Zusatzvereinbarung zur Datenverarbeitung

Zusatzvereinbarung zur Datenverarbeitung

Dieser Nachtrag zur Datenverarbeitung („DPA“) bezieht sich auf den zugrunde liegenden Cloud-Hosting-Vertrag („Vertrag“), in dessen Rahmen ISVHost („Dienstleister“) Cloud-Hosting-Dienstleistungen für den Kunden („Unternehmen“) erbringt, und ist Bestandteil des Vertrags.  

IN ANBETRACHT DESSEN, dass der Dienstleister im Rahmen des Vertrags bestimmte Dienstleistungen für das Unternehmen erbringt („Dienstleistungen“);  

IN ANBETRACHT DESSEN, dass der Dienstleister im Rahmen der Dienstleistungen, die er gemäß dem Vertrag für das Unternehmen erbringt, personenbezogene Daten erhält oder Zugriff darauf hat, wobei dieser Begriff im Sinne der Datenschutzgesetze (wie nachstehend definiert) verwendet und verstanden wird;

IN ANBETRACHT DESSEN, dass die Parteien eine DPA umsetzen wollen, die den Anforderungen der Datenschutzgesetze entspricht.  

Daher wird Folgendes vereinbart:  

  1. Begriffsbestimmungen
  1. „Kontextübergreifende verhaltensbasierte Werbung“ bezeichnet die Ausrichtung von Werbung auf einen Verbraucher auf der Grundlage seiner personenbezogenen Daten, die aus seinen Aktivitäten bei verschiedenen Unternehmen, Websites mit eigenem Markenzeichen, Anwendungen oder Diensten gewonnen wurden, mit Ausnahme des Unternehmens, der Website mit eigenem Markenzeichen, der Anwendung oder des Dienstes, mit dem der Verbraucher bewusst interagiert.  
  1. „Verbraucher“ bezeichnet eine natürliche Person, die ihren Wohnsitz in einem Rechtsgebiet mit geltenden Datenschutzgesetzen hat, einschließlich, aber nicht beschränkt auf einen „Verbraucher“ im Sinne des California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung, des Virginia Consumer Data Protection Act, des Colorado Privacy Act, des Connecticut Data Privacy Act, des Utah Consumer Privacy Act, des Texas Data Privacy and Security Act, des Oregon Consumer Privacy Act sowie anderer geltender Datenschutzgesetze der Bundesstaaten.
  1. „Datenschutzgesetze“ bezeichnet alle geltenden Gesetze, Vorschriften, Regelungen und sonstigen gesetzlichen oder selbstregulatorischen Anforderungen in jeder Rechtsordnung, die sich auf den Datenschutz, die Datensicherheit, die Meldung von Datenschutzverletzungen oder die Verarbeitung (wie nachstehend definiert) personenbezogener Daten beziehen.
  1. „Personenbezogene Daten“ umfassen alle Informationen, die eine Person im Sinne der geltenden Datenschutzgesetze identifizieren.
  1. „Verarbeitung“ und „verarbeiten“ bezeichnen jeden Vorgang oder jede Reihe von Vorgängen, die in Bezug auf personenbezogene Daten durchgeführt werden, einschließlich, aber nicht beschränkt auf die Erhebung, Speicherung und Nutzung personenbezogener Daten.  
  1. „Profiling“ bezeichnet jede Form der automatisierten Verarbeitung personenbezogener Daten zur Bewertung, Analyse oder Vorhersage der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, des Aufenthaltsorts oder der Bewegungen einer Person.
  1. „Sicherheitsverletzung“ bezeichnet die unbefugte oder rechtswidrige Vernichtung, den Verlust, die Veränderung, die Offenlegung oder die Verarbeitung personenbezogener Daten.  
  1. Die Begriffe „Verkauf“, „Veräußerung“ oder „Dritter“ haben die Bedeutung, die in § 1798.140 des kalifornischen Zivilgesetzbuchs in seiner jeweils gültigen Fassung sowie in entsprechenden Definitionen anderer anwendbarer Datenschutzgesetze festgelegt ist.
  1. „Sensible Daten“ oder „sensible personenbezogene Daten“ bezeichnet personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, Diagnosen zur psychischen oder physischen Gesundheit, die sexuelle Orientierung, die Staatsangehörigkeit oder der Einwanderungsstatus hervorgehen; genetische oder biometrische Daten, die zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden; personenbezogene Daten, die von einem bekannten Kind erhoben wurden; oder genaue Standortdaten, wie sie in den geltenden Datenschutzgesetzen näher definiert sind.
