Sojern Inc.Nachtrag zur Datenverarbeitung

Letzte Aktualisierung 14. September 2022

Dieser Nachtrag zur Datenverarbeitung, einschließlich Anhängen 1 und 2 („Nachtrag“), enthält die wesentlichen Bedingungen, die Sojern, Inc., eine Gesellschaft nach dem Recht des US-Bundesstaates Delaware mit Hauptgeschäftssitz unter der Anschrift 575 Market Street, 4th Floor, San Francisco, CA 94105, USA („Sojern“), erfordert. Für die Zwecke dieses Nachtrags wird das Unternehmen, das eine Partei des Vertrags (wie unten definiert) ist, in den dieser Nachtrag eingebunden ist, als „Unternehmen“ bezeichnet.

1. Definitionen

„Vertrag“ bezeichnet alle Vereinbarungen zwischen den Parteien, aufgrund derer Sojern personenbezogene Daten für die Zwecke gemäß dem jeweiligen Datenanbieter- oder Dienstleistungsvertrag erhält, erfasst, darauf zugreift oder anderweitig verarbeitet. Dieser Nachtrag zur Datenverarbeitung enthält die Bedingungen des Vertrags und die nachstehenden Bestimmungen. Bei einem Konflikt zwischen dem Nachtrag und dem Vertrag sind die Bestimmungen dieses Nachtrags maßgeblich. Alle in Großbuchstaben geschriebenen Begriffe, die in dem vorliegenden Dokument verwendet, aber nicht definiert werden, haben ihre jeweilige Bedeutung, wie sie im Vertrag festgelegt ist.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt identifiziert werden kann.

„Dienstleistung“ bezeichnet die von Sojern bzw. der Gesellschaft im Rahmen des Vertrags erbrachten Dienstleistungen.

2. Anwendung des Nachtrags

Für die Zwecke der von Sojern gemäß dem Vertrag durchgeführten Verarbeitung wird die Rolle von Sojern als Datenverarbeiter oder Verantwortlicher in Bezug auf die von Sojern verarbeiteten personenbezogenen Daten im jeweiligen Vertrag festgelegt.

3. Verwendung personenbezogener Daten

Sofern nicht ausdrücklich in dem vorliegenden Dokument oder schriftlich durch das Unternehmen gestattet, wird Sojern weder direkt noch indirekt (a) personenbezogene Daten an Dritte offenlegen, verkaufen, verteilen oder übermitteln oder (b) personenbezogene Daten für andere Zwecke verwenden als für die Erbringung der Dienstleistung für das Unternehmen im Rahmen des Vertrags und in Übereinstimmung mit allen geltenden Datenschutzgesetzen.

4. Einhaltung von Gesetzen; andere Anweisungen

Jede Partei bestätigt, dass sie ihre Verpflichtungen gemäß den geltenden Datenschutzgesetzen kennt und personenbezogene Daten in Übereinstimmung mit allen geltenden Datenschutzgesetzen verarbeitet. Wenn Sojern als Datenverarbeiter handelt, führt Sojern die Verarbeitung so durch, wie sie vom Unternehmen im Vertrag dokumentiert und angewiesen wurde, es sei denn, eine Aufsichtsbehörde teilt mit, dass diese Verarbeitung nicht mit den geltenden Gesetzen zum Schutz der Privatsphäre und zum Datenschutz übereinstimmt; in diesem Fall wird Sojern das Unternehmen unverzüglich schriftlich über diese behördliche Mitteilung informieren und kann die Verarbeitung personenbezogener Daten einstellen, bis das behördliche Anliegen geklärt ist.

5. Aufzeichnungen; Zusammenarbeit für Compliance

Jede Partei führt ein schriftliches oder elektronisches Protokoll über die Verarbeitung von personenbezogenen Daten. Jede Partei wird in angemessener Weise mit der anderen Partei bei der Einhaltung der geltenden Datenschutzgesetze in Bezug auf Datenfolgenabschätzungen, Aufzeichnungen über die Verarbeitung, damit zusammenhängende Anfragen oder Konsultationen mit Datenschutzbehörden und Audits in Übereinstimmung mit dem geltenden Vertrag zusammenarbeiten, damit das Unternehmen bestätigen kann, dass Sojern seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen und dem Vertrag erfüllt hat.

