Dieser Zusatz zur Datenverarbeitung, einschließlich der Anlagen 1 und 2 („DPA“), enthält die wesentlichen Bedingungen, die von Sojern, Inc., einem Unternehmen aus Delaware mit Hauptsitz in 575 Market Street, 4th Floor, San Francisco, CA 94105 USA („Sojern“), verlangt werden. Für die Zwecke dieser DPA wird das Unternehmen, das Partei der Vereinbarung (wie unten definiert) ist, in die diese DPA eingetragen ist, als „Unternehmen“ bezeichnet.
“Vereinbarung“ bezeichnet alle Vereinbarungen zwischen den Parteien, im Rahmen derer Sojern personenbezogene Daten für die Zwecke gemäß dem jeweiligen Datenanbieter oder der jeweiligen Dienstleistungsvereinbarung erhält, erhebt, darauf zugreift oder diese anderweitig verarbeitet. Dieses DPA beinhaltet die Bedingungen der Vereinbarung und wie unten dargelegt. Im Falle eines Konflikts zwischen der DPA und der Vereinbarung sind die Bedingungen dieser DPA maßgebend und haben Vorrang. Alle in Großbuchstaben geschriebenen Begriffe, die hier verwendet, aber nicht definiert werden, haben ihre jeweiligen Bedeutungen, wie sie in der Vereinbarung festgelegt sind.
“Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt identifiziert werden kann.
“Bedienung“ bezeichnet die von Sojern oder dem Unternehmen, soweit zutreffend, im Rahmen der Vereinbarung erbrachten Dienstleistungen.
Für die Zwecke der von Sojern gemäß der Vereinbarung durchgeführten Verarbeitung ist die Rolle von Sojern als Datenverarbeiter oder Datenverantwortlicher in Bezug auf die von Sojern verarbeiteten personenbezogenen Daten in der geltenden Vereinbarung festgelegt.
Sofern nicht ausdrücklich hierin oder schriftlich vom Unternehmen gestattet, wird Sojern weder direkt noch indirekt (a) personenbezogene Daten an Dritte weitergeben, verkaufen, verteilen oder übertragen oder (b) personenbezogene Daten für andere Zwecke verwenden, als um dem Unternehmen den Dienst im Rahmen der Vereinbarung und in Übereinstimmung mit allen geltenden Datenschutz- und Datenschutzgesetzen bereitzustellen. Sojern stellt sicher, dass jede Person, die zur Verarbeitung personenbezogener Daten befugt ist, in Bezug auf diese personenbezogenen Daten einer Vertraulichkeitspflicht unterliegt.
Jede Partei bestätigt, dass sie ihre Verpflichtungen aus den geltenden Datenschutz- und Datenschutzgesetzen versteht und personenbezogene Daten gemäß allen geltenden Datenschutz- und Datenschutzgesetzen verarbeitet. Wenn Sojern als Datenverarbeiter fungiert, führt Sojern die Verarbeitung gemäß den vom Unternehmen in der Vereinbarung dokumentierten und angewiesenen Anweisungen durch, sofern eine Aufsichtsbehörde nichts anderes mitteilt, dass eine solche Verarbeitung nicht den geltenden Datenschutz- und Datenschutzgesetzen entspricht. In diesem Fall wird Sojern das Unternehmen umgehend schriftlich über diesen behördlichen Hinweis informieren und kann die Verarbeitung personenbezogener Daten einstellen, bis das regulatorische Problem gelöst ist.
Soweit dies nach geltendem Datenschutzrecht erforderlich ist, weist das Unternehmen Sojern nur an, personenbezogene Daten für die nach den geltenden Datenschutz- und Datenschutzgesetzen zulässigen Zwecke zu verarbeiten, und gibt personenbezogene Daten nur für die in der Vereinbarung angegebenen begrenzten und spezifizierten Zwecke an Sojern weiter. Das Unternehmen behält sich das Recht vor, nach angemessener Ankündigung angemessene und angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass Sojern die übermittelten personenbezogenen Daten in einer Weise verwendet, die den Verpflichtungen von Sojern gemäß den geltenden Datenschutz- und Datenschutzgesetzen entspricht, einschließlich angemessener und geeigneter Maßnahmen zur Beendigung und Behebung der unbefugten Nutzung personenbezogener Daten. Sojern benachrichtigt das Unternehmen, wenn es zu dem Schluss kommt, dass es seinen Verpflichtungen aus den geltenden Datenschutz- und Datenschutzgesetzen nicht mehr nachkommen kann.