  1. Der Begriff „Dienstleister“ umfasst den Begriff „Auftragsverarbeiter“ und ähnliche Begriffe; diese Begriffe haben dieselbe Bedeutung, wie sie in den geltenden Datenschutzgesetzen definiert ist.
  1. Die Begriffe „Weitergabe“, „weitergegeben“ oder „Weitergabe“ haben die Bedeutung, die in § 1798.140 des kalifornischen Zivilgesetzbuchs in seiner jeweils gültigen Fassung sowie in entsprechenden Definitionen anderer anwendbarer Datenschutzgesetze festgelegt ist.
  1. „Unterauftragsverarbeiter“ bezeichnet jeden Unterauftragnehmer, der personenbezogene Daten im Auftrag des Dienstleisters verarbeitet.
  1. Pflichten des Dienstleisters
  1. Der Dienstleister verarbeitet personenbezogene Daten ausschließlich zu dem Zweck, die in der Vereinbarung aufgeführten Dienstleistungen für das Unternehmen zu erbringen oder gemäß den sonstigen schriftlichen Anweisungen des Unternehmens. Die gesamte Verarbeitung personenbezogener Daten durch den Dienstleister erfolgt in Übereinstimmung mit den Datenschutzgesetzen.  
  1. Unbeschadet des Vorstehenden ist es dem Dienstleister untersagt: (i) personenbezogene Daten zu verkaufen; (ii) personenbezogene Daten für kontextübergreifende verhaltensbasierte Werbung weiterzugeben; (iii) personenbezogene Daten für andere Zwecke, einschließlich kommerzieller Zwecke, als die in der Vereinbarung festgelegten geschäftlichen Zwecke oder solche, die anderweitig schriftlich vom Unternehmen genehmigt wurden, zu speichern, zu verwenden oder offenzulegen; (iv) personenbezogene Daten an Dritte außerhalb der direkten Geschäftsbeziehung zwischen dem Unternehmen und dem Dienstleister speichern, verwenden oder weitergeben; (v) gegen geltende Beschränkungen verstoßen, die in den Datenschutzgesetzen aufgeführt sind, einschließlich solcher, die die Zusammenführung von personenbezogenen Daten betreffen, die der Dienstleister vom oder im Namen des Unternehmens erhält, mit personenbezogenen Daten, die der Dienstleister von oder im Namen einer anderen Person oder anderer Personen erhält, oder die der Dienstleister aus Interaktionen zwischen sich und einer Person sammelt; vorausgesetzt jedoch, dass das Vorstehende den Dienstleister nicht daran hindert, anonymisierte Daten (wie nachstehend definiert) mit anderen anonymisierten oder pseudonymisierten Daten für interne Analyse-, Forschungs- oder Produktverbesserungszwecke des Dienstleisters zu kombinieren; oder (vi) eine Verarbeitung personenbezogener Daten vorzunehmen, die gemäß den Datenschutzgesetzen für „Auftragsverarbeiter“ oder „Dienstleister“ verboten oder nicht zulässig ist.
  1. Ungeachtet des Vorstehenden ist der Dienstleister berechtigt, vom Unternehmen erhaltene personenbezogene Daten zu deidentifizieren, zu anonymisieren oder zu aggregieren, sofern: (i) eine solche Deidentifizierung, Anonymisierung oder Aggregation im Einklang mit den geltenden Datenschutzgesetzen erfolgt; (ii) die daraus resultierenden Daten („deidentifizierte Daten“) vernünftigerweise nicht dazu verwendet werden können, eine Person zu identifizieren oder mit einer Person in Verbindung zu bringen; (iii) der Dienstleister technische Sicherheitsvorkehrungen und Geschäftsprozesse implementiert, um eine Re-Identifizierung zu verhindern; und (iv) der Dienstleister nachteiligen Empfängern vertraglich untersagt, zu versuchen, die Daten erneut zu identifizieren. Der Dienstleister darf anonymisierte Daten für eigene interne Analyse-, Forschungs-, Benchmarking- sowie Produkt- oder Dienstleistungsverbesserungszwecke verwenden, speichern und kombinieren. Der Dienstleister darf nicht versuchen, anonymisierte Daten oder sonstige pseudonymisierte, anonymisierte, aggregierte oder anonymisierte Informationen wieder zu identifizieren.