6. Datenschutzrichtlinie von Sojern

Die Parteien erkennen an, dass Sojern keine direkte Beziehung zu Personen unterhält, deren personenbezogene Daten Sojern zur Verfügung gestellt werden. In diesem Sinne wird das Unternehmen, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist, den Personen, deren personenbezogene Daten von Sojern verarbeitet werden, die Sojern-Datenschutzrichtlinie unter http://www.sojern.com/privacy/privacy-policy/ zur Verfügung stellen.

7. Benachrichtigung, Zustimmung und Opt-out

Das Unternehmen informiert Personen über die Erfassung, Verwendung und Offenlegung personenbezogener Daten durch das Unternehmen und holt deren Einwilligung ein, wie es die geltenden Datenschutzgesetze vorschreiben. Wenn geltende Datenschutzgesetze Mechanismen vorschreiben, mit denen Einzelpersonen Rechte ausüben können, insbesondere Opt-out-Rechte, muss das Unternehmen (oder eine andere Partei, die im Namen des Unternehmens für die Erfassung von personenbezogenen Daten verantwortlich ist) den Einzelpersonen solche Mechanismen zur Verfügung stellen. Es wird davon ausgegangen, dass das Unternehmen die Personen, deren personenbezogene Daten Sojern zur Verfügung gestellt werden, entsprechend informiert und, falls erforderlich, die entsprechenden Einwilligungen eingeholt hat.

8. Individuelle Datenschutzrechte

Jede Partei wird in angemessener Weise mit der anderen Partei zusammenarbeiten, um auf Anfragen oder Beschwerden von Einzelpersonen zu reagieren, die sich auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags beziehen und die Datenschutzrechte nach den geltenden Datenschutzgesetzen betreffen. Wenn Sojern eine Anfrage von einer Einzelperson erhält, wird Sojern umgehend: (a) die Anfrage an das Unternehmen weiterleiten, um die Anfrage zu bearbeiten; und (b) wenn Sojern ein Datenverarbeiter ist, die Entscheidung des Unternehmens umsetzen, wie die Anfrage bearbeitet werden soll.

9. Personenbezogene Daten von EU-Bürgern

Soweit personenbezogene Daten, die von außerhalb der USA (einschließlich des Europäischen Wirtschaftsraums (EWR), des Vereinigten Königreichs oder der Schweiz) an Sojern übermittelt werden, erfordert die Datenverarbeitung eine den Gesetzen des Landes, in dem das Unternehmen seinen Sitz hat, entsprechende Angemessenheit, und wenn die erforderliche Angemessenheit durch die Bedingungen dieses Nachtrags erfüllt werden kann, vereinbaren die Parteien, dass dieser Nachweis durch Verweis, soweit zutreffend, die Standardvertragsklauseln der Europäischen Kommission (EU) 2021/914 für die Übermittlung personenbezogener Daten in Drittländer gemäß Verordnung (EU) 2016/679 durch EU-/EWR-Verantwortliche an Verarbeiter außerhalb der EU/des EWR („Modul 2“) und/oder durch EU-/EWR-Verantwortliche an Verantwortliche außerhalb der EU/des EWR („Modul 1“) umfasst, und zwar in der jeweils von der Europäischen Kommission geänderten oder ersetzten Fassung (zusammenfassend die „Klauseln“). Der Einfachheit halber werden die oben verlinkten Klauseln auf Grundlage des von der Europäischen Kommission zur Verfügung gestellten Texts generiert, um die Klauseln in die Vereinbarung aufzunehmen, das/die entsprechende(n) Modul(e) auszuwählen und dem Anhang wie gemäß den Klauseln zulässig Informationen hinzuzufügen. Für die Zwecke solcher Übermittlungen personenbezogener Daten ist das Unternehmen der „Datenexporteur“ und Sojern der „Datenimporteur“ (auch wenn das Unternehmen ein Unternehmen mit Sitz außerhalb der EU/des EWR ist, sofern das Unternehmen sonst der Verordnung (EU) 2016/679 unterliegt). Wenn die Klauseln Anwendung finden, wird davon ausgegangen, dass das Unternehmen und Sojern die Klauseln in ihrem jeweiligen Namen und in ihrem eigenen Auftrag eingegangen sind, und die Namen, Adressen, Kontaktdaten, Funktionen und Tätigkeiten der Parteien im Zusammenhang mit den gemäß diesen Klauseln übermittelten personenbezogenen Daten werden in der Vereinbarung angegeben. Die Unterzeichnung der Vereinbarung gilt als Unterzeichnung der Klauseln, insbesondere des Anhangs I.A der Klauseln. Sofern es einen Konflikt zwischen den Bedingungen dieses Nachtrags und den Klauseln gibt, sind die anwendbaren Klauseln maßgeblich.