Jede Partei führt ein schriftliches oder elektronisches Protokoll über die Verarbeitung personenbezogener Daten. Jede Partei wird mit der anderen Partei bei der Einhaltung der geltenden Datenschutz- und Datenschutzgesetze in Bezug auf Datenauswirkungsanalysen, Aufzeichnungen über die Verarbeitung, diesbezügliche Anfragen oder Konsultationen mit Datenschutzbehörden und Audits gemäß der geltenden Vereinbarung angemessen zusammenarbeiten, damit das Unternehmen bestätigen kann, dass Sojern seinen Verpflichtungen aus den geltenden Datenschutz- und Datenschutzgesetzen und der Vereinbarung nachgekommen ist.
Wenn in der Vereinbarung festgelegt ist, dass Sojern gemäß dem California Consumer Protection Act (CCPA) als „Dritter“ handelt:
Sojern verarbeitet personenbezogene Daten nur während der Laufzeit der Vereinbarung, um den Dienst bereitzustellen oder auszuführen, insbesondere für den begrenzten und spezifischen Zweck der Erbringung des Dienstes oder wie vom Unternehmen anderweitig angewiesen oder schriftlich genehmigt. Der Übersichtlichkeit halber sind die von Sojern erbrachten Dienstleistungen auf dem Bestellformular des Unternehmens aufgeführt.
Sojern erfüllt alle geltenden Verpflichtungen aus dem CCPA und gewährleistet das gleiche Datenschutzniveau, das vom CCPA gefordert wird, und benachrichtigt, wenn es seinen Verpflichtungen aus dem CCPA nicht mehr nachkommen kann.
Sojern gewährt dem Unternehmen das Recht, (a) angemessene und angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass der Lieferant personenbezogene Daten in einer Weise verwendet, die seinen Verpflichtungen gemäß dem CCPA entspricht, und (b) nach vorheriger Ankündigung angemessene und angemessene Maßnahmen zu ergreifen, um die unbefugte Verwendung personenbezogener Daten zu beenden und zu beheben.
Die Parteien erkennen an, dass Sojern keine direkte Beziehung zu Personen unterhält, deren personenbezogene Daten Sojern zur Verfügung gestellt werden. Daher stellt das Unternehmen die Datenschutzrichtlinie von Sojern zur Verfügung, sofern dies nach den geltenden Datenschutz- und Datenschutzgesetzen erforderlich ist, unter https://www.sojern.com/privacy/privacy-policy/ an Personen, deren personenbezogene Daten von Sojern verarbeitet werden.
Das Unternehmen informiert Einzelpersonen gemäß den geltenden Datenschutz- und Datenschutzgesetzen über die Erhebung, Verwendung und Offenlegung personenbezogener Daten durch das Unternehmen und holt deren Zustimmung ein. Wenn die geltenden Datenschutz- und Datenschutzgesetze Mechanismen vorschreiben, mit denen Einzelpersonen Rechte ausüben können, einschließlich, aber nicht beschränkt auf Opt-Out-Rechte, stellt das Unternehmen (oder eine andere Partei, die für die Erfassung personenbezogener Daten im Namen des Unternehmens verantwortlich ist) diesen Mechanismus den Einzelpersonen zur Verfügung. Es wird davon ausgegangen, dass das Unternehmen entsprechende Hinweise gegeben und, falls erforderlich, die entsprechenden Einwilligungen von allen Personen eingeholt hat, deren personenbezogene Daten Sojern zur Verfügung gestellt werden. Das Unternehmen muss auf Anfrage und jederzeit von Sojern unverzüglich den Nachweis erbringen, dass das Unternehmen die entsprechenden Einwilligungen der betroffenen Personen eingeholt hat.
