemäß den Anforderungen für das Management von Datenschutzverletzungen (siehe Abschnitt 9) zu melden.
Das Unternehmen muss Schwachstellen aller relevanten Technologien wie Betriebssysteme, Datenbanken und Anwendungen proaktiv und zeitnah behandeln.
Das Unternehmen erstellt Sicherheitsgrundlagen (Härtung) für alle relevanten Technologien wie Betriebssysteme, Datenbanken und Anwendungen.
Das Unternehmen stellt sicher, dass die Entwicklung von der Test- und Produktionsumgebung getrennt ist.
7. Sicherheit der Kommunikation
Das Unternehmen implementiert Netzwerksicherheitskontrollen wie Service Level, Firewalling und Segregation, um Informationssysteme zu schützen.
8. Beziehung des Unternehmens zu Unterlieferanten
Das Unternehmen berücksichtigt den Inhalt dieses Anhangs in seinen Vereinbarungen mit Unterauftragsverarbeitern, die im Rahmen der DSGVO zugewiesene Aufgaben ausführen.
Das Unternehmen überwacht, überprüft und kontrolliert regelmäßig die Einhaltung dieses Anhangs durch die Unterauftragsverarbeiter.
Auf Verlangen des Kunden legt das Unternehmen dem Kunden Nachweise über die Einhaltung dieses Anhangs durch den Unterauftragsverarbeiter vor.
9. Management von Datenverletzungen
Das Unternehmen hat Verfahren für den Umgang mit Datenverletzungen festgelegt.
Das Unternehmen informiert den Kunden über jede Datenschutzverletzung (einschließlich, aber nicht beschränkt auf Vorfälle im Zusammenhang mit der Verarbeitung personenbezogener Daten) so schnell wie möglich, spätestens jedoch innerhalb von 36 Stunden, nachdem die Datenschutzverletzung festgestellt worden ist.
Alle Meldungen über sicherheitsrelevante Vorfälle sind als vertrauliche Informationen zu behandeln und unter Verwendung branchenüblicher Verschlüsselungsmethoden zu verschlüsseln.
Der Bericht über die Datenschutzverletzung muss mindestens die folgenden Informationen enthalten:
(a) (b) (c) (d) (e) (f) (g)
Die Art der Datenschutzverletzung,
Die Art der betroffenen personenbezogenen Daten,
die Kategorien und die Anzahl der betroffenen Personen,
die Anzahl der betroffenen personenbezogenen Datensätze,
Maßnahmen, die zur Behebung der Datenschutzverletzung ergriffen werden,
die möglichen Folgen und nachteiligen Auswirkungen der Datenschutzverletzung und
Alle anderen Informationen, die der Kunde der zuständigen Aufsichtsbehörde oder den betroffenen Personen mitteilen muss.
Zum
die nicht auf Versäumnisse seitens des Unternehmens zurückzuführen sind.
Soweit rechtlich möglich, kann das Unternehmen eine Entschädigung für Supportleistungen gemäß dieser Klausel 9 verlangen.
10. Management der Geschäftskontinuität
Das Unternehmen ermittelt die Risiken der Geschäftskontinuität und ergreift die erforderlichen Maßnahmen zur Kontrolle und Minderung dieser Risiken.
Das Unternehmen verfügt über dokumentierte Prozesse und Routinen für den Umgang mit der Betriebskontinuität.
Das Unternehmen stellt sicher, dass die Informationssicherheit in die Business-Continuity-Pläne einbezogen wird.
Das Unternehmen bewertet in regelmäßigen Abständen die Effizienz seines Business-Continuity-Managements und die Einhaltung der Verfügbarkeitsanforderungen (falls vorhanden).
Für weitere Informationen wenden Sie sich bitte an [email protected].