1. Controller to Controller-Verhältnis. Für die Zwecke von Modul 1 tritt (i) Anhang 1 dieses Nachtrags an die Stelle von Anhang 1.B von Modul 1; (ii) Anhang 2 dieses Nachtrags an die Stelle von Anhang II von Modul 1; und (iii) gemäß Klausel 11(a) von Modul 1 wird der verfügbare optionale Text ausgewählt; (iv) gemäß Klausel 17 von Modul 1 wird OPTION 1 ausgewählt, der EU-Mitgliedstaat ist Irland; und (v) gemäß Klausel 18(b) von Modul 1 werden die Gerichte von Irland ausgewählt.
2. Controller to Prozessor-Verhältnis. Für die Zwecke von Modul 2 (i) tritt Anhang 1 dieses Nachtrags an die Stelle von Anhang 1.B von Modul 2; (ii) tritt Anhang 2 dieses Nachtrags an die Stelle von Anhang II von Modul 2; (iii) wird gemäß Abschnitt 9(a) von Modul 2 OPTION 2: DIE ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG ausgewählt und die Frist für die vorherige Mitteilung beträgt dreißig (30) Tage; (iv) wird gemäß Klausel 11(a) von Modul 2 der verfügbare optionale Text ausgewählt; (v) wird gemäß Klausel 17 von Modul 2 OPTION 1 ausgewählt und der EU-Mitgliedstaat ist Irland; (vi) werden gemäß Klausel 18(b) von Modul 2 die Gerichte von Irland ausgewählt.
3. Abschnitt 702 des FISA und Durchführungsverordnung 12333. Sojern wird das Unternehmen unverzüglich benachrichtigen und die Annahme personenbezogener Daten einstellen, wenn Sojern Kenntnis davon erlangt, dass es der Verpflichtung zur gemeinsamen Nutzung oder Weitergabe von Daten unterliegt, wie sie in Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und/oder in der Durchführungsverordnung 12333 der Vereinigten Staaten vorgesehen ist. Wenn der Europäische Datenschutzausschuss oder eine andere Aufsichtsbehörde, der das Unternehmen unterliegt, weitere Leitlinien dazu veröffentlicht, welche weiteren angemessenen Maßnahmen für den internationalen Export personenbezogener Daten erforderlich sind, wird Sojern diese weiteren angemessenen Maßnahmen unverzüglich umsetzen.

10. Sicherheitsmaßnahmen

Jede Partei muss angemessene technische, physische und organisatorische Maßnahmen ergreifen und aufrechterhalten, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung und versehentlichem Verlust, versehentlicher Zerstörung oder versehentlicher Beschädigung zu schützen.