Jede Partei wird in angemessener Weise mit der anderen Partei zusammenarbeiten, um Anfragen oder Beschwerden von Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung und in Bezug auf die Datenschutzrechte gemäß den geltenden Datenschutz- und Datenschutzgesetzen zu beantworten. Wenn Sojern eine Anfrage von einer Einzelperson erhält, wird Sojern umgehend: (a) die Anfrage an das Unternehmen weiterleiten, um die Anfrage zu bearbeiten; und (b) wenn Sojern ein Datenverarbeiter ist, die Entscheidung des Unternehmens in Bezug auf die Bearbeitung der Anfrage umsetzen.
Die Parteien erkennen an, dass personenbezogene Daten, die außerhalb der USA (einschließlich des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder der Schweiz) stammen, an Sojern in ein Land oder Gebiet übertragen oder von Sojern in einem Land oder Gebiet verarbeitet werden können, das nach den geltenden Datenschutz- und Datenschutzgesetzen als angemessen anerkannt ist. Die Parteien vereinbaren auch, dass die Übermittlung dieser personenbezogenen Daten an Sojern gemäß einer anderen Lösung als den Standardvertragsklauseln erfolgen kann, die die rechtmäßige Übertragung personenbezogener Daten in ein Drittland gemäß den geltenden Datenschutz- und Datenschutzgesetzen ermöglicht (eine „Übertragungslösung“). Dazu gehört unter anderem ein anerkannter Datenschutzrahmen, der dafür sorgt, dass die teilnehmenden Unternehmen einen angemessenen Schutz personenbezogener Daten gewährleisten.
Soweit personenbezogene Daten, die ihren Ursprung außerhalb der USA (einschließlich des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder der Schweiz) haben, an Sojern übertragen werden, die Datenverarbeitung nach den Gesetzen des Landes des Unternehmens angemessen ist, keine Angemessenheitsentscheidung oder Übertragungslösung gilt und die erforderliche Angemessenheit durch die Bedingungen dieser Datenschutzvereinbarung erfüllt werden kann, vereinbaren die Parteien, dass diese DPA durch Verweis, soweit zutreffend, die (EU) 2021/914 beinhaltet Standardvertragsklauseln der Europäischen Kommission für die Übertragung personenbezogener Daten in Drittländer gemäß zur Verordnung (EU) 2016-679 von für die Verarbeitung Verantwortlichen aus der EU/dem EWR an Auftragsverarbeiter mit Sitz außerhalb der EU/des EWR („Modul 2“) und/oder von für die Verarbeitung Verantwortlichen zwischen der EU und dem EWR an Verantwortliche, die außerhalb der EU/des EWR ansässig sind („Modul 1“), und so, wie sie von Zeit zu Zeit von der Europäischen Kommission geändert oder ersetzt werden (zusammen die „Klauseln“). Der Einfachheit halber werden die oben verlinkten Klauseln auf der Grundlage der Text von der Europäischen Kommission ausschließlich zu dem Zweck zur Verfügung gestellt, die Klauseln in die Vereinbarung aufzunehmen, das/die entsprechende (n) Modul (e) auszuwählen und dem Anhang Informationen hinzuzufügen, soweit die Klauseln dies zulassen. Für die Zwecke der Übertragung personenbezogener Daten ist das Unternehmen der „Datenexporteur“ und Sojern der „Datenimporteur“ (auch wenn das Unternehmen ein Unternehmen mit Sitz außerhalb der EU/des EWR ist, sofern das Unternehmen ansonsten der Verordnung (EU) 2016-679 unterliegt). Wenn die Klauseln gelten, wird davon ausgegangen, dass das Unternehmen und Sojern die Klauseln in ihrem jeweiligen Namen und in ihrem eigenen Namen abgeschlossen haben, und die Namen, Adressen, Kontaktdaten, Rollen und Aktivitäten der Parteien im Zusammenhang mit den im Rahmen dieser Klauseln übertragenen personenbezogenen Daten werden in der Vereinbarung angegeben. Die Ausführung der Vereinbarung gilt als Erfüllung der Klauseln, insbesondere als Ausführung von Anhang I.A der Klauseln. Soweit ein Konflikt zwischen den Bedingungen dieses DPA und den Klauseln besteht, haben die geltenden Klauseln Vorrang und haben Vorrang.