  1. Für den Fall, dass der Dienstleister gesetzlich verpflichtet ist, personenbezogene Daten an Dritte weiterzugeben: (i) wird der Dienstleister dem Unternehmen unverzüglich eine angemessene Gelegenheit einräumen, die gesetzliche Verpflichtung anzufechten oder Rechtsbehelf gegen die Offenlegung einzulegen; und (ii) wird der Dienstleister nach Rücksprache mit dem Unternehmen und dessen Rechtsbeistand nur die Mindestmenge an personenbezogenen Daten offenlegen, die zur Erfüllung der gesetzlichen Verpflichtung erforderlich ist.
  1. Der Dienstleister hat das Unternehmen innerhalb von fünf (5) Werktagen zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen aus dieser DPA oder den Datenschutzgesetzen nicht mehr nachkommen kann oder dass er gegen eine seiner Verpflichtungen aus dieser DPA oder gegen Datenschutzgesetze verstoßen hat.  
  1. Sofern dies nicht zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist, löscht der Dienstleister alle personenbezogenen Daten aus seinen Systemen nach Beendigung der mit der Verarbeitung verbundenen Dienstleistungen. Falls der Dienstleister gesetzlich verpflichtet ist, diese personenbezogenen Daten aufzubewahren, hat er das Unternehmen darüber in Kenntnis zu setzen. Danach dürfen diese personenbezogenen Daten zwar weiterhin im System des Dienstleisters gespeichert bleiben, dürfen jedoch in keiner anderen Weise verarbeitet werden und müssen allen geltenden Datenschutzgesetzen entsprechen.  
  1. Der Dienstleister räumt dem Unternehmen das Recht ein, nach angemessener Vorankündigung angemessene und geeignete Maßnahmen zu ergreifen, um jede unbefugte Nutzung personenbezogener Daten zu unterbinden und Abhilfe zu schaffen.  
  1. Die Parteien verpflichten sich, einander in angemessener Weise zu unterstützen, um diese Datenschutzvereinbarung anzupassen oder zu ergänzen, falls neue oder geänderte Datenschutzgesetze eine solche Anpassung oder Ergänzung erfordern.  
  1. Beschränkungen hinsichtlich sensibler Daten und Profiling. Für die Verarbeitung sensibler Daten durch den Dienstleister sowie für jegliche Profiling-Aktivitäten gelten die folgenden zusätzlichen Anforderungen:
  1. Der Dienstleister darf sensible Daten nur in dem Umfang verarbeiten, der für die Erbringung der Dienstleistungen unbedingt erforderlich ist, und nur mit vorheriger schriftlicher Zustimmung des Unternehmens, in der die Kategorien der zu verarbeitenden sensiblen Daten sowie die Zwecke dieser Verarbeitung genau angegeben sind.
  1. Der Dienstleister hat für sensible Daten erweiterte technische und organisatorische Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, die dem mit diesen Daten verbundenen erhöhten Risiko angemessen sind, einschließlich Verschlüsselung im Ruhezustand und während der Übertragung, Zugriffskontrollen, die den Zugriff auf autorisiertes Personal beschränken, sowie der Protokollierung aller Zugriffe auf sensible Daten.
  1. Der Dienstleister erkennt an, dass Verbraucher gemäß den geltenden Datenschutzgesetzen das Recht haben, die Nutzung und Weitergabe ihrer sensiblen Daten einzuschränken, und verpflichtet sich, alle vom Unternehmen übermittelten Anträge auf solche Einschränkungen zu beachten.
  1. Der Dienstleister darf keine Profilerstellung für Verbraucher unter Verwendung der vom Unternehmen erhaltenen personenbezogenen Daten vornehmen, es sei denn: (i) eine solche Profilerstellung ist für die Erbringung der Dienstleistungen unbedingt erforderlich; (ii) das Unternehmen hat zuvor eine schriftliche Genehmigung für eine solche Profilerstellung erteilt; und (iii) die Profilerstellung hat ohne angemessene Schutzmaßnahmen keine rechtlichen oder ähnlich schwerwiegenden Auswirkungen auf die Verbraucher.
  1. Der Dienstleister hat dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen alle erforderlichen Datenschutz-Folgenabschätzungen oder ähnliche Bewertungen im Zusammenhang mit Profiling-Aktivitäten gemäß den geltenden Datenschutzgesetzen durchführen kann.
  1. Erhält der Dienstleister von einem Verbraucher – entweder direkt oder über das Unternehmen – die Aufforderung, der Profilerstellung zu widersprechen, so hat der Dienstleister unverzüglich alle Profilerstellungsaktivitäten in Bezug auf die personenbezogenen Daten dieses Verbrauchers einzustellen und dies dem Unternehmen schriftlich zu bestätigen.