1. Verletzung des Schutzes personenbezogener Daten. Sobald eine Partei von einer Verletzung des Schutzes personenbezogener Daten gemäß den geltenden Datenschutzgesetzen Kenntnis erlangt, wird sie die andere Partei unverzüglich und innerhalb des nach den geltenden Datenschutzgesetzen erforderlichen Zeitrahmens schriftlich benachrichtigen. Jede Partei wird in angemessener Weise mit der anderen Partei zusammenarbeiten, um die nachteiligen Auswirkungen einer Verletzung des Schutzes personenbezogener Daten, soweit möglich, zu mindern.
2. Datenspeicherung; Löschung von personenbezogenen Daten nach Kündigung. Sojern setzt technische Sicherheitsmaßnahmen ein, um den unbefugten Zugriff auf personenbezogene Daten zu verhindern, einschließlich der Verschlüsselung personenbezogener Daten in elektronischer Form während der Übermittlung und während der Speicherung in den Netzwerken oder Systemen von Sojern. Die Verpflichtungen von Sojern in Bezug auf personenbezogene Daten im Falle einer Kündigung des Vertrags sind im Abschnitt „Laufzeit und Kündigung“ des Vertrags dargelegt, vorbehaltlich etwaiger Datenaufbewahrungsbestimmungen des jeweiligen Vertrags.

11. Unterauftragsverarbeiter

Das Unternehmen erteilt Sojern eine allgemeine Erlaubnis, andere Datenverarbeiter für die Verarbeitung personenbezogener Daten einzusetzen („Unterauftragsverarbeiter“), die an Vertraulichkeits- und Datenschutzverpflichtungen gebunden sind, die mit diesem Nachtrag übereinstimmen und unter http://sojern.com/legal/partner-list/ aufgeführt sind. Wenn es der Vertrag erfordert oder wenn Sojern als Datenverarbeiter handelt, informiert Sojern das Unternehmen über alle Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern, indem es die oben genannte Liste aktualisiert und dem Unternehmen so die Möglichkeit gibt, gegen diese Änderungen Einspruch zu erheben; eine Anleitung für den Einspruch ist unter der gleichen URL zu finden. Wenn das Unternehmen begründete Einwände gegen eine Änderung erhebt und Sojern nicht in der Lage ist, diese Einwände auszuräumen, kann das Unternehmen den Vertrag und den Nachtrag kündigen.

12. Anwendung des Nachtrags

Dieser Nachtrag bleibt in vollem Umfang wirksam, bis einer der beiden folgenden Fälle eintritt: (a) der bzw. die Verträge bleiben wirksam, und (b) Sojern behält Kopien der personenbezogenen Daten ein. Jede Partei kann diesen Nachtrag mit sofortiger Wirkung kündigen, wenn ein wesentlicher Verstoß gegen diesen Nachtrag vorliegt oder eine Aufsichtsbehörde und/oder ein zuständiges Gericht feststellt, dass die Verarbeitung personenbezogener Daten durch die Parteien wesentlich gegen geltende Datenschutzgesetze verstößt, vorausgesetzt jedoch, dass die Partei, die den Verstoß nicht begangen hat, den mutmaßlichen Verstoß gemeldet hat und dieser Verstoß innerhalb eines Zeitraums von fünfzehn (15) Tagen nach dieser Meldung nicht behoben wurde.

13. Geltendes Recht

Dieser Nachtrag gilt als gemäß den Gesetzen des Staates Kalifornien, USA, erstellt und ist gemäß diesen Gesetzen auszulegen, ohne Berücksichtigung der kollisionsrechtlichen Bestimmungen.

ANHANG 1

Beschreibung der Übermittlung

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Reisende und andere Kunden des Unternehmens.

Kategorien der übertragenen personenbezogenen Daten

Personenbezogene Daten, die vom Unternehmen übermittelt werden, werden in Übereinstimmung mit dem Vertrag bereitgestellt und können insbesondere Folgendes umfassen:

• Informationen in Verbindung mit einer eindeutigen Online-Kennung, wie eine Cookie-ID, eine Mobilgeräte-ID, eine gehashte E-Mail-Adresse, eine Werbe-ID und vom Unternehmen zugewiesene Kunden-ID-Nummern.
• Informationen in Verbindung mit dem Gerät einer Person, wie IP-Adresse, Gerätetyp, Browsertyp, Datum und Zeitstempel von Klicks und Webbesuchen, besuchte URLs und andere technische Informationen.
• Informationen in Verbindung mit der Reise einer Person, wie Anzahl und Art der Reisenden, Währung/Tarife/Preise/Gebühren, Such- und Buchungsinformationen (z. B. Abreise- und Ankunftsdatum und Zielland oder -stadt), Informationen über Prämien- oder Treueprogramme und Unterkunfts- oder Servicepräferenzen (z. B. Zimmer-, Flugsitz- oder Autotyp sowie Präferenzen für Einrichtungen und Annehmlichkeiten).

Übermittlung sensibler Daten (falls zutreffend) und angewendete Einschränkungen oder Schutzvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, z. B. strenge Zweckbindung, Zugriffsbeschränkungen (u. a. Zugriff nur für Mitarbeiter, die spezielle Schulungen absolviert haben), Aufbewahrung einer Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Keine

Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übertragen werden).

Fortlaufend für die Dauer der geltenden Vereinbarung.

Art der Verarbeitung

Erfassung von Online-Browsing-Informationen durch die Verwendung von Cookies und anderen Tracking-Technologien.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Für jeden rechtmäßigen Zweck in Verbindung mit den im Rahmen des Vertrags zwischen Datenexporteur und Datenimporteur erbrachten Dienstleistungen, besonders gezielte Werbung basierend auf Online-Browsing-Informationen. Eine weitere Verarbeitung ist nicht zulässig.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, wenn dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum bestimmt wird

Für die Dauer der geltenden Vereinbarung, es sei denn, personenbezogene Daten des Datenexporteurs werden gelöscht oder zurückgegeben.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter müssen auch Gegenstand, Art und Dauer der Verarbeitung angegeben werden

Unterauftragsverarbeiter sind unter http://sojern.com/legal/partner-list/ aufgeführt, wie gemäß Modell 1 Klausel 9(a) zulässig.

• Gegenstand der Verarbeitung:  Die Unterauftragsverarbeiter stellen Hosting-, Speicher- und Verarbeitungsinfrastruktur und -dienste bereit, damit Sojern seinen Kunden Dienstleistungen bereitstellen kann. Darüber hinaus bieten Unterauftragsverarbeiter digitale Werbung auf Websites, mobilen Apps und anderen mit dem Internet verbundenen Geräten an, veröffentlichen Berichte über die Leistung von Werbekampagnen und stellen eine Plattform bereit, die den Verkauf von Online-Impressionen/-Beständen durch Auktionen in Echtzeit erleichtert.
• Art der Verarbeitung:  Cloud-Hosting-Anbieter speichern und verarbeiten Daten, die von den Kunden von Sojern bereitgestellt werden, und nachfrageseitige Plattformen verarbeiten Daten für programmatische Medienkauf- und Werbedienste.
• Dauer der Verarbeitung:  Für die Dauer der Vereinbarung zwischen Sojern und den Unterauftragsverarbeitern, vorbehaltlich der darin enthaltenen Aufbewahrungsfristen.

Zuständige Aufsichtsbehörde

Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln in Bezug auf das Angebot von Waren oder Dienstleistungen an sie übermittelt werden, oder deren Verhalten überwacht wird, hat ihren Sitz wie in Anhang I.C angegeben, und fungiert als zuständige Aufsichtsbehörde.

ANHANG 2

TECHNISCHE UND ORGANISATORISCHE MAẞNAHMEN, EINSCHLIEẞLICH TECHNISCHER UND ORGANISATORISCHER MAẞNAHMEN ZUR SICHERUNG DER DATEN