Jede Partei muss angemessene technische, physische und organisatorische Maßnahmen ergreifen und aufrechterhalten, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen.
Das Unternehmen erteilt Sojern eine allgemeine Genehmigung, andere Datenverarbeiter für die Verarbeitung personenbezogener Daten („Unterauftragsverarbeiter“) zu verwenden, die an Vertraulichkeits- und Datenschutzverpflichtungen gemäß dieser DPA und den geltenden Datenschutz- und Datenschutzgesetzen gebunden sind, aufgeführt unter www.sojern.com/legal/partner-list/. Soweit in der Vereinbarung vorgeschrieben oder wenn Sojern als Datenverarbeiter tätig ist, wird Sojern das Unternehmen über alle Änderungen in Bezug auf die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren, indem es die oben genannte Liste aktualisiert, sodass das Unternehmen die Möglichkeit hat, solchen Änderungen zu widersprechen. Anweisungen für Einwände finden Sie unter derselben URL. Wenn das Unternehmen vernünftigerweise Einwände gegen eine Änderung erhebt und Sojern nicht in der Lage ist, diesen Einwand auszuräumen, kann das Unternehmen den Vertrag und die DPA kündigen.
Diese Datenschutzvereinbarung bleibt in vollem Umfang in Kraft und wirksam, bis (a) die Vereinbarung (en) in Kraft bleibt und (b) Sojern Kopien der personenbezogenen Daten aufbewahrt. Jede Partei kann dieses DPA sofort kündigen, wenn ein wesentlicher Verstoß gegen dieses DPA vorliegt oder eine Aufsichtsbehörde und/oder ein zuständiges Gericht oder ein zuständiges Gericht feststellt, dass die Verarbeitung personenbezogener Daten durch die Parteien erheblich gegen geltende Datenschutz- und Datenschutzgesetze verstößt, vorausgesetzt, dass die nicht verstoßende Partei den mutmaßlichen Verstoß melden muss und dieser Verstoß für einen Zeitraum von fünfzehn (15) Tagen nach dieser Mitteilung nicht behoben wurde.
Diese Datenschutzvereinbarung gilt als in den Gesetzen des Bundesstaates Kalifornien, USA, verfasst und ist gemäß diesen auszulegen, ohne Rücksicht auf diesbezügliche kollisionsrechtliche Bestimmungen.
Reisende und andere Kunden des Unternehmens.
Die vom Unternehmen übermittelten personenbezogenen Daten werden gemäß der Vereinbarung bereitgestellt und können Folgendes beinhalten, sind aber nicht beschränkt auf:
Keine
Kontinuierliche Grundlage für die Dauer der geltenden Vereinbarung.
Erfassung von Online-Browsing-Informationen durch den Einsatz von Cookies und anderen Tracking-Technologien.
Für jeden rechtmäßigen Zweck im Zusammenhang mit den Diensten, die im Rahmen der Vereinbarung zwischen Datenexporteur und Datenimporteur erbracht werden, insbesondere gezielte Werbung auf der Grundlage von Online-Browsing-Informationen. Eine weitere Verarbeitung ist nicht zulässig.
Für die Dauer der geltenden Vereinbarung, sofern nicht nach Wahl des Datenexporteurs personenbezogene Daten gelöscht oder zurückgegeben werden.
Unterauftragsverarbeiter sind aufgeführt unter www.sojern.com/legal/partner-list/ wie nach Modell 1 Klausel 9 (a) zulässig.
Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
1. Allgemeines. Sojern wird angemessene administrative, technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung personenbezogener Daten und vor versehentlichem Verlust, Zerstörung oder Beschädigung personenbezogener Daten festlegen, umsetzen und aufrechterhalten. Diese Maßnahmen werden ausreichen, um die geltenden Datenschutzgesetze einzuhalten, und Sojern wird seine Informationssicherheitsrichtlinien und sein Informationssicherheitsprogramm jederzeit einhalten.