  1. Unterstützung bei der Verarbeitung. Beauftragt der Dienstleister einen Unterauftragsverarbeiter oder eine andere Person mit der Unterstützung bei der Verarbeitung personenbezogener Daten, so hat er das Unternehmen darüber zu unterrichten, und diese Unterauftragsverarbeiter oder beauftragten Personen haben:  
  1. wurden im Rahmen von Maßnahmen ausgewählt, die angemessen darauf ausgelegt sind, die Zuverlässigkeit, Kompetenz und Vertrauenswürdigkeit dieses Unterauftragsverarbeiters oder dieser Person sicherzustellen, einschließlich der Durchführung geeigneter Hintergrundüberprüfungen, soweit dies rechtlich zulässig ist;
  1. die erforderliche Schulung erhalten haben, um die Einhaltung dieser DPA durch den Dienstleister zu gewährleisten;
  1. eine entsprechende schriftliche Vereinbarung geschlossen haben, die diesen Unterauftragsverarbeiter oder diese Person verpflichtet, die Datenschutzgesetze einzuhalten und personenbezogene Daten nur in dem Umfang zu verarbeiten, wie es diese DPA zulässt; und
  1. vom Dienstleister Zugang zu personenbezogenen Daten nur in dem Umfang erhalten, in dem dieser Zugang erforderlich ist, damit der Unterauftragnehmer oder die betreffende Person die Verpflichtungen erfüllen kann, für die er bzw. sie beauftragt wurde.
  1. Unterstützung bei der Einhaltung der Datenschutzgesetze. Die Parteien werden in angemessener Weise zusammenarbeiten und sich gegenseitig unterstützen, um die Erfüllung ihrer jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen sicherzustellen, wobei sie die Art der Datenverarbeitung durch den Dienstleister sowie die dem Dienstleister zur Verfügung stehenden Informationen berücksichtigen. Ohne Einschränkung des Vorstehenden:
  1. Der Dienstleister hat das Unternehmen so schnell wie möglich, spätestens jedoch innerhalb von drei (3) Werktagen nach Erhalt einer Anfrage oder Beschwerde im Zusammenhang mit personenbezogenen Daten, zu benachrichtigen.  
  1. Der Dienstleister darf auf solche Anfragen nicht reagieren, es sei denn, das Unternehmen hat ihn dazu schriftlich ermächtigt; dies gilt nicht, soweit der Dienstleister nach geltendem Recht verpflichtet ist, direkt zu antworten.  
  1. Ist der Dienstleister nach geltendem Recht verpflichtet, direkt zu reagieren, so hat er – sofern dies nicht gesetzlich untersagt ist – das Unternehmen vor der ersten Benachrichtigung über diese Verpflichtung in Kenntnis zu setzen und bei der Beantwortung einer solchen Anfrage den angemessenen Anweisungen des Unternehmens Folge zu leisten.
  1. Falls das Unternehmen den Dienstleister auffordert, personenbezogene Daten zu löschen oder zu ändern, hat der Dienstleister dies unverzüglich zu tun und diese Lösch- oder Änderungsanträge gemäß den Datenschutzgesetzen an nachgelagerte Parteien weiterzuleiten.
  1. Sicherheit. Der Dienstleister hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau für die personenbezogenen Daten zu gewährleisten; diese Maßnahmen müssen in jedem Fall den geltenden Datenschutzgesetzen entsprechen.
  1. Sicherheitsverletzung. Der Dienstleister wird alle ihm gemäß den Datenschutzgesetzen obliegenden Verpflichtungen im Zusammenhang mit Sicherheitsverletzungen erfüllen. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen wird der Dienstleister das Unternehmen bei der Erfüllung seiner Verpflichtungen im Zusammenhang mit Sicherheitsverletzungen in angemessener Weise unterstützen.

Die Vertragsparteien versichern und gewährleisten hiermit, dass sie ordnungsgemäß befugt sind, die jeweilige Partei rechtlich an die Bestimmungen dieser DPA zu binden.

Reduzieren Sie die Kosten und die Komplexität der Bereitstellung Ihrer Windows-Anwendung

Abonnieren Sie unseren Newsletter
Vielen Dank, dass Sie sich für unseren Newsletter angemeldet haben.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.