1. Allgemeines. Sojern wird angemessene administrative, technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung personenbezogener Daten und vor versehentlichem Verlust oder unbeabsichtigter Zerstörung oder Beschädigung personenbezogener Daten einführen, umsetzen und fortführen. Diese Maßnahmen sind ausreichend, um die geltenden Datenschutzgesetze einzuhalten, und Sojern hält sich jederzeit an seine Richtlinien sowie das Programm zur Informationssicherheit.
2. Richtlinien und Standards zur Informationssicherheit. Sojern wird Richtlinien, Standards und Verfahren zur Informationssicherheit pflegen. Diese Richtlinien, Standards und Verfahren sind auf dem neuesten Stand zu halten und zu ändern, wenn relevante Änderungen an den Informationssystemen vorgenommen werden, die personenbezogene Daten verwenden oder speichern.
3. Schwachstellenmanagement. Sojern wird ein Programm zum Schwachstellenmanagement für alle Systeme unterhalten, die personenbezogene Daten verarbeiten. Dazu gehören unter anderem interne und externe Schwachstellenprüfungen mit Ergebnissen der Risikoeinstufung und formalen Abhilfeplänen zur Behebung identifizierter Schwachstellen.
4. Risikobewertung. Sojern führt regelmäßige Risikobewertungen durch, um vernünftigerweise vorhersehbare Risiken für die Sicherheit, Vertraulichkeit und Integrität von Aufzeichnungen, die personenbezogene Daten enthalten, zu ermitteln und zu bewerten und, falls erforderlich, die Effektivität seiner Sicherheitsmaßnahmen zur Begrenzung dieser Risiken zu verbessern.
5. Datenklassifizierung. Sojern wird Richtlinien und Verfahren zur Klassifizierung sensibler Datenbestände pflegen, Sicherheitsverantwortlichkeiten klären und das Bewusstsein dafür bei allen Mitarbeitern fördern.
6. Verschlüsselung. Sojern implementiert Verschlüsselungsmechanismen nach Industriestandard und starke Cipher Suites (AES 256-Bit wird empfohlen) für Speicherung und Übermittlung. Sojern akzeptiert Verbindungen über verschlüsselte Kanäle (TLS wird empfohlen).
7. Netzwerksicherheit. Sojern sichert sein Netz durch einen "Defense-in-Depth"-Ansatz, bei dem kommerziell verfügbare Geräte und Industriestandardtechniken eingesetzt werden, insbesondere Firewalls, Intrusion-Detection-Systeme, Zugangskontrolllisten und Routing-Protokolle.
8. Virus- und Malware-Kontrolle. Sojern schützt personenbezogene Daten vor schädlichem Code und installiert und pflegt Antiviren- und Malware-Schutzsoftware auf allen Systemen, die personenbezogene Daten verarbeiten.
9. Zugriffskontrolle. Sojern wendet das Prinzip des geringsten Privilegs an, d.h. der Zugriff auf personenbezogene Daten wird nur denjenigen Personen innerhalb der Organisation gewährt, die eine geschäftliche Notwendigkeit für einen solchen Zugriff haben, und die Berechtigungen werden auf das für die Ausführung der jeweiligen Tätigkeit erforderliche Minimum beschränkt.
10. Verarbeitungsort. Personenbezogene Daten werden, vorbehaltlich geltender Datenschutzgesetze, die gegebenenfalls eine andere Regelung erfordern, von Sojern in den Vereinigten Staaten verarbeitet.
11. Reaktion auf Vorfälle. Sojern unterhält ein Programm zur Reaktion auf Datensicherheitsvorfälle und dokumentiert alle vermuteten Datensicherheitsvorfälle. Sojern untersucht alle Datensicherheitsvorfälle und ergreift alle erforderlichen Schritte, um den Datensicherheitsvorfall zu bewältigen oder einzudämmen.
12. Personal. Sojern wird ein Sensibilisierungs- und Schulungsprogramm für die Informationssicherheit aufrechterhalten und wichtige Mitarbeiter von Sojern in Datenschutzmaßnahmen und allgemeinen Cybersicherheitsmaßnahmen schulen.
13. Anbieter. Sojern unterhält ein Anbietermanagement-Programm, das alle Anbieter bewertet, mit denen Sojern personenbezogene Daten austauscht. Diese Anbieter unterliegen Datensicherheitsstandards, die nicht weniger restriktiv sind als die hier festgelegten.