2. Richtlinien und Standards zur Informationssicherheit. Sojern wird die Richtlinien, Standards und Verfahren zur Informationssicherheit einhalten. Diese Richtlinien, Standards und Verfahren müssen auf dem neuesten Stand gehalten und überarbeitet werden, wenn relevante Änderungen an den Informationssystemen vorgenommen werden, die personenbezogene Daten verwenden oder speichern.
3. Schwachstellenmanagement. Sojern unterhält ein Schwachstellen-Management-Programm für alle Systeme, die personenbezogene Daten verarbeiten. Dazu gehören unter anderem interne und externe Schwachstellenscans mit Ergebnissen zur Risikobewertung und formelle Pläne zur Behebung identifizierter Sicherheitslücken.
4. Risikobeurteilung. Sojern führt regelmäßige Risikobewertungen durch, um vernünftigerweise vorhersehbare Risiken für die Sicherheit, Vertraulichkeit und Integrität von Aufzeichnungen, die personenbezogene Daten enthalten, zu identifizieren und zu bewerten und gegebenenfalls die Wirksamkeit seiner Schutzmaßnahmen zur Begrenzung dieser Risiken zu bewerten und zu verbessern.
5. Klassifizierung der Daten. Sojern wird Richtlinien und Verfahren zur Klassifizierung vertraulicher Informationsbestände, zur Klärung der Sicherheitsverantwortlichkeiten und zur Sensibilisierung aller Mitarbeiter einhalten.
6. Verschlüsselung. Sojern wird branchenübliche Verschlüsselungsmechanismen und starke Verschlüsselungssammlungen (AES 256-Bit wird empfohlen) für Speicherung und Übertragung implementieren. Sojern akzeptiert Verbindungen über verschlüsselte Kanäle (TLS wird empfohlen).
7. Netzwerk-Sicherheit. Sojern wird sein Netzwerk mithilfe eines umfassenden Schutzansatzes sichern, bei dem handelsübliche Geräte und branchenübliche Techniken verwendet werden. Dazu gehören unter anderem Firewalls, Systeme zur Erkennung von Eindringlingen, Zugriffskontrolllisten und Routing-Protokolle.
8. Viren- und Malware-Kontrollen. Sojern schützt personenbezogene Daten vor bösartigem Code und installiert und wartet Antiviren- und Malware-Schutzsoftware auf jedem System, das personenbezogene Daten verarbeitet.
9. Zugriffskontrolle. Sojern wendet das Prinzip der geringsten Rechte an, bei dem der Zugriff auf personenbezogene Daten nur denjenigen Personen innerhalb des Unternehmens gewährt wird, die einen solchen Zugriff aus geschäftlichen Gründen benötigen, und die Berechtigungen werden auf den Mindestbetrag beschränkt, der für die Erfüllung der spezifischen Aufgaben erforderlich ist.
10. Ort der Verarbeitung. Personenbezogene Daten werden von Sojern in den Vereinigten Staaten verarbeitet, vorbehaltlich der geltenden Datenschutzgesetze, die möglicherweise etwas anderes erfordern.
11. Reaktion auf Vorfälle. Sojern wird ein Programm zur Reaktion auf Datensicherheitsvorfälle durchführen und alle vermuteten Datensicherheitsvorfälle dokumentieren. Sojern wird alle Datensicherheitsvorfälle untersuchen und alle notwendigen Maßnahmen ergreifen, um den Datensicherheitsvorfall zu beseitigen oder einzudämmen.
12. Personal. Sojern wird ein Sensibilisierungs- und Schulungsprogramm für Informationssicherheit durchführen und wichtige Mitarbeiter von Sojern in Bezug auf Datenschutzmaßnahmen und allgemeine Cybersicherheitsmaßnahmen schulen.
13. Verkäufer. Sojern wird ein Lieferantenverwaltungsprogramm durchführen, das alle Anbieter bewertet, mit denen Sojern personenbezogene Daten austauscht. Diese Anbieter werden zur Einhaltung von Datensicherheitsstandards verpflichtet, die nicht weniger restriktiv sind als die hier dargelegten